UAC étant désactivé une fois par jour sur Windows 7

10

J'ai un problème étrange sur mon ordinateur portable HP. Cela a commencé récemment. Chaque fois que je démarre ma machine, le Centre d'action Windows 7 affiche l'avertissement suivant:

Vous devez redémarrer votre ordinateur pour que l'UAC soit désactivé.

En fait, cela ne se produit pas si cela s'est produit une fois un jour spécifique. Par exemple, lorsque je démarre la machine le matin, elle apparaît; mais il n'apparaît jamais dans les redémarrages suivants au cours de cette journée. Le lendemain, la même chose se reproduit.

Je ne désactive jamais l'UAC, mais il est évident que certains rootkits ou virus en sont la cause. Dès que j'obtiens cet avertissement, je me dirige vers les paramètres UAC et je réactive UAC pour ignorer cet avertissement. C'est une situation gênante car je ne peux pas y remédier.

Tout d'abord, j'ai exécuté une analyse complète sur l'ordinateur pour toute activité probable de virus et de malware / rootkit, mais TrendMicro OfficeScan a déclaré qu'aucun virus n'a été trouvé. Je suis allé dans un ancien point de restauration à l'aide de la restauration du système Windows, mais le problème n'a pas été résolu.

Ce que j'ai essayé jusqu'à présent (qui n'a pas pu trouver le rootkit):

  • TrendMicro OfficeScan Antivirus
  • AVAST
  • Malwarebytes Anti-Malware
  • Ad-Aware
  • Vipre Antivirus
  • GMER
  • TDSSKiller (Kaspersky Labs)
  • HiJackThis
  • RegRuns
  • UnHackMe
  • SuperAntiSpyware Portable
  • Rasoir Tizer Rootkit ( * )
  • Sophos Anti-Rootkit
  • SpyHunter 4
  • ComboFix

Il n'y a pas d'autres activités étranges sur la machine. Tout fonctionne bien sauf cet incident bizarre.

Quel pourrait être le nom de ce rootkit ennuyeux? Comment puis-je le détecter et le supprimer?

EDIT: Voici le fichier journal généré par HijackThis:

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 13:07:04, on 17.01.2011
Platform: Windows 7  (WinNT 6.00.3504)
MSIE: Internet Explorer v8.00 (8.00.7600.16700)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskhost.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\CheckPoint\SecuRemote\bin\SR_GUI.Exe
C:\Windows\System32\igfxtray.exe
C:\Windows\System32\hkcmd.exe
C:\Windows\system32\igfxsrvc.exe
C:\Windows\System32\igfxpers.exe
C:\Program Files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\QLBCTRL.exe
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\VolCtrl.exe
C:\Program Files\LightningFAX\LFclient\lfsndmng.exe
C:\Program Files\Common Files\Java\Java Update\jusched.exe
C:\Program Files\Microsoft Office Communicator\communicator.exe
C:\Program Files\Iron Mountain\Connected BackupPC\Agent.exe
C:\Program Files\Trend Micro\OfficeScan Client\PccNTMon.exe
C:\Program Files\Microsoft LifeCam\LifeExp.exe
C:\Program Files\Hewlett-Packard\Shared\HpqToaster.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\mimio\mimio Studio\system\aps_tablet\atwtusb.exe
C:\Program Files\Microsoft Office\Office12\OUTLOOK.EXE
C:\Program Files\Babylon\Babylon-Pro\Babylon.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Users\userx\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://www.yaysat.com.tr/proxy/proxy.pac
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Babylon IE plugin - {9CFACCB6-2F3F-4177-94EA-0D2B72D384C1} - C:\Program Files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [IgfxTray] C:\Windows\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\Windows\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\Windows\system32\igfxpers.exe
O4 - HKLM\..\Run: [hpWirelessAssistant] C:\Program Files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [QlbCtrl.exe] C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [lfsndmng] C:\Program Files\LightningFAX\LFclient\LFSNDMNG.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Common Files\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [Communicator] "C:\Program Files\Microsoft Office Communicator\communicator.exe" /fromrunkey
O4 - HKLM\..\Run: [AgentUiRunKey] "C:\Program Files\Iron Mountain\Connected BackupPC\Agent.exe" -ni -sss -e http://localhost:16386/
O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\Program Files\Trend Micro\OfficeScan Client\pccntmon.exe" -HideWindow
O4 - HKLM\..\Run: [Babylon Client] C:\Program Files\Babylon\Babylon-Pro\Babylon.exe -AutoStart
O4 - HKLM\..\Run: [LifeCam] "C:\Program Files\Microsoft LifeCam\LifeExp.exe"
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - Global Startup: mimio Studio.lnk = C:\Program Files\mimio\mimio Studio\mimiosys.exe
O8 - Extra context menu item: Microsoft Excel'e &Ver - res://C:\PROGRA~1\MICROS~1\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Translate this web page with Babylon - res://C:\Program Files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll/ActionTU.htm
O8 - Extra context menu item: Translate with Babylon - res://C:\Program Files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll/Action.htm
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\Office12\REFIEBAR.DLL
O9 - Extra button: Translate this web page with Babylon - {F72841F0-4EF1-4df5-BCE5-B3AC8ACF5478} - C:\Program Files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll
O9 - Extra 'Tools' menuitem: Translate this web page with Babylon - {F72841F0-4EF1-4df5-BCE5-B3AC8ACF5478} - C:\Program Files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll
O16 - DPF: {00134F72-5284-44F7-95A8-52A619F70751} (ObjWinNTCheck Class) - https://172.20.12.103:4343/officescan/console/html/ClientInstall/WinNTChk.cab
O16 - DPF: {08D75BC1-D2B5-11D1-88FC-0080C859833B} (OfficeScan Corp Edition Web-Deployment SetupCtrl Class) - https://172.20.12.103:4343/officescan/console/html/ClientInstall/setup.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = yaysat.com
O17 - HKLM\Software\..\Telephony: DomainName = yaysat.com
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = yaysat.com
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = yaysat.com
O18 - Protocol: qcom - {B8DBD265-42C3-43E6-B439-E968C71984C6} - C:\Program Files\Common Files\Quest Shared\CodeXpert\qcom.dll
O22 - SharedTaskScheduler: FencesShellExt - {1984DD45-52CF-49cd-AB77-18F378FEA264} - C:\Program Files\Stardock\Fences\FencesMenu.dll
O23 - Service: Andrea ADI Filters Service (AEADIFilters) - Andrea Electronics Corporation - C:\Windows\system32\AEADISRV.EXE
O23 - Service: AgentService - Iron Mountain Incorporated - C:\Program Files\Iron Mountain\Connected BackupPC\AgentService.exe
O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - LSI Corporation - C:\Program Files\LSI SoftModem\agrsmsvc.exe
O23 - Service: BMFMySQL - Unknown owner - C:\Program Files\Quest Software\Benchmark Factory for Databases\Repository\MySQL\bin\mysqld-max-nt.exe
O23 - Service: Com4QLBEx - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\Com4QLBEx.exe
O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
O23 - Service: OfficeScanNT RealTime Scan (ntrtscan) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client\ntrtscan.exe
O23 - Service: SMS Task Sequence Agent (smstsmgr) - Unknown owner - C:\Windows\system32\CCM\TSManager.exe
O23 - Service: Check Point VPN-1 Securemote service (SR_Service) - Check Point Software Technologies - C:\Program Files\CheckPoint\SecuRemote\bin\SR_Service.exe
O23 - Service: Check Point VPN-1 Securemote watchdog (SR_Watchdog) - Check Point Software Technologies - C:\Program Files\CheckPoint\SecuRemote\bin\SR_Watchdog.exe
O23 - Service: Trend Micro Unauthorized Change Prevention Service (TMBMServer) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client\..\BM\TMBMSRV.exe
O23 - Service: OfficeScan NT Listener (tmlisten) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client\tmlisten.exe
O23 - Service: OfficeScan NT Proxy Service (TmProxy) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client\TmProxy.exe
O23 - Service: VNC Server Version 4 (WinVNC4) - RealVNC Ltd. - C:\Program Files\RealVNC\VNC4\WinVNC4.exe

--
End of file - 8204 bytes

Comme suggéré dans cette question très similaire , j'ai exécuté des analyses complètes (+ analyses au démarrage) avec RegRun et UnHackMe, mais elles n'ont également rien trouvé. J'ai soigneusement examiné toutes les entrées dans l'Observateur d'événements, mais il n'y a rien de mal.

Maintenant, je sais qu'il y a un cheval de Troie caché (rootkit) sur ma machine qui semble se déguiser avec succès. Notez que je n'ai pas la possibilité de retirer le disque dur ou de réinstaller le système d'exploitation car il s'agit d'une machine de travail soumise à certaines politiques informatiques sur un domaine d'entreprise.

Malgré toutes mes tentatives, le problème persiste. J'ai strictement besoin d'une méthode directe ou d'un décapant de rootkit pukka pour supprimer quoi que ce soit. Je ne veux pas modifier les paramètres du système, c'est-à-dire désactiver les exécutions automatiques un par un, salir le registre, etc.

EDIT 2: J'ai trouvé un article qui est étroitement lié à mon problème:

Les logiciels malveillants peuvent désactiver l'UAC dans Windows 7; «De par leur conception», explique Microsoft . Un merci spécial (!) À Microsoft.

Dans l'article, un code VBScript est donné pour désactiver automatiquement l'UAC:

'// 1337H4x Written by _____________ 
'//                    (12 year old)

Set WshShell = WScript.CreateObject("WScript.Shell")

'// Toggle Start menu
WshShell.SendKeys("^{ESC}")
WScript.Sleep(500)

'// Search for UAC applet
WshShell.SendKeys("change uac")
WScript.Sleep(2000)

'// Open the applet (assuming second result)
WshShell.SendKeys("{DOWN}")
WshShell.SendKeys("{DOWN}")
WshShell.SendKeys("{ENTER}")
WScript.Sleep(2000)

'// Set UAC level to lowest (assuming out-of-box Default setting)
WshShell.SendKeys("{TAB}")
WshShell.SendKeys("{DOWN}")
WshShell.SendKeys("{DOWN}")
WshShell.SendKeys("{DOWN}")

'// Save our changes
WshShell.SendKeys("{TAB}")
WshShell.SendKeys("{ENTER}")

'// TODO: Add code to handle installation of rebound
'// process to continue exploitation, i.e. place something
'// evil in Startup folder

'// Reboot the system
'// WshShell.Run "shutdown /r /f"

Malheureusement, cela ne me dit pas comment me débarrasser de ce code malveillant exécuté sur mon système.

EDIT 3: Hier soir, j'ai laissé l'ordinateur portable ouvert en raison d'une tâche SQL en cours d'exécution. Quand je suis arrivé le matin, j'ai vu que l'UAC était désactivé. Donc, je soupçonne que le problème n'est pas lié au démarrage. Cela se produit une fois par jour à coup sûr, peu importe si la machine est redémarrée.

EDIT 4: Aujourd'hui, j'ai immédiatement démarré "Process Monitor" dès que Windows a commencé à espérer attraper le coupable (merci à @harrymc pour l'idée). À 9h17, le curseur UAC a été glissé vers le bas (Windows 7 Action Center a donné l'avertissement). J'ai enquêté sur toutes les actions de registre entre 9h16 et 9h18. J'ai enregistré le fichier journal de Process Monitor (70 Mo contenant uniquement cet intervalle de 2 minutes). Il y a beaucoup d' EnableLUA = 0entrées (et les autres). Je poste les captures d'écran des fenêtres de propriétés des 4 premiers ci-dessous. Il dit qu'il svchost.exefait cela et donne quelques numéros de thread et PID. Je ne sais pas ce que je devrais en déduire:

entrez la description de l'image ici entrez la description de l'image ici entrez la description de l'image ici entrez la description de l'image ici

windows-7  virus  uac  malware  rootkit 
Mehper C. Palavuzlar
source
1
En tant qu'élément supplémentaire à étudier, il peut s'agir d'un paramètre appliqué par la stratégie de groupe à partir de votre contrôleur de domaine. Il se peut qu'ils (pour une raison quelconque) l'aient configuré pour réinitialiser l'UAC quotidiennement. Bien sûr, s'ils l'activent à l'aide de stratégies de groupe et que les logiciels malveillants le désactivent, c'est mauvais. J'aurais une conversation avec vos informaticiens, c'est-à-dire s'ils sont du genre bavard.
Mokubai
@Mokubai: Merci pour votre suggestion. J'ai parlé aux autres collègues de l'entreprise, et aucun d'entre eux n'a un tel problème. Je suis sûr que notre service informatique n'a pas désactivé l'UAC, car ils sont très sensibles aux problèmes de sécurité. La chose intéressante est, comment ce rootkit (possible) a-t-il trompé l'antivirus ou d'autres mesures de sécurité mises en place par l'informatique?
Mehper C. Palavuzlar
Quant à la façon dont vous pouvez avoir obtenu cette possible infection en premier lieu, à c'est plus simple une protection contre les malwares que vous pourriez avoir est généralement de nature réactive, bien que la détection proactive est possible , il est pas fiable. Quelqu'un imagine un moyen de pénétrer dans un système, puis une entreprise le repère et écrit un moyen de le détecter ou de le supprimer, une action et une réaction. Si vous avez effectivement une infection, cela pourrait très bien être une souche complètement nouvelle qui n'a pas encore été vue par les sociétés AV. Quant à savoir comment vous l'avez obtenu, il y a trop de failles de sécurité dans des endroits
auxquels
HijackThis est propre. Vous voudrez peut-être envisager d'obtenir un mur de fichiers. Veuillez essayer Autoruns et Process Monitor comme décrit par Harry.
Tamara Wijsman
Avez-vous essayé de chercher dans le Planificateur de tâches? (Démarrer -> Panneau de configuration -> Outils d'administration -> Planificateur de tâches) Cliquez sur "Bibliothèque du planificateur de tâches" pour voir les tâches configurées par des choses comme Google Updater. Il est possible que votre réinitialisation quotidienne de l'UAC se trouve quelque part, car les tâches peuvent être configurées à un moment particulier, puis être configurées pour s'exécuter X minutes après la connexion si ce temps est déjà passé ... Je dois dire cependant que cela pourrait être une tâche longue et difficile à parcourir à travers les milliers d'articles qui s'y trouvent.
Mokubai

Réponses:

6

Vous devez d'abord vérifier si le service Security Center peut démarrer, et sinon - laquelle de ses dépendances est à blâmer. Recherchez également les messages d'erreur dans l'Observateur d'événements.

Si vous avez le sentiment que votre ordinateur est infecté, les solutions possibles peuvent être:

  1. Comment réparer les fichiers système de Windows 7 avec le vérificateur de fichiers système .
  2. Réparation de démarrage: Comment réparer facilement les problèmes de démarrage de Windows 7 à l'aide de la réparation de démarrage .
  3. Le dernier recours consiste à reformater le disque dur et à réinstaller Windows.
    Dans votre cas, cela peut s'appliquer: Exécution d'une récupération système HP sous Windows Vista .

Juste pour remarquer que Windows est tout à fait capable de se détruire sans aucune aide, c'est pourquoi Windows Update est plus dangereux que n'importe quel virus. La réparation au démarrage peut résoudre le problème dans ce cas en réinitialisant Windows, sans nécessiter la réinstallation des applications.

Si vous pensez vraiment que le problème est plutôt celui d'un virus et que vous souhaitez en savoir plus sur ce qui se passe sur votre ordinateur, vous devrez découvrir deux choses:

  1. Quels changements sont apportés à votre système,
  2. Quel programme cela change-t-il?

Pour le premier, s'il s'agit d'une modification du registre, la clé est probablement l' HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Systemélément EnableLUA , dont la valeur est 0 pour la désactivation et 1 pour l'activation.

Une fois que vous avez localisé la modification apportée à votre système, vous pouvez utiliser Process Monitor et son option Enable Boot Logging (voir l'aide) pour consigner tous les accès à la clé.

Je voudrais d'abord démarrer en mode sans échec et voir si cela se produit également. Sinon, un autre vecteur d'attaque consiste à utiliser les exécutions automatiques pour désactiver les éléments de démarrage dans une recherche binaire du produit (car il peut s'agir d'un produit légitime à l'origine du problème plutôt que d'un virus).

harrymc
source
Merci pour vos suggestions. J'ai déjà joué sfc /scannowet ça dit Windows Resource Protection Did Not Find Any Integrity Violations. L'étape 2 est risquée pour moi car il s'agit d'un ordinateur portable d'entreprise soumis à des politiques informatiques. Si je gâche en quelque sorte le processus de démarrage, j'aurai plus de problèmes. L'étape 3 est hors de question pour moi.
Mehper C. Palavuzlar
Problème des politiques informatiques compris. Des résultats de mon 1er paragraphe?
harrymc
Security Center démarre sans problème en mode normal. J'ai soigneusement examiné toutes les entrées dans l'Observateur d'événements (toutes les dates disponibles jusqu'à présent), mais il n'y a rien de mal, comme je l'ai dit dans ma question. J'ai également vérifié séparément tous les services en cours d'exécution, les processus de démarrage, les entrées de registre et les fichiers .dll à l'aide de divers programmes antivirus et antimalware.
Mehper C. Palavuzlar
OK, j'ai ajouté plus d'informations. Dans tous les cas, si vous pensez que votre ordinateur est infecté, je suis sûr que les politiques informatiques vous obligent à le signaler avant d'infecter toute l'entreprise.
harrymc
1
Ouais, quelque chose désactive l'UAC. (1) Recevez-vous une invite d'élévation lors de l'exécution de regedit? Si vous ne le faites pas, l'UAC est déjà désactivé après le démarrage. (2) Quelle est la situation après un démarrage en mode sans échec? (3) Juste pour remarquer que le message Action Center peut être affiché en raison d'un changement dans ConsentPromptBehaviorAdmin et pas seulement pour EnableLUA.
harrymc
5

Dans mon cas, c'était la politique de domaine qui était appliquée une fois par jour. Même problème. Le diagnostic a été plus facile car la désactivation de l'UAC s'est produite uniquement lors de la connexion au domaine ou de la connexion via VPN. Ainsi, il a été découvert que la stratégie de domaine comprenait un script pour désactiver l'UAC. J'ai contacté mes administrateurs système et ils l'ont confirmé. Il est donc préférable de consulter vos administrateurs de domaine ou de valider les politiques et scripts locaux de profil si vous n'êtes pas dans le domaine.

Alexey Bondarenko
source
2

Option 1: désactivez tous les programmes au démarrage. (Démarrer> Exécuter> Msconfig. Désactivez tout au démarrage).

Option 2: installez AVAST home edition et planifiez une analyse de l'heure de démarrage. Mieux encore, déconnectez le disque dur de votre machine et connectez-le à un autre et numérisez-le à partir de là à l'aide d'AVAST.

Option 3. Une autre option consiste à exécuter HijackThis. Générez le rapport et partagez-le ici pour analyse. http://free.antivirus.com/hijackthis/

bobbyalex
source
1
Vos éléments de démarrage semblent bien. Tout de même, désactivez les éléments de démarrage et vérifiez à nouveau. Je vous suggère fortement d'installer Avast et de planifier une analyse de l'heure de démarrage, de préférence après avoir connecté le disque dur à une autre machine.
bobbyalex
Il y a une autre chose que vous pouvez essayer: créer un utilisateur non administrateur et vous connecter en tant qu'utilisateur. Si un programme tente de s'exécuter, vous devriez obtenir une invite UAC.
bobbyalex
Il s'agit d'un PC de travail sur un domaine d'entreprise, je ne suis donc pas autorisé à créer de nouveaux utilisateurs. BTW, j'ai également essayé l'analyse du temps de démarrage d'Avast, mais il n'a trouvé aucun virus.
Mehper C. Palavuzlar
1

Veuillez installer Microsoft Security Essentials et effectuer une analyse complète du système. Étant donné que MSE utilise des API et des crochets du système d'exploitation, il peut être en mesure de localiser le malware, s'il s'agit en fait d'une sorte de malware. De plus, si MSE n'est pas en mesure d'installer ou d'exécuter réellement, nous savons alors que le système est compromis.

Depuis, vous avez exécuté tellement de programmes AV et Anti-Malware pour vérifier votre système, je doute fortement que votre ordinateur ait été compromis. Au lieu d'installer les programmes AV et Anti-Malware puis d'effectuer une analyse de démarrage, utilisez un autre ordinateur pour analyser le lecteur. Connectez le lecteur à un autre système en tant qu'esclave, puis exécutez les analyses. Vous devez effectuer l'analyse de démarrage en démarrant à partir d'un CD ou d'un DVD et non à partir du disque dur lui-même, car cela empêche vraiment le système d'exploitation de démarrer et le root-kit de s'exécuter pendant l'analyse réelle.

Honnêtement cependant, si vous êtes sûr que votre système a été composé par un root-kit, alors faites tourner le disque dur et recommencez à zéro. Demandez à votre service informatique de le faire. C'est le seul moyen infaillible pour être sûr que votre système est propre.

Metril
source
Tout d'abord, merci pour vos suggestions. Le retrait du disque dur n'est pas une option (voir la question de savoir pourquoi). Je pense que MSE mérite un essai. Demain, je vérifierai et partagerai le résultat. Une analyse de démarrage en démarrant à partir d'un disque optique me semble tout à fait raisonnable. Pouvez-vous me recommander un lien vers un fichier image à graver sur disque? Encore une fois, nuking le disque dur est le dernier recours pour moi. Je dois résoudre le cas sans le faire. Je sais que c'est une solution absolue, mais voyons ce que nous pouvons faire.
Mehper C. Palavuzlar
J'ai fait une recherche rapide. Voici un lien contenant des informations sur les analyses antivirus de démarrage de différents fournisseurs. techmixer.com/free-bootable-antivirus-rescue-cds-download-list Essayez-les.
Metril
MSE n'a rien trouvé. Je vais maintenant essayer un CD de secours amorçable.
Mehper C. Palavuzlar
0

Je vous recommande de créer un autre compte d'utilisateur sur votre ordinateur. Ne faites pas de ce compte un administrateur; conservez-le en tant qu'utilisateur standard. Utilisez ce nouveau compte au lieu de votre compte administrateur. Si vous avez besoin de droits d'administrateur, UAC vous demandera toujours vos informations d'identification d'administrateur. De cette façon, les logiciels malveillants ne pourront pas désactiver l'UAC et exécuter des éléments malveillants ...

Essayez de désactiver l'UAC sans droits d'administrateur

Cela ne supprimera pas le virus, mais cela l'empêchera au moins de s'aggraver. Ensuite, lorsque votre antivirus obtiendra de nouvelles définitions pour le détecter, il pourra le supprimer.

Kranu
source
Le problème est que c'est un PC de travail sur un domaine d'entreprise et je n'ai pas le droit de créer un nouvel utilisateur.
Mehper C. Palavuzlar
0

C'est une question assez intéressante. Je dois dire que cela serait causé par un ou deux problèmes différents:

1) La plupart des gens soupçonnent un virus, et à juste titre, les virus adorent pénétrer dans les fenêtres et bricoler les paramètres.

Vous avez déjà exécuté un grand nombre d'analyses. Tout virus devrait être attrapé par ceux déjà exécutés, donc je pense que c'est un voleur Windows.

2) Windows est poussé. Je vous recommande de lancer une vérification du disque sur votre ordinateur. Deux méthodes différentes qui donnent des résultats similaires.

- Ouvrez mon ordinateur, puis cliquez avec le bouton droit sur votre disque dur dont Windows se charge. Ensuite, sélectionnez l'onglet Outils et cliquez sur le bouton qui dit Vérification du disque [ou quelque chose de similaire]. Cochez maintenant les deux cases d'option si elles ne le sont pas déjà. Votre ordinateur devrait vous demander de redémarrer votre ordinateur, sinon, vous n'avez pas coché les cases d'option. Laissez ce scan s'exécuter. Il devrait nettoyer tous les oiseaux de votre installation Windows.

Maintenant, si cette analyse échoue, insérez le disque d'installation de votre système d'exploitation. Si vous utilisez XP, appuyez sur R lorsque l'écran bleu s'affiche pour vous demander quelle tâche vous souhaitez effectuer. Maintenant, sélectionnez le disque dur sur lequel se trouve votre système d'exploitation et appuyez sur Entrée après avoir entré le numéro approprié. Ensuite, saisissez le mot de passe du compte administrateur [généralement vide]. Maintenant, entrez dans la console de commande: chkdsk / r

cela devrait faire la même analyse, mais cela peut résoudre plus de problèmes car l'analyse est exécutée à partir du disque d'installation.

si vous exécutez la recherche d'une machine VISTA ou SEVEN, insérez le disque et sélectionnez l'option de réparation. Ensuite, appuyez sur Annuler et cela devrait faire apparaître une nouvelle fenêtre, dans laquelle vous pouvez effectuer plus d'opérations. La dernière option devrait indiquer "Fenêtre de console" ou quelque chose du genre.

entrez dans la console de commande "chkdsk / r C:"

J'espère que cela t'aides.

Flasimbufasa
source
J'utilise Windows 7 (veuillez consulter les balises de questions). J'ai couru chkdsk /r C:au démarrage et cela a pris environ 1 heure. Aucun problème n'a été trouvé.
Mehper C. Palavuzlar
0

Je viens de rencontrer ce même msg. ce matin. Java essaie de se mettre à jour depuis un certain temps maintenant, j'ai donc changé les paramètres de notification en "ne pas notifier" et j'ai immédiatement reçu le message que je devais redémarrer mon processeur pour désactiver le contrôle. Je suis entré et j'ai réinitialisé le niveau de notification et le problème a été résolu. J'espère que ça t'as aidé

user338543
source
-1

Gagnez 10 en utilisant Malwarebytes. Les logiciels malveillants éteignaient apparemment l'UAC au démarrage. A cessé de le charger au démarrage et le problème a semblé se résoudre. A ensuite ajusté le démarrage pour retarder la configuration de Malwarebytes et cela a semblé fonctionner.

Maleware peut octet UAC
source
Ne pas retarder le démarrage d'un logiciel de détection de logiciels malveillants n'augmenterait-il pas les chances qu'un logiciel malveillant réel puisse se cacher?
Arjan
La question pose explicitement sur Windows 7, donc je ne sais pas pourquoi vous vous adressez à Windows 10. En outre, il n'est pas clair que votre suggestion résout réellement le problème, plutôt que de simplement le cacher.
David Richerby
En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.