UAC sendo desativado uma vez por dia no Windows 7

10

Estou com um problema estranho no meu laptop HP. Isso começou a acontecer recentemente. Sempre que inicio minha máquina, o Windows 7 Action Center exibe o seguinte aviso:

Você precisa reiniciar o computador para que o UAC seja desligado.

Na verdade, isso não acontece se aconteceu uma vez em um dia específico. Por exemplo, quando eu ligo a máquina pela manhã, ela aparece; mas nunca aparece nas reinicializações subsequentes nesse mesmo dia. No dia seguinte, a mesma coisa acontece novamente.

Eu nunca desabilito o UAC, mas obviamente alguns rootkits ou vírus causam isso. Assim que recebo esse aviso, vou para as configurações do UAC e reativo o UAC para ignorar esse aviso. Esta é uma situação incômoda, pois não posso corrigi-la.

Primeiro, eu executei uma verificação completa no computador em busca de qualquer provável atividade de vírus e malware / rootkit, mas o TrendMicro OfficeScan disse que nenhum vírus foi encontrado. Eu fui a um ponto de restauração antigo usando a Restauração do Sistema do Windows, mas o problema não foi resolvido.

O que eu tentei até agora (que não conseguiu encontrar o rootkit):

  • TrendMicro OfficeScan Antivirus
  • AVAST
  • Malwarebytes Anti-Malware
  • Ad-Aware
  • Vipre Antivirus
  • GMER
  • TDSSKiller (Kaspersky Labs)
  • HiJackThis
  • RegRuns
  • UnHackMe
  • SuperAntiSpyware Portable
  • Tizer Rootkit Razor ( * )
  • Sophos Anti-Rootkit
  • SpyHunter 4
  • ComboFix

Não há outras atividades estranhas na máquina. Tudo funciona bem, exceto esse incidente bizarro.

Qual poderia ser o nome desse rootkit irritante? Como posso detectá-lo e removê-lo?

EDIT: Abaixo está o arquivo de log gerado pelo HijackThis:

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 13:07:04, on 17.01.2011
Platform: Windows 7  (WinNT 6.00.3504)
MSIE: Internet Explorer v8.00 (8.00.7600.16700)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskhost.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\CheckPoint\SecuRemote\bin\SR_GUI.Exe
C:\Windows\System32\igfxtray.exe
C:\Windows\System32\hkcmd.exe
C:\Windows\system32\igfxsrvc.exe
C:\Windows\System32\igfxpers.exe
C:\Program Files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\QLBCTRL.exe
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\VolCtrl.exe
C:\Program Files\LightningFAX\LFclient\lfsndmng.exe
C:\Program Files\Common Files\Java\Java Update\jusched.exe
C:\Program Files\Microsoft Office Communicator\communicator.exe
C:\Program Files\Iron Mountain\Connected BackupPC\Agent.exe
C:\Program Files\Trend Micro\OfficeScan Client\PccNTMon.exe
C:\Program Files\Microsoft LifeCam\LifeExp.exe
C:\Program Files\Hewlett-Packard\Shared\HpqToaster.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\mimio\mimio Studio\system\aps_tablet\atwtusb.exe
C:\Program Files\Microsoft Office\Office12\OUTLOOK.EXE
C:\Program Files\Babylon\Babylon-Pro\Babylon.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Users\userx\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://www.yaysat.com.tr/proxy/proxy.pac
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Babylon IE plugin - {9CFACCB6-2F3F-4177-94EA-0D2B72D384C1} - C:\Program Files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [IgfxTray] C:\Windows\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\Windows\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\Windows\system32\igfxpers.exe
O4 - HKLM\..\Run: [hpWirelessAssistant] C:\Program Files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [QlbCtrl.exe] C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [lfsndmng] C:\Program Files\LightningFAX\LFclient\LFSNDMNG.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Common Files\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [Communicator] "C:\Program Files\Microsoft Office Communicator\communicator.exe" /fromrunkey
O4 - HKLM\..\Run: [AgentUiRunKey] "C:\Program Files\Iron Mountain\Connected BackupPC\Agent.exe" -ni -sss -e http://localhost:16386/
O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\Program Files\Trend Micro\OfficeScan Client\pccntmon.exe" -HideWindow
O4 - HKLM\..\Run: [Babylon Client] C:\Program Files\Babylon\Babylon-Pro\Babylon.exe -AutoStart
O4 - HKLM\..\Run: [LifeCam] "C:\Program Files\Microsoft LifeCam\LifeExp.exe"
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - Global Startup: mimio Studio.lnk = C:\Program Files\mimio\mimio Studio\mimiosys.exe
O8 - Extra context menu item: Microsoft Excel'e &Ver - res://C:\PROGRA~1\MICROS~1\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Translate this web page with Babylon - res://C:\Program Files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll/ActionTU.htm
O8 - Extra context menu item: Translate with Babylon - res://C:\Program Files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll/Action.htm
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\Office12\REFIEBAR.DLL
O9 - Extra button: Translate this web page with Babylon - {F72841F0-4EF1-4df5-BCE5-B3AC8ACF5478} - C:\Program Files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll
O9 - Extra 'Tools' menuitem: Translate this web page with Babylon - {F72841F0-4EF1-4df5-BCE5-B3AC8ACF5478} - C:\Program Files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll
O16 - DPF: {00134F72-5284-44F7-95A8-52A619F70751} (ObjWinNTCheck Class) - https://172.20.12.103:4343/officescan/console/html/ClientInstall/WinNTChk.cab
O16 - DPF: {08D75BC1-D2B5-11D1-88FC-0080C859833B} (OfficeScan Corp Edition Web-Deployment SetupCtrl Class) - https://172.20.12.103:4343/officescan/console/html/ClientInstall/setup.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = yaysat.com
O17 - HKLM\Software\..\Telephony: DomainName = yaysat.com
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = yaysat.com
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = yaysat.com
O18 - Protocol: qcom - {B8DBD265-42C3-43E6-B439-E968C71984C6} - C:\Program Files\Common Files\Quest Shared\CodeXpert\qcom.dll
O22 - SharedTaskScheduler: FencesShellExt - {1984DD45-52CF-49cd-AB77-18F378FEA264} - C:\Program Files\Stardock\Fences\FencesMenu.dll
O23 - Service: Andrea ADI Filters Service (AEADIFilters) - Andrea Electronics Corporation - C:\Windows\system32\AEADISRV.EXE
O23 - Service: AgentService - Iron Mountain Incorporated - C:\Program Files\Iron Mountain\Connected BackupPC\AgentService.exe
O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - LSI Corporation - C:\Program Files\LSI SoftModem\agrsmsvc.exe
O23 - Service: BMFMySQL - Unknown owner - C:\Program Files\Quest Software\Benchmark Factory for Databases\Repository\MySQL\bin\mysqld-max-nt.exe
O23 - Service: Com4QLBEx - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\Com4QLBEx.exe
O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
O23 - Service: OfficeScanNT RealTime Scan (ntrtscan) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client\ntrtscan.exe
O23 - Service: SMS Task Sequence Agent (smstsmgr) - Unknown owner - C:\Windows\system32\CCM\TSManager.exe
O23 - Service: Check Point VPN-1 Securemote service (SR_Service) - Check Point Software Technologies - C:\Program Files\CheckPoint\SecuRemote\bin\SR_Service.exe
O23 - Service: Check Point VPN-1 Securemote watchdog (SR_Watchdog) - Check Point Software Technologies - C:\Program Files\CheckPoint\SecuRemote\bin\SR_Watchdog.exe
O23 - Service: Trend Micro Unauthorized Change Prevention Service (TMBMServer) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client\..\BM\TMBMSRV.exe
O23 - Service: OfficeScan NT Listener (tmlisten) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client\tmlisten.exe
O23 - Service: OfficeScan NT Proxy Service (TmProxy) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client\TmProxy.exe
O23 - Service: VNC Server Version 4 (WinVNC4) - RealVNC Ltd. - C:\Program Files\RealVNC\VNC4\WinVNC4.exe

--
End of file - 8204 bytes

Conforme sugerido nesta pergunta muito semelhante , executei verificações completas (+ verificações no tempo de inicialização) com RegRun e UnHackMe, mas elas também não encontraram nada. Examinei cuidadosamente todas as entradas no Visualizador de Eventos, mas não há nada errado.

Agora eu sei que existe um trojan (rootkit) oculto na minha máquina que parece se disfarçar com bastante sucesso. Observe que não tenho a chance de remover o disco rígido ou reinstalar o sistema operacional, pois é uma máquina de trabalho sujeita a determinadas políticas de TI no domínio da empresa.

Apesar de todas as minhas tentativas, o problema ainda permanece. Eu preciso estritamente de um método direto ou de um removedor de rootkit pukka para remover o que quer que seja. Não quero brincar com as configurações do sistema, ou seja, desabilitar as execuções automáticas uma a uma, mexer no registro, etc.

EDIÇÃO 2: Encontrei um artigo que está intimamente relacionado ao meu problema:

O malware pode desativar o UAC no Windows 7; "Por design", diz Microsoft . Agradecimentos especiais (!) À Microsoft.

No artigo, é fornecido um código VBScript para desativar o UAC automaticamente:

'// 1337H4x Written by _____________ 
'//                    (12 year old)

Set WshShell = WScript.CreateObject("WScript.Shell")

'// Toggle Start menu
WshShell.SendKeys("^{ESC}")
WScript.Sleep(500)

'// Search for UAC applet
WshShell.SendKeys("change uac")
WScript.Sleep(2000)

'// Open the applet (assuming second result)
WshShell.SendKeys("{DOWN}")
WshShell.SendKeys("{DOWN}")
WshShell.SendKeys("{ENTER}")
WScript.Sleep(2000)

'// Set UAC level to lowest (assuming out-of-box Default setting)
WshShell.SendKeys("{TAB}")
WshShell.SendKeys("{DOWN}")
WshShell.SendKeys("{DOWN}")
WshShell.SendKeys("{DOWN}")

'// Save our changes
WshShell.SendKeys("{TAB}")
WshShell.SendKeys("{ENTER}")

'// TODO: Add code to handle installation of rebound
'// process to continue exploitation, i.e. place something
'// evil in Startup folder

'// Reboot the system
'// WshShell.Run "shutdown /r /f"

Infelizmente, isso não me diz como posso me livrar desse código malicioso em execução no meu sistema.

EDIT 3: Ontem à noite, deixei o laptop aberto por causa de uma tarefa SQL em execução. Quando cheguei de manhã, vi que o UAC estava desligado. Portanto, suspeito que o problema não esteja relacionado à inicialização. Isso está acontecendo uma vez por dia, com certeza, não importa se a máquina é reiniciada.

EDIÇÃO 4: Hoje, iniciei imediatamente o "Process Monitor" assim que o Windows foi iniciado, esperançosamente, para pegar o culpado (obrigado a @harrymc pela idéia). Às 9:17, o controle deslizante do UAC foi deslizado para baixo (o Windows 7 Action Center deu o aviso). Eu investiguei todas as ações do registro entre 9:16 e 9:18. Salvei o arquivo de log do Process Monitor (70 MB contendo apenas esse intervalo de 2 minutos). Existem muitas EnableLUA = 0(e outras) entradas. Estou postando as capturas de tela das janelas de propriedades dos 4 primeiros abaixo. Ele diz que svchost.exeestá fazendo isso e fornece alguns números de threads e PID. Não sei o que devo inferir sobre eles:

insira a descrição da imagem aqui insira a descrição da imagem aqui insira a descrição da imagem aqui insira a descrição da imagem aqui

windows-7  virus  uac  malware  rootkit 
Mehper C. Palavuzlar
fonte
1
Como uma coisa extra a investigar, isso pode ser uma configuração que está sendo aplicada pela Diretiva de Grupo do seu controlador de domínio. Pode ser que eles (por algum motivo) o tenham definido para redefinir o UAC diariamente. É claro que se eles estão habilitando-o usando políticas de grupo e malware está desabilitando-o, isso é ruim. Eu conversaria com seus funcionários de TI, se é do tipo falador.
Mokubai
@Mokubai: Obrigado pela sua sugestão. Conversei com os outros colegas da empresa e nenhum deles está tendo esse problema. Tenho certeza de que nossa TI não desativou o UAC, pois é muito sensível a problemas de segurança. O interessante é que, como esse (possível) rootkit enganou os antivírus ou outras medidas de segurança implementadas pela TI?
Mehper C. Palavuzlar
Quanto a como você conseguiu essa possível infecção, em primeiro lugar, qualquer proteção contra malware mais simples é geralmente de natureza reativa, embora a detecção proativa seja possível, não é confiável. Alguém sonha com uma maneira de invadir um sistema, depois a empresa o identifica e escreve uma maneira de detectá-lo ou removê-lo, ação e reação. Se você realmente tem uma infecção, pode muito bem ser uma cepa completamente nova que ainda não foi vista pelas empresas de antivírus. Quanto à forma como você tem isso há muitas falhas de segurança em lugares que você não esperaria para dar alguma idéia ...
Mokubai
Isso é limpo. Você pode querer considerar obter um firewall. Por favor, tente Autoruns e Process Monitor como descrito por Harry.
Tamara Wijsman
Você já tentou procurar no Agendador de tarefas? (Iniciar -> Painel de controle -> Ferramentas administrativas -> Agendador de tarefas) Clique em "Biblioteca do agendador de tarefas" para ver as tarefas configuradas por itens como o Google Updater. É possível que sua redefinição diária do UAC esteja em algum lugar, pois as tarefas podem ser configuradas em um determinado momento e, em seguida, configuradas para executar X minutos após o login, se esse tempo já tiver passado ... Eu diria que, no entanto, pode ser uma tarefa longa e árdua, pesquisando os milhares de itens existentes.
Mokubai

Respostas:

6

Você deve primeiro verificar se o serviço da Central de Segurança pode iniciar e, se não estiver, qual das suas dependências é a culpada. Procure também mensagens de erro no Visualizador de Eventos.

Se você acha que seu computador está infectado, as soluções possíveis podem ser:

  1. Como reparar arquivos de sistema do Windows 7 com o Verificador de arquivos do sistema .
  2. Reparo de inicialização: Como reparar facilmente problemas de inicialização do Windows 7 usando o reparo de inicialização .
  3. O último recurso é reformatar o disco rígido e reinstalar o Windows.
    No seu caso, isso pode ser aplicado: Execução de uma recuperação do sistema HP no Windows Vista .

Apenas para observar que o Windows é capaz de se destruir sem ajuda, e é por isso que o Windows Update é mais perigoso do que qualquer vírus. O Reparo de inicialização pode corrigir o problema nesse caso, reinicializando o Windows, sem exigir a reinstalação dos aplicativos.

Se você realmente pensa que o problema é um vírus, e deseja saber mais sobre o que está acontecendo no seu computador, precisará descobrir duas coisas:

  1. Que mudança está sendo feita no seu sistema,
  2. Que programa isso muda.

Para o primeiro, se for uma alteração no registro, a chave provavelmente será o HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Systemitem EnableLUA , cujo valor é 0 para Desativar e 1 para Ativar.

Depois de localizar a alteração que está sendo feita em seu sistema, você pode usar o Process Monitor e a opção Ativar Log de Inicialização (consulte a ajuda) para registrar todos os acessos à chave.

Inicializaria primeiro no modo de segurança e veria se isso também está acontecendo. Caso contrário, outro vetor de ataque é usar o Autoruns para desativar itens de inicialização em uma pesquisa binária do produto (já que esse pode ser um produto legítimo que está causando o problema, e não um vírus).

harrymc
fonte
Obrigado por suas sugestões. Eu já executei sfc /scannowe diz Windows Resource Protection Did Not Find Any Integrity Violations. A Etapa 2 é arriscada para mim, pois é um laptop da empresa sujeito às políticas de TI. Se, de alguma forma, eu estragar o processo de inicialização, terei mais problemas. O passo 3 está fora de questão para mim.
Mehper C. Palavuzlar
Problema de políticas de TI entendido. Algum resultado do meu primeiro parágrafo?
21911 harrymc
O Centro de Segurança inicia sem problemas no Modo Normal. Examinei cuidadosamente todas as entradas no Visualizador de Eventos (todas as datas disponíveis até agora), mas não há nada errado, como afirmei na minha pergunta. Também verifiquei separadamente todos os serviços em execução, processos de inicialização, entradas do registro e arquivos .dll usando vários programas antivírus e antimalware.
Mehper C. Palavuzlar
OK, adicionei mais informações. De qualquer forma, se você acha que seu computador está infectado, tenho certeza de que as políticas de TI exigem que você o anuncie antes de infectar toda a empresa.
harrymc
1
Sim, algo está desativando o UAC. (1) Você recebe um prompt de elevação ao executar o regedit? Caso contrário, o UAC já estará desativado após a inicialização. (2) Qual é a situação após uma inicialização no modo de segurança? (3) Apenas para observar que a mensagem do Action Center pode ser exibida devido a uma alteração no ConsentPromptBehaviorAdmin e não apenas no EnableLUA.
harrymc
5

No meu caso, era a política de domínio que estava sendo aplicada uma vez por dia. Mesmo problema. O diagnóstico foi mais fácil porque o desligamento do UAC ocorreu apenas ao fazer login no domínio ou ao conectar-se pela VPN. Assim, foi descoberto que a política de domínio incluía algum script para desativar o UAC. Entrei em contato com os administradores do sistema e eles confirmaram isso. Portanto, é melhor consultar seus administradores do domínio ou validar políticas e scripts locais de perfil se você não estiver no domínio.

Alexey Bondarenko
fonte
2

Opção 1: desative todos os programas na inicialização. (Iniciar> Executar> Msconfig. Desative tudo na inicialização).

Opção 2: instale o AVAST home edition e agende uma verificação no tempo de inicialização. Melhor ainda, desconecte o disco rígido da sua máquina, conecte-o a outro e verifique-o usando o AVAST.

Opção 3. Outra opção é executar o HijackThis. Gere o relatório e compartilhe-o aqui para análise. http://free.antivirus.com/hijackthis/

bobbyalex
fonte
1
Seus itens de inicialização parecem bons. Mesmo assim, desative os itens de inicialização e verifique novamente. Eu sugiro fortemente que você instale o Avast e agende uma verificação no tempo de inicialização, de preferência depois de conectar o disco rígido a outra máquina.
precisa saber é o seguinte
Há outra coisa que você pode tentar: criar um usuário não administrativo e efetuar login como esse usuário. Se um programa estiver tentando executar, você deverá receber um prompt do UAC.
precisa saber é o seguinte
Este é um PC de trabalho no domínio da empresa, portanto não estou autorizado a criar novos usuários. BTW, eu tentei a verificação do tempo de inicialização do Avast também, mas não encontrou nenhum vírus.
Mehper C. Palavuzlar
1

Instale o Microsoft Security Essentials e faça uma verificação completa do sistema. Como o MSE faz uso de APIs e ganchos do sistema operacional, ele poderá localizar o malware, se realmente for algum tipo de malware. Além disso, se o MSE não conseguir instalar ou executar, sabemos com certeza que o sistema está comprometido.

Desde que você executou tantos programas antivírus e antivírus para verificar seu sistema, duvido muito que seu computador tenha sido comprometido. Em vez de instalar os programas antivírus e anti-malware e, em seguida, fazer uma verificação de inicialização, use outro computador para verificar a unidade. Anexe a unidade a outro sistema como escravo e execute as varreduras. Você deve fazer a verificação de inicialização inicializando a partir de um CD ou DVD e não do próprio disco rígido, pois isso realmente impede que o sistema operacional seja inicializado e o kit raiz seja executado durante a verificação real.

Honestamente, se você tem certeza de que o seu sistema foi composto por um kit raiz, carregue o disco rígido e comece do zero. Peça ao seu departamento de TI para fazer isso. Essa é a única maneira de garantir que seu sistema esteja limpo.

Metril
fonte
Primeiro, obrigado por suas sugestões. A remoção do disco rígido não é uma opção (veja a pergunta sobre o porquê). Eu acho que vale a pena tentar MSE. Amanhã vou verificar e compartilhar o resultado. Uma verificação de inicialização iniciando em um disco óptico me parece bastante razoável. Você pode me recomendar um link para algum arquivo de imagem para gravar em disco? Mais uma vez, colocar o HD no disco rígido é o último recurso para mim. Eu preciso resolver o caso sem fazê-lo. Eu sei que é uma solução absoluta, mas vamos ver o que podemos fazer.
Mehper C. Palavuzlar,
Eu fiz uma pesquisa rápida. Aqui está um link que contém informações sobre verificações de vírus inicializáveis ​​de diferentes fornecedores. techmixer.com/free-bootable-antivirus-rescue-cds-download-list Experimente-os.
Metril
MSE não encontrou nada. Agora vou tentar um CD de resgate inicializável.
Mehper C. Palavuzlar
0

Eu recomendo que você crie outra conta de usuário no seu computador. Não faça desta conta um administrador; mantenha-o como um usuário padrão. Use esta nova conta em vez da sua conta de administrador. Se você precisar de direitos de administrador, o UAC sempre solicitará suas credenciais de administrador. Dessa forma, o malware não poderá desativar o UAC e executar coisas ruins ...

Tente desativar o UAC sem direitos de administrador

Isso não se livra do vírus, mas pelo menos impede que se agrave. Então, quando o seu antivírus obtiver novas definições para detectá-lo, ele poderá removê-lo.

Kranu
fonte
O problema é que este é um PC de trabalho em um domínio da empresa e não tenho direitos para criar um novo usuário.
Mehper C. Palavuzlar
0

Esta é uma questão bastante interessante. Eu diria que isso seria causado por um ou dois problemas diferentes:

1) A maioria das pessoas suspeita de vírus e, com razão, os vírus adoram entrar no Windows e mexer nas configurações.

Você já possui uma quantidade abrangente de verificações. Qualquer vírus deve ser detectado pelos que já estão sendo executados, por isso acredito que é uma janela do Windows.

2) O Windows está instalado. Eu recomendo que você execute uma verificação de disco no seu computador. Dois métodos diferentes que produzem resultados semelhantes.

- Abra meu computador e clique com o botão direito do mouse no disco rígido do qual o Windows carrega. Em seguida, selecione a guia Ferramentas e clique no botão que diz Verificação de Disco [ou algo semelhante]. Agora marque as duas caixas de opção, se já não estiverem. Seu computador deve solicitar que você reinicie o computador; caso contrário, não marque as caixas de opção. Deixe essa verificação ser executada. Ele deve limpar qualquer ave dentro da instalação do Windows.

Agora, se essa verificação falhar, insira o disco de instalação do sistema operacional. Se estiver usando o XP, pressione R quando a tela azul aparecer perguntando qual tarefa você deseja executar. Agora, selecione em que disco rígido está o sistema operacional e pressione Enter depois de inserir o número apropriado. Depois, insira a senha da conta do administrador [geralmente esta em branco]. Agora, entre no console de comandos: chkdsk / r

isso deve fazer a mesma verificação, mas pode corrigir mais problemas porque a verificação está sendo executada no disco de instalação.

se estiver executando a verificação de uma máquina VISTA ou SEVEN, insira o disco e selecione a opção de reparo. Depois, aperte cancelar e deve abrir uma nova janela, na qual você pode realizar mais operações. A última opção deve dizer "Janela do console" ou algo do tipo.

entre no console de comando "chkdsk / r C:"

Espero que isto ajude.

Flasimbufasa
fonte
Estou executando o Windows 7 (consulte as tags de pergunta). Corri chkdsk /r C:na inicialização e demorou cerca de 1 hora. Nenhum problema foi encontrado.
Mehper C. Palavuzlar
0

Acabei de encontrar esta muito msg. esta manhã. O Java está tentando se atualizar há algum tempo, então alterei as configurações de notificação para "não notificar" e recebi imediatamente a mensagem que eu tinha que reiniciar minha CPU para desativar o controle. Fui redefinir o nível de notificação e o problema foi resolvido. espero que ajude

user338543
fonte
-1

Ganhe 10 usando o Malwarebytes. Aparentemente, o malware estava desativando o UAC na inicialização. Parou de carregá-lo na inicialização e o problema parecia resolver. Em seguida, ajustou a inicialização para atrasar a instalação do Malwarebytes e parecia funcionar.

O malware pode byte UAC
fonte
Atrasar a inicialização do software de detecção de malware não aumentaria as chances de um malware real se esconder?
Arjan #
A pergunta é explicitamente sobre o Windows 7, então não sei por que você está abordando o Windows 10. Além disso, não está claro se sua sugestão resolve o problema, em vez de apenas escondê-lo.
David Richerby
Ao utilizar nosso site, você reconhece que leu e compreendeu nossa Política de Cookies e nossa Política de Privacidade.
Licensed under cc by-sa 3.0 with attribution required.