UAC dimatikan sekali sehari pada Windows 7

10

Saya memiliki masalah aneh pada laptop HP saya. Ini mulai terjadi baru-baru ini. Setiap kali saya memulai mesin saya, Windows 7 Action Center menampilkan peringatan berikut:

Anda harus me-restart komputer Anda agar UAC dimatikan.

Sebenarnya, ini tidak terjadi jika itu terjadi sekali pada hari tertentu. Misalnya, ketika saya menghidupkan mesin di pagi hari, itu muncul; tetapi tidak pernah muncul di restart berikutnya dalam hari itu. Pada hari berikutnya, hal yang sama terjadi lagi.

Saya tidak pernah menonaktifkan UAC, tetapi jelas beberapa rootkit atau virus menyebabkan hal ini. Segera setelah saya mendapatkan peringatan ini, saya menuju ke pengaturan UAC, dan mengaktifkan kembali UAC untuk mengabaikan peringatan ini. Ini adalah situasi yang merepotkan karena saya tidak bisa memperbaikinya.

Pertama, saya telah menjalankan pemindaian penuh pada komputer untuk setiap kemungkinan aktivitas virus dan malware / rootkit, tetapi TrendMicro OfficeScan mengatakan bahwa tidak ada virus yang ditemukan. Saya pergi ke Restore Point lama menggunakan Windows System Restore, tetapi masalahnya tidak terpecahkan.

Apa yang saya coba sejauh ini (yang tidak dapat menemukan rootkit):

  • TrendMicro OfficeScan Antivirus
  • AVAST
  • Malwarebytes 'Anti-malware
  • Ad-Aware
  • Antivirus Vipre
  • GMER
  • TDSSKiller (Kaspersky Labs)
  • HaiJackThis
  • RegRuns
  • UnHackMe
  • SuperAntiSpyware Portable
  • Tizer Rootkit Razor ( * )
  • Sophos Anti-Rootkit
  • SpyHunter 4
  • ComboFix

Tidak ada kegiatan aneh lainnya di mesin. Semuanya berfungsi dengan baik kecuali kejadian aneh ini.

Apa yang bisa menjadi nama rootkit yang mengganggu ini? Bagaimana saya bisa mendeteksi dan menghapusnya?

EDIT: Di bawah ini adalah file log yang dibuat oleh HijackThis:

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 13:07:04, on 17.01.2011
Platform: Windows 7  (WinNT 6.00.3504)
MSIE: Internet Explorer v8.00 (8.00.7600.16700)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskhost.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\CheckPoint\SecuRemote\bin\SR_GUI.Exe
C:\Windows\System32\igfxtray.exe
C:\Windows\System32\hkcmd.exe
C:\Windows\system32\igfxsrvc.exe
C:\Windows\System32\igfxpers.exe
C:\Program Files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\QLBCTRL.exe
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\VolCtrl.exe
C:\Program Files\LightningFAX\LFclient\lfsndmng.exe
C:\Program Files\Common Files\Java\Java Update\jusched.exe
C:\Program Files\Microsoft Office Communicator\communicator.exe
C:\Program Files\Iron Mountain\Connected BackupPC\Agent.exe
C:\Program Files\Trend Micro\OfficeScan Client\PccNTMon.exe
C:\Program Files\Microsoft LifeCam\LifeExp.exe
C:\Program Files\Hewlett-Packard\Shared\HpqToaster.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\mimio\mimio Studio\system\aps_tablet\atwtusb.exe
C:\Program Files\Microsoft Office\Office12\OUTLOOK.EXE
C:\Program Files\Babylon\Babylon-Pro\Babylon.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Users\userx\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://www.yaysat.com.tr/proxy/proxy.pac
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Babylon IE plugin - {9CFACCB6-2F3F-4177-94EA-0D2B72D384C1} - C:\Program Files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [IgfxTray] C:\Windows\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\Windows\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\Windows\system32\igfxpers.exe
O4 - HKLM\..\Run: [hpWirelessAssistant] C:\Program Files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [QlbCtrl.exe] C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [lfsndmng] C:\Program Files\LightningFAX\LFclient\LFSNDMNG.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Common Files\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [Communicator] "C:\Program Files\Microsoft Office Communicator\communicator.exe" /fromrunkey
O4 - HKLM\..\Run: [AgentUiRunKey] "C:\Program Files\Iron Mountain\Connected BackupPC\Agent.exe" -ni -sss -e http://localhost:16386/
O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\Program Files\Trend Micro\OfficeScan Client\pccntmon.exe" -HideWindow
O4 - HKLM\..\Run: [Babylon Client] C:\Program Files\Babylon\Babylon-Pro\Babylon.exe -AutoStart
O4 - HKLM\..\Run: [LifeCam] "C:\Program Files\Microsoft LifeCam\LifeExp.exe"
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - Global Startup: mimio Studio.lnk = C:\Program Files\mimio\mimio Studio\mimiosys.exe
O8 - Extra context menu item: Microsoft Excel'e &Ver - res://C:\PROGRA~1\MICROS~1\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Translate this web page with Babylon - res://C:\Program Files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll/ActionTU.htm
O8 - Extra context menu item: Translate with Babylon - res://C:\Program Files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll/Action.htm
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\Office12\REFIEBAR.DLL
O9 - Extra button: Translate this web page with Babylon - {F72841F0-4EF1-4df5-BCE5-B3AC8ACF5478} - C:\Program Files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll
O9 - Extra 'Tools' menuitem: Translate this web page with Babylon - {F72841F0-4EF1-4df5-BCE5-B3AC8ACF5478} - C:\Program Files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll
O16 - DPF: {00134F72-5284-44F7-95A8-52A619F70751} (ObjWinNTCheck Class) - https://172.20.12.103:4343/officescan/console/html/ClientInstall/WinNTChk.cab
O16 - DPF: {08D75BC1-D2B5-11D1-88FC-0080C859833B} (OfficeScan Corp Edition Web-Deployment SetupCtrl Class) - https://172.20.12.103:4343/officescan/console/html/ClientInstall/setup.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = yaysat.com
O17 - HKLM\Software\..\Telephony: DomainName = yaysat.com
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = yaysat.com
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = yaysat.com
O18 - Protocol: qcom - {B8DBD265-42C3-43E6-B439-E968C71984C6} - C:\Program Files\Common Files\Quest Shared\CodeXpert\qcom.dll
O22 - SharedTaskScheduler: FencesShellExt - {1984DD45-52CF-49cd-AB77-18F378FEA264} - C:\Program Files\Stardock\Fences\FencesMenu.dll
O23 - Service: Andrea ADI Filters Service (AEADIFilters) - Andrea Electronics Corporation - C:\Windows\system32\AEADISRV.EXE
O23 - Service: AgentService - Iron Mountain Incorporated - C:\Program Files\Iron Mountain\Connected BackupPC\AgentService.exe
O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - LSI Corporation - C:\Program Files\LSI SoftModem\agrsmsvc.exe
O23 - Service: BMFMySQL - Unknown owner - C:\Program Files\Quest Software\Benchmark Factory for Databases\Repository\MySQL\bin\mysqld-max-nt.exe
O23 - Service: Com4QLBEx - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\Com4QLBEx.exe
O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
O23 - Service: OfficeScanNT RealTime Scan (ntrtscan) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client\ntrtscan.exe
O23 - Service: SMS Task Sequence Agent (smstsmgr) - Unknown owner - C:\Windows\system32\CCM\TSManager.exe
O23 - Service: Check Point VPN-1 Securemote service (SR_Service) - Check Point Software Technologies - C:\Program Files\CheckPoint\SecuRemote\bin\SR_Service.exe
O23 - Service: Check Point VPN-1 Securemote watchdog (SR_Watchdog) - Check Point Software Technologies - C:\Program Files\CheckPoint\SecuRemote\bin\SR_Watchdog.exe
O23 - Service: Trend Micro Unauthorized Change Prevention Service (TMBMServer) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client\..\BM\TMBMSRV.exe
O23 - Service: OfficeScan NT Listener (tmlisten) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client\tmlisten.exe
O23 - Service: OfficeScan NT Proxy Service (TmProxy) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client\TmProxy.exe
O23 - Service: VNC Server Version 4 (WinVNC4) - RealVNC Ltd. - C:\Program Files\RealVNC\VNC4\WinVNC4.exe

--
End of file - 8204 bytes

Seperti yang disarankan dalam pertanyaan yang sangat mirip ini , saya telah menjalankan pemindaian penuh (+ boot time scan) dengan RegRun dan UnHackMe, tetapi mereka juga tidak menemukan apa pun. Saya telah dengan cermat memeriksa semua entri dalam Peraga Peristiwa, tetapi tidak ada yang salah.

Sekarang saya tahu bahwa ada trojan tersembunyi (rootkit) di komputer saya yang tampaknya menyamarkan dirinya dengan cukup sukses. Perhatikan bahwa saya tidak memiliki kesempatan untuk menghapus HDD, atau menginstal ulang OS karena ini adalah mesin kerja yang tunduk pada kebijakan TI tertentu pada domain perusahaan.

Terlepas dari semua upaya saya, masalahnya masih tetap ada. Saya sangat membutuhkan metode to-the-point atau penghapus rootkit pukka untuk menghapus apa pun itu. Saya tidak ingin menggunakan pengaturan sistem, yaitu menonaktifkan auto run satu per satu, mengacaukan registri, dll.

EDIT 2: Saya telah menemukan artikel yang terkait erat dengan masalah saya:

Malware dapat mematikan UAC di Windows 7; "Sesuai desain" kata Microsoft . Terima kasih khusus (!) Untuk Microsoft.

Dalam artikel tersebut, kode VBScript diberikan untuk menonaktifkan UAC secara otomatis:

'// 1337H4x Written by _____________ 
'//                    (12 year old)

Set WshShell = WScript.CreateObject("WScript.Shell")

'// Toggle Start menu
WshShell.SendKeys("^{ESC}")
WScript.Sleep(500)

'// Search for UAC applet
WshShell.SendKeys("change uac")
WScript.Sleep(2000)

'// Open the applet (assuming second result)
WshShell.SendKeys("{DOWN}")
WshShell.SendKeys("{DOWN}")
WshShell.SendKeys("{ENTER}")
WScript.Sleep(2000)

'// Set UAC level to lowest (assuming out-of-box Default setting)
WshShell.SendKeys("{TAB}")
WshShell.SendKeys("{DOWN}")
WshShell.SendKeys("{DOWN}")
WshShell.SendKeys("{DOWN}")

'// Save our changes
WshShell.SendKeys("{TAB}")
WshShell.SendKeys("{ENTER}")

'// TODO: Add code to handle installation of rebound
'// process to continue exploitation, i.e. place something
'// evil in Startup folder

'// Reboot the system
'// WshShell.Run "shutdown /r /f"

Sayangnya, itu tidak memberi tahu saya bagaimana saya bisa menyingkirkan kode jahat ini berjalan di sistem saya.

EDIT 3: Tadi malam, saya meninggalkan laptop terbuka karena menjalankan tugas SQL. Ketika saya datang di pagi hari, saya melihat bahwa UAC dimatikan. Jadi, saya curiga bahwa masalahnya tidak terkait dengan startup. Itu terjadi sekali sehari pasti tidak masalah jika mesin reboot.

EDIT 4: Hari ini, saya segera memulai "Process Monitor" segera setelah Windows mulai mudah-mudahan menangkap yang bersalah (terima kasih kepada @harrymc untuk idenya). Pada jam 9:17, slider UAC digeser ke bawah (Windows 7 Action Center memberi peringatan). Saya menyelidiki semua tindakan pendaftaran antara 9:16 dan 9:18. Saya menyimpan file log Monitor Proses (70MB hanya berisi interval 2 menit). Ada banyak EnableLUA = 0entri (dan lainnya). Saya memposting tangkapan layar dari properti windows dari 4 pertama di bawah ini. Dikatakan svchost.exesedang melakukan ini, dan memberikan beberapa nomor utas dan PID. Saya tidak tahu apa yang harus saya simpulkan tentang mereka:

masukkan deskripsi gambar di sini masukkan deskripsi gambar di sini masukkan deskripsi gambar di sini masukkan deskripsi gambar di sini

windows-7 virus uac malware rootkit Mehper C. Palavuzlar
sumber
1
Sebagai hal tambahan untuk diselidiki, ini mungkin merupakan pengaturan yang diterapkan oleh Kebijakan Grup dari pengontrol domain Anda. Mungkin mereka (karena alasan tertentu) mengaturnya untuk mengatur ulang UAC setiap hari. Tentu saja jika mereka mengaktifkannya menggunakan kebijakan grup dan malware menonaktifkannya, maka itu buruk. Saya akan ngobrol dengan orang-orang IT Anda, itu kalau mereka orang yang suka bicara.
Mokubai
@Mokubai: Terima kasih atas saran Anda. Saya berbicara dengan kolega lain di perusahaan, dan tidak ada dari mereka yang mengalami masalah seperti itu. Saya yakin IT kami tidak menonaktifkan UAC, karena mereka sangat sensitif terhadap masalah keamanan. Yang menarik adalah, bagaimana itu (mungkin) rootkit dapat merusak antivirus atau tindakan keamanan lainnya yang dilakukan oleh TI?
Mehper C. Palavuzlar
Mengenai bagaimana Anda mendapatkan infeksi yang mungkin terjadi sejak awal, yang paling sederhana perlindungan malware yang Anda miliki umumnya bersifat reaktif, meskipun deteksi proaktif dimungkinkan, hal itu tidak dapat diandalkan. Seseorang memimpikan cara untuk membobol sistem, kemudian perusahaan melihatnya dan menulis cara untuk mendeteksi atau menghapusnya, tindakan dan reaksi. Jika Anda memang memiliki infeksi, mungkin itu adalah jenis yang sama sekali baru yang belum pernah dilihat oleh perusahaan AV. Mengenai bagaimana Anda mendapatkannya, ada terlalu banyak celah keamanan di tempat-tempat yang tidak Anda harapkan untuk memberikan ide ...
Mokubai
HijackThis bersih. Anda mungkin ingin mempertimbangkan untuk mendapatkan filewall. Silakan coba Autoruns dan Monitor Proses seperti yang dijelaskan oleh Harry.
Tamara Wijsman
Sudahkah Anda mencoba mencari di Penjadwal Tugas? (Mulai -> Panel Kontrol -> Alat Administratif -> Penjadwal Tugas) Klik "Perpustakaan Penjadwal Tugas" untuk melihat Tugas yang diatur oleh hal-hal seperti Google Updater. Ada kemungkinan bahwa pengaturan ulang UAC harian Anda ada di suatu tempat di sana karena tugas dapat diatur pada waktu tertentu dan kemudian diatur untuk menjalankan X menit setelah login jika waktu itu telah berlalu ... Namun saya harus mengatakan, itu bisa saja menjadi tugas yang panjang dan sulit mencari melalui ribuan item di sana.
Mokubai

Jawaban:

6

Anda harus terlebih dahulu memeriksa apakah layanan Pusat Keamanan dapat memulai, dan jika tidak - yang salah satu ketergantungannya yang harus disalahkan. Cari juga pesan kesalahan di Peraga Peristiwa.

Jika Anda merasa komputer Anda terinfeksi, solusi yang mungkin adalah:

  1. Cara Memperbaiki File Sistem Windows 7 dengan Pemeriksa File Sistem .
  2. Perbaikan Startup: Cara Mudah Memperbaiki Masalah Boot Windows 7 Menggunakan Perbaikan Startup .
  3. Cara terakhir adalah memformat ulang hard disk dan menginstal ulang Windows.
    Dalam kasus Anda, ini mungkin berlaku: Melakukan Pemulihan Sistem HP di Windows Vista .

Hanya untuk berkomentar bahwa Windows cukup mampu menghancurkan dirinya sendiri tanpa bantuan, itulah sebabnya mengapa Pembaruan Windows lebih berbahaya daripada virus apa pun. Perbaikan Startup dapat memperbaiki masalah dalam hal ini dengan menginisialisasi ulang Windows, tanpa memerlukan aplikasi untuk diinstal ulang.

Jika Anda benar-benar berpikir masalahnya bukan karena virus, dan Anda ingin tahu lebih banyak tentang apa yang terjadi pada komputer Anda, Anda perlu mengetahui dua hal:

  1. Perubahan apa yang dilakukan pada sistem Anda,
  2. Program apa yang diubah ini.

Untuk yang pertama, jika itu adalah perubahan registri, maka kuncinya mungkin HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System, item EnableLUA , yang nilainya 0 untuk Menonaktifkan dan 1 untuk Mengaktifkan.

Setelah Anda menemukan perubahan yang dilakukan pada sistem Anda, Anda dapat menggunakan Monitor Proses dan opsi Enable Boot Logging-nya (lihat bantuan) untuk mencatat semua akses ke kunci.

Pertama saya akan boot dalam mode Aman, dan lihat apakah ini juga terjadi. Jika tidak, maka vektor serangan lain adalah dengan menggunakan Autoruns untuk menonaktifkan item startup dalam pencarian biner untuk produk (karena ini mungkin produk yang sah yang menyebabkan masalah, bukan virus).

harrymc
sumber
Terima kasih atas saran Anda. Saya sudah melakukan sfc /scannowdan katanya Windows Resource Protection Did Not Find Any Integrity Violations. Langkah 2 berisiko bagi saya karena ini adalah laptop perusahaan yang terkena kebijakan TI. Jika saya entah bagaimana mengacaukan proses boot, saya akan lebih banyak kesulitan. Langkah 3 tidak mungkin bagi saya.
Mehper C. Palavuzlar
Masalah kebijakan TI dipahami. Adakah hasil dari paragraf 1 saya?
harrymc
Pusat Keamanan dimulai tanpa masalah dalam Mode Normal. Saya telah dengan cermat memeriksa semua entri dalam Peraga Peristiwa (semua tanggal yang tersedia sampai sekarang), tetapi tidak ada yang salah, seperti yang saya nyatakan dalam pertanyaan saya. Saya juga secara terpisah memeriksa semua layanan yang berjalan, proses startup, entri registri, dan file .dll menggunakan berbagai program antivirus dan antimalware.
Mehper C. Palavuzlar
OK, saya telah menambahkan lebih banyak info. Bagaimanapun, jika Anda berpikir komputer Anda terinfeksi, saya yakin bahwa kebijakan TI mengharuskan Anda untuk mengumumkannya kepada IT sebelum Anda menginfeksi seluruh perusahaan.
harrymc
1
Yup, ada sesuatu yang mematikan UAC. (1) Apakah Anda mendapatkan prompt elevasi saat menjalankan regedit? Jika tidak, UAC sudah mati setelah boot. (2) Bagaimana situasi setelah boot dalam mode Aman? (3) Hanya untuk menyatakan bahwa pesan Pusat Aksi dapat ditampilkan karena perubahan dalam ConsentPromptBehaviorAdmin dan tidak hanya untuk EnableLUA.
harrymc
5

Dalam kasus saya itu adalah kebijakan domain yang diterapkan sekali per hari. Permasalahan yang sama. Diagnosis lebih mudah karena UAC dimatikan hanya terjadi ketika masuk ke domain, atau terhubung melalui VPN. Dengan demikian diketahui bahwa kebijakan domain menyertakan beberapa skrip untuk mematikan UAC. Saya menghubungi admin sistem saya dan mereka mengkonfirmasi itu. Jadi, Anda sebaiknya berkonsultasi dengan administrator domain atau memvalidasi profil dan kebijakan lokal skrip jika Anda tidak berada dalam domain.

Alexey Bondarenko
sumber
2

Opsi 1: Nonaktifkan semua program di Startup. (Mulai> Jalankan> Msconfig. Nonaktifkan semua yang ada di bawah permulaan).

Opsi 2: Instal edisi rumah AVAST dan jadwalkan pemindaian waktu booting. Lebih baik lagi, lepaskan hard disk dari mesin Anda dan hubungkan ke yang lain dan pindai dari sana menggunakan AVAST.

Opsi 3. Opsi lain adalah menjalankan HijackThis. Buat laporan dan bagikan di sini untuk analisis. http://free.antivirus.com/hijackthis/

bobbyalex
sumber
1
Item startup Anda terlihat baik-baik saja. Semua sama, nonaktifkan item startup dan periksa lagi. Saya sangat menyarankan Anda untuk menginstal Avast dan menjadwalkan pemindaian waktu boot, sebaiknya setelah menghubungkan hard disk ke komputer lain.
bobbyalex
Ada hal lain yang dapat Anda coba: buat pengguna non administratif dan login sebagai pengguna itu. Jika suatu program mencoba dijalankan maka Anda harus mendapatkan prompt UAC.
bobbyalex
Ini adalah PC kantor di domain perusahaan, jadi saya tidak berwenang membuat pengguna baru. BTW, saya mencoba memindai waktu boot Avast juga, tetapi tidak menemukan virus.
Mehper C. Palavuzlar
1

Silakan instal Microsoft Security Essentials dan lakukan pemindaian sistem lengkap. Karena MSE menggunakan API dan kait OS, ia mungkin dapat menemukan malware, jika itu sebenarnya semacam malware. Juga, jika MSE tidak dapat benar-benar menginstal atau menjalankan, maka kita tahu pasti sistemnya terganggu.

Karena, Anda telah menjalankan begitu banyak program AV dan Anti-Malware untuk memeriksa sistem Anda, saya sangat ragu bahwa komputer Anda telah disusupi. Alih-alih menginstal program AV dan Anti-Malware dan kemudian melakukan boot scan, gunakan komputer lain untuk memindai drive. Pasang drive ke sistem lain sebagai budak dan kemudian jalankan pemindaian. Anda harus melakukan boot scan dengan boot off dari CD atau DVD dan bukan dari hard drive itu sendiri karena hal itu benar-benar mencegah OS dari memulai dan root-kit dari menjalankan selama pemindaian yang sebenarnya.

Jujur saja, jika Anda yakin sistem Anda telah terdiri dari root-kit, maka nuke hard drive dan mulai dari awal. Minta departemen TI Anda untuk melakukan ini. Ini adalah satu-satunya cara untuk membuktikan bahwa sistem Anda bersih.

Metril
sumber
Pertama, terima kasih atas saran Anda. Menghapus HDD bukan opsi (lihat pertanyaan mengapa). Saya pikir MSE patut dicoba. Besok saya akan memeriksa dan membagikan hasilnya. Pemindaian booting dengan booting dari disk optikal tampaknya cukup masuk akal bagi saya. Bisakah Anda merekomendasikan saya tautan ke beberapa file gambar untuk dibakar ke disk? Sekali lagi, nuking HDD adalah pilihan terakhir bagi saya. Saya perlu menyelesaikan kasus ini tanpa melakukannya. Saya tahu ini solusi mutlak, tapi mari kita lihat apa yang bisa kita lakukan.
Mehper C. Palavuzlar
Saya melakukan pencarian cepat. Berikut ini tautan yang memiliki informasi tentang pemindaian virus yang dapat di-boot dari vendor yang berbeda. techmixer.com/free-bootable-antivirus-rescue-cds-download-list Cobalah.
Metril
MSE tidak menemukan apa pun. Sekarang saya akan mencoba CD cadangan bootable.
Mehper C. Palavuzlar
0

Saya sarankan Anda membuat akun pengguna lain di komputer Anda. Jangan jadikan akun ini sebagai administrator; simpan sebagai pengguna standar. Gunakan akun baru ini sebagai ganti akun administrator Anda. Jika Anda memang membutuhkan hak admin, UAC akan selalu meminta kredensial admin Anda. Dengan begitu, malware tidak akan dapat menonaktifkan UAC dan menjalankan hal-hal jahat ...

Coba Nonaktifkan UAC tanpa Hak Admin

Ini tidak akan menghilangkan virus, tetapi setidaknya akan menghentikannya dari menjadi lebih buruk. Kemudian, ketika anti-virus Anda mendapatkan definisi baru untuk mendeteksinya, ia akan dapat menghapusnya.

Kranu
sumber
Masalahnya adalah, ini adalah PC yang berfungsi pada domain perusahaan dan saya tidak memiliki hak untuk membuat pengguna baru.
Mehper C. Palavuzlar
0

Sebelum Anda beralih ke tindakan yang lebih rumit, silakan instal AVG Anti-Virus Free Edition 2011 . Biarkan ia melakukan pemindaian seluruh komputer. Baru-baru ini, saya memiliki masalah yang sama, dan tidak ada program anti-virus lain tetapi yang disebutkan di atas dapat memperbaikinya dengan langkah-langkah Anti-Rootkit-nya.

Jasper
sumber
Saya akan mencobanya hari ini dan memberi tahu Anda.
Mehper C. Palavuzlar
Tidak menemukan apa pun ...
Mehper C. Palavuzlar
0

Ini adalah masalah yang agak menarik. Saya harus mengatakan ini akan disebabkan oleh satu atau dua masalah berbeda:

1) Kebanyakan orang mencurigai virus, dan memang benar, virus suka masuk ke windows dan mengutak-atik pengaturan.

Anda telah menjalankan sejumlah pemindaian komprehensif. Setiap virus harus ditangkap oleh yang sudah berjalan, jadi saya percaya ini adalah unggas windows.

2) Windows dikacaukan. Saya akan merekomendasikan Anda menjalankan pemeriksaan disk di komputer Anda. Dua metode berbeda yang memberikan hasil yang serupa.

- Buka komputer saya, lalu klik kanan pada hard drive Anda yang memuat windows. Selanjutnya, pilih tab alat dan klik pada tombol yang mengatakan Disk Check [atau yang serupa]. Sekarang centang dua kotak opsi jika belum. Komputer Anda akan meminta Anda untuk me-restart komputer Anda, jika Anda tidak mencentang kotak opsi. Biarkan pemindaian itu berjalan. Ini harus membersihkan unggas apa pun dalam instalasi Windows Anda.

Sekarang, jika pemindaian itu gagal, masukkan disk instalasi sistem operasi Anda. Jika menggunakan XP, tekan R ketika layar biru muncul menanyakan tugas apa yang ingin Anda lakukan. Sekarang, pilih hard drive yang digunakan sistem operasi Anda, dan tekan enter setelah memasukkan nomor yang sesuai. Setelah itu, masukkan kata sandi untuk akun Administrator [biasanya ini kosong]. Sekarang, masuk ke konsol perintah: chkdsk / r

ini harus melakukan pemindaian yang sama, namun dapat memperbaiki lebih banyak masalah karena pemindaian sedang dijalankan dari disk instalasi.

jika menjalankan pemindaian untuk mesin VISTA atau TUJUH, masukkan disk dan pilih opsi perbaikan. Setelah itu, tekan batal dan itu akan memunculkan jendela baru, di mana Anda dapat melakukan lebih banyak operasi. Opsi terakhir harus mengatakan "Jendela konsol" atau semacamnya.

masuk ke konsol perintah "chkdsk / r C:"

Semoga ini membantu.

Flasimbufasa
sumber
Saya menjalankan Windows 7 (harap lihat tanda tanya). Saya telah menjalankan chkdsk /r C:saat boot dan butuh sekitar 1 jam. Tidak ada masalah yang ditemukan.
Mehper C. Palavuzlar
0

Saya baru saja menemukan pesan ini. pagi ini. Java telah mencoba memperbarui dirinya untuk sementara waktu sekarang jadi saya mengubah pengaturan pemberitahuan menjadi "jangan beri tahu" dan segera menerima pesan bahwa saya harus memulai ulang cpu saya untuk mematikan kontrol. Saya masuk dan mengatur ulang level notifikasi dan masalah terselesaikan. Semoga itu bisa membantu

pengguna338543
sumber
-1

Menangkan 10 menggunakan Malwarebytes. Malware rupanya mematikan UAC saat startup. Berhenti memuatnya saat permulaan dan masalah tampaknya teratasi. Kemudian, startup yang disesuaikan untuk menunda pengaturan Malwarebytes dan tampaknya berfungsi.

Maleware dapat Byte UAC
sumber
Tidak akan menunda startup perangkat lunak pendeteksi malware meningkatkan kemungkinan malware sebenarnya dapat menyembunyikan dirinya sendiri?
Arjan
Pertanyaannya secara eksplisit bertanya tentang Windows 7, jadi saya tidak yakin mengapa Anda menangani Windows 10. Juga, tidak jelas bahwa saran Anda benar-benar menyelesaikan masalah, daripada hanya menyembunyikannya.
David Richerby