Windows 7'de UAC günde bir kez kapatılıyor


10

HP dizüstü bilgisayarımda garip bir sorun var. Bu son zamanlarda olmaya başladı. Makinemi her başlattığımda, Windows 7 Eylem Merkezi aşağıdaki uyarıyı görüntüler:

UAC'nin kapatılması için bilgisayarınızı yeniden başlatmanız gerekir.

Aslında, belirli bir günde bir kez gerçekleşmişse bu olmaz. Örneğin, makineyi sabah başlattığımda ortaya çıkıyor; ancak o gün içinde sonraki yeniden başlatmalarda hiçbir zaman görünmez. Ertesi gün aynı şey tekrar olur.

UAC'yi asla devre dışı bırakmam, ancak açıkçası bazı rootkit veya virüs buna neden oluyor. Bu uyarıyı alır almaz, UAC ayarlarına gidiyorum ve UAC'nin bu uyarıyı reddetmesi için yeniden etkinleştiriyorum. Düzeltemediğim için bu rahatsız edici bir durum.

İlk olarak, herhangi bir olası virüs ve kötü amaçlı yazılım / rootkit etkinliği için tam bir tarama yaptım, ancak TrendMicro OfficeScan hiçbir virüs bulunmadığını söyledi. Windows Sistem Geri Yükleme'yi kullanarak eski bir Geri Yükleme Noktasına gittim, ancak sorun çözülmedi.

Şimdiye kadar denedim (rootkit bulamadı):

  • TrendMicro OfficeScan Antivirüs
  • DUR
  • Malwarebytes 'Anti-malware
  • Reklam bilinci
  • Vipre Antivirüs
  • GMER
  • TDSSKiller (Kaspersky Labs)
  • HiJackThis
  • RegRuns
  • UnHackMe
  • SuperAntiSpyware Taşınabilir
  • Tizer Rootkit Jilet ( * )
  • Sophos Anti-Rootkit
  • SpyHunter 4
  • ComboFix

Makinede başka garip faaliyetler yoktur. Bu tuhaf olay dışında her şey yolunda gidiyor.

Bu sinir bozucu rootkit'in adı ne olabilir? Nasıl tespit edip kaldırabilirim?


EDIT: HijackThis tarafından oluşturulan günlük dosyası aşağıdadır:

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 13:07:04, on 17.01.2011
Platform: Windows 7  (WinNT 6.00.3504)
MSIE: Internet Explorer v8.00 (8.00.7600.16700)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskhost.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\CheckPoint\SecuRemote\bin\SR_GUI.Exe
C:\Windows\System32\igfxtray.exe
C:\Windows\System32\hkcmd.exe
C:\Windows\system32\igfxsrvc.exe
C:\Windows\System32\igfxpers.exe
C:\Program Files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\QLBCTRL.exe
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\VolCtrl.exe
C:\Program Files\LightningFAX\LFclient\lfsndmng.exe
C:\Program Files\Common Files\Java\Java Update\jusched.exe
C:\Program Files\Microsoft Office Communicator\communicator.exe
C:\Program Files\Iron Mountain\Connected BackupPC\Agent.exe
C:\Program Files\Trend Micro\OfficeScan Client\PccNTMon.exe
C:\Program Files\Microsoft LifeCam\LifeExp.exe
C:\Program Files\Hewlett-Packard\Shared\HpqToaster.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\mimio\mimio Studio\system\aps_tablet\atwtusb.exe
C:\Program Files\Microsoft Office\Office12\OUTLOOK.EXE
C:\Program Files\Babylon\Babylon-Pro\Babylon.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Users\userx\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://www.yaysat.com.tr/proxy/proxy.pac
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Babylon IE plugin - {9CFACCB6-2F3F-4177-94EA-0D2B72D384C1} - C:\Program Files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [IgfxTray] C:\Windows\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\Windows\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\Windows\system32\igfxpers.exe
O4 - HKLM\..\Run: [hpWirelessAssistant] C:\Program Files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [QlbCtrl.exe] C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [lfsndmng] C:\Program Files\LightningFAX\LFclient\LFSNDMNG.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Common Files\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [Communicator] "C:\Program Files\Microsoft Office Communicator\communicator.exe" /fromrunkey
O4 - HKLM\..\Run: [AgentUiRunKey] "C:\Program Files\Iron Mountain\Connected BackupPC\Agent.exe" -ni -sss -e http://localhost:16386/
O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\Program Files\Trend Micro\OfficeScan Client\pccntmon.exe" -HideWindow
O4 - HKLM\..\Run: [Babylon Client] C:\Program Files\Babylon\Babylon-Pro\Babylon.exe -AutoStart
O4 - HKLM\..\Run: [LifeCam] "C:\Program Files\Microsoft LifeCam\LifeExp.exe"
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - Global Startup: mimio Studio.lnk = C:\Program Files\mimio\mimio Studio\mimiosys.exe
O8 - Extra context menu item: Microsoft Excel'e &Ver - res://C:\PROGRA~1\MICROS~1\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Translate this web page with Babylon - res://C:\Program Files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll/ActionTU.htm
O8 - Extra context menu item: Translate with Babylon - res://C:\Program Files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll/Action.htm
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\Office12\REFIEBAR.DLL
O9 - Extra button: Translate this web page with Babylon - {F72841F0-4EF1-4df5-BCE5-B3AC8ACF5478} - C:\Program Files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll
O9 - Extra 'Tools' menuitem: Translate this web page with Babylon - {F72841F0-4EF1-4df5-BCE5-B3AC8ACF5478} - C:\Program Files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll
O16 - DPF: {00134F72-5284-44F7-95A8-52A619F70751} (ObjWinNTCheck Class) - https://172.20.12.103:4343/officescan/console/html/ClientInstall/WinNTChk.cab
O16 - DPF: {08D75BC1-D2B5-11D1-88FC-0080C859833B} (OfficeScan Corp Edition Web-Deployment SetupCtrl Class) - https://172.20.12.103:4343/officescan/console/html/ClientInstall/setup.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = yaysat.com
O17 - HKLM\Software\..\Telephony: DomainName = yaysat.com
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = yaysat.com
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = yaysat.com
O18 - Protocol: qcom - {B8DBD265-42C3-43E6-B439-E968C71984C6} - C:\Program Files\Common Files\Quest Shared\CodeXpert\qcom.dll
O22 - SharedTaskScheduler: FencesShellExt - {1984DD45-52CF-49cd-AB77-18F378FEA264} - C:\Program Files\Stardock\Fences\FencesMenu.dll
O23 - Service: Andrea ADI Filters Service (AEADIFilters) - Andrea Electronics Corporation - C:\Windows\system32\AEADISRV.EXE
O23 - Service: AgentService - Iron Mountain Incorporated - C:\Program Files\Iron Mountain\Connected BackupPC\AgentService.exe
O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - LSI Corporation - C:\Program Files\LSI SoftModem\agrsmsvc.exe
O23 - Service: BMFMySQL - Unknown owner - C:\Program Files\Quest Software\Benchmark Factory for Databases\Repository\MySQL\bin\mysqld-max-nt.exe
O23 - Service: Com4QLBEx - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\Com4QLBEx.exe
O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
O23 - Service: OfficeScanNT RealTime Scan (ntrtscan) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client\ntrtscan.exe
O23 - Service: SMS Task Sequence Agent (smstsmgr) - Unknown owner - C:\Windows\system32\CCM\TSManager.exe
O23 - Service: Check Point VPN-1 Securemote service (SR_Service) - Check Point Software Technologies - C:\Program Files\CheckPoint\SecuRemote\bin\SR_Service.exe
O23 - Service: Check Point VPN-1 Securemote watchdog (SR_Watchdog) - Check Point Software Technologies - C:\Program Files\CheckPoint\SecuRemote\bin\SR_Watchdog.exe
O23 - Service: Trend Micro Unauthorized Change Prevention Service (TMBMServer) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client\..\BM\TMBMSRV.exe
O23 - Service: OfficeScan NT Listener (tmlisten) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client\tmlisten.exe
O23 - Service: OfficeScan NT Proxy Service (TmProxy) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client\TmProxy.exe
O23 - Service: VNC Server Version 4 (WinVNC4) - RealVNC Ltd. - C:\Program Files\RealVNC\VNC4\WinVNC4.exe

--
End of file - 8204 bytes

Bu çok benzer soruda önerildiği gibi , RegRun ve UnHackMe ile tam taramalar (+ önyükleme zamanı taramaları) çalıştırdım, ancak aynı zamanda bir şey bulamadılar. Olay Görüntüleyicisi'ndeki tüm girdileri dikkatlice inceledim, ancak yanlış bir şey yok.

Artık makinemde kendini oldukça başarılı bir şekilde gizleyen gizli bir truva atı (rootkit) olduğunu biliyorum. Bir şirket etki alanındaki belirli BT ilkelerine tabi bir çalışma makinesi olduğu için HDD'yi kaldırma veya işletim sistemini yeniden yükleme şansım olmadığını unutmayın.

Tüm girişimlerime rağmen sorun hala devam ediyor. Kesinlikle ne olursa olsun kaldırmak için bir noktaya yöntemi veya bir pukka rootkit sökücü gerekir. Sistem ayarları ile maymun istemiyorum, yani otomatik olarak tek tek çalıştırmayı devre dışı bırakmak, kayıt defterini karıştırmak vb.


DÜZENLEME 2: Sorunumla yakından ilgili bir makale buldum:

Kötü amaçlı yazılım Windows 7'de UAC'yi kapatabilir; “Tasarım gereği” diyor Microsoft . Microsoft'a özel teşekkürler (!).

Makalede, UAC'yi otomatik olarak devre dışı bırakmak için bir VBScript kodu verilmiştir:

'// 1337H4x Written by _____________ 
'//                    (12 year old)

Set WshShell = WScript.CreateObject("WScript.Shell")

'// Toggle Start menu
WshShell.SendKeys("^{ESC}")
WScript.Sleep(500)

'// Search for UAC applet
WshShell.SendKeys("change uac")
WScript.Sleep(2000)

'// Open the applet (assuming second result)
WshShell.SendKeys("{DOWN}")
WshShell.SendKeys("{DOWN}")
WshShell.SendKeys("{ENTER}")
WScript.Sleep(2000)

'// Set UAC level to lowest (assuming out-of-box Default setting)
WshShell.SendKeys("{TAB}")
WshShell.SendKeys("{DOWN}")
WshShell.SendKeys("{DOWN}")
WshShell.SendKeys("{DOWN}")

'// Save our changes
WshShell.SendKeys("{TAB}")
WshShell.SendKeys("{ENTER}")

'// TODO: Add code to handle installation of rebound
'// process to continue exploitation, i.e. place something
'// evil in Startup folder

'// Reboot the system
'// WshShell.Run "shutdown /r /f"

Ne yazık ki, bu sistemimde çalışan bu kötü amaçlı koddan nasıl kurtulabileceğimi söylemiyor.


EDIT 3: Dün gece, çalışan bir SQL görevi nedeniyle dizüstü bilgisayarı açık bıraktım. Sabah geldiğimde UAC'nin kapalı olduğunu gördüm. Bu nedenle, sorunun başlangıçla ilgili olmadığından şüpheleniyorum. Makine yeniden başlatılıp başlatılmadığı önemli değil, günde bir kez oluyor.


DÜZENLEME 4: Bugün, Windows umarım suçlu olanı yakalamaya başlar başlamaz hemen "İşlem İzleyicisi" ni başlattım (fikir için @harrymc'e teşekkürler). 9: 17'de, UAC kaydırıcısı en alta kaydırıldı (Windows 7 Eylem Merkezi uyarıyı verdi). 9:16 ile 9:18 arasındaki tüm kayıt defteri işlemlerini araştırdım. Process Monitor günlük dosyasını kaydettim (yalnızca 2 dakikalık aralıklarla 70 MB). Çok sayıda EnableLUA = 0(ve diğer) giriş var. Aşağıdaki ilk 4'ün özellik pencerelerinin ekran görüntülerini gönderiyorum. Bunu svchost.exeyapıyor diyor ve bazı iş parçacığı ve PID numaraları veriyor. Onlar hakkında ne çıkarmalıyım bilmiyorum:

resim açıklamasını buraya girin resim açıklamasını buraya girin resim açıklamasını buraya girin resim açıklamasını buraya girin


1
Araştırılacak ek bir şey olarak, bu muhtemelen Grup İlkesi tarafından etki alanı denetleyicinizden uygulanan bir ayar olabilir. Bazı nedenlerden dolayı UAC'yi günlük olarak sıfırlamaya ayarlamış olabilirler. Elbette grup politikalarını kullanarak etkinleştiriyorlarsa ve kötü amaçlı yazılım bunu devre dışı bırakıyorsa, bu kötüdür. BT adamlarınızla sohbet ederdim, yani konuşkan türdeyse.
Mokubai

@Mokubai: Öneriniz için teşekkürler. Şirketteki diğer meslektaşlarla konuştum ve hiçbirinin böyle bir sorunu yok. Güvenlik konularında çok hassas oldukları için BT'nin UAC'yi devre dışı bırakmadığından eminim. İlginç olan şey, bu (olası) rootkit, BT tarafından uygulanan antivirüs veya diğer güvenlik önlemlerini nasıl kandırdı?
Mehper C.Palavuzlar

Bu olası enfeksiyonu ilk etapta nasıl edinebileceğinize gelince, sahip olabileceğiniz en basit kötü amaçlı yazılım koruması genellikle doğada reaktiftir, ancak proaktif tespit mümkün değilse de güvenilir değildir. Birisi bir sisteme girmenin bir yolunu hayal eder, daha sonra bir şirket onu tespit eder ve onu, eylemi ve reaksiyonu tespit etmek veya kaldırmak için bir yol yazar. Gerçekten bir enfeksiyonunuz varsa, AV şirketleri tarafından henüz görülmemiş tamamen yeni bir tür olabilir. Nasıl edindiğine dair, herhangi bir fikir vermeyi beklemeyeceğin yerlerde çok fazla güvenlik deliği var ...
Mokubai

HijackThis temiz. Bir dosya duvarı almayı düşünebilirsiniz. Lütfen Harry tarafından açıklandığı gibi Autoruns ve Process Monitor'ü deneyin.
Tamara Wijsman

Görev Zamanlayıcı'ya bakmayı denediniz mi? (Başlat -> Denetim Masası -> Yönetimsel Araçlar -> Görev Zamanlayıcı) Google Güncelleyici gibi şeyler tarafından ayarlanan Görevleri görmek için "Görev Zamanlayıcı Kütüphanesi" ni tıklayın. Günlük UAC sıfırlamanızın orada bir yerde olması mümkündür, çünkü görevler belirli bir zamanda kurulabilir ve daha sonra bu süre geçtiyse giriş yaptıktan sonra X dakika çalışacak şekilde ayarlanabilir ... oradaki binlerce öğeyi araştıran uzun ve zorlu bir görev olabilir.
Mokubai

Yanıtlar:


6

Önce Güvenlik Merkezi hizmetinin başlatılıp başlamayacağını ve değilse - bağımlılıklarından hangisinin suçlanacağını kontrol etmelisiniz. Ayrıca Olay Görüntüleyicisi'nde hata iletileri olup olmadığına bakın.

Bilgisayarınıza virüs bulaştığını düşünüyorsanız, olası çözümler şunlar olabilir:

  1. Sistem Dosyası Denetleyicisi ile Windows 7 Sistem Dosyaları Nasıl Onarılır .
  2. Başlangıç ​​Onarma: Başlangıç ​​Onarımını Kullanarak Windows 7 Önyükleme Sorunlarını Kolayca Onarma .
  3. Son çözüm, sabit diski yeniden biçimlendirmek ve Windows'u yeniden yüklemektir.
    Sizin durumunuz için bu geçerli olabilir: Windows Vista'da HP Sistem Kurtarma işlemi gerçekleştirme .

Sadece Windows'un herhangi bir yardım almadan kendini yok edebildiğini belirtmek için Windows Update herhangi bir virüsten daha tehlikelidir. Başlangıç ​​Onarma, bu durumda uygulamaların yeniden yüklenmesine gerek kalmadan Windows'u yeniden başlatarak sorunu çözebilir.

Gerçekten sorunun bir virüs olduğunu düşünüyorsanız ve bilgisayarınızda neler olduğu hakkında daha fazla bilgi edinmek istiyorsanız, iki şey bulmanız gerekecektir:

  1. Sisteminizde ne gibi değişiklikler yapılıyor,
  2. Hangi program değişir?

Birincisi, bu bir kayıt defteri değişikliğiyse, anahtar büyük olasılıkla HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System, değeri Devre dışı bırakma için 0 ve Etkinleştirme için 1 olan EnableLUA öğesi .

Değişikliğin sisteminizde yapıldığını tespit ettikten sonra , anahtara tüm erişimleri günlüğe kaydetmek için Process Monitor'ü ve Önyükleme Günlüğünü Etkinleştir seçeneğini (yardıma bakın) kullanabilirsiniz.

Önce Güvenli modda önyükleme yapıyordum ve bunun da olup olmadığını görüyorum. Değilse, başka bir saldırı vektörü ürünü çalıştırmak için ikili aramada başlangıç ​​öğelerini devre dışı bırakmak için Otomatik Çalıştırmaları kullanmaktır (çünkü bu bir virüs yerine soruna neden olan meşru bir ürün olabilir).


Önerileriniz için teşekkürler. Daha önce oynadım sfc /scannowve diyor Windows Resource Protection Did Not Find Any Integrity Violations. Bu, BT politikalarına tabi bir şirket dizüstü bilgisayarı olduğu için 2. Adım benim için riskli. Bir şekilde önyükleme işlemini bozarsam, daha fazla sorun yaşayacağım. Adım 3 benim için söz konusu değil.
Mehper C.Palavuzlar

BT politikaları sorunu anlaşıldı. 1. paragrafımdan sonuç var mı?
harrymc

Güvenlik Merkezi, Normal Modda sorunsuz olarak başlar. Olay Görüntüleyicisi'ndeki (şimdiye kadar mevcut tüm tarihler) tüm girişleri dikkatle inceledim, ancak sorumda belirttiğim gibi yanlış bir şey yok. Ayrıca çeşitli antivirüs ve kötü amaçlı yazılım önleme programları kullanarak çalışan tüm hizmetleri, başlatma işlemlerini, kayıt defteri girdilerini ve .dll dosyalarını ayrı ayrı kontrol ettim.
Mehper C.Palavuzlar

Tamam, daha fazla bilgi ekledim. Her durumda, bilgisayarınıza virüs bulaştığını düşünüyorsanız, eminim ki BT politikaları şirkete bulaşmadan önce onu BT'ye duyurmanızı gerektirir.
harrymc

1
Evet, bir şey UAC'yi kapatıyor. (1) regedit çalıştırırken bir yükseklik istemi alıyor musunuz? Bunu yapmazsanız, açılıştan sonra UAC zaten kapalıdır. (2) Güvenli modda önyükleme sonrası durum nedir? (3) Yalnızca EnableLUA için değil, ConsentPromptBehaviorAdmin'deki bir değişiklik nedeniyle Eylem Merkezi iletisinin görüntülenebileceğini belirtmek için.
harrymc

5

Benim durumumda günde bir kez uygulanan alan adı politikasıydı. Aynı sorun. UAC'nin kapatılması yalnızca etki alanında oturum açarken veya VPN üzerinden bağlanırken teşhis daha kolaydı. Böylece, etki alanı politikasının UAC'yi kapatmak için bazı komut dosyaları içerdiği keşfedildi. Sistem yöneticilerimle iletişime geçtim ve bunu doğruladılar. Dolayısıyla, alan adı yöneticilerinize danışmanız veya alan adında değilseniz profil yerel politikalarını ve komut dosyalarını doğrulamanız daha iyi olur.


2

Seçenek 1: Başlangıçtaki tüm programları devre dışı bırakın. (Başlat> Çalıştır> Msconfig. Başlangıç ​​altındaki her şeyi devre dışı bırakın).

2. Seçenek: AVAST ana sürümünü yükleyin ve bir önyükleme süresi taraması planlayın. Daha da iyisi, sabit diski makinenizden çıkarın ve bir başkasına bağlayın ve AVAST kullanarak oradan tarayın.

Seçenek 3. Başka bir seçenek HijackThis çalıştırmaktır. Raporu oluşturun ve analiz için burada paylaşın. http://free.antivirus.com/hijackthis/


1
Yor başlangıç ​​öğeleri iyi görünüyor. Aynı şekilde, başlangıç ​​öğelerini devre dışı bırakın ve tekrar kontrol edin. Avast'ı yüklemenizi ve tercihen sabit diski başka bir makineye bağladıktan sonra bir önyükleme zamanı taraması planlamanızı şiddetle tavsiye ederim.
bobbyalex

Deneyebileceğiniz başka bir şey daha var: yönetici olmayan bir kullanıcı oluşturun ve bu kullanıcı olarak oturum açın. Bir program çalıştırılmaya çalışıyorsa, bir UAC istemi almalısınız.
bobbyalex

Bu, şirket etki alanındaki bir çalışma bilgisayarı olduğundan yeni kullanıcılar oluşturma yetkim yok. BTW, Avast önyükleme zamanı taramasını da denedim, ancak virüs bulamadı.
Mehper C.Palavuzlar

1

Lütfen Microsoft Security Essentials'ı yükleyin ve tam bir sistem taraması yapın. MSE, OS API'lerini ve kancalarını kullandığından, aslında bir tür kötü amaçlı yazılımsa, kötü amaçlı yazılımı bulabilir. Ayrıca, MSE gerçekten yüklenemiyor veya çalıştırılamıyorsa, sistemin güvenliğinin ihlal edildiğinden emin oluruz.

Sisteminizi kontrol etmek için çok sayıda AV ve Kötü Amaçlı Yazılımdan Koruma programı çalıştırdığınızdan, bilgisayarınızın güvenliğinin ihlal edildiğinden şüpheliyim. AV ve Kötü Amaçlı Yazılımdan Koruma programlarını yüklemek ve ardından önyükleme taraması yapmak yerine sürücüyü taramak için başka bir bilgisayar kullanın. Sürücüyü bağımlı sistem olarak başka bir sisteme takın ve ardından taramaları çalıştırın. Önyükleme taramasını, sabit sürücünün kendisinden değil, CD veya DVD'den önyükleme yaparak yapmalısınız, çünkü işletim sisteminin gerçekten başlatılmasını ve kök kitinin gerçek tarama sırasında çalışmasını gerçekten engeller.

Dürüst olmak gerekirse, sisteminizin bir kök kiti içerdiğinden eminseniz, sabit sürücüyü nuke ve sıfırdan başlayın. BT departmanınızdan bunu yapmasını isteyin. Sisteminizin temiz olduğundan emin olmanın tek aptalca yolu budur.


İlk olarak, önerileriniz için teşekkürler. HDD'yi çıkarmak bir seçenek değildir (nedenine ilişkin soruya bakın). Bence MSE denemeye değer. Yarın sonucu kontrol edip paylaşacağım. Optik diskten önyükleme yaparak önyükleme taraması benim için oldukça makul görünüyor. Bana diske yazdırmak için bazı görüntü dosyalarının bağlantısını önerebilir misiniz? Yine, HDD nuking benim için son çare. Davayı yapmadan çözmem gerek. Bunun mutlak bir çözüm olduğunu biliyorum, ama ne yapabileceğimize bakalım.
Mehper C.Palavuzlar

Hızlı bir arama yaptım. Farklı satıcılardan önyüklenebilir virüs taramaları hakkında bilgi içeren bir bağlantı. techmixer.com/free-bootable-antivirus-rescue-cds-download-list Bunları deneyin.
Metril

MSE hiçbir şey bulamadı. Şimdi önyüklenebilir bir kurtarma CD'si deneyeceğim.
Mehper C.Palavuzlar

0

Bilgisayarınızda başka bir kullanıcı hesabı oluşturmanızı öneririm. Bu hesabı yönetici yapmayın; standart kullanıcı olarak saklayın. Yönetici hesabınız yerine bu yeni hesabı kullanın. Yönetici haklarına ihtiyacınız varsa, UAC her zaman yönetici kimlik bilgilerinizi ister. Bu şekilde, kötü amaçlı yazılımlar UAC'yi devre dışı bırakamaz ve kötü şeyler çalıştıramaz ...

Yönetici Hakları Olmadan UAC'yi Devre Dışı Bırakmaya Çalışın

Bu virüsden kurtulmaz, ama en azından kötüleşmesini durduracaktır. Ardından, antivirüsünüz onu tespit etmek için yeni tanımlar aldığında, onu kaldırabilecektir.


Sorun şu ki, bu bir şirket etki alanında çalışan bir PC ve yeni bir kullanıcı oluşturma hakkım yok.
Mehper C.Palavuzlar


0

Bu oldukça ilginç bir konu. Bunun bir veya iki farklı sorundan kaynaklanacağını söylemeliyim:

1) Çoğu insan bir virüsden şüphelenmiştir ve haklı olarak, virüsler pencerelere girmeyi ve ayarlarla uğraşmayı severler.

Zaten çalıştırdığınız kapsamlı miktarda taramaya sahipsiniz. Herhangi bir virüs zaten çalışanlar tarafından yakalanmalıdır, bu yüzden bir windows kümes hayvanı olduğuna inanıyorum.

2) Windows açılır. Bilgisayarınızda bir disk kontrolü çalıştırmanızı öneririm. Benzer sonuçlar veren iki farklı yöntem.

- Bilgisayarımı açın ve ardından pencerelerin yüklendiği sabit sürücünüze sağ tıklayın. Ardından, araçlar sekmesini seçin ve Disk Kontrolü [veya buna benzer bir şey] yazan düğmeyi tıklayın. Şimdi değilse, iki seçenek kutusunu işaretleyin. Bilgisayarınız sizden bilgisayarınızı yeniden başlatmanızı istemelidir, eğer değilse seçenek kutularını işaretlemediyseniz. Bu taramanın çalışmasına izin verin. Windows kurulumunuzdaki kümes hayvanlarını temizlemelidir.

Şimdi, bu tarama başarısız olursa, işletim sistemi kurulum diskinizi takın. XP kullanıyorsanız, mavi ekran göründüğünde R yapmak istediğiniz görevi sorar. Şimdi, işletim sisteminizin hangi sabit sürücüde olduğunu seçin ve uygun sayıyı girdikten sonra enter tuşuna basın. Daha sonra Yönetici hesabının şifresini girin [genellikle bu boştur]. Şimdi komut konsoluna girin: chkdsk / r

bu aynı taramayı yapmalıdır, ancak tarama yükleme diskinden çalıştırıldığı için daha fazla sorunu düzeltebilir.

VISTA veya SEVEN makinesi için tarama yapıyorsanız, diski takın ve onarım seçeneğini seçin. Daha sonra, iptal düğmesine basın ve daha fazla işlem yapabileceğiniz yeni bir pencere açmalıdır. Son seçenekte "Konsol penceresi" veya bu tür bir şey belirtilmelidir.

"chkdsk / r C:" komut konsoluna girin

Bu yardımcı olur umarım.


Windows 7 kullanıyorum (lütfen soru etiketlerine bakın). Ben yayınlanmış olan chkdsk /r C:açılışta ve 1 saat sürdü. Sorun bulunamadı.
Mehper C. Palavuzlar

0

Ben sadece bu msj ile karşılaştım. bu sabah. Java bir süredir kendini güncellemeye çalışıyor, bu yüzden bildirim ayarlarını "bildirme" olarak değiştirdim ve hemen kontrolü kapatmak için cpu'mu yeniden başlatmam gereken mesajı aldım. İçeri girdim ve bildirim seviyesini sıfırladım ve sorun çözüldü. umarım yardımcı olur


-1

Malwarebytes kullanarak 10 kazanın. Kötü amaçlı yazılım başlangıçta UAC'yi kapatıyordu. Başlangıçta yüklemeyi durdurdu ve sorun çözüldü. Daha sonra Malwarebytes kurulumunda gecikmeyi başlatacak şekilde ayarlandı ve işe yaradığı ortaya çıktı.


Kötü amaçlı yazılım algılama yazılımının başlatılmasını geciktirmek, gerçek kötü amaçlı yazılımın kendini gizleme şansını artırmaz mı?
Arjan

Soru açıkça Windows 7 hakkında soruyor, bu yüzden Windows 10'a neden değindiğinizden emin değilim. Ayrıca, önerinizin sorunu gizlemek yerine sorunu çözdüğü açık değildir.
David Richerby
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.