UAC відключається один раз на день у Windows 7

У мене на ноутбуці HP дивна проблема. Це почало відбуватися нещодавно. Щоразу, коли я запускаю свою машину, Центр дій Windows 7 видає таке попередження:

Щоб вимкнути UAC, перезавантажте комп'ютер.

Власне, цього не відбувається, якщо це сталося один раз конкретного дня. Наприклад, коли я запускаю машину вранці, вона з’являється; але він ніколи не з’являється при наступних перезавантаженнях протягом цього дня. Наступного дня те ж саме відбувається знову.

Я ніколи не відключаю UAC, але, очевидно, якийсь руткіт або вірус викликає це. Як тільки я отримаю це попередження, я переходжу до налаштувань UAC та повторно включаю UAC для відхилення цього попередження. Це набридлива ситуація, оскільки я не можу це виправити.

По-перше, я провів повне сканування на комп’ютері на предмет можливої ​​активності на віруси та зловмисне програмне забезпечення / руткіт, але TrendMicro OfficeScan сказав, що вірусів не знайдено. Я перейшов до старої точки відновлення за допомогою відновлення системи Windows, але проблема не була вирішена.

Що я намагався до цього часу (який не міг знайти руткіт):

• Антивірус TrendMicro OfficeScan
• AVAST
• Анти-зловмисне програмне забезпечення Malwarebytes
• Ad-Aware
• Антивірус Vipre
• GMER
• TDSSKiller (Лабораторії Касперського)
• HiJackThis
• RegRuns
• UnHackMe
• SuperAntiSpyware Portable
• Бритва Tizer Rootkit ( * )
• Sophos Anti-Rootkit
• SpyHunter 4
• ComboFix

Інших дивних дій на машині немає. Все працює добре, крім цього химерного випадку.

Як може бути назва цього докучливого руткіта? Як я можу його виявити та видалити?

EDIT: Нижче наведено файл журналу, згенерований HijackThis:

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 13:07:04, on 17.01.2011
Platform: Windows 7  (WinNT 6.00.3504)
MSIE: Internet Explorer v8.00 (8.00.7600.16700)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskhost.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\CheckPoint\SecuRemote\bin\SR_GUI.Exe
C:\Windows\System32\igfxtray.exe
C:\Windows\System32\hkcmd.exe
C:\Windows\system32\igfxsrvc.exe
C:\Windows\System32\igfxpers.exe
C:\Program Files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\QLBCTRL.exe
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\VolCtrl.exe
C:\Program Files\LightningFAX\LFclient\lfsndmng.exe
C:\Program Files\Common Files\Java\Java Update\jusched.exe
C:\Program Files\Microsoft Office Communicator\communicator.exe
C:\Program Files\Iron Mountain\Connected BackupPC\Agent.exe
C:\Program Files\Trend Micro\OfficeScan Client\PccNTMon.exe
C:\Program Files\Microsoft LifeCam\LifeExp.exe
C:\Program Files\Hewlett-Packard\Shared\HpqToaster.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\mimio\mimio Studio\system\aps_tablet\atwtusb.exe
C:\Program Files\Microsoft Office\Office12\OUTLOOK.EXE
C:\Program Files\Babylon\Babylon-Pro\Babylon.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Users\userx\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://www.yaysat.com.tr/proxy/proxy.pac
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Babylon IE plugin - {9CFACCB6-2F3F-4177-94EA-0D2B72D384C1} - C:\Program Files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [IgfxTray] C:\Windows\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\Windows\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\Windows\system32\igfxpers.exe
O4 - HKLM\..\Run: [hpWirelessAssistant] C:\Program Files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [QlbCtrl.exe] C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [lfsndmng] C:\Program Files\LightningFAX\LFclient\LFSNDMNG.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Common Files\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [Communicator] "C:\Program Files\Microsoft Office Communicator\communicator.exe" /fromrunkey
O4 - HKLM\..\Run: [AgentUiRunKey] "C:\Program Files\Iron Mountain\Connected BackupPC\Agent.exe" -ni -sss -e http://localhost:16386/
O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\Program Files\Trend Micro\OfficeScan Client\pccntmon.exe" -HideWindow
O4 - HKLM\..\Run: [Babylon Client] C:\Program Files\Babylon\Babylon-Pro\Babylon.exe -AutoStart
O4 - HKLM\..\Run: [LifeCam] "C:\Program Files\Microsoft LifeCam\LifeExp.exe"
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - Global Startup: mimio Studio.lnk = C:\Program Files\mimio\mimio Studio\mimiosys.exe
O8 - Extra context menu item: Microsoft Excel'e &Ver - res://C:\PROGRA~1\MICROS~1\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Translate this web page with Babylon - res://C:\Program Files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll/ActionTU.htm
O8 - Extra context menu item: Translate with Babylon - res://C:\Program Files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll/Action.htm
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\Office12\REFIEBAR.DLL
O9 - Extra button: Translate this web page with Babylon - {F72841F0-4EF1-4df5-BCE5-B3AC8ACF5478} - C:\Program Files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll
O9 - Extra 'Tools' menuitem: Translate this web page with Babylon - {F72841F0-4EF1-4df5-BCE5-B3AC8ACF5478} - C:\Program Files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll
O16 - DPF: {00134F72-5284-44F7-95A8-52A619F70751} (ObjWinNTCheck Class) - https://172.20.12.103:4343/officescan/console/html/ClientInstall/WinNTChk.cab
O16 - DPF: {08D75BC1-D2B5-11D1-88FC-0080C859833B} (OfficeScan Corp Edition Web-Deployment SetupCtrl Class) - https://172.20.12.103:4343/officescan/console/html/ClientInstall/setup.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = yaysat.com
O17 - HKLM\Software\..\Telephony: DomainName = yaysat.com
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = yaysat.com
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = yaysat.com
O18 - Protocol: qcom - {B8DBD265-42C3-43E6-B439-E968C71984C6} - C:\Program Files\Common Files\Quest Shared\CodeXpert\qcom.dll
O22 - SharedTaskScheduler: FencesShellExt - {1984DD45-52CF-49cd-AB77-18F378FEA264} - C:\Program Files\Stardock\Fences\FencesMenu.dll
O23 - Service: Andrea ADI Filters Service (AEADIFilters) - Andrea Electronics Corporation - C:\Windows\system32\AEADISRV.EXE
O23 - Service: AgentService - Iron Mountain Incorporated - C:\Program Files\Iron Mountain\Connected BackupPC\AgentService.exe
O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - LSI Corporation - C:\Program Files\LSI SoftModem\agrsmsvc.exe
O23 - Service: BMFMySQL - Unknown owner - C:\Program Files\Quest Software\Benchmark Factory for Databases\Repository\MySQL\bin\mysqld-max-nt.exe
O23 - Service: Com4QLBEx - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\Com4QLBEx.exe
O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
O23 - Service: OfficeScanNT RealTime Scan (ntrtscan) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client\ntrtscan.exe
O23 - Service: SMS Task Sequence Agent (smstsmgr) - Unknown owner - C:\Windows\system32\CCM\TSManager.exe
O23 - Service: Check Point VPN-1 Securemote service (SR_Service) - Check Point Software Technologies - C:\Program Files\CheckPoint\SecuRemote\bin\SR_Service.exe
O23 - Service: Check Point VPN-1 Securemote watchdog (SR_Watchdog) - Check Point Software Technologies - C:\Program Files\CheckPoint\SecuRemote\bin\SR_Watchdog.exe
O23 - Service: Trend Micro Unauthorized Change Prevention Service (TMBMServer) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client\..\BM\TMBMSRV.exe
O23 - Service: OfficeScan NT Listener (tmlisten) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client\tmlisten.exe
O23 - Service: OfficeScan NT Proxy Service (TmProxy) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client\TmProxy.exe
O23 - Service: VNC Server Version 4 (WinVNC4) - RealVNC Ltd. - C:\Program Files\RealVNC\VNC4\WinVNC4.exe

--
End of file - 8204 bytes

Як було запропоновано в цьому дуже подібному питанні , я запустив повне сканування (+ сканування часу завантаження) за допомогою RegRun та UnHackMe, але вони також нічого не знайшли. Я уважно вивчив усі записи у переглядачі подій, але в цьому немає нічого поганого.

Тепер я знаю, що на моїй машині є прихований троян (rootkit), який, схоже, маскує себе досить успішно. Зауважте, що я не маю шансу видалити жорсткий диск або перевстановити ОС, оскільки це робоча машина, яка піддається певним ІТ-політикам у домені компанії.

Незважаючи на всі мої спроби, проблема все ще залишається. Мені суворо потрібен точний метод або видалення rootkit pukka, щоб видалити що б там не було. Я не хочу мавповувати з налаштуваннями системи, тобто відключення автоматичних запусків один за одним, псування реєстру тощо.

EDIT 2: Я знайшов статтю, яка тісно пов'язана з моєю проблемою:

Зловмисне програмне забезпечення може вимкнути UAC у Windows 7; "За дизайном" говорить Microsoft . Особлива подяка (!) Microsoft.

У статті надається код VBScript для автоматичного відключення UAC:

'// 1337H4x Written by _____________ 
'//                    (12 year old)

Set WshShell = WScript.CreateObject("WScript.Shell")

'// Toggle Start menu
WshShell.SendKeys("^{ESC}")
WScript.Sleep(500)

'// Search for UAC applet
WshShell.SendKeys("change uac")
WScript.Sleep(2000)

'// Open the applet (assuming second result)
WshShell.SendKeys("{DOWN}")
WshShell.SendKeys("{DOWN}")
WshShell.SendKeys("{ENTER}")
WScript.Sleep(2000)

'// Set UAC level to lowest (assuming out-of-box Default setting)
WshShell.SendKeys("{TAB}")
WshShell.SendKeys("{DOWN}")
WshShell.SendKeys("{DOWN}")
WshShell.SendKeys("{DOWN}")

'// Save our changes
WshShell.SendKeys("{TAB}")
WshShell.SendKeys("{ENTER}")

'// TODO: Add code to handle installation of rebound
'// process to continue exploitation, i.e. place something
'// evil in Startup folder

'// Reboot the system
'// WshShell.Run "shutdown /r /f"

На жаль, це не говорить про те, як я можу позбутися цього шкідливого коду, що працює в моїй системі.

EDIT 3: Минулої ночі я залишив ноутбук відкритим через запущене завдання SQL. Коли я прийшов вранці, то побачив, що UAC вимкнено. Отже, я підозрюю, що проблема не пов’язана із запуском. Це відбувається раз на день точно, незалежно від того, перезавантажена машина.

EDIT 4: Сьогодні я одразу запустив "Монітор процесів", як тільки Windows почав сподіватися зловити винного (спасибі @harrymc за ідею). О 9:17 повзунок UAC був перенесений на дно (Центр дій Windows 7 дав попередження). Я досліджував усі дії з реєстру між 9:16 та 9:18. Я зберег файл журналу Process Monitor (70 МБ, що містить лише той 2-хвилинний інтервал). Є багато EnableLUA = 0(та інших) записів. Я розміщую скріншоти вікон властивостей перших 4 нижче. Він говорить, що svchost.exeце робить, і дає деякі нитки та номери PID. Я не знаю, що мені робити про них:

Спершу слід перевірити, чи може запуститися служба Центру безпеки, а якщо ні - у якій з винностей винна. Шукайте також повідомлення про помилки в Переглядачі подій.

Якщо ви відчуваєте, що ваш комп'ютер заражений, можливими рішеннями можуть бути:

1. Як відновити системні файли Windows 7 за допомогою перевірки системних файлів .
2. Ремонт при запуску: як легко усунути проблеми з завантаженням Windows 7 за допомогою ремонту при запуску .
3. Останнє рішення - переформатувати жорсткий диск та перевстановити Windows.
   У вашому випадку це може бути застосовано: Відновлення системи HP у Windows Vista .

Зауважу лише, що Windows цілком здатна знищити себе без сторонньої допомоги, саме тому Windows Update небезпечніше будь-якого вірусу. Ремонт при запуску може усунути проблему в цьому випадку шляхом повторної ініціалізації Windows, не вимагаючи перевстановлення програм.

Якщо ви дійсно думаєте, що проблема швидше у вірусі, і ви хочете дізнатися більше про те, що відбувається на вашому комп’ютері, вам потрібно буде з’ясувати дві речі:

1. Які зміни відбуваються у вашій системі,
2. Яка програма це змінює.

Для першого, якщо це зміна реєстру, то, ймовірно HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System, ключовим є елемент EnableLUA , значення якого 0 для відключення та 1 для включення.

Після того, як ви знайдете зміни, які робляться у вашій системі, ви можете використовувати Монітор процесів та його параметр Увімкнути журнал завантаження (див. Довідку) для реєстрації всіх доступу до ключа.

Я б спочатку завантажився в безпечному режимі і побачив, чи так це теж відбувається. Якщо ні, то інший вектор атаки полягає у використанні Autoruns для відключення елементів запуску в двійковому пошуку продукту (оскільки це може бути законним продуктом, що викликає проблему, а не вірусом).

У моєму випадку це була доменна політика, яка застосовувалася один раз на день. Та ж проблема. Діагностика була простішою, оскільки відключення UAC відбулося лише під час входу в домен або підключення через VPN. Таким чином було виявлено, що політика домену включає деякий сценарій, щоб вимкнути UAC. Я зв’язався зі своїм адміністратором системи, і вони підтвердили це. Тому вам краще проконсультуватися з адміністраторами домену або підтвердити локальну політику та сценарії профілю, якщо ви не в домені.

Варіант 1: Вимкнення всіх програм при запуску. (Пуск> Виконати> Msconfig. Вимкнути все під час запуску).

Варіант 2: Встановіть домашнє видання AVAST і заплануйте сканування часу завантаження. А ще краще від'єднайте жорсткий диск від машини та підключіть його до іншого та скануйте звідти за допомогою AVAST.

Варіант 3. Інший варіант - запустити HijackThis. Створіть звіт і поділіться ним для аналізу. http://free.antivirus.com/hijackthis/

Установіть Microsoft Security Essentials та проведіть повне сканування системи. Оскільки MSE використовує API та гачки ОС, можливо, він зможе знайти зловмисне програмне забезпечення, якщо це насправді якесь зловмисне програмне забезпечення. Крім того, якщо MSE не в змозі реально встановити або запустити, ми точно знаємо, що система порушена.

Оскільки ви запустили так багато програм AV та Anti-Malware для перевірки вашої системи, я дуже сумніваюся, що ваш комп'ютер був порушений. Замість того, щоб встановлювати програми AV та Anti-Malware, а потім виконувати сканування завантаження, використовуйте інший комп'ютер для сканування накопичувача. Приєднайте привід до іншої системи як підлеглий, а потім запустіть сканування. Ви повинні виконати сканування завантаження, завантажуючи компакт-диск чи DVD-диск, а не з самого жорсткого диска, оскільки це справді заважає операційній системі коли-небудь запускатися, а root-kit не працювати під час фактичного сканування.

Чесно кажучи, якщо ви впевнені, що у вашій системі є кореневий комплект, запускайте жорсткий диск і почніть з нуля. Попросіть ваш ІТ-відділ зробити це. Це єдиний бездоганний спосіб переконатися в чистоті вашої системи.

Я рекомендую створити інший обліковий запис користувача на своєму комп’ютері. Не робіть цей обліковий запис адміністратором; зберігати його як стандартного користувача. Використовуйте цей новий рахунок замість свого адміністраторського. Якщо вам потрібні права адміністратора, UAC завжди підкаже вам про свої адміністративні дані. Таким чином, зловмисне програмне забезпечення не зможе вимкнути UAC та запустити злі речі ...

Це не позбудеться вірусу, але принаймні зупинить його від погіршення. Потім, коли ваш антивірус отримає нові визначення для його виявлення, він зможе його видалити.

Перш ніж перейти до складніших заходів, будь-ласка, встановіть AVG Anti-Virus Free Edition 2011 . Нехай він виконує повну перевірку комп'ютера. Нещодавно у мене була подібна проблема, і жодна інша антивірусна програма, окрім вищезгаданої, не могла б її усунути своїми заходами Anti-Rootkit.

Це досить цікаве питання. Я б сказав, що це спричинене одним або двома різними проблемами:

1) Більшість людей підозрюють вірус, і це правильно, віруси люблять потрапляти у вікна та цікаво налаштовувати.

У вас є вже розпочате всебічне сканування. Будь-який вірус повинен бути спійманий тими, хто вже запущений, тому я вважаю, що це віконний птах.

2) Windows зациклюється. Я рекомендую вам запустити перевірку диска на своєму комп’ютері. Два різні методи, що дають подібні результати.

- Відкрийте мій комп'ютер, а потім клацніть правою кнопкою миші на вашому жорсткому диску, з якого завантажується вікно. Далі виберіть вкладку інструментів та натисніть кнопку, на якій написано Перевірка диска [або щось подібне]. Тепер позначте два поля опцій, якщо вони вже не є. Комп'ютер повинен попросити перезавантажити комп'ютер, якщо він не встановив прапорець. Нехай це сканування працює. Він повинен очистити будь-які пташині вікна у вашій установці Windows.

Тепер, якщо сканування не вдалося, вставте інсталяційний диск операційної системи. Якщо ви використовуєте XP, натисніть R, коли з'явиться синій екран із запитанням, яке завдання ви хочете виконати. Тепер виберіть, на якому жорсткому диску ввімкнена ваша операційна система, і натисніть клавішу Enter, ввівши відповідну кількість. Після цього введіть пароль для облікового запису адміністратора [зазвичай це порожнє]. Тепер введіть командну консоль: chkdsk / r

слід виконати те саме сканування, однак це може виправити більше проблем, оскільки сканування виконується з інсталяційного диска.

якщо виконується сканування для машини VISTA або SEVEN, вставити диск і вибрати варіант відновлення. Після цього натисніть клавішу Скасувати, і вона повинна відкрити нове вікно, в якому ви можете робити більше операцій. Останній варіант повинен сказати "Вікно консолі" або щось подібне.

введіть у консоль команди "chkdsk / r C:"

Сподіваюся, це допомагає.

Я щойно стикався з цим самим повідомленням. цього ранку. Java вже деякий час намагається оновити себе, тому я змінив налаштування сповіщень на "не повідомляти" і негайно отримав повідомлення про те, що мені довелося перезапустити процесор, щоб вимкнути контроль. Я зайшов і скинув рівень сповіщень, і питання було вирішено. Сподіваюся, що це допомагає

Виграй 10 за допомогою Malwarebytes. Зловмисне програмне забезпечення, мабуть, вимикало UAC при запуску. Завантажив її під час запуску, і проблема, здавалося, вирішилася. Потім налаштували запуск, щоб затримати налаштування Malwarebytes, і, здавалося, він працює.