UAC відключається один раз на день у Windows 7


10

У мене на ноутбуці HP дивна проблема. Це почало відбуватися нещодавно. Щоразу, коли я запускаю свою машину, Центр дій Windows 7 видає таке попередження:

Щоб вимкнути UAC, перезавантажте комп'ютер.

Власне, цього не відбувається, якщо це сталося один раз конкретного дня. Наприклад, коли я запускаю машину вранці, вона з’являється; але він ніколи не з’являється при наступних перезавантаженнях протягом цього дня. Наступного дня те ж саме відбувається знову.

Я ніколи не відключаю UAC, але, очевидно, якийсь руткіт або вірус викликає це. Як тільки я отримаю це попередження, я переходжу до налаштувань UAC та повторно включаю UAC для відхилення цього попередження. Це набридлива ситуація, оскільки я не можу це виправити.

По-перше, я провів повне сканування на комп’ютері на предмет можливої ​​активності на віруси та зловмисне програмне забезпечення / руткіт, але TrendMicro OfficeScan сказав, що вірусів не знайдено. Я перейшов до старої точки відновлення за допомогою відновлення системи Windows, але проблема не була вирішена.

Що я намагався до цього часу (який не міг знайти руткіт):

  • Антивірус TrendMicro OfficeScan
  • AVAST
  • Анти-зловмисне програмне забезпечення Malwarebytes
  • Ad-Aware
  • Антивірус Vipre
  • GMER
  • TDSSKiller (Лабораторії Касперського)
  • HiJackThis
  • RegRuns
  • UnHackMe
  • SuperAntiSpyware Portable
  • Бритва Tizer Rootkit ( * )
  • Sophos Anti-Rootkit
  • SpyHunter 4
  • ComboFix

Інших дивних дій на машині немає. Все працює добре, крім цього химерного випадку.

Як може бути назва цього докучливого руткіта? Як я можу його виявити та видалити?


EDIT: Нижче наведено файл журналу, згенерований HijackThis:

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 13:07:04, on 17.01.2011
Platform: Windows 7  (WinNT 6.00.3504)
MSIE: Internet Explorer v8.00 (8.00.7600.16700)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskhost.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\CheckPoint\SecuRemote\bin\SR_GUI.Exe
C:\Windows\System32\igfxtray.exe
C:\Windows\System32\hkcmd.exe
C:\Windows\system32\igfxsrvc.exe
C:\Windows\System32\igfxpers.exe
C:\Program Files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\QLBCTRL.exe
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\VolCtrl.exe
C:\Program Files\LightningFAX\LFclient\lfsndmng.exe
C:\Program Files\Common Files\Java\Java Update\jusched.exe
C:\Program Files\Microsoft Office Communicator\communicator.exe
C:\Program Files\Iron Mountain\Connected BackupPC\Agent.exe
C:\Program Files\Trend Micro\OfficeScan Client\PccNTMon.exe
C:\Program Files\Microsoft LifeCam\LifeExp.exe
C:\Program Files\Hewlett-Packard\Shared\HpqToaster.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\mimio\mimio Studio\system\aps_tablet\atwtusb.exe
C:\Program Files\Microsoft Office\Office12\OUTLOOK.EXE
C:\Program Files\Babylon\Babylon-Pro\Babylon.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Users\userx\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://www.yaysat.com.tr/proxy/proxy.pac
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Babylon IE plugin - {9CFACCB6-2F3F-4177-94EA-0D2B72D384C1} - C:\Program Files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [IgfxTray] C:\Windows\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\Windows\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\Windows\system32\igfxpers.exe
O4 - HKLM\..\Run: [hpWirelessAssistant] C:\Program Files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [QlbCtrl.exe] C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [lfsndmng] C:\Program Files\LightningFAX\LFclient\LFSNDMNG.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Common Files\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [Communicator] "C:\Program Files\Microsoft Office Communicator\communicator.exe" /fromrunkey
O4 - HKLM\..\Run: [AgentUiRunKey] "C:\Program Files\Iron Mountain\Connected BackupPC\Agent.exe" -ni -sss -e http://localhost:16386/
O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\Program Files\Trend Micro\OfficeScan Client\pccntmon.exe" -HideWindow
O4 - HKLM\..\Run: [Babylon Client] C:\Program Files\Babylon\Babylon-Pro\Babylon.exe -AutoStart
O4 - HKLM\..\Run: [LifeCam] "C:\Program Files\Microsoft LifeCam\LifeExp.exe"
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - Global Startup: mimio Studio.lnk = C:\Program Files\mimio\mimio Studio\mimiosys.exe
O8 - Extra context menu item: Microsoft Excel'e &Ver - res://C:\PROGRA~1\MICROS~1\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Translate this web page with Babylon - res://C:\Program Files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll/ActionTU.htm
O8 - Extra context menu item: Translate with Babylon - res://C:\Program Files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll/Action.htm
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\Office12\REFIEBAR.DLL
O9 - Extra button: Translate this web page with Babylon - {F72841F0-4EF1-4df5-BCE5-B3AC8ACF5478} - C:\Program Files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll
O9 - Extra 'Tools' menuitem: Translate this web page with Babylon - {F72841F0-4EF1-4df5-BCE5-B3AC8ACF5478} - C:\Program Files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll
O16 - DPF: {00134F72-5284-44F7-95A8-52A619F70751} (ObjWinNTCheck Class) - https://172.20.12.103:4343/officescan/console/html/ClientInstall/WinNTChk.cab
O16 - DPF: {08D75BC1-D2B5-11D1-88FC-0080C859833B} (OfficeScan Corp Edition Web-Deployment SetupCtrl Class) - https://172.20.12.103:4343/officescan/console/html/ClientInstall/setup.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = yaysat.com
O17 - HKLM\Software\..\Telephony: DomainName = yaysat.com
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = yaysat.com
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = yaysat.com
O18 - Protocol: qcom - {B8DBD265-42C3-43E6-B439-E968C71984C6} - C:\Program Files\Common Files\Quest Shared\CodeXpert\qcom.dll
O22 - SharedTaskScheduler: FencesShellExt - {1984DD45-52CF-49cd-AB77-18F378FEA264} - C:\Program Files\Stardock\Fences\FencesMenu.dll
O23 - Service: Andrea ADI Filters Service (AEADIFilters) - Andrea Electronics Corporation - C:\Windows\system32\AEADISRV.EXE
O23 - Service: AgentService - Iron Mountain Incorporated - C:\Program Files\Iron Mountain\Connected BackupPC\AgentService.exe
O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - LSI Corporation - C:\Program Files\LSI SoftModem\agrsmsvc.exe
O23 - Service: BMFMySQL - Unknown owner - C:\Program Files\Quest Software\Benchmark Factory for Databases\Repository\MySQL\bin\mysqld-max-nt.exe
O23 - Service: Com4QLBEx - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\Com4QLBEx.exe
O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
O23 - Service: OfficeScanNT RealTime Scan (ntrtscan) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client\ntrtscan.exe
O23 - Service: SMS Task Sequence Agent (smstsmgr) - Unknown owner - C:\Windows\system32\CCM\TSManager.exe
O23 - Service: Check Point VPN-1 Securemote service (SR_Service) - Check Point Software Technologies - C:\Program Files\CheckPoint\SecuRemote\bin\SR_Service.exe
O23 - Service: Check Point VPN-1 Securemote watchdog (SR_Watchdog) - Check Point Software Technologies - C:\Program Files\CheckPoint\SecuRemote\bin\SR_Watchdog.exe
O23 - Service: Trend Micro Unauthorized Change Prevention Service (TMBMServer) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client\..\BM\TMBMSRV.exe
O23 - Service: OfficeScan NT Listener (tmlisten) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client\tmlisten.exe
O23 - Service: OfficeScan NT Proxy Service (TmProxy) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client\TmProxy.exe
O23 - Service: VNC Server Version 4 (WinVNC4) - RealVNC Ltd. - C:\Program Files\RealVNC\VNC4\WinVNC4.exe

--
End of file - 8204 bytes

Як було запропоновано в цьому дуже подібному питанні , я запустив повне сканування (+ сканування часу завантаження) за допомогою RegRun та UnHackMe, але вони також нічого не знайшли. Я уважно вивчив усі записи у переглядачі подій, але в цьому немає нічого поганого.

Тепер я знаю, що на моїй машині є прихований троян (rootkit), який, схоже, маскує себе досить успішно. Зауважте, що я не маю шансу видалити жорсткий диск або перевстановити ОС, оскільки це робоча машина, яка піддається певним ІТ-політикам у домені компанії.

Незважаючи на всі мої спроби, проблема все ще залишається. Мені суворо потрібен точний метод або видалення rootkit pukka, щоб видалити що б там не було. Я не хочу мавповувати з налаштуваннями системи, тобто відключення автоматичних запусків один за одним, псування реєстру тощо.


EDIT 2: Я знайшов статтю, яка тісно пов'язана з моєю проблемою:

Зловмисне програмне забезпечення може вимкнути UAC у Windows 7; "За дизайном" говорить Microsoft . Особлива подяка (!) Microsoft.

У статті надається код VBScript для автоматичного відключення UAC:

'// 1337H4x Written by _____________ 
'//                    (12 year old)

Set WshShell = WScript.CreateObject("WScript.Shell")

'// Toggle Start menu
WshShell.SendKeys("^{ESC}")
WScript.Sleep(500)

'// Search for UAC applet
WshShell.SendKeys("change uac")
WScript.Sleep(2000)

'// Open the applet (assuming second result)
WshShell.SendKeys("{DOWN}")
WshShell.SendKeys("{DOWN}")
WshShell.SendKeys("{ENTER}")
WScript.Sleep(2000)

'// Set UAC level to lowest (assuming out-of-box Default setting)
WshShell.SendKeys("{TAB}")
WshShell.SendKeys("{DOWN}")
WshShell.SendKeys("{DOWN}")
WshShell.SendKeys("{DOWN}")

'// Save our changes
WshShell.SendKeys("{TAB}")
WshShell.SendKeys("{ENTER}")

'// TODO: Add code to handle installation of rebound
'// process to continue exploitation, i.e. place something
'// evil in Startup folder

'// Reboot the system
'// WshShell.Run "shutdown /r /f"

На жаль, це не говорить про те, як я можу позбутися цього шкідливого коду, що працює в моїй системі.


EDIT 3: Минулої ночі я залишив ноутбук відкритим через запущене завдання SQL. Коли я прийшов вранці, то побачив, що UAC вимкнено. Отже, я підозрюю, що проблема не пов’язана із запуском. Це відбувається раз на день точно, незалежно від того, перезавантажена машина.


EDIT 4: Сьогодні я одразу запустив "Монітор процесів", як тільки Windows почав сподіватися зловити винного (спасибі @harrymc за ідею). О 9:17 повзунок UAC був перенесений на дно (Центр дій Windows 7 дав попередження). Я досліджував усі дії з реєстру між 9:16 та 9:18. Я зберег файл журналу Process Monitor (70 МБ, що містить лише той 2-хвилинний інтервал). Є багато EnableLUA = 0(та інших) записів. Я розміщую скріншоти вікон властивостей перших 4 нижче. Він говорить, що svchost.exeце робить, і дає деякі нитки та номери PID. Я не знаю, що мені робити про них:

введіть тут опис зображення введіть тут опис зображення введіть тут опис зображення введіть тут опис зображення


1
Як додаткову річ, це може бути налаштування, яке застосовується груповою політикою від вашого контролера домену. Можливо, у них (з якихось причин) встановлено щоденне скидання UAC. Звичайно, якщо вони дозволяють використовувати групову політику, а зловмисне програмне забезпечення відключає її, то це погано. Я б поспілкувався з вашими ІТ-хлопцями, тобто якщо вони балакучі.
Мокубай

@Mokubai: Дякую за вашу пропозицію. Я спілкувався з іншими колегами по компанії, і жоден з них не має такого питання. Я впевнений, що наші ІТ не відключили UAC, оскільки вони дуже чутливі до питань безпеки. Цікавим є те, як цей (можливий) руткіт обдурив антивірус чи інші заходи безпеки, введені ІТ?
Мехпер К. Палавузлар

Щодо того, як ви, можливо, заразилися цією можливою інфекцією, в першу чергу, це найпростіший захист від зловмисного програмного забезпечення, як правило, реактивний за своєю природою, хоча можливе проактивне виявлення, це не є надійним. Хтось мріє придумати спосіб прориву в систему, тоді компанія помічає її і записує спосіб її виявлення, дії та реакції. Якщо у вас дійсно є інфекція, це може бути абсолютно новим штамом, якого ще не спостерігали компанії AV. Щодо того, як у вас це з'явилося, у місцях, де ви не сподіваєтесь дати ідею, занадто багато дірок у безпеці ...
Mokubai

Викрадення Це чисто. Ви можете розглянути можливість отримання файлового стіну. Спробуйте спробувати Автори та Монітор процесів, як описано Гаррі.
Tamara Wijsman

Ви спробували заглянути в Планувальник завдань? (Пуск -> Панель управління -> Адміністративні інструменти -> Планувальник завдань) Клацніть "Бібліотека планувальника завдань", щоб переглянути завдання, створені такими речами, як Google Updater. Можливо, щоденне скидання UAC знаходиться десь там, оскільки завдання можна налаштувати в певний час, а потім встановити для запуску X хвилин після входу, якщо цей час уже минув ... Хочеться сказати, хоча це може бути довгим і важким завданням, що шукають тисячі предметів, що знаходяться там.
Mokubai

Відповіді:


6

Спершу слід перевірити, чи може запуститися служба Центру безпеки, а якщо ні - у якій з винностей винна. Шукайте також повідомлення про помилки в Переглядачі подій.

Якщо ви відчуваєте, що ваш комп'ютер заражений, можливими рішеннями можуть бути:

  1. Як відновити системні файли Windows 7 за допомогою перевірки системних файлів .
  2. Ремонт при запуску: як легко усунути проблеми з завантаженням Windows 7 за допомогою ремонту при запуску .
  3. Останнє рішення - переформатувати жорсткий диск та перевстановити Windows.
    У вашому випадку це може бути застосовано: Відновлення системи HP у Windows Vista .

Зауважу лише, що Windows цілком здатна знищити себе без сторонньої допомоги, саме тому Windows Update небезпечніше будь-якого вірусу. Ремонт при запуску може усунути проблему в цьому випадку шляхом повторної ініціалізації Windows, не вимагаючи перевстановлення програм.

Якщо ви дійсно думаєте, що проблема швидше у вірусі, і ви хочете дізнатися більше про те, що відбувається на вашому комп’ютері, вам потрібно буде з’ясувати дві речі:

  1. Які зміни відбуваються у вашій системі,
  2. Яка програма це змінює.

Для першого, якщо це зміна реєстру, то, ймовірно HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System, ключовим є елемент EnableLUA , значення якого 0 для відключення та 1 для включення.

Після того, як ви знайдете зміни, які робляться у вашій системі, ви можете використовувати Монітор процесів та його параметр Увімкнути журнал завантаження (див. Довідку) для реєстрації всіх доступу до ключа.

Я б спочатку завантажився в безпечному режимі і побачив, чи так це теж відбувається. Якщо ні, то інший вектор атаки полягає у використанні Autoruns для відключення елементів запуску в двійковому пошуку продукту (оскільки це може бути законним продуктом, що викликає проблему, а не вірусом).


Дякуємо за ваші пропозиції. Я вже виступав, sfc /scannowі це говорить Windows Resource Protection Did Not Find Any Integrity Violations. Крок 2 для мене ризикований, оскільки це ноутбук компанії, який піддається ІТ-політиці. Якщо я якось зіпсую процес завантаження, я буду мати більше проблем. Крок 3 для мене не викликає сумнівів.
Мехпер С. Палавузлар

Проблема ІТ-політики зрозуміла. Якісь результати з мого першого пункту?
harrymc

Центр безпеки без проблем запускається у звичайному режимі. Я ретельно вивчив усі записи в "Переглядачі подій" (усі доступні дати до цього часу), але в цьому немає нічого поганого, як я зазначив у своєму питанні. Я також окремо перевіряв усі запущені служби, процеси запуску, записи реєстру та .dll-файли, використовуючи різні антивірусні та антивірусні програми.
Мехпер К. Палавузлар

Гаразд, я додав більше інформації. У будь-якому випадку, якщо ви думаєте, що ваш комп'ютер заражений, я впевнений, що ІТ-політика вимагає від вас оголосити його ІТ перед тим, як заразити всю компанію.
harrymc

1
Так, щось відключає UAC. (1) Чи отримуєте підказку про підйом під час запуску regedit? Якщо цього не зробити, UAC вже вимкнено після завантаження. (2) Яка ситуація після завантаження в безпечному режимі? (3) Просто зауважте, що повідомлення Центру дій може відображатися через зміну ConsentPromptBehaviorAdmin, а не лише для EnableLUA.
harrymc

5

У моєму випадку це була доменна політика, яка застосовувалася один раз на день. Та ж проблема. Діагностика була простішою, оскільки відключення UAC відбулося лише під час входу в домен або підключення через VPN. Таким чином було виявлено, що політика домену включає деякий сценарій, щоб вимкнути UAC. Я зв’язався зі своїм адміністратором системи, і вони підтвердили це. Тому вам краще проконсультуватися з адміністраторами домену або підтвердити локальну політику та сценарії профілю, якщо ви не в домені.


2

Варіант 1: Вимкнення всіх програм при запуску. (Пуск> Виконати> Msconfig. Вимкнути все під час запуску).

Варіант 2: Встановіть домашнє видання AVAST і заплануйте сканування часу завантаження. А ще краще від'єднайте жорсткий диск від машини та підключіть його до іншого та скануйте звідти за допомогою AVAST.

Варіант 3. Інший варіант - запустити HijackThis. Створіть звіт і поділіться ним для аналізу. http://free.antivirus.com/hijackthis/


1
Ваші початкові елементи виглядають чудово. Все одно відключіть елементи запуску і перевірте ще раз. Настійно рекомендую встановити Avast і запланувати сканування часу завантаження, бажано після підключення жорсткого диска до іншої машини.
bobbyalex

Можна спробувати ще одне: створити не адміністративного користувача та увійти в систему як цей користувач. Якщо програма намагається запустити, вам слід отримати підказку UAC.
bobbyalex

Це робочий ПК у домені компанії, тому я не маю права створювати нових користувачів. До речі, я також спробував сканувати час завантаження Avast, але віруси не знайшли.
Мехпер К. Палавузлар

1

Установіть Microsoft Security Essentials та проведіть повне сканування системи. Оскільки MSE використовує API та гачки ОС, можливо, він зможе знайти зловмисне програмне забезпечення, якщо це насправді якесь зловмисне програмне забезпечення. Крім того, якщо MSE не в змозі реально встановити або запустити, ми точно знаємо, що система порушена.

Оскільки ви запустили так багато програм AV та Anti-Malware для перевірки вашої системи, я дуже сумніваюся, що ваш комп'ютер був порушений. Замість того, щоб встановлювати програми AV та Anti-Malware, а потім виконувати сканування завантаження, використовуйте інший комп'ютер для сканування накопичувача. Приєднайте привід до іншої системи як підлеглий, а потім запустіть сканування. Ви повинні виконати сканування завантаження, завантажуючи компакт-диск чи DVD-диск, а не з самого жорсткого диска, оскільки це справді заважає операційній системі коли-небудь запускатися, а root-kit не працювати під час фактичного сканування.

Чесно кажучи, якщо ви впевнені, що у вашій системі є кореневий комплект, запускайте жорсткий диск і почніть з нуля. Попросіть ваш ІТ-відділ зробити це. Це єдиний бездоганний спосіб переконатися в чистоті вашої системи.


По-перше, дякую за ваші пропозиції. Видалення жорсткого диска не є можливим (див. Питання, чому). Я думаю, що MSE варто спробувати. Завтра я перевірю і поділюсь результатом. Сканування завантаження за допомогою завантаження оптичного диска мені здається цілком розумним. Ви можете порекомендувати мені посилання на якийсь файл зображення, який слід записати на диск? Знову ж таки, зняття жорсткого диска - це остання можливість для мене. Мені потрібно вирішити справу, не роблячи цього. Я знаю, що це абсолютне рішення, але давайте подивимося, що ми можемо зробити.
Мехпер К. Палавузлар

Я здійснив швидкий пошук. Ось посилання, яке містить інформацію про завантажувані вірусні сканування від різних постачальників. techmixer.com/free-bootable-antivirus-rescue-cds-download-list Спробуйте їх випробувати .
Метріл

MSE нічого не знайшли. Зараз я спробую завантажувальний рятувальний компакт-диск.
Мехпер К. Палавузлар

0

Я рекомендую створити інший обліковий запис користувача на своєму комп’ютері. Не робіть цей обліковий запис адміністратором; зберігати його як стандартного користувача. Використовуйте цей новий рахунок замість свого адміністраторського. Якщо вам потрібні права адміністратора, UAC завжди підкаже вам про свої адміністративні дані. Таким чином, зловмисне програмне забезпечення не зможе вимкнути UAC та запустити злі речі ...

Спробуйте вимкнути UAC без прав адміністратора

Це не позбудеться вірусу, але принаймні зупинить його від погіршення. Потім, коли ваш антивірус отримає нові визначення для його виявлення, він зможе його видалити.


Проблема в тому, що це робочий ПК у домені компанії, і я не маю прав на створення нового користувача.
Мехпер К. Палавузлар

0

Перш ніж перейти до складніших заходів, будь-ласка, встановіть AVG Anti-Virus Free Edition 2011 . Нехай він виконує повну перевірку комп'ютера. Нещодавно у мене була подібна проблема, і жодна інша антивірусна програма, окрім вищезгаданої, не могла б її усунути своїми заходами Anti-Rootkit.


Я спробую сьогодні і дам вам знати.
Мехпер К. Палавузлар

Нічого не знайшли ...
Мехпер К. Палавузлар

0

Це досить цікаве питання. Я б сказав, що це спричинене одним або двома різними проблемами:

1) Більшість людей підозрюють вірус, і це правильно, віруси люблять потрапляти у вікна та цікаво налаштовувати.

У вас є вже розпочате всебічне сканування. Будь-який вірус повинен бути спійманий тими, хто вже запущений, тому я вважаю, що це віконний птах.

2) Windows зациклюється. Я рекомендую вам запустити перевірку диска на своєму комп’ютері. Два різні методи, що дають подібні результати.

- Відкрийте мій комп'ютер, а потім клацніть правою кнопкою миші на вашому жорсткому диску, з якого завантажується вікно. Далі виберіть вкладку інструментів та натисніть кнопку, на якій написано Перевірка диска [або щось подібне]. Тепер позначте два поля опцій, якщо вони вже не є. Комп'ютер повинен попросити перезавантажити комп'ютер, якщо він не встановив прапорець. Нехай це сканування працює. Він повинен очистити будь-які пташині вікна у вашій установці Windows.

Тепер, якщо сканування не вдалося, вставте інсталяційний диск операційної системи. Якщо ви використовуєте XP, натисніть R, коли з'явиться синій екран із запитанням, яке завдання ви хочете виконати. Тепер виберіть, на якому жорсткому диску ввімкнена ваша операційна система, і натисніть клавішу Enter, ввівши відповідну кількість. Після цього введіть пароль для облікового запису адміністратора [зазвичай це порожнє]. Тепер введіть командну консоль: chkdsk / r

слід виконати те саме сканування, однак це може виправити більше проблем, оскільки сканування виконується з інсталяційного диска.

якщо виконується сканування для машини VISTA або SEVEN, вставити диск і вибрати варіант відновлення. Після цього натисніть клавішу Скасувати, і вона повинна відкрити нове вікно, в якому ви можете робити більше операцій. Останній варіант повинен сказати "Вікно консолі" або щось подібне.

введіть у консоль команди "chkdsk / r C:"

Сподіваюся, це допомагає.


Я запускаю Windows 7 (будь ласка, дивіться теги питань). Я бігав chkdsk /r C:при завантаженні, і це зайняло близько 1 години. Проблем не виявлено.
Мехпер К. Палавузлар

0

Я щойно стикався з цим самим повідомленням. цього ранку. Java вже деякий час намагається оновити себе, тому я змінив налаштування сповіщень на "не повідомляти" і негайно отримав повідомлення про те, що мені довелося перезапустити процесор, щоб вимкнути контроль. Я зайшов і скинув рівень сповіщень, і питання було вирішено. Сподіваюся, що це допомагає


-1

Виграй 10 за допомогою Malwarebytes. Зловмисне програмне забезпечення, мабуть, вимикало UAC при запуску. Завантажив її під час запуску, і проблема, здавалося, вирішилася. Потім налаштували запуск, щоб затримати налаштування Malwarebytes, і, здавалося, він працює.


Чи не затримує запуск програмного забезпечення для виявлення зловмисного програмного забезпечення підвищена ймовірність того, що фактична шкідливе програмне забезпечення може приховати себе?
Ар’ян

Питання чітко задається питанням про Windows 7, тому я не впевнений, чому ви звертаєтесь до Windows 10. Також не ясно, що ваша пропозиція насправді вирішує проблему, а не просто приховує її.
Девід Річербі
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.