我的HP笔记本电脑出现奇怪的问题。这是最近开始发生的。每当我启动计算机时,Windows 7操作中心都会显示以下警告:
您需要重新启动计算机才能关闭UAC。
实际上,如果在特定日期发生一次,则不会发生这种情况。例如,当我早上启动机器时,它会显示出来;但在该天内的后续重启中都不会显示。在第二天,同样的事情再次发生。
我从不禁用UAC,但显然某些rootkit或病毒会导致这种情况。收到此警告后,我将立即转到UAC设置,然后重新启用UAC以消除此警告。这是一个令人困扰的情况,因为我无法解决。
首先,我在计算机上进行了全面扫描,以检查是否存在任何可能的病毒和恶意软件/ rootkit活动,但趋势科技防毒墙网络版表示未发现病毒。我使用Windows系统还原去了一个旧的还原点,但是问题没有解决。
到目前为止,我已经尝试过(找不到rootkit):
- 趋势科技防毒墙网络版防病毒
- AVAST
- Malwarebytes的反恶意软件
- 广告意识
- Vipre Antivirus
- GMER
- TDSSKiller(卡巴斯基实验室)
- HiJackThis
- 注册表运行
- UnHackMe
- SuperAntiSpyware便携式
- 泰泽Rootkit剃刀(*)
- Sophos Anti-Rootkit
- 间谍猎人4
- 组合修复
机器上没有其他奇怪的活动。除了这个奇怪的事件,一切都正常。
这个讨厌的rootkit的名字是什么?如何检测和删除它?
编辑:以下是HijackThis生成的日志文件:
Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 13:07:04, on 17.01.2011
Platform: Windows 7 (WinNT 6.00.3504)
MSIE: Internet Explorer v8.00 (8.00.7600.16700)
Boot mode: Normal
Running processes:
C:\Windows\system32\taskhost.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\CheckPoint\SecuRemote\bin\SR_GUI.Exe
C:\Windows\System32\igfxtray.exe
C:\Windows\System32\hkcmd.exe
C:\Windows\system32\igfxsrvc.exe
C:\Windows\System32\igfxpers.exe
C:\Program Files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\QLBCTRL.exe
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\VolCtrl.exe
C:\Program Files\LightningFAX\LFclient\lfsndmng.exe
C:\Program Files\Common Files\Java\Java Update\jusched.exe
C:\Program Files\Microsoft Office Communicator\communicator.exe
C:\Program Files\Iron Mountain\Connected BackupPC\Agent.exe
C:\Program Files\Trend Micro\OfficeScan Client\PccNTMon.exe
C:\Program Files\Microsoft LifeCam\LifeExp.exe
C:\Program Files\Hewlett-Packard\Shared\HpqToaster.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\mimio\mimio Studio\system\aps_tablet\atwtusb.exe
C:\Program Files\Microsoft Office\Office12\OUTLOOK.EXE
C:\Program Files\Babylon\Babylon-Pro\Babylon.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Users\userx\Desktop\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://www.yaysat.com.tr/proxy/proxy.pac
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Babylon IE plugin - {9CFACCB6-2F3F-4177-94EA-0D2B72D384C1} - C:\Program Files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [IgfxTray] C:\Windows\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\Windows\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\Windows\system32\igfxpers.exe
O4 - HKLM\..\Run: [hpWirelessAssistant] C:\Program Files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [QlbCtrl.exe] C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [lfsndmng] C:\Program Files\LightningFAX\LFclient\LFSNDMNG.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Common Files\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [Communicator] "C:\Program Files\Microsoft Office Communicator\communicator.exe" /fromrunkey
O4 - HKLM\..\Run: [AgentUiRunKey] "C:\Program Files\Iron Mountain\Connected BackupPC\Agent.exe" -ni -sss -e http://localhost:16386/
O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\Program Files\Trend Micro\OfficeScan Client\pccntmon.exe" -HideWindow
O4 - HKLM\..\Run: [Babylon Client] C:\Program Files\Babylon\Babylon-Pro\Babylon.exe -AutoStart
O4 - HKLM\..\Run: [LifeCam] "C:\Program Files\Microsoft LifeCam\LifeExp.exe"
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - Global Startup: mimio Studio.lnk = C:\Program Files\mimio\mimio Studio\mimiosys.exe
O8 - Extra context menu item: Microsoft Excel'e &Ver - res://C:\PROGRA~1\MICROS~1\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Translate this web page with Babylon - res://C:\Program Files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll/ActionTU.htm
O8 - Extra context menu item: Translate with Babylon - res://C:\Program Files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll/Action.htm
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\Office12\REFIEBAR.DLL
O9 - Extra button: Translate this web page with Babylon - {F72841F0-4EF1-4df5-BCE5-B3AC8ACF5478} - C:\Program Files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll
O9 - Extra 'Tools' menuitem: Translate this web page with Babylon - {F72841F0-4EF1-4df5-BCE5-B3AC8ACF5478} - C:\Program Files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll
O16 - DPF: {00134F72-5284-44F7-95A8-52A619F70751} (ObjWinNTCheck Class) - https://172.20.12.103:4343/officescan/console/html/ClientInstall/WinNTChk.cab
O16 - DPF: {08D75BC1-D2B5-11D1-88FC-0080C859833B} (OfficeScan Corp Edition Web-Deployment SetupCtrl Class) - https://172.20.12.103:4343/officescan/console/html/ClientInstall/setup.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = yaysat.com
O17 - HKLM\Software\..\Telephony: DomainName = yaysat.com
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = yaysat.com
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = yaysat.com
O18 - Protocol: qcom - {B8DBD265-42C3-43E6-B439-E968C71984C6} - C:\Program Files\Common Files\Quest Shared\CodeXpert\qcom.dll
O22 - SharedTaskScheduler: FencesShellExt - {1984DD45-52CF-49cd-AB77-18F378FEA264} - C:\Program Files\Stardock\Fences\FencesMenu.dll
O23 - Service: Andrea ADI Filters Service (AEADIFilters) - Andrea Electronics Corporation - C:\Windows\system32\AEADISRV.EXE
O23 - Service: AgentService - Iron Mountain Incorporated - C:\Program Files\Iron Mountain\Connected BackupPC\AgentService.exe
O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - LSI Corporation - C:\Program Files\LSI SoftModem\agrsmsvc.exe
O23 - Service: BMFMySQL - Unknown owner - C:\Program Files\Quest Software\Benchmark Factory for Databases\Repository\MySQL\bin\mysqld-max-nt.exe
O23 - Service: Com4QLBEx - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\Com4QLBEx.exe
O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
O23 - Service: OfficeScanNT RealTime Scan (ntrtscan) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client\ntrtscan.exe
O23 - Service: SMS Task Sequence Agent (smstsmgr) - Unknown owner - C:\Windows\system32\CCM\TSManager.exe
O23 - Service: Check Point VPN-1 Securemote service (SR_Service) - Check Point Software Technologies - C:\Program Files\CheckPoint\SecuRemote\bin\SR_Service.exe
O23 - Service: Check Point VPN-1 Securemote watchdog (SR_Watchdog) - Check Point Software Technologies - C:\Program Files\CheckPoint\SecuRemote\bin\SR_Watchdog.exe
O23 - Service: Trend Micro Unauthorized Change Prevention Service (TMBMServer) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client\..\BM\TMBMSRV.exe
O23 - Service: OfficeScan NT Listener (tmlisten) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client\tmlisten.exe
O23 - Service: OfficeScan NT Proxy Service (TmProxy) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client\TmProxy.exe
O23 - Service: VNC Server Version 4 (WinVNC4) - RealVNC Ltd. - C:\Program Files\RealVNC\VNC4\WinVNC4.exe
--
End of file - 8204 bytes
正如这个非常类似的问题所建议的那样,我已经使用RegRun和UnHackMe运行了完整扫描(+引导时间扫描),但是它们也没有找到任何东西。我已经仔细检查了事件查看器中的所有条目,但是没有错。
现在我知道我的机器上有一个隐藏的木马(rootkit),它似乎很成功地掩饰了自己。请注意,我没有机会删除HDD或重新安装OS,因为这是一台受公司域上某些IT策略约束的工作机器。
尽管做了我所有的尝试,问题仍然存在。我严格需要点对点方法或pukka rootkit卸妆剂才能将其删除。我不想胡闹的系统设置,即禁用自动运行一个一个,搞乱注册表,等等。
编辑2:我发现了一篇与我的麻烦密切相关的文章:
恶意软件可以在Windows 7中关闭UAC;微软说:“按设计”。特别感谢(!)微软。
在本文中,给出了VBScript代码以自动禁用UAC:
'// 1337H4x Written by _____________
'// (12 year old)
Set WshShell = WScript.CreateObject("WScript.Shell")
'// Toggle Start menu
WshShell.SendKeys("^{ESC}")
WScript.Sleep(500)
'// Search for UAC applet
WshShell.SendKeys("change uac")
WScript.Sleep(2000)
'// Open the applet (assuming second result)
WshShell.SendKeys("{DOWN}")
WshShell.SendKeys("{DOWN}")
WshShell.SendKeys("{ENTER}")
WScript.Sleep(2000)
'// Set UAC level to lowest (assuming out-of-box Default setting)
WshShell.SendKeys("{TAB}")
WshShell.SendKeys("{DOWN}")
WshShell.SendKeys("{DOWN}")
WshShell.SendKeys("{DOWN}")
'// Save our changes
WshShell.SendKeys("{TAB}")
WshShell.SendKeys("{ENTER}")
'// TODO: Add code to handle installation of rebound
'// process to continue exploitation, i.e. place something
'// evil in Startup folder
'// Reboot the system
'// WshShell.Run "shutdown /r /f"
不幸的是,这并不能告诉我如何摆脱系统上运行的恶意代码。
编辑3:昨晚,由于运行SQL任务,我没有打开笔记本电脑。当我早上来时,我看到UAC已关闭。因此,我怀疑该问题与启动无关。无论机器是否重新启动,它每天都会发生一次。
编辑4:今天,我一启动Windows就希望立即抓住有罪的人,我立即启动了“进程监视器”(感谢@harrymc提出这个想法)。在9:17,UAC滑块滑至底部(Windows 7 Action Center发出了警告)。我调查了9:16到9:18之间的所有注册表操作。我保存了过程监视器日志文件(70MB,仅包含2分钟的间隔)。有很多EnableLUA = 0(和其他)条目。我将在下面发布前四个属性窗口的屏幕截图。它说svchost.exe正在执行此操作,并提供一些线程和PID编号。我不知道该如何推断他们:
1
作为额外的调查,这可能是域控制器中的组策略正在应用的设置。可能是因为某种原因(他们出于某种原因)将其设置为每天重置UAC。当然,如果他们使用组策略来启用它,而恶意软件正在禁用它,那就不好了。我将与您的IT员工聊天,也就是说,如果他们是健谈的。
—
Mokubai
@Mokubai:谢谢你的建议。我与公司的其他同事交谈,但他们都没有遇到这样的问题。我确定我们的IT部门没有禁用UAC,因为它们对安全性问题非常敏感。有趣的是,(可能的)rootkit是如何欺骗IT部门采取的防病毒或其他安全措施的?
—
Mehper C. Palavuzlar,2011年
关于您最初是如何受到这种可能的感染的,最简单的是,您可能具有的任何恶意软件防护本质上都是反应性的,尽管可能进行主动检测并不可靠。有人梦想着闯入系统,然后公司发现它并写出一种方法来检测或删除它,行动和反应。如果确实感染了病毒,那很可能是视音频公司尚未发现的全新病毒。至于如何获得它,在您不愿
—
透露
劫机很干净。您可能要考虑获取文件墙。请尝试按照Harry的描述运行自动运行和过程监视器。
—
塔玛拉·威斯曼
您是否尝试过在“任务计划程序”中查找?(开始->控制面板->管理工具->任务计划程序)单击“任务计划程序库”以查看由Google Updater之类的程序设置的任务。您的日常UAC重置可能在某个地方,因为可以在特定时间设置任务,然后如果登录时间已设置为X分钟,则设置为在运行X分钟后运行...我必须要说的是,在其中搜索成千上万个项目是一项艰巨而艰巨的任务。
—
Mokubai
