UAC отключается один раз в день в Windows 7

10

У меня странная проблема на моем ноутбуке HP. Это начало происходить недавно. При каждом запуске компьютера Windows 7 Action Center отображает следующее предупреждение:

Вам необходимо перезагрузить компьютер, чтобы отключить UAC.

На самом деле этого не происходит, если это произошло один раз в определенный день. Например, когда я запускаю машину утром, она появляется; но он никогда не обнаруживается при последующих перезапусках в течение этого дня. На следующий день снова происходит то же самое.

Я никогда не отключаю UAC, но, очевидно, какой-то руткит или вирус вызывает это. Как только я получаю это предупреждение, я направляюсь к настройкам UAC и снова включаю UAC, чтобы отключить это предупреждение. Это неприятная ситуация, я не могу ее исправить.

Во-первых, я запустил полную проверку компьютера на наличие возможных вирусов и вредоносных программ / руткитов, но TrendMicro OfficeScan сказал, что вирусы не обнаружены. Я пошел на старую точку восстановления с помощью Windows System Restore, но проблема не была решена.

Что я пробовал до сих пор (который не мог найти руткит):

  • TrendMicro OfficeScan Antivirus
  • AVAST
  • Malwarebytes 'Anti-malware
  • Ad-Aware
  • Vipre Antivirus
  • GMER
  • TDSSKiller («Лаборатория Касперского»)
  • HiJackThis
  • RegRuns
  • UnHackMe
  • SuperAntiSpyware Portable
  • Бритва Ризки Тизер ( * )
  • Sophos Anti-Rootkit
  • SpyHunter 4
  • ComboFix

На машине нет никаких других странных действий. Все отлично работает, кроме этого странного инцидента.

Как может называться этот надоедливый руткит? Как я могу обнаружить и удалить это?


РЕДАКТИРОВАТЬ: Ниже файл журнала, созданный HijackThis:

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 13:07:04, on 17.01.2011
Platform: Windows 7  (WinNT 6.00.3504)
MSIE: Internet Explorer v8.00 (8.00.7600.16700)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskhost.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\CheckPoint\SecuRemote\bin\SR_GUI.Exe
C:\Windows\System32\igfxtray.exe
C:\Windows\System32\hkcmd.exe
C:\Windows\system32\igfxsrvc.exe
C:\Windows\System32\igfxpers.exe
C:\Program Files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\QLBCTRL.exe
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\VolCtrl.exe
C:\Program Files\LightningFAX\LFclient\lfsndmng.exe
C:\Program Files\Common Files\Java\Java Update\jusched.exe
C:\Program Files\Microsoft Office Communicator\communicator.exe
C:\Program Files\Iron Mountain\Connected BackupPC\Agent.exe
C:\Program Files\Trend Micro\OfficeScan Client\PccNTMon.exe
C:\Program Files\Microsoft LifeCam\LifeExp.exe
C:\Program Files\Hewlett-Packard\Shared\HpqToaster.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\mimio\mimio Studio\system\aps_tablet\atwtusb.exe
C:\Program Files\Microsoft Office\Office12\OUTLOOK.EXE
C:\Program Files\Babylon\Babylon-Pro\Babylon.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Users\userx\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://www.yaysat.com.tr/proxy/proxy.pac
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Babylon IE plugin - {9CFACCB6-2F3F-4177-94EA-0D2B72D384C1} - C:\Program Files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [IgfxTray] C:\Windows\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\Windows\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\Windows\system32\igfxpers.exe
O4 - HKLM\..\Run: [hpWirelessAssistant] C:\Program Files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [QlbCtrl.exe] C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [lfsndmng] C:\Program Files\LightningFAX\LFclient\LFSNDMNG.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Common Files\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [Communicator] "C:\Program Files\Microsoft Office Communicator\communicator.exe" /fromrunkey
O4 - HKLM\..\Run: [AgentUiRunKey] "C:\Program Files\Iron Mountain\Connected BackupPC\Agent.exe" -ni -sss -e http://localhost:16386/
O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\Program Files\Trend Micro\OfficeScan Client\pccntmon.exe" -HideWindow
O4 - HKLM\..\Run: [Babylon Client] C:\Program Files\Babylon\Babylon-Pro\Babylon.exe -AutoStart
O4 - HKLM\..\Run: [LifeCam] "C:\Program Files\Microsoft LifeCam\LifeExp.exe"
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - Global Startup: mimio Studio.lnk = C:\Program Files\mimio\mimio Studio\mimiosys.exe
O8 - Extra context menu item: Microsoft Excel'e &Ver - res://C:\PROGRA~1\MICROS~1\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Translate this web page with Babylon - res://C:\Program Files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll/ActionTU.htm
O8 - Extra context menu item: Translate with Babylon - res://C:\Program Files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll/Action.htm
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\Office12\REFIEBAR.DLL
O9 - Extra button: Translate this web page with Babylon - {F72841F0-4EF1-4df5-BCE5-B3AC8ACF5478} - C:\Program Files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll
O9 - Extra 'Tools' menuitem: Translate this web page with Babylon - {F72841F0-4EF1-4df5-BCE5-B3AC8ACF5478} - C:\Program Files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll
O16 - DPF: {00134F72-5284-44F7-95A8-52A619F70751} (ObjWinNTCheck Class) - https://172.20.12.103:4343/officescan/console/html/ClientInstall/WinNTChk.cab
O16 - DPF: {08D75BC1-D2B5-11D1-88FC-0080C859833B} (OfficeScan Corp Edition Web-Deployment SetupCtrl Class) - https://172.20.12.103:4343/officescan/console/html/ClientInstall/setup.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = yaysat.com
O17 - HKLM\Software\..\Telephony: DomainName = yaysat.com
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = yaysat.com
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = yaysat.com
O18 - Protocol: qcom - {B8DBD265-42C3-43E6-B439-E968C71984C6} - C:\Program Files\Common Files\Quest Shared\CodeXpert\qcom.dll
O22 - SharedTaskScheduler: FencesShellExt - {1984DD45-52CF-49cd-AB77-18F378FEA264} - C:\Program Files\Stardock\Fences\FencesMenu.dll
O23 - Service: Andrea ADI Filters Service (AEADIFilters) - Andrea Electronics Corporation - C:\Windows\system32\AEADISRV.EXE
O23 - Service: AgentService - Iron Mountain Incorporated - C:\Program Files\Iron Mountain\Connected BackupPC\AgentService.exe
O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - LSI Corporation - C:\Program Files\LSI SoftModem\agrsmsvc.exe
O23 - Service: BMFMySQL - Unknown owner - C:\Program Files\Quest Software\Benchmark Factory for Databases\Repository\MySQL\bin\mysqld-max-nt.exe
O23 - Service: Com4QLBEx - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\Com4QLBEx.exe
O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
O23 - Service: OfficeScanNT RealTime Scan (ntrtscan) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client\ntrtscan.exe
O23 - Service: SMS Task Sequence Agent (smstsmgr) - Unknown owner - C:\Windows\system32\CCM\TSManager.exe
O23 - Service: Check Point VPN-1 Securemote service (SR_Service) - Check Point Software Technologies - C:\Program Files\CheckPoint\SecuRemote\bin\SR_Service.exe
O23 - Service: Check Point VPN-1 Securemote watchdog (SR_Watchdog) - Check Point Software Technologies - C:\Program Files\CheckPoint\SecuRemote\bin\SR_Watchdog.exe
O23 - Service: Trend Micro Unauthorized Change Prevention Service (TMBMServer) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client\..\BM\TMBMSRV.exe
O23 - Service: OfficeScan NT Listener (tmlisten) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client\tmlisten.exe
O23 - Service: OfficeScan NT Proxy Service (TmProxy) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client\TmProxy.exe
O23 - Service: VNC Server Version 4 (WinVNC4) - RealVNC Ltd. - C:\Program Files\RealVNC\VNC4\WinVNC4.exe

--
End of file - 8204 bytes

Как было предложено в этом очень похожем вопросе , я выполнил полное сканирование (+ сканирование во время загрузки) с RegRun и UnHackMe, но они также ничего не нашли. Я тщательно изучил все записи в Event Viewer, но в этом нет ничего плохого.

Теперь я знаю, что на моей машине есть скрытый троян (руткит), который, похоже, довольно успешно маскируется. Обратите внимание, что у меня нет возможности удалить жесткий диск или переустановить ОС, так как это рабочая машина, на которую распространяются определенные ИТ-политики в домене компании.

Несмотря на все мои попытки, проблема все еще остается. Мне строго нужен точечный метод или средство для удаления руткитов pukka, чтобы удалить что бы то ни было. Я не хочу вмешиваться в системные настройки, то есть отключать автозапуск по очереди, портить реестр и т. Д.


РЕДАКТИРОВАТЬ 2: Я нашел статью, которая тесно связана с моей проблемой:

Вредоносное ПО может отключить UAC в Windows 7; «По замыслу» говорит Microsoft . Отдельное спасибо (!) Microsoft.

В статье дан код VBScript для автоматического отключения UAC:

'// 1337H4x Written by _____________ 
'//                    (12 year old)

Set WshShell = WScript.CreateObject("WScript.Shell")

'// Toggle Start menu
WshShell.SendKeys("^{ESC}")
WScript.Sleep(500)

'// Search for UAC applet
WshShell.SendKeys("change uac")
WScript.Sleep(2000)

'// Open the applet (assuming second result)
WshShell.SendKeys("{DOWN}")
WshShell.SendKeys("{DOWN}")
WshShell.SendKeys("{ENTER}")
WScript.Sleep(2000)

'// Set UAC level to lowest (assuming out-of-box Default setting)
WshShell.SendKeys("{TAB}")
WshShell.SendKeys("{DOWN}")
WshShell.SendKeys("{DOWN}")
WshShell.SendKeys("{DOWN}")

'// Save our changes
WshShell.SendKeys("{TAB}")
WshShell.SendKeys("{ENTER}")

'// TODO: Add code to handle installation of rebound
'// process to continue exploitation, i.e. place something
'// evil in Startup folder

'// Reboot the system
'// WshShell.Run "shutdown /r /f"

К сожалению, это не говорит мне, как я могу избавиться от этого вредоносного кода, работающего в моей системе.


РЕДАКТИРОВАТЬ 3: прошлой ночью я оставил ноутбук открытым из-за запущенной задачи SQL. Когда я пришел утром, я увидел, что UAC был выключен. Итак, я подозреваю, что проблема не связана с запуском. Это происходит раз в день, независимо от того, перезагружена ли машина.


РЕДАКТИРОВАТЬ 4: Сегодня я сразу же запустил «Process Monitor», как только Windows была запущена, чтобы надеяться поймать виновного (спасибо @harrymc за идею). В 9:17 ползунок UAC был сдвинут вниз (предупреждение появилось в Windows 7 Action Center). Я исследовал все действия реестра между 9:16 и 9:18. Я сохранил файл журнала Process Monitor (70 МБ, содержащий только этот 2-минутный интервал). Есть много EnableLUA = 0(и других) записей. Я выкладываю скриншоты окон свойств первых 4 ниже. Он говорит, svchost.exeчто делает это, и дает некоторые номера потоков и PID. Я не знаю, что я должен сделать из них вывод:

введите описание изображения здесь введите описание изображения здесь введите описание изображения здесь введите описание изображения здесь

Мехпер С. Палавузлар
источник
1
В качестве дополнительной вещи для исследования это может быть параметр, который применяется групповой политикой с вашего контроллера домена. Может случиться так, что они (по какой-то причине) настроили ежедневный сброс UAC. Конечно, если они включают его с помощью групповых политик, а вредоносное ПО отключает его, то это плохо. Я бы поболтал с вашими парнями из ИТ, если они разговорчивы.
Мокубай
@Mokubai: Спасибо за ваше предложение. Я разговаривал с другими коллегами по компании, и ни у кого из них такой проблемы нет. Я уверен, что наши ИТ не отключили UAC, так как они очень чувствительны к проблемам безопасности. Интересно, как этот (возможный) руткит обманул антивирус или другие меры безопасности, введенные ИТ-отделом?
Мехпер С. Палавузлар
Что касается того, как вы могли получить эту возможную инфекцию в первую очередь, то, как правило, любая защита от вредоносных программ, которая у вас может быть, обычно носит реактивный характер, хотя проактивное обнаружение возможно, но оно ненадежно. Кто-то придумывает способ взломать систему, затем компания замечает это и пишет способ обнаружить или удалить ее, действие и реакцию. Если у вас действительно есть инфекция, это вполне может быть совершенно новый штамм, который еще не был замечен AV-компаниями. Относительно того, как вы это поняли, слишком много дыр в безопасности в местах, о которых вы даже не подозреваете ...
Mokubai
Hijack Это чисто. Вы могли бы хотеть рассмотреть, чтобы получить файловую систему. Пожалуйста, попробуйте Autoruns и Process Monitor, как описано Гарри.
Тамара Вийсман
Вы пробовали смотреть в планировщике заданий? (Пуск -> Панель управления -> Администрирование -> Планировщик задач) Нажмите «Библиотека планировщика задач», чтобы увидеть задачи, созданные с помощью таких вещей, как Google Updater. Возможно, что ваш ежедневный сброс UAC находится где-то там, поскольку задачи могут быть настроены в определенное время, а затем настроены на запуск через X минут после входа в систему, если это время уже прошло ... Я бы сказал, что это может быть долгой и трудной задачей поиска среди тысяч предметов там.
Мокубай

Ответы:

6

Сначала вы должны проверить, может ли служба Центра безопасности запускаться, а если нет - какая из ее зависимостей виновата. Посмотрите также сообщения об ошибках в окне просмотра событий.

Если вы чувствуете, что ваш компьютер заражен, возможны следующие решения:

  1. Как восстановить системные файлы Windows 7 с помощью средства проверки системных файлов .
  2. Восстановление при загрузке: как легко устранить проблемы с загрузкой Windows 7 с помощью восстановления при загрузке .
  3. Последнее средство - переформатировать жесткий диск и переустановить Windows.
    В вашем случае это может применяться: Выполнение восстановления системы HP в Windows Vista .

Просто отметим, что Windows вполне способна уничтожить себя без посторонней помощи, поэтому Центр обновления Windows более опасен, чем любой вирус. Восстановление при загрузке может решить проблему в этом случае путем повторной инициализации Windows, не требуя переустановки приложений.

Если вы действительно думаете, что проблема скорее в вирусе, и вы хотите узнать больше о том, что происходит на вашем компьютере, вам нужно будет выяснить две вещи:

  1. Какие изменения вносятся в вашу систему,
  2. Какая программа это меняет.

Для первого, если это изменение реестра, ключом, вероятно HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System, является элемент EnableLUA , значение которого равно 0 для отключения и 1 для включения.

После того, как вы обнаружили, что изменение сделано в вашей системе, вы можете использовать Process Monitor и его опцию Enable Boot Logging (см. Справку) для регистрации всех обращений к ключу.

Сначала я загрузился бы в безопасном режиме и посмотрел, происходит ли это тоже. Если нет, то еще одно нападение вектором является использование Autoruns для отключения элементов автозагрузки в бинарном поиске продукта (так как это может быть законный продукт вызывает проблему, а не вирус).

harrymc
источник
Спасибо за ваши предложения. Я уже выступал, sfc /scannowи это говорит Windows Resource Protection Did Not Find Any Integrity Violations. Шаг 2 опасен для меня, поскольку это ноутбук компании, на который распространяются ИТ-политики. Если я каким-то образом испорчу процесс загрузки, у меня будет больше проблем. Шаг 3 не подлежит сомнению.
Мехпер С. Палавузлар
Проблема ИТ-политики понятна. Какие-нибудь результаты из моего 1-го абзаца?
Harrymc
Центр безопасности запускается без проблем в обычном режиме. Я тщательно изучил все записи в Event Viewer (все доступные даты до сих пор), но в этом нет ничего плохого, как я уже говорил в своем вопросе. Я также отдельно проверил все работающие службы, процессы запуска, записи реестра и файлы .dll с помощью различных антивирусных и антивирусных программ.
Мехпер С. Палавузлар
ОК, я добавил больше информации. В любом случае, если вы считаете, что ваш компьютер заражен, я уверен, что ИТ-политика требует, чтобы вы сообщили об этом ИТ-отделу, прежде чем заразить всю компанию.
harrymc
1
Да, что-то отключает UAC. (1) Получаете ли вы запрос на повышение прав при запуске regedit? Если нет, то UAC уже выключен после загрузки. (2) Какова ситуация после загрузки в безопасном режиме? (3) Просто отметим, что сообщение Центра поддержки может отображаться из-за изменения ConsentPromptBehaviorAdmin, а не только для EnableLUA.
harrymc
5

В моем случае это была политика домена, которая применялась один раз в день. Та же проблема. Диагностика была проще, потому что отключение UAC происходило только при входе в домен или при подключении через VPN. Таким образом, было обнаружено, что политика домена включает в себя некоторый сценарий для отключения UAC. Я связался со своими системными администраторами, и они подтвердили это. Поэтому вам лучше проконсультироваться со своими администраторами домена или проверить профиль локальной политики и сценариев, если вы не в домене.

Алексей Бондаренко
источник
2

Вариант 1. Отключите все программы при запуске. (Пуск> Выполнить> Msconfig. Отключить все при запуске).

Вариант 2. Установите AVAST Home Edition и запланируйте сканирование при загрузке. А еще лучше, отсоедините жесткий диск от вашего компьютера, подключите его к другому и отсканируйте его оттуда с помощью AVAST.

Вариант 3. Другой вариант - запустить HijackThis. Создайте отчет и поделитесь им здесь для анализа. http://free.antivirus.com/hijackthis/

bobbyalex
источник
1
Ваши элементы запуска выглядят хорошо. Все таки отключите элементы автозагрузки и проверьте еще раз. Я настоятельно рекомендую вам установить Avast и запланировать сканирование при загрузке, желательно после подключения жесткого диска к другой машине.
bobbyalex
Есть еще одна вещь, которую вы можете попробовать: создать пользователя без прав администратора и войти в систему под этим именем. Если программа пытается запустить, вы должны получить приглашение UAC.
bobbyalex
Это рабочий ПК в домене компании, поэтому я не авторизован для создания новых пользователей. Кстати, я тоже попробовал сканирование при загрузке Avast, но вирусов не нашлось.
Мехпер С. Палавузлар
1

Пожалуйста, установите Microsoft Security Essentials и выполните полное сканирование системы. Так как MSE использует API-интерфейсы ОС и ловушки, она может найти вредоносное ПО, если оно на самом деле является своего рода вредоносным ПО. Кроме того, если MSE не может фактически установить или запустить, то мы точно знаем, что система взломана.

Поскольку для проверки системы вы запустили так много программ AV и Anti-Malware, я очень сомневаюсь, что ваш компьютер был взломан. Вместо того чтобы устанавливать программы AV и защиты от вредоносных программ, а затем выполнять сканирование при загрузке, используйте другой компьютер для сканирования диска. Подключите диск к другой системе в качестве ведомого, а затем запустите сканирование. Вы должны выполнять сканирование при загрузке с CD или DVD, а не с самого жесткого диска, поскольку это действительно предотвращает запуск ОС и запуск руткита во время фактического сканирования.

Хотя, если честно, если вы уверены, что ваша система состоит из руткита, то сбросьте ядро ​​с жесткого диска и начните с нуля. Попросите ваш ИТ-отдел сделать это. Это единственный надежный способ убедиться, что ваша система чистая.

Metril
источник
Во-первых, спасибо за ваши предложения. Удаление жесткого диска не вариант (см. Вопрос, почему). Я думаю, что MSE стоит попробовать. Завтра проверю и поделюсь результатом. Сканирование при загрузке с оптического диска кажется мне вполне разумным. Можете ли вы порекомендовать мне ссылку на какой-нибудь файл изображения для записи на диск? Опять же, ядерное оружие - последнее средство для меня. Мне нужно раскрыть дело, не делая этого. Я знаю, что это абсолютное решение, но давайте посмотрим, что мы можем сделать.
Мехпер С. Палавузлар
Я сделал быстрый поиск. Вот ссылка, которая содержит информацию о загрузочных сканированиях вирусов от разных поставщиков. techmixer.com/free-bootable-antivirus-rescue-cds-download-list Попробуйте их.
Метрил
MSE ничего не нашел. Сейчас я попробую загрузочный спасательный CD.
Мехпер С. Палавузлар
0

Я рекомендую вам создать другую учетную запись пользователя на вашем компьютере. Не делайте эту учетную запись администратором; сохраните это как обычный пользователь. Используйте эту новую учетную запись вместо учетной записи администратора. Если вам нужны права администратора, UAC всегда будет запрашивать ваши учетные данные администратора. Таким образом, вредоносное ПО не сможет отключить UAC и запускать вредоносные программы ...

Попробуйте отключить UAC без прав администратора

Это не избавит от вируса, но, по крайней мере, предотвратит его ухудшение. Затем, когда ваш антивирус получит новые определения для его обнаружения, он сможет удалить его.

Kranu
источник
Проблема в том, что это рабочий ПК в домене компании, и у меня нет прав на создание нового пользователя.
Мехпер С. Палавузлар
0

Прежде чем перейти к более сложным мерам, пожалуйста, установите AVG Anti-Virus Free Edition 2011 . Позвольте ему выполнить полное сканирование компьютера. Недавно у меня была похожая проблема, и никакие другие антивирусные программы, кроме вышеупомянутой, не могли решить ее с помощью мер Anti-Rootkit.

Джаспер
источник
Я попробую сегодня и дам вам знать.
Мехпер С. Палавузлар
Ничего не нашел ...
Мехпер С. Палавузлар
0

Это довольно интересный вопрос. Я должен сказать, что это будет вызвано одной или двумя различными проблемами:

1) Большинство людей заподозрили вирус, и вполне справедливо, что вирусы любят проникать в окна и возиться с настройками.

У вас уже есть исчерпывающее количество сканирований. Любой вирус должен быть пойман теми, кто уже запущен, поэтому я считаю, что это окно Windows.

2) Окна закрыты. Я бы порекомендовал вам запустить проверку диска на вашем компьютере. Два разных метода, которые дают похожие результаты.

- Откройте мой компьютер, а затем щелкните правой кнопкой мыши на жестком диске, с которого загружаются окна. Затем выберите вкладку «Инструменты» и нажмите кнопку с надписью «Проверка диска» [или что-то подобное]. Теперь отметьте два флажка, если они уже нет. Ваш компьютер должен попросить вас перезагрузить компьютер, если вы этого не сделали, вы не отметили галочкой опции. Пусть это сканирование запустится. Он должен очистить все домашние птицы в вашей установке Windows.

Теперь, если проверка не удалась, вставьте установочный диск вашей операционной системы. Если вы используете XP, нажмите R, когда появится синий экран с вопросом, какую задачу вы хотите выполнить. Теперь выберите, на каком жестком диске установлена ​​ваша операционная система, и нажмите клавишу ввода после ввода соответствующего номера. После этого введите пароль для учетной записи администратора [обычно это пустой]. Теперь войдите в консоль команд: chkdsk / r

это должно сделать то же самое сканирование, однако это может решить больше проблем, потому что сканирование запускается с установочного диска.

если выполняется сканирование для машины VISTA или SEVEN, вставьте диск и выберите вариант восстановления. После этого нажмите «Отмена», и должно появиться новое окно, в котором вы можете выполнять больше операций. Последний вариант должен сказать «Консольное окно» или что-то в этом роде.

введите в командной консоли "chkdsk / r C:"

Надеюсь это поможет.

Flasimbufasa
источник
Я использую Windows 7 (см. Теги вопроса). Я бегал chkdsk /r C:при загрузке, и это заняло около 1 часа. Проблем не найдено.
Мехпер С. Палавузлар
0

Я только что столкнулся с этим самым сообщением. этим утром. Java уже некоторое время пытается обновить себя, поэтому я изменил настройки уведомлений на «не уведомлять» и сразу же получил сообщение о том, что мне пришлось перезапустить процессор, чтобы отключить управление. Я вошел и сбросил уровень уведомлений, и проблема была решена. надеюсь, это поможет

user338543
источник
-1

Выиграй 10, используя Malwarebytes. Вредоносное ПО, по-видимому, отключало UAC при запуске. Перестал загружать его при запуске, и проблема, похоже, решена. Затем настроил запуск, чтобы задержать установку Malwarebytes, и она, похоже, заработала.

Maleware может Байт UAC
источник
Не откладывает ли задержка запуска программного обеспечения для обнаружения вредоносного ПО шансы того, что настоящее вредоносное ПО может скрыться?
Арджан
Вопрос явно касается Windows 7, поэтому я не уверен, почему вы обращаетесь к Windows 10. Кроме того, не ясно, что ваше предложение фактически решает проблему, а не просто скрывает ее.
Дэвид Ричерби