UAC को विंडोज 7 पर दिन में एक बार बंद किया जा रहा है


10

मुझे अपने एचपी लैपटॉप पर अजीब समस्या है। हाल ही में ऐसा होने लगा। जब भी मैं अपनी मशीन शुरू करता हूं, विंडोज 7 एक्शन सेंटर निम्नलिखित चेतावनी प्रदर्शित करता है:

UAC को बंद करने के लिए आपको अपना कंप्यूटर पुनरारंभ करना होगा।

वास्तव में, ऐसा नहीं होता है यदि यह एक विशिष्ट दिन में एक बार हुआ हो। उदाहरण के लिए, जब मैं सुबह मशीन शुरू करता हूं, तो यह पता चलता है; लेकिन यह उस दिन के बाद के पुनरारंभ में कभी नहीं दिखा। अगले दिन फिर वही बात होती है।

मैं UAC को कभी अक्षम नहीं करता, लेकिन जाहिर है कि कुछ रूटकिट या वायरस इसका कारण बनते हैं। जैसे ही मुझे यह चेतावनी मिलती है, मैं यूएसी सेटिंग्स के लिए हेड हो जाता हूं, और यूएसी को इस चेतावनी को खारिज करने के लिए फिर से सक्षम करता हूं। यह एक कष्टप्रद स्थिति है क्योंकि मैं इसे ठीक नहीं कर सकता।

सबसे पहले, मैंने किसी भी संभावित वायरस और मैलवेयर / रूटकिट गतिविधि के लिए कंप्यूटर पर एक पूर्ण स्कैन चलाया है, लेकिन TrendMicro OfficeScan ने कहा कि कोई वायरस नहीं मिला है। मैं विंडोज सिस्टम रिस्टोर का उपयोग करके एक पुराने रिस्टोर प्वाइंट पर गया, लेकिन समस्या हल नहीं हुई।

मैंने अब तक क्या कोशिश की है (जो रूटकिट नहीं पा सका है):

  • TrendMicro OfficeScan एंटीवायरस
  • AVAST
  • मालवेयर बाइट्स एंटी - मालवेयर
  • विज्ञापन जानकारी
  • विप्र एंटीवायरस
  • GMER
  • TDSSKiller (कैस्परस्की लैब्स)
  • HijackThis
  • RegRuns
  • UnHackMe
  • SuperAntiSpyware पोर्टेबल
  • Tizer रूटकिट रेजर ( * )
  • सोफोस एंटी-रूटकिट
  • SpyHunter 4
  • ComboFix

मशीन पर कोई अन्य अजीब गतिविधियां नहीं हैं। इस विचित्र घटना को छोड़कर सब कुछ ठीक है।

इस कष्टप्रद रूटकिट का नाम क्या हो सकता है? मैं कैसे पता लगा सकता हूं और इसे हटा सकता हूं?


EDIT: नीचे HijackThis द्वारा निर्मित लॉग फ़ाइल है:

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 13:07:04, on 17.01.2011
Platform: Windows 7  (WinNT 6.00.3504)
MSIE: Internet Explorer v8.00 (8.00.7600.16700)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskhost.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\CheckPoint\SecuRemote\bin\SR_GUI.Exe
C:\Windows\System32\igfxtray.exe
C:\Windows\System32\hkcmd.exe
C:\Windows\system32\igfxsrvc.exe
C:\Windows\System32\igfxpers.exe
C:\Program Files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\QLBCTRL.exe
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\VolCtrl.exe
C:\Program Files\LightningFAX\LFclient\lfsndmng.exe
C:\Program Files\Common Files\Java\Java Update\jusched.exe
C:\Program Files\Microsoft Office Communicator\communicator.exe
C:\Program Files\Iron Mountain\Connected BackupPC\Agent.exe
C:\Program Files\Trend Micro\OfficeScan Client\PccNTMon.exe
C:\Program Files\Microsoft LifeCam\LifeExp.exe
C:\Program Files\Hewlett-Packard\Shared\HpqToaster.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\mimio\mimio Studio\system\aps_tablet\atwtusb.exe
C:\Program Files\Microsoft Office\Office12\OUTLOOK.EXE
C:\Program Files\Babylon\Babylon-Pro\Babylon.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Users\userx\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://www.yaysat.com.tr/proxy/proxy.pac
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Babylon IE plugin - {9CFACCB6-2F3F-4177-94EA-0D2B72D384C1} - C:\Program Files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [IgfxTray] C:\Windows\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\Windows\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\Windows\system32\igfxpers.exe
O4 - HKLM\..\Run: [hpWirelessAssistant] C:\Program Files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [QlbCtrl.exe] C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [lfsndmng] C:\Program Files\LightningFAX\LFclient\LFSNDMNG.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Common Files\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [Communicator] "C:\Program Files\Microsoft Office Communicator\communicator.exe" /fromrunkey
O4 - HKLM\..\Run: [AgentUiRunKey] "C:\Program Files\Iron Mountain\Connected BackupPC\Agent.exe" -ni -sss -e http://localhost:16386/
O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\Program Files\Trend Micro\OfficeScan Client\pccntmon.exe" -HideWindow
O4 - HKLM\..\Run: [Babylon Client] C:\Program Files\Babylon\Babylon-Pro\Babylon.exe -AutoStart
O4 - HKLM\..\Run: [LifeCam] "C:\Program Files\Microsoft LifeCam\LifeExp.exe"
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - Global Startup: mimio Studio.lnk = C:\Program Files\mimio\mimio Studio\mimiosys.exe
O8 - Extra context menu item: Microsoft Excel'e &Ver - res://C:\PROGRA~1\MICROS~1\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Translate this web page with Babylon - res://C:\Program Files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll/ActionTU.htm
O8 - Extra context menu item: Translate with Babylon - res://C:\Program Files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll/Action.htm
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\Office12\REFIEBAR.DLL
O9 - Extra button: Translate this web page with Babylon - {F72841F0-4EF1-4df5-BCE5-B3AC8ACF5478} - C:\Program Files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll
O9 - Extra 'Tools' menuitem: Translate this web page with Babylon - {F72841F0-4EF1-4df5-BCE5-B3AC8ACF5478} - C:\Program Files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll
O16 - DPF: {00134F72-5284-44F7-95A8-52A619F70751} (ObjWinNTCheck Class) - https://172.20.12.103:4343/officescan/console/html/ClientInstall/WinNTChk.cab
O16 - DPF: {08D75BC1-D2B5-11D1-88FC-0080C859833B} (OfficeScan Corp Edition Web-Deployment SetupCtrl Class) - https://172.20.12.103:4343/officescan/console/html/ClientInstall/setup.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = yaysat.com
O17 - HKLM\Software\..\Telephony: DomainName = yaysat.com
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = yaysat.com
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = yaysat.com
O18 - Protocol: qcom - {B8DBD265-42C3-43E6-B439-E968C71984C6} - C:\Program Files\Common Files\Quest Shared\CodeXpert\qcom.dll
O22 - SharedTaskScheduler: FencesShellExt - {1984DD45-52CF-49cd-AB77-18F378FEA264} - C:\Program Files\Stardock\Fences\FencesMenu.dll
O23 - Service: Andrea ADI Filters Service (AEADIFilters) - Andrea Electronics Corporation - C:\Windows\system32\AEADISRV.EXE
O23 - Service: AgentService - Iron Mountain Incorporated - C:\Program Files\Iron Mountain\Connected BackupPC\AgentService.exe
O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - LSI Corporation - C:\Program Files\LSI SoftModem\agrsmsvc.exe
O23 - Service: BMFMySQL - Unknown owner - C:\Program Files\Quest Software\Benchmark Factory for Databases\Repository\MySQL\bin\mysqld-max-nt.exe
O23 - Service: Com4QLBEx - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\Com4QLBEx.exe
O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
O23 - Service: OfficeScanNT RealTime Scan (ntrtscan) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client\ntrtscan.exe
O23 - Service: SMS Task Sequence Agent (smstsmgr) - Unknown owner - C:\Windows\system32\CCM\TSManager.exe
O23 - Service: Check Point VPN-1 Securemote service (SR_Service) - Check Point Software Technologies - C:\Program Files\CheckPoint\SecuRemote\bin\SR_Service.exe
O23 - Service: Check Point VPN-1 Securemote watchdog (SR_Watchdog) - Check Point Software Technologies - C:\Program Files\CheckPoint\SecuRemote\bin\SR_Watchdog.exe
O23 - Service: Trend Micro Unauthorized Change Prevention Service (TMBMServer) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client\..\BM\TMBMSRV.exe
O23 - Service: OfficeScan NT Listener (tmlisten) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client\tmlisten.exe
O23 - Service: OfficeScan NT Proxy Service (TmProxy) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client\TmProxy.exe
O23 - Service: VNC Server Version 4 (WinVNC4) - RealVNC Ltd. - C:\Program Files\RealVNC\VNC4\WinVNC4.exe

--
End of file - 8204 bytes

जैसा कि इसी समान प्रश्न में सुझाव दिया गया है , मैंने RegRun और UnHackMe के साथ पूर्ण स्कैन (+ बूट समय स्कैन) चलाया है, लेकिन उन्हें भी कुछ नहीं मिला। मैंने इवेंट व्यूअर में सभी प्रविष्टियों की सावधानीपूर्वक जांच की है, लेकिन कुछ भी गलत नहीं है।

अब मुझे पता है कि मेरी मशीन पर एक छिपा ट्रोजन (रूटकिट) है जो खुद को काफी सफलतापूर्वक छिपाने लगता है। ध्यान दें कि मेरे पास HDD को हटाने, या ओएस को फिर से स्थापित करने का मौका नहीं है क्योंकि यह कंपनी के डोमेन पर कुछ आईटी नीतियों के अधीन काम करने वाली मशीन है।

मेरे सभी प्रयासों के बावजूद, समस्या अभी भी बनी हुई है। मुझे कड़ाई से जो कुछ भी है उसे हटाने के लिए एक टू-द-पॉइंट विधि या पक्के रूटकिट रिमूवर की आवश्यकता है। मैं सिस्टम सेटिंग्स के साथ बंदर नहीं करना चाहता, यानी एक-एक करके ऑटो को चलाना, रजिस्ट्री को गड़बड़ाना, आदि।


EDIT 2: मुझे एक लेख मिला है जो मेरी परेशानी से जुड़ा है:

मैलवेयर विंडोज 7 में यूएसी को बंद कर सकता है; "डिज़ाइन द्वारा" Microsoft का कहना है । Microsoft को विशेष धन्यवाद (!)।

लेख में, UAC को स्वचालित रूप से अक्षम करने के लिए एक VBScript कोड दिया गया है:

'// 1337H4x Written by _____________ 
'//                    (12 year old)

Set WshShell = WScript.CreateObject("WScript.Shell")

'// Toggle Start menu
WshShell.SendKeys("^{ESC}")
WScript.Sleep(500)

'// Search for UAC applet
WshShell.SendKeys("change uac")
WScript.Sleep(2000)

'// Open the applet (assuming second result)
WshShell.SendKeys("{DOWN}")
WshShell.SendKeys("{DOWN}")
WshShell.SendKeys("{ENTER}")
WScript.Sleep(2000)

'// Set UAC level to lowest (assuming out-of-box Default setting)
WshShell.SendKeys("{TAB}")
WshShell.SendKeys("{DOWN}")
WshShell.SendKeys("{DOWN}")
WshShell.SendKeys("{DOWN}")

'// Save our changes
WshShell.SendKeys("{TAB}")
WshShell.SendKeys("{ENTER}")

'// TODO: Add code to handle installation of rebound
'// process to continue exploitation, i.e. place something
'// evil in Startup folder

'// Reboot the system
'// WshShell.Run "shutdown /r /f"

दुर्भाग्य से, यह मुझे नहीं बताता कि मैं अपने सिस्टम पर चल रहे इस दुर्भावनापूर्ण कोड से कैसे छुटकारा पा सकता हूं।


EDIT 3: कल रात, मैंने SQL कार्य चलाने के कारण लैपटॉप को खुला छोड़ दिया। जब मैं सुबह आया, मैंने देखा कि यूएसी को बंद कर दिया गया था। इसलिए, मुझे संदेह है कि समस्या स्टार्टअप से संबंधित नहीं है। यह सुनिश्चित करने के लिए दिन में एक बार हो रहा है कि क्या मशीन को रिबूट किया जाए।


EDIT 4: आज, मैंने तुरंत "प्रोसेस मॉनिटर" शुरू किया जैसे ही विंडोज को दोषी व्यक्ति को पकड़ने के लिए शुरू किया गया था (विचार के लिए @harrymc के लिए धन्यवाद)। 9:17 पर, यूएसी स्लाइडर को नीचे की ओर खिसकाया गया था (विंडोज 7 एक्शन सेंटर ने चेतावनी दी थी)। मैंने 9:16 और 9:18 के बीच सभी रजिस्ट्री कार्रवाइयों की जांच की। मैंने प्रोसेस मॉनिटर लॉग फ़ाइल (70MB जिसमें केवल 2 मिनट का अंतराल है) को बचाया। बहुत सारी EnableLUA = 0(और अन्य) प्रविष्टियाँ हैं। मैं नीचे पहले 4 के गुण विंडो के स्क्रीनशॉट पोस्ट कर रहा हूं। यह कहता svchost.exeहै कि यह कर रहा है, और कुछ थ्रेड और पीआईडी ​​नंबर देता है। मुझे नहीं पता कि मुझे उनके बारे में क्या जानना चाहिए:

यहाँ छवि विवरण दर्ज करें यहाँ छवि विवरण दर्ज करें यहाँ छवि विवरण दर्ज करें यहाँ छवि विवरण दर्ज करें


1
जांच के लिए एक अतिरिक्त चीज के रूप में, यह संभवतः एक सेटिंग हो सकती है जिसे आपके डोमेन नियंत्रक से समूह नीति द्वारा लागू किया जा रहा है। यह हो सकता है कि उन्होंने (किसी कारण से) यह दैनिक आधार पर यूएसी को रीसेट करने के लिए निर्धारित किया हो। बेशक अगर वे इसे समूह नीतियों का उपयोग करके सक्षम कर रहे हैं और मैलवेयर इसे अक्षम कर रहा है, तो यह बुरा है। मैं आपके IT लोगों के साथ एक चैट करूंगा, अगर वे बातूनी किस्म के हैं।
Mokubai

@ मोकूबाई: आपके सुझाव के लिए धन्यवाद। मैंने कंपनी में अन्य सहयोगियों से बात की, और उनमें से किसी के पास भी ऐसा कोई मुद्दा नहीं है। मुझे यकीन है कि हमारे आईटी ने UAC को अक्षम नहीं किया है, क्योंकि वे सुरक्षा मुद्दों पर बहुत संवेदनशील हैं। दिलचस्प बात यह है कि यह (संभव) रूटटक आईटी द्वारा लगाए गए एंटीवायरस या अन्य सुरक्षा उपायों से कैसे प्रभावित होता है?
मेहपर सी। पलावुजलर

जैसा कि आप पहली बार में इस संभावित संक्रमण को कैसे प्राप्त कर सकते हैं , यह आपके लिए किसी भी मैलवेयर सुरक्षा के लिए सबसे सरल है, आमतौर पर प्रकृति में प्रतिक्रियाशील है, हालांकि सक्रिय पहचान संभव है यह विश्वसनीय नहीं है। कोई व्यक्ति किसी प्रणाली में टूटने का रास्ता देखता है, तो कोई कंपनी उस पर धावा बोलती है और उसका पता लगाने और उसे हटाने, कार्रवाई और प्रतिक्रिया करने का तरीका लिखती है। यदि आपके पास वास्तव में संक्रमण है तो यह पूरी तरह से एक नया तनाव हो सकता है जो एवी कंपनियों द्वारा अभी तक नहीं देखा गया है। करने के लिए आप इसे कैसे मिल गया के रूप में वहाँ भी कई सुरक्षा छिद्र स्थानों में आप किसी भी विचार दे करने की उम्मीद नहीं होता है ...
Mokubai

हाइजैक यह साफ है। आप एक फ़िलावल प्राप्त करने के लिए विचार करना चाह सकते हैं। हैरी द्वारा वर्णित के रूप में ऑटोरन और प्रक्रिया मॉनिटर की कोशिश करें।
तमारा विज्समैन

क्या आपने टास्क शेड्यूलर में देखने की कोशिश की है? (प्रारंभ -> नियंत्रण कक्ष -> प्रशासनिक उपकरण -> कार्य अनुसूचक) Google अपडेटर जैसी चीजों द्वारा स्थापित कार्य देखने के लिए "कार्य अनुसूचक पुस्तकालय" पर क्लिक करें। यह संभव है कि आपका दैनिक यूएसी रीसेट कहीं न कहीं हो क्योंकि कार्य किसी विशेष समय पर सेट किए जा सकते हैं और फिर लॉगिन के बाद एक्स मिनट चलाने के लिए सेट किया जा सकता है यदि वह समय पहले ही बीत चुका है ... मुझे हालांकि कहना होगा, यह हो सकता है एक लंबे और कठिन काम के लिए वहाँ के हजारों मदों के माध्यम से खोज करना।
Mokubai

जवाबों:


6

आपको पहले यह देखना चाहिए कि सुरक्षा केंद्र सेवा शुरू हो सकती है या नहीं और यदि नहीं - तो इसकी निर्भरता में से एक को दोष देना है। ईवेंट व्यूअर में त्रुटि संदेशों के लिए भी देखें।

यदि आपको लगता है कि आपका कंप्यूटर संक्रमित है, तो संभव समाधान हो सकते हैं:

  1. विंडोज 7 सिस्टम फाइल को सिस्टम फाइल चेकर से कैसे रिपेयर करें
  2. स्टार्टअप रिपेयर: स्टार्टअप रिपेयर का इस्तेमाल करके विंडोज 7 बूट प्रॉब्लम को आसानी से कैसे रिपेयर करें
  3. अंतिम उपाय हार्ड डिस्क को पुन: स्वरूपित करना और विंडोज को पुनर्स्थापित करना है।
    आपके मामले में, यह लागू हो सकता है: विंडोज विस्टा में एक एचपी सिस्टम रिकवरी का प्रदर्शन

बस यह टिप्पणी करना कि विंडोज बिना किसी की मदद के खुद को नष्ट करने में काफी सक्षम है, यही वजह है कि विंडोज अपडेट किसी भी वायरस से ज्यादा खतरनाक है। अनुप्रयोग को पुन: इंस्टॉल करने की आवश्यकता के बिना, स्टार्टअप मरम्मत इस मामले में विंडोज को फिर से संगठित करके समस्या को ठीक कर सकती है।

यदि आप वास्तव में सोचते हैं कि समस्या एक वायरस के बजाय है, और आप अपने कंप्यूटर पर क्या हो रहा है, इसके बारे में अधिक जानना चाहते हैं, तो आपको दो चीजों का पता लगाना होगा:

  1. आपके सिस्टम में क्या बदलाव किया जा रहा है,
  2. यह किस कार्यक्रम में बदलाव करता है।

पहले एक के लिए, यदि यह एक रजिस्ट्री परिवर्तन है, तो कुंजी संभवतः है HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System, आइटम EnableLUA , जिसका मान अक्षम करने के लिए 0 और सक्षम करने के लिए 1 है।

एक बार जब आप अपने सिस्टम में किए जा रहे परिवर्तन को पूरा कर लेते हैं, तो आप सभी मॉनिटर तक कुंजी को लॉग करने के लिए प्रोसेस मॉनिटर और इसके इनेबल बूट लॉगिंग विकल्प (मदद देखें) का उपयोग कर सकते हैं ।

मैं सबसे पहले सेफ मोड में बूट करूंगा, और देखूंगा कि क्या ऐसा हो रहा है। यदि नहीं, तो उत्पाद के लिए एक द्विआधारी खोज में स्टार्टअप आइटम को अक्षम करने के लिए ऑटोरुनस का उपयोग करने के लिए एक और हमला-वेक्टर है (क्योंकि यह वायरस के बजाय समस्या पैदा करने वाला एक वैध उत्पाद हो सकता है)।


आपके सुझाव के लिए धन्यवाद। मैंने पहले ही प्रदर्शन किया है sfc /scannowऔर यह कहता है Windows Resource Protection Did Not Find Any Integrity Violations। चरण 2 मेरे लिए जोखिम भरा है क्योंकि यह एक कंपनी का लैपटॉप है जो आईटी नीतियों के अधीन है। अगर मैं किसी तरह बूट प्रक्रिया को गड़बड़ कर देता हूं, तो मैं और अधिक परेशानी में पड़ जाऊंगा। चरण 3 मेरे लिए प्रश्न से बाहर है।
मेहपर सी। पलुवज़लर

आईटी नीतियों की समस्या को समझा मेरे पहले पैराग्राफ से कोई परिणाम?
हरिकेश

सुरक्षा केंद्र सामान्य मोड में समस्याओं के बिना शुरू होता है। मैंने इवेंट व्यूअर (अब तक की सभी उपलब्ध तिथियों) में सभी प्रविष्टियों की सावधानीपूर्वक जांच की है, लेकिन कुछ भी गलत नहीं है, जैसा कि मैंने अपने प्रश्न के भीतर बताया है। मैंने विभिन्न एंटीवायरस और एंटीमलवेयर प्रोग्रामों का उपयोग करके सभी चलने वाली सेवाओं, स्टार्टअप प्रक्रियाओं, रजिस्ट्री प्रविष्टियों और .dll फ़ाइलों की अलग से जाँच की है।
मेहपर सी। पलुवज़लर

ठीक है, मैंने और जानकारी जोड़ी है। किसी भी स्थिति में, यदि आपको लगता है कि आपका कंप्यूटर संक्रमित है, तो मुझे यकीन है कि आईटी नीतियों के लिए आवश्यक है कि आप पूरी कंपनी को संक्रमित करने से पहले आईटी को इसकी घोषणा करें।
harrymc

1
हाँ, कुछ यूएसी को बंद कर रहा है। (1) क्या आपको regedit चलाते समय एक ऊँचाई संकेत मिलता है? यदि आप नहीं करते हैं तो बूट के बाद UAC पहले से ही बंद है। (२) सेफ मोड में बूट के बाद क्या स्थिति है? (३) केवल यह टिप्पणी करने के लिए कि एक्शन सेंटर संदेश कंसेंटप्रोम्प्टबेहेवियर एडमीन में बदलाव के कारण प्रदर्शित हो सकता है और न केवल EnableLUA के लिए।
harrymc

5

मेरे मामले में यह डोमेन नीति थी जिसे प्रति दिन एक बार लागू किया जा रहा था। एक ही समस्या है। निदान आसान था क्योंकि यूएसी टर्निंग केवल डोमेन में लॉग इन करते समय, या वीपीएन से जुड़ने पर होता था। इस प्रकार यह पता चला कि डोमेन नीति में UAC को बंद करने के लिए कुछ स्क्रिप्ट शामिल थी। मैंने अपने सिस्टम व्यवस्थापक से संपर्क किया और उन्होंने इसकी पुष्टि की। इसलिए यदि आप डोमेन में नहीं हैं, तो आप अपने डोमेन के प्रशासक या प्रोफ़ाइल स्थानीय नीतियों और लिपियों को मान्य करें।


2

विकल्प 1: स्टार्टअप में सभी कार्यक्रमों को अक्षम करें। (प्रारंभ करें - रन> Msconfig। स्टार्टअप के तहत सब कुछ अक्षम करें)।

विकल्प 2: AVAST होम संस्करण इंस्टॉल करें और बूट समय स्कैन शेड्यूल करें। बेहतर अभी तक, अपनी मशीन से हार्ड डिस्क को डिस्कनेक्ट करें और इसे दूसरे से कनेक्ट करें और एवास्ट का उपयोग करके इसे वहां से स्कैन करें।

विकल्प 3. हाइजैक को चलाने के लिए एक अन्य विकल्प है। रिपोर्ट तैयार करें और विश्लेषण के लिए यहां साझा करें। http://free.antivirus.com/hijackthis/


1
योर स्टार्टअप आइटम ठीक लग रहा है। सभी समान, स्टार्टअप आइटम को अक्षम करें और फिर से जांचें। मैं आपको अवास्ट स्थापित करने और बूट टाइम स्कैन शेड्यूल करने के लिए दृढ़ता से सुझाव दूंगा, अधिमानतः हार्ड डिस्क को किसी अन्य मशीन से कनेक्ट करने के बाद।
बॉबीलेक्स

एक और चीज़ है जिसे आप आज़मा सकते हैं: एक गैर प्रशासनिक उपयोगकर्ता बनाएं और उस उपयोगकर्ता के रूप में लॉगिन करें। यदि कोई प्रोग्राम चलाने की कोशिश कर रहा है तो आपको UAC प्रॉम्प्ट मिलना चाहिए।
बॉबीलेक्स

यह कंपनी के डोमेन पर एक कार्य पीसी है, इसलिए मैं नए उपयोगकर्ता बनाने के लिए अधिकृत नहीं हूं। BTW, मैंने अवास्ट बूट टाइम स्कैन के रूप में अच्छी तरह से कोशिश की, लेकिन इसमें कोई वायरस नहीं मिला।
मेहपर सी। पलुवज़लर

1

कृपया Microsoft सुरक्षा आवश्यकताएँ स्थापित करें और एक पूर्ण सिस्टम स्कैन करें। चूंकि एमएसई ओएस एपीआई और हुक का उपयोग करता है, इसलिए यह मैलवेयर का पता लगाने में सक्षम हो सकता है, अगर यह वास्तव में किसी प्रकार का मैलवेयर है। इसके अलावा, यदि MSE वास्तव में स्थापित या चलाने में असमर्थ है, तो हमें पता है कि सुनिश्चित प्रणाली से समझौता किया गया है।

चूंकि, आपने अपने सिस्टम की जांच करने के लिए बहुत सारे AV और एंटी-मैलवेयर प्रोग्राम चलाए हैं, मुझे अत्यधिक संदेह है कि आपके कंप्यूटर से छेड़छाड़ की गई है। एवी और एंटी-मैलवेयर प्रोग्राम स्थापित करने और फिर बूट स्कैन करने के बजाय, ड्राइव को स्कैन करने के लिए किसी अन्य कंप्यूटर का उपयोग करें। एक गुलाम के रूप में ड्राइव को दूसरे सिस्टम में संलग्न करें और फिर स्कैन चलाएं। आपको सीडी या डीवीडी को बूट करके बूट स्कैन करना चाहिए, न कि हार्ड ड्राइव से ही, क्योंकि यह वास्तव में ओएस को शुरू होने से रोकता है और वास्तविक स्कैन के दौरान रूट-किट को चलने से रोकता है।

ईमानदारी से, यदि आप सुनिश्चित हैं कि आपके सिस्टम को रूट-किट द्वारा समाहित किया गया है, तो हार्ड ड्राइव को न्यूक करें और स्क्रैच से शुरू करें। अपने आईटी विभाग को ऐसा करने के लिए कहें। यह सुनिश्चित करने का एकमात्र मूर्ख प्रमाण है कि आपका सिस्टम साफ है।


सबसे पहले, आपके सुझावों के लिए धन्यवाद। एचडीडी को हटाना एक विकल्प नहीं है (प्रश्न को क्यों देखें)। मुझे लगता है कि एमएसई एक कोशिश के लायक है। कल मैं परिणाम की जाँच और साझा करूँगा। ऑप्टिकल डिस्क से बूट करने से बूट स्कैन मेरे लिए काफी उचित लगता है। क्या आप मुझे डिस्क पर जलने के लिए कुछ इमेज फाइल का लिंक सुझा सकते हैं? फिर से, एचडीडी को रोकना मेरे लिए अंतिम उपाय है। मुझे यह किए बिना मामले को हल करने की आवश्यकता है। मुझे पता है कि यह एक पूर्ण समाधान है, लेकिन देखते हैं कि हम क्या कर सकते हैं।
महपर सी। पलुवज़लर 12

मैंने त्वरित खोज की। यहां एक लिंक है जिसमें विभिन्न विक्रेताओं से बूट करने योग्य वायरस स्कैन के बारे में जानकारी है। Techmixer.com/free-bootable-antivirus-rescue-cds-download-list उन्हें आज़माएं।
19

एमएसई को कुछ नहीं मिला। अब मैं एक बूट करने योग्य बचाव सीडी की कोशिश करूँगा।
मेहपर सी। पलुवज़लर 15

0

मेरा सुझाव है कि आप अपने कंप्यूटर पर एक और उपयोगकर्ता खाता बनाएँ। इस खाते को व्यवस्थापक न बनाएं; इसे एक मानक उपयोगकर्ता के रूप में रखें। अपने व्यवस्थापक खाते के बजाय इस नए खाते का उपयोग करें। यदि आपको व्यवस्थापक अधिकारों की आवश्यकता है, तो UAC आपके व्यवस्थापक क्रेडेंशियल के लिए हमेशा संकेत देगा। इस तरह, मैलवेयर UAC को अक्षम नहीं कर पाएगा और बुरी चीजें चलाएगा ...

UAC को व्यवस्थापक अधिकारों के बिना अक्षम करने का प्रयास करें

इससे वायरस से छुटकारा नहीं मिलेगा, लेकिन यह कम से कम इसे खराब होने से रोक देगा। फिर, जब आपके एंटी-वायरस को इसका पता लगाने के लिए नई परिभाषाएं मिलती हैं, तो यह इसे हटाने में सक्षम होगा।


समस्या यह है, यह कंपनी के डोमेन पर एक कार्य पीसी है और मेरे पास नया उपयोगकर्ता बनाने के लिए अधिकार नहीं हैं।
मेहपर सी। पलावुजलर

0

इससे पहले कि आप अधिक जटिल उपायों पर आगे बढ़ें, कृपया एवीजी एंटी-वायरस फ्री संस्करण 2011 स्थापित करें । इसे संपूर्ण कंप्यूटर स्कैन करने दें। हाल ही में, मुझे एक समान समस्या हुई है, और कोई अन्य एंटी-वायरस प्रोग्राम नहीं है, लेकिन उपर्युक्त कोई भी इसे अपने एंटी-रूट-रूट उपायों के साथ ठीक कर सकता है।


मैं आज कोशिश करूँगा और आपको बताऊँगा।
मेहपर सी। पलुवज़लर

मिला कुछ भी नहीं ...
मेहपर सी। पलावुजलर

0

यह एक दिलचस्प मुद्दा है। मेरा कहना है कि यह एक या दो अलग-अलग मुद्दों के कारण होगा:

1) ज्यादातर लोगों को एक वायरस पर संदेह है, और ठीक है, वायरस को खिड़कियों में घुसना और सेटिंग्स के साथ छेड़छाड़ करना पसंद है।

आपके पास पहले से ही स्कैन की एक व्यापक मात्रा है। किसी भी वायरस को पहले से ही चलने वाले लोगों द्वारा पकड़ा जाना चाहिए, इसलिए मेरा मानना ​​है कि यह एक विंडोज़ फाउल अप है।

2) विंडोज को फाउल किया गया है। मैं आपके कंप्यूटर पर एक डिस्क जांच चलाने के लिए पुनः आरंभ करूंगा। दो अलग-अलग विधियाँ जो समान परिणाम प्रस्तुत करती हैं।

- मेरा कंप्यूटर खोलें, और फिर अपनी हार्ड ड्राइव पर राइट क्लिक करें जिसमें विंडोज़ बंद है। इसके बाद, टूल टैब चुनें और उस बटन पर क्लिक करें जो डिस्क चेक [या कुछ समान] कहती है। यदि वे पहले से ही नहीं हैं तो अब दो विकल्प बॉक्स पर टिक करें। आपके कंप्यूटर को आपको अपने कंप्यूटर को फिर से शुरू करने के लिए कहना चाहिए, अगर ऐसा नहीं होता है तो आपने विकल्प बक्से पर टिक नहीं किया है। उस स्कैन को चलने दें। यह आपके विंडोज इंस्टॉलेशन के भीतर किसी भी फाउल अप को साफ करना चाहिए।

अब, यदि वह स्कैन विफल हो जाता है, तो अपना ऑपरेटिंग सिस्टम इंस्टॉलेशन डिस्क डालें। यदि XP का उपयोग किया जाता है, तो R तब हिट करता है जब ब्लू स्क्रीन दिखाता है कि आप किस कार्य को करना चाहते हैं। अब, चुनें कि आपका ऑपरेटिंग सिस्टम किस हार्ड ड्राइव पर है, और उचित संख्या दर्ज करने के बाद एंटर दबाएं। बाद में, व्यवस्थापक खाते [आमतौर पर यह रिक्त है] के लिए पासवर्ड दर्ज करें। अब, कमांड कंसोल में दर्ज करें: chkdsk / r

इसे एक ही स्कैन करना चाहिए, हालाँकि यह और अधिक समस्याओं को ठीक कर सकता है क्योंकि स्थापना डिस्क से स्कैन को चलाया जा रहा है।

यदि VISTA या SEVEN मशीन के लिए स्कैन चल रहा है, तो डिस्क डालें और मरम्मत विकल्प चुनें। बाद में, कैंसिल को हिट करें और यह एक नई विंडो लाए, जिसमें आप अधिक ऑपरेशन कर सकते हैं। अंतिम विकल्प को "कंसोल विंडो" या सॉर्ट का कुछ कहना चाहिए।

कमांड कंसोल में दर्ज करें "chkdsk / r C:"

उम्मीद है की यह मदद करेगा।


मैं विंडोज 7 चला रहा हूं (कृपया प्रश्न टैग देखें)। मैं chkdsk /r C:बूट पर चला हूं और इसमें लगभग 1 घंटे का समय लगा है। कोई समस्या नहीं मिली।
मेहपर सी। पलुवज़लर

0

मैंने अभी अभी बहुत msg का सामना किया है। आज सुबह। जावा अब थोड़ी देर के लिए खुद को अपडेट करने की कोशिश कर रहा है, इसलिए मैंने अधिसूचना सेटिंग्स को "सूचित न करें" में बदल दिया और तुरंत संदेश प्राप्त किया कि मुझे नियंत्रण बंद करने के लिए अपने सीपीयू को पुनरारंभ करना होगा। मैं अंदर गया और अधिसूचना स्तर को रीसेट किया और समस्या हल हो गई। उम्मीद है की वो मदद करदे


-1

मालवेयरबाइट्स का उपयोग करके 10 जीतें। मालवेयर जाहिरा तौर पर स्टार्टअप पर यूएसी को बंद कर रहा था। इसे स्टार्टअप पर लोड करना बंद कर दिया गया और समस्या हल हो गई। फिर मालवेयरबाइट्स सेटअप में देरी के लिए स्टार्टअप को समायोजित किया और यह काम करने के लिए दिखाई दिया।


मालवेयर डिटेक्शन सॉफ्टवेयर के स्टार्टअप में देरी नहीं होने की संभावना बढ़ जाती है कि वास्तविक मैलवेयर खुद को छिपा सकता है?
अर्जन

प्रश्न स्पष्ट रूप से विंडोज 7 के बारे में पूछता है, इसलिए मुझे यकीन नहीं है कि आप विंडोज 10 को क्यों संबोधित कर रहे हैं। इसके अलावा, यह स्पष्ट नहीं है कि आपका सुझाव वास्तव में समस्या को हल करता है, बजाय इसे छिपाने के।
डेविड रिचरबी
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.