UAC bị tắt mỗi ngày một lần trên Windows 7


10

Tôi có một vấn đề lạ trên máy tính xách tay HP của tôi. Điều này bắt đầu xảy ra gần đây. Bất cứ khi nào tôi khởi động máy, Windows 7 Action Center sẽ hiển thị cảnh báo sau:

Bạn cần khởi động lại máy tính để tắt UAC.

Trên thực tế, điều này không xảy ra nếu nó xảy ra một lần vào một ngày cụ thể. Ví dụ, khi tôi khởi động máy vào buổi sáng, nó sẽ hiển thị; nhưng nó không bao giờ xuất hiện trong lần khởi động lại tiếp theo trong ngày hôm đó. Vào ngày hôm sau, điều tương tự lại xảy ra.

Tôi không bao giờ vô hiệu hóa UAC, nhưng rõ ràng một số rootkit hoặc virus gây ra điều này. Ngay khi nhận được cảnh báo này, tôi hướng đến cài đặt UAC và bật lại UAC để loại bỏ cảnh báo này. Đây là một tình huống khó chịu vì tôi không thể khắc phục nó.

Đầu tiên, tôi đã thực hiện quét toàn bộ trên máy tính để tìm bất kỳ hoạt động virus và phần mềm độc hại / rootkit có thể xảy ra nào, nhưng TrendMicro OfficeScan nói rằng không tìm thấy virus. Tôi đã đến Điểm khôi phục cũ bằng Windows System Restore, nhưng vấn đề không được giải quyết.

Những gì tôi đã thử cho đến nay (không thể tìm thấy rootkit):

  • OfficeMcanro OfficeMcan
  • TRÁI CÂY
  • Malwarebytes Anti-Malware
  • Nhận thức quảng cáo
  • Vi rút Vipre
  • GMER
  • TDSSKiller (Phòng thí nghiệm của Kaspersky)
  • HiJack This
  • RegRun
  • UnHackMe
  • SuperAntiSpyware Portable
  • Dao cạo Tizer Rootkit ( * )
  • Sophos Anti-Rootkit
  • Gián điệp 4
  • ComboFix

Không có hoạt động lạ nào khác trên máy. Tất cả mọi thứ hoạt động tốt, ngoại trừ sự cố kỳ lạ này.

Cái gì có thể là tên của rootkit phiền phức này? Làm thế nào tôi có thể phát hiện và loại bỏ nó?


EDIT: Dưới đây là tệp nhật ký được tạo bởi Hijack This:

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 13:07:04, on 17.01.2011
Platform: Windows 7  (WinNT 6.00.3504)
MSIE: Internet Explorer v8.00 (8.00.7600.16700)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskhost.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\CheckPoint\SecuRemote\bin\SR_GUI.Exe
C:\Windows\System32\igfxtray.exe
C:\Windows\System32\hkcmd.exe
C:\Windows\system32\igfxsrvc.exe
C:\Windows\System32\igfxpers.exe
C:\Program Files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\QLBCTRL.exe
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\VolCtrl.exe
C:\Program Files\LightningFAX\LFclient\lfsndmng.exe
C:\Program Files\Common Files\Java\Java Update\jusched.exe
C:\Program Files\Microsoft Office Communicator\communicator.exe
C:\Program Files\Iron Mountain\Connected BackupPC\Agent.exe
C:\Program Files\Trend Micro\OfficeScan Client\PccNTMon.exe
C:\Program Files\Microsoft LifeCam\LifeExp.exe
C:\Program Files\Hewlett-Packard\Shared\HpqToaster.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\mimio\mimio Studio\system\aps_tablet\atwtusb.exe
C:\Program Files\Microsoft Office\Office12\OUTLOOK.EXE
C:\Program Files\Babylon\Babylon-Pro\Babylon.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Users\userx\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://www.yaysat.com.tr/proxy/proxy.pac
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Babylon IE plugin - {9CFACCB6-2F3F-4177-94EA-0D2B72D384C1} - C:\Program Files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [IgfxTray] C:\Windows\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\Windows\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\Windows\system32\igfxpers.exe
O4 - HKLM\..\Run: [hpWirelessAssistant] C:\Program Files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [QlbCtrl.exe] C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [lfsndmng] C:\Program Files\LightningFAX\LFclient\LFSNDMNG.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Common Files\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [Communicator] "C:\Program Files\Microsoft Office Communicator\communicator.exe" /fromrunkey
O4 - HKLM\..\Run: [AgentUiRunKey] "C:\Program Files\Iron Mountain\Connected BackupPC\Agent.exe" -ni -sss -e http://localhost:16386/
O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\Program Files\Trend Micro\OfficeScan Client\pccntmon.exe" -HideWindow
O4 - HKLM\..\Run: [Babylon Client] C:\Program Files\Babylon\Babylon-Pro\Babylon.exe -AutoStart
O4 - HKLM\..\Run: [LifeCam] "C:\Program Files\Microsoft LifeCam\LifeExp.exe"
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - Global Startup: mimio Studio.lnk = C:\Program Files\mimio\mimio Studio\mimiosys.exe
O8 - Extra context menu item: Microsoft Excel'e &Ver - res://C:\PROGRA~1\MICROS~1\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Translate this web page with Babylon - res://C:\Program Files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll/ActionTU.htm
O8 - Extra context menu item: Translate with Babylon - res://C:\Program Files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll/Action.htm
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\Office12\REFIEBAR.DLL
O9 - Extra button: Translate this web page with Babylon - {F72841F0-4EF1-4df5-BCE5-B3AC8ACF5478} - C:\Program Files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll
O9 - Extra 'Tools' menuitem: Translate this web page with Babylon - {F72841F0-4EF1-4df5-BCE5-B3AC8ACF5478} - C:\Program Files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll
O16 - DPF: {00134F72-5284-44F7-95A8-52A619F70751} (ObjWinNTCheck Class) - https://172.20.12.103:4343/officescan/console/html/ClientInstall/WinNTChk.cab
O16 - DPF: {08D75BC1-D2B5-11D1-88FC-0080C859833B} (OfficeScan Corp Edition Web-Deployment SetupCtrl Class) - https://172.20.12.103:4343/officescan/console/html/ClientInstall/setup.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = yaysat.com
O17 - HKLM\Software\..\Telephony: DomainName = yaysat.com
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = yaysat.com
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = yaysat.com
O18 - Protocol: qcom - {B8DBD265-42C3-43E6-B439-E968C71984C6} - C:\Program Files\Common Files\Quest Shared\CodeXpert\qcom.dll
O22 - SharedTaskScheduler: FencesShellExt - {1984DD45-52CF-49cd-AB77-18F378FEA264} - C:\Program Files\Stardock\Fences\FencesMenu.dll
O23 - Service: Andrea ADI Filters Service (AEADIFilters) - Andrea Electronics Corporation - C:\Windows\system32\AEADISRV.EXE
O23 - Service: AgentService - Iron Mountain Incorporated - C:\Program Files\Iron Mountain\Connected BackupPC\AgentService.exe
O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - LSI Corporation - C:\Program Files\LSI SoftModem\agrsmsvc.exe
O23 - Service: BMFMySQL - Unknown owner - C:\Program Files\Quest Software\Benchmark Factory for Databases\Repository\MySQL\bin\mysqld-max-nt.exe
O23 - Service: Com4QLBEx - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\Com4QLBEx.exe
O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
O23 - Service: OfficeScanNT RealTime Scan (ntrtscan) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client\ntrtscan.exe
O23 - Service: SMS Task Sequence Agent (smstsmgr) - Unknown owner - C:\Windows\system32\CCM\TSManager.exe
O23 - Service: Check Point VPN-1 Securemote service (SR_Service) - Check Point Software Technologies - C:\Program Files\CheckPoint\SecuRemote\bin\SR_Service.exe
O23 - Service: Check Point VPN-1 Securemote watchdog (SR_Watchdog) - Check Point Software Technologies - C:\Program Files\CheckPoint\SecuRemote\bin\SR_Watchdog.exe
O23 - Service: Trend Micro Unauthorized Change Prevention Service (TMBMServer) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client\..\BM\TMBMSRV.exe
O23 - Service: OfficeScan NT Listener (tmlisten) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client\tmlisten.exe
O23 - Service: OfficeScan NT Proxy Service (TmProxy) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client\TmProxy.exe
O23 - Service: VNC Server Version 4 (WinVNC4) - RealVNC Ltd. - C:\Program Files\RealVNC\VNC4\WinVNC4.exe

--
End of file - 8204 bytes

Như được đề xuất trong câu hỏi tương tự này , tôi đã chạy quét toàn bộ (+ quét thời gian khởi động) với RegRun và UnHackMe, nhưng họ cũng không tìm thấy gì. Tôi đã kiểm tra cẩn thận tất cả các mục trong Trình xem sự kiện, nhưng không có gì sai.

Bây giờ tôi biết rằng có một trojan ẩn (rootkit) trên máy của tôi mà dường như ngụy trang khá thành công. Lưu ý rằng tôi không có cơ hội xóa ổ cứng hoặc cài đặt lại hệ điều hành vì đây là máy làm việc tuân theo các chính sách CNTT nhất định trên miền công ty.

Bất chấp mọi nỗ lực của tôi, vấn đề vẫn còn. Tôi thực sự cần một phương pháp điểm hoặc loại bỏ rootkit pukka để loại bỏ bất cứ thứ gì. Tôi không muốn cài đặt hệ thống, tức là vô hiệu hóa tự động chạy từng cái một, làm rối sổ đăng ký, v.v.


EDIT 2: Tôi đã tìm thấy một bài viết liên quan chặt chẽ đến rắc rối của tôi:

Phần mềm độc hại có thể tắt UAC trong Windows 7; Thiết kế của nhà cung cấp, Microsoft nói . Cảm ơn đặc biệt (!) Cho Microsoft.

Trong bài viết, một mã VBScript được đưa ra để vô hiệu hóa UAC tự động:

'// 1337H4x Written by _____________ 
'//                    (12 year old)

Set WshShell = WScript.CreateObject("WScript.Shell")

'// Toggle Start menu
WshShell.SendKeys("^{ESC}")
WScript.Sleep(500)

'// Search for UAC applet
WshShell.SendKeys("change uac")
WScript.Sleep(2000)

'// Open the applet (assuming second result)
WshShell.SendKeys("{DOWN}")
WshShell.SendKeys("{DOWN}")
WshShell.SendKeys("{ENTER}")
WScript.Sleep(2000)

'// Set UAC level to lowest (assuming out-of-box Default setting)
WshShell.SendKeys("{TAB}")
WshShell.SendKeys("{DOWN}")
WshShell.SendKeys("{DOWN}")
WshShell.SendKeys("{DOWN}")

'// Save our changes
WshShell.SendKeys("{TAB}")
WshShell.SendKeys("{ENTER}")

'// TODO: Add code to handle installation of rebound
'// process to continue exploitation, i.e. place something
'// evil in Startup folder

'// Reboot the system
'// WshShell.Run "shutdown /r /f"

Thật không may, điều đó không cho tôi biết làm thế nào tôi có thể thoát khỏi mã độc này đang chạy trên hệ thống của mình.


EDIT 3: Tối qua, tôi để laptop mở vì một tác vụ SQL đang chạy. Khi tôi đến vào buổi sáng, tôi thấy rằng UAC đã bị tắt. Vì vậy, tôi nghi ngờ rằng vấn đề không liên quan đến khởi nghiệp. Điều này xảy ra một lần một ngày chắc chắn cho dù máy có được khởi động lại hay không.


EDIT 4: Hôm nay, tôi ngay lập tức bắt đầu "Process Monitor" ngay khi Windows bắt đầu hy vọng bắt được kẻ có tội (nhờ @harrymc cho ý tưởng này). Lúc 9:17, thanh trượt UAC bị trượt xuống phía dưới (Trung tâm hành động Windows 7 đưa ra cảnh báo). Tôi đã điều tra tất cả các hành động đăng ký từ 9:16 đến 9:18. Tôi đã lưu tệp nhật ký Trình theo dõi tiến trình (70 MB chỉ chứa khoảng thời gian 2 phút đó). Có rất nhiều mục EnableLUA = 0(và khác). Tôi đang đăng ảnh chụp màn hình của các cửa sổ thuộc tính của 4 đầu tiên bên dưới. Nó nói svchost.exeđang làm điều này, và đưa ra một số số luồng và số PID. Tôi không biết những gì tôi nên suy luận về họ:

nhập mô tả hình ảnh ở đây nhập mô tả hình ảnh ở đây nhập mô tả hình ảnh ở đây nhập mô tả hình ảnh ở đây


1
Là một điều bổ sung để điều tra, đây có thể là một cài đặt đang được Chính sách nhóm áp dụng từ bộ điều khiển miền của bạn. Có thể là họ (vì một số lý do) đã đặt nó để thiết lập lại UAC hàng ngày. Tất nhiên, nếu họ cho phép nó sử dụng các chính sách nhóm và phần mềm độc hại đang vô hiệu hóa nó, thì điều đó thật tệ. Tôi có một cuộc trò chuyện với các nhân viên IT của bạn, đó là nếu họ là kiểu nói nhiều.
Mokubai

@Mokubai: Cảm ơn lời đề nghị của bạn. Tôi đã nói chuyện với các đồng nghiệp khác trong công ty, và không ai trong số họ gặp vấn đề như vậy. Tôi chắc chắn rằng CNTT của chúng tôi đã không vô hiệu hóa UAC, vì chúng rất nhạy cảm trong các vấn đề bảo mật. Điều thú vị là, làm thế nào mà rootkit (có thể) đó có thể đánh lừa được phần mềm chống vi-rút hoặc các biện pháp bảo mật khác được đặt ra bởi CNTT?
Mehper C. Palavuzlar

Về cách bạn có thể bị nhiễm trùng này ngay từ đầu, đơn giản nhất là bất kỳ sự bảo vệ phần mềm độc hại nào mà bạn có thể có phản ứng tự nhiên, mặc dù phát hiện chủ động là không đáng tin cậy. Ai đó mơ ước một cách để xâm nhập vào một hệ thống, sau đó một công ty phát hiện ra nó và viết ra một cách để phát hiện hoặc loại bỏ nó, hành động và phản ứng. Nếu bạn thực sự bị nhiễm trùng thì đó rất có thể là một chủng hoàn toàn mới chưa được các công ty AV nhìn thấy. Về cách bạn có được nó, có quá nhiều lỗ hổng bảo mật ở những nơi bạn không mong muốn đưa ra bất kỳ ý tưởng nào ...
Mokubai

Hijack This là sạch sẽ. Bạn có thể muốn xem xét để có được một filewall. Vui lòng thử Autorun và Process Monitor theo mô tả của Harry.
Tamara Wijsman

Bạn đã thử tìm kiếm trong Trình lập lịch tác vụ chưa? (Bắt đầu -> Bảng điều khiển -> Công cụ quản trị -> Trình lập lịch tác vụ) Nhấp vào "Thư viện trình lập lịch tác vụ" để xem Nhiệm vụ được thiết lập bởi những thứ như Trình cập nhật Google. Có thể thiết lập lại UAC hàng ngày của bạn ở đâu đó vì các tác vụ có thể được thiết lập tại một thời điểm cụ thể và sau đó được đặt để chạy X phút sau khi đăng nhập nếu thời gian đó đã trôi qua ... Tôi phải nói rằng, nó có thể là một nhiệm vụ dài và khó khăn tìm kiếm thông qua hàng ngàn mặt hàng trong đó.
Mokubai

Câu trả lời:


6

Trước tiên, bạn nên kiểm tra xem dịch vụ Trung tâm bảo mật có thể khởi động hay không và nếu không - một trong những phụ thuộc của nó là đáng trách. Cũng tìm thông báo lỗi trong Trình xem sự kiện.

Nếu bạn có cảm giác máy tính của mình bị nhiễm, các giải pháp khả thi có thể là:

  1. Cách sửa chữa tệp hệ thống Windows 7 bằng Trình kiểm tra tệp hệ thống .
  2. Startup Repair: Cách dễ dàng sửa chữa các sự cố khởi động Windows 7 bằng cách sử dụng Startup Repair .
  3. Phương án cuối cùng là định dạng lại đĩa cứng và cài đặt lại Windows.
    Trong trường hợp của bạn, điều này có thể áp dụng: Thực hiện Khôi phục hệ thống HP trong Windows Vista .

Chỉ cần nhận xét rằng Windows hoàn toàn có khả năng tự hủy mà không cần bất kỳ sự trợ giúp nào, đó là lý do tại sao Windows Update nguy hiểm hơn bất kỳ vi-rút nào. Startup Repair có thể khắc phục sự cố trong trường hợp này bằng cách khởi động lại Windows mà không yêu cầu cài đặt lại ứng dụng.

Nếu bạn thực sự nghĩ rằng vấn đề là do virus và bạn muốn biết thêm về những gì đang xảy ra trên máy tính của mình, bạn sẽ cần tìm hiểu hai điều:

  1. Những thay đổi đang được thực hiện cho hệ thống của bạn,
  2. Chương trình này làm gì thay đổi.

Đối với lần đầu tiên, nếu đó là một thay đổi sổ đăng ký, thì khóa có lẽ là HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System, mục EnableLUA , có giá trị là 0 cho Vô hiệu hóa và 1 cho Kích hoạt.

Khi bạn đã xác định được sự thay đổi đang được thực hiện đối với hệ thống của mình, bạn có thể sử dụng Trình theo dõi tiến trình và tùy chọn Bật nhật ký khởi động (xem trợ giúp) để ghi nhật ký tất cả các quyền truy cập vào khóa.

Trước tiên tôi sẽ khởi động ở chế độ An toàn và xem điều này có xảy ra không. Nếu không, thì một vectơ tấn công khác là sử dụng Autorun để vô hiệu hóa các mục khởi động trong tìm kiếm nhị phân cho sản phẩm (vì đây có thể là một sản phẩm hợp pháp gây ra sự cố, thay vì vi-rút).


Cảm ơn lời đề nghị của bạn. Tôi đã thực hiện sfc /scannowvà nó nói Windows Resource Protection Did Not Find Any Integrity Violations. Bước 2 là rủi ro đối với tôi vì đây là một công ty máy tính xách tay tuân theo các chính sách CNTT. Nếu tôi bằng cách nào đó làm rối quá trình khởi động, tôi sẽ gặp nhiều rắc rối hơn. Bước 3 là ra khỏi câu hỏi cho tôi.
Mehper C. Palavuzlar

Vấn đề chính sách CNTT hiểu. Bất kỳ kết quả từ đoạn 1 của tôi?
harrymc

Trung tâm bảo mật khởi động mà không gặp vấn đề gì ở Chế độ bình thường. Tôi đã kiểm tra cẩn thận tất cả các mục trong Trình xem sự kiện (tất cả các ngày khả dụng cho đến bây giờ), nhưng không có gì sai, như tôi đã nêu trong câu hỏi của mình. Tôi cũng đã kiểm tra riêng tất cả các dịch vụ đang chạy, quy trình khởi động, mục đăng ký và các tập tin bằng cách sử dụng các chương trình chống vi-rút và phần mềm chống virus khác nhau.
Mehper C. Palavuzlar

OK, tôi đã thêm thông tin. Trong mọi trường hợp, nếu bạn nghĩ rằng máy tính của bạn bị nhiễm, tôi chắc chắn rằng các chính sách CNTT yêu cầu bạn phải thông báo cho IT trước khi bạn lây nhiễm toàn bộ công ty.
harrymc

1
Yup, một cái gì đó đang tắt UAC. (1) Bạn có nhận được lời nhắc về độ cao khi chạy regedit không? Nếu bạn không thì UAC đã tắt sau khi khởi động. (2) Tình huống sau khi khởi động ở chế độ An toàn là gì? (3) Chỉ cần lưu ý rằng thông báo Trung tâm hành động có thể được hiển thị do có sự thay đổi trong ConsentPromptBehaviorAdmin và không chỉ cho EnableLUA.
harrymc

5

Trong trường hợp của tôi, chính sách tên miền đã được áp dụng một lần mỗi ngày. Vấn đề tương tự. Chẩn đoán dễ dàng hơn vì tắt UAC chỉ xảy ra khi đăng nhập vào miền hoặc kết nối qua VPN. Do đó, người ta đã phát hiện ra rằng chính sách miền bao gồm một số tập lệnh để tắt UAC. Tôi đã liên lạc với quản trị viên hệ thống của tôi và họ đã xác nhận điều đó. Vì vậy, bạn nên tham khảo ý kiến ​​tốt hơn với quản trị viên tên miền hoặc xác thực hồ sơ chính sách và tập lệnh cục bộ nếu bạn không ở trong miền.


2

Tùy chọn 1: Vô hiệu hóa tất cả các chương trình trong Khởi động. (Bắt đầu> Chạy> Msconfig. Tắt mọi thứ khi khởi động).

Tùy chọn 2: Cài đặt phiên bản AVAST home và lên lịch quét thời gian khởi động. Tốt hơn hết, hãy ngắt kết nối đĩa cứng khỏi máy của bạn và kết nối nó với ổ đĩa khác và quét nó từ đó bằng AVAST.

Tùy chọn 3. Một tùy chọn khác là chạy Hijack This. Tạo báo cáo và chia sẻ nó ở đây để phân tích. http://free.antachus.com/hijackthis/


1
Mục khởi động Yor có vẻ tốt. Tất cả đều giống nhau, vô hiệu hóa các mục khởi động và kiểm tra lại. Tôi thực sự khuyên bạn nên cài đặt Avast và lên lịch quét thời gian khởi động, tốt nhất là sau khi kết nối đĩa cứng với máy khác.
bulkalex

Có một thứ khác bạn có thể thử: tạo một người dùng không phải quản trị viên và đăng nhập như người dùng đó. Nếu một chương trình đang cố chạy thì bạn sẽ nhận được lời nhắc UAC.
bulkalex

Đây là một PC hoạt động trên miền công ty, vì vậy tôi không được phép tạo người dùng mới. BTW, tôi cũng đã thử quét thời gian khởi động Avast, nhưng nó không tìm thấy bất kỳ virus nào.
Mehper C. Palavuzlar

1

Vui lòng cài đặt Microsoft Security Essentials và quét toàn bộ hệ thống. Vì MSE sử dụng API và móc nối của hệ điều hành, nên có thể xác định được phần mềm độc hại, nếu đó thực sự là một loại phần mềm độc hại. Ngoài ra, nếu MSE không thể thực sự cài đặt hoặc chạy, thì chúng tôi biết chắc chắn hệ thống bị xâm phạm.

Vì, bạn đã chạy rất nhiều chương trình AV và Anti-Malware để kiểm tra hệ thống của mình, tôi rất nghi ngờ rằng máy tính của bạn đã bị xâm nhập. Thay vì cài đặt các chương trình AV và Anti-Malware và sau đó thực hiện quét khởi động, hãy sử dụng một máy tính khác để quét ổ đĩa. Gắn ổ đĩa vào một hệ thống khác như một nô lệ và sau đó chạy quét. Bạn nên thực hiện quét khởi động bằng cách khởi động CD hoặc DVD chứ không phải từ chính ổ cứng vì điều đó thực sự ngăn hệ điều hành khởi động và root-kit chạy trong quá trình quét thực tế.

Thành thật mà nói, nếu bạn chắc chắn rằng hệ thống của bạn đã được bao gồm bởi một bộ công cụ gốc, thì hãy khởi động ổ cứng và bắt đầu lại từ đầu. Yêu cầu bộ phận CNTT của bạn làm điều này. Đây là cách chứng minh ngu ngốc duy nhất để chắc chắn rằng hệ thống của bạn sạch sẽ.


Đầu tiên, cảm ơn lời đề nghị của bạn. Loại bỏ ổ cứng không phải là một lựa chọn (xem câu hỏi tại sao). Tôi nghĩ rằng MSE đáng để thử. Ngày mai tôi sẽ kiểm tra và chia sẻ kết quả. Quét khởi động bằng cách khởi động từ đĩa quang có vẻ khá hợp lý với tôi. Bạn có thể giới thiệu cho tôi một liên kết đến một số tập tin hình ảnh để ghi vào đĩa không? Một lần nữa, việc lấy ổ cứng là giải pháp cuối cùng đối với tôi. Tôi cần phải giải quyết vụ việc mà không làm điều đó. Tôi biết đó là một giải pháp tuyệt đối, nhưng hãy xem chúng ta có thể làm gì.
Mehper C. Palavuzlar

Tôi đã làm một tìm kiếm nhanh chóng. Đây là một liên kết có thông tin về quét vi rút có thể khởi động từ các nhà cung cấp khác nhau. techmixer.com/free-bootable-antillin-resTHER-cds-doad-list Hãy thử chúng.
Metril

MSE không tìm thấy gì. Bây giờ tôi sẽ thử một đĩa CD cứu hộ có thể khởi động.
Mehper C. Palavuzlar

0

Tôi khuyên bạn nên tạo một tài khoản người dùng khác trên máy tính của mình. Đừng biến tài khoản này thành quản trị viên; giữ nó như một người dùng tiêu chuẩn Sử dụng tài khoản mới này thay vì tài khoản quản trị viên của bạn. Nếu bạn cần quyền quản trị, UAC sẽ luôn nhắc bạn về thông tin đăng nhập của quản trị viên. Bằng cách đó, phần mềm độc hại sẽ không thể vô hiệu hóa UAC và chạy các nội dung xấu ...

Cố gắng vô hiệu hóa UAC mà không có quyền quản trị

Điều này sẽ không loại bỏ được virus, nhưng ít nhất nó sẽ ngăn chặn nó trở nên tồi tệ hơn. Sau đó, khi phần mềm chống vi-rút của bạn có các định nghĩa mới để phát hiện nó, nó sẽ có thể loại bỏ nó.


Vấn đề là, đây là một PC hoạt động trên miền công ty và tôi không có quyền tạo người dùng mới.
Mehper C. Palavuzlar

0

Trước khi bạn chuyển sang các biện pháp phức tạp hơn, vui lòng cài đặt AVG Anti-Virus Free Edition 2011 . Hãy để nó thực hiện quét toàn bộ máy tính. Gần đây, tôi đã gặp một vấn đề tương tự, và không có chương trình chống vi-rút nào khác, nhưng chương trình đã nói ở trên có thể khắc phục bằng các biện pháp Chống Rootkit.


Tôi sẽ thử nó ngay hôm nay và cho bạn biết.
Mehper C. Palavuzlar

Không tìm thấy gì ...
Mehper C. Palavuzlar

0

Đây là một vấn đề khá thú vị. Tôi phải nói rằng điều này sẽ được gây ra bởi một hoặc hai vấn đề khác nhau:

1) Hầu hết mọi người đã nghi ngờ vi-rút và đúng như vậy, vi-rút thích vào cửa sổ và sửa đổi cài đặt.

Bạn có một số lượng quét toàn diện đã chạy. Bất kỳ virus nào cũng bị bắt bởi những cái đã chạy, vì vậy tôi tin rằng đó là một cửa sổ xuất hiện.

2) Windows được nâng cấp. Tôi sẽ giới thiệu bạn chạy kiểm tra đĩa trên máy tính của bạn. Hai phương pháp khác nhau cho kết quả tương tự.

- Mở máy tính của tôi, rồi bấm chuột phải vào ổ cứng mà cửa sổ tải ra. Tiếp theo, chọn tab công cụ và nhấp vào nút có nội dung Kiểm tra đĩa [hoặc một cái gì đó tương tự]. Bây giờ đánh dấu vào hai hộp tùy chọn nếu chúng chưa có. Máy tính của bạn sẽ yêu cầu bạn khởi động lại máy tính, nếu không, bạn không đánh dấu vào các hộp tùy chọn. Hãy để quét đó chạy. Nó sẽ dọn sạch mọi phần mềm trong cài đặt Windows của bạn.

Bây giờ, nếu quét không thành công, hãy chèn đĩa cài đặt hệ điều hành của bạn. Nếu sử dụng XP, nhấn R khi màn hình xanh xuất hiện hỏi bạn muốn làm nhiệm vụ gì. Bây giờ, chọn ổ cứng hệ điều hành của bạn đang bật và nhấn enter sau khi nhập số thích hợp. Sau đó, nhập mật khẩu cho tài khoản Quản trị viên [thường thì đây là trống]. Bây giờ, nhập vào bảng điều khiển lệnh: chkdsk / r

điều này sẽ thực hiện quét tương tự, tuy nhiên nó có thể khắc phục nhiều sự cố hơn vì quá trình quét đang được chạy khỏi đĩa cài đặt.

nếu chạy quét cho máy VISTA hoặc SEVEN, hãy chèn đĩa và chọn tùy chọn sửa chữa. Sau đó, nhấn hủy và nó sẽ hiện ra một cửa sổ mới, trong đó bạn có thể thực hiện nhiều thao tác hơn. Tùy chọn cuối cùng sẽ nói "Cửa sổ giao diện điều khiển" hoặc một cái gì đó thuộc loại này.

nhập vào bảng điều khiển lệnh "chkdsk / r C:"

Hi vọng điêu nay co ich.


Tôi đang chạy Windows 7 (vui lòng xem các thẻ câu hỏi). Tôi đã chạy chkdsk /r C:lúc khởi động và mất khoảng 1 giờ. Không có vấn đề được tìm thấy.
Mehper C. Palavuzlar

0

Tôi vừa gặp phải thông điệp này. sáng nay. Java đã cố gắng tự cập nhật một lúc rồi nên tôi đã thay đổi cài đặt thông báo thành "không thông báo" và ngay lập tức nhận được thông báo rằng tôi phải khởi động lại cpu của mình để tắt điều khiển. Tôi đã đi vào và thiết lập lại mức thông báo và vấn đề đã được giải quyết. Mong rằng sẽ giúp


-1

Kiếm được 10 bằng Malwarebytes. Phần mềm độc hại rõ ràng đã tắt UAC khi khởi động. Đã dừng tải nó khi khởi động và vấn đề xuất hiện để giải quyết. Sau đó điều chỉnh khởi động để trì hoãn thiết lập Malwarebytes và nó dường như hoạt động.


Sẽ không trì hoãn việc khởi động phần mềm phát hiện phần mềm độc hại làm tăng cơ hội phần mềm độc hại thực sự có thể ẩn mình?
Arjan

Câu hỏi hỏi rõ ràng về Windows 7, vì vậy tôi không chắc tại sao bạn lại giải quyết Windows 10. Ngoài ra, không rõ ràng rằng đề xuất của bạn thực sự giải quyết vấn đề, thay vì chỉ che giấu nó.
David Richerby
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.