UAC se apaga una vez al día en Windows 7

10

Tengo un problema extraño en mi computadora portátil HP. Esto comenzó a suceder recientemente. Cada vez que inicio mi máquina, el Centro de acción de Windows 7 muestra la siguiente advertencia:

Debe reiniciar su computadora para que UAC se apague.

En realidad, esto no sucede si sucedió una vez en un día específico. Por ejemplo, cuando enciendo la máquina por la mañana, aparece; pero nunca aparece en los reinicios posteriores dentro de ese día. Al día siguiente, vuelve a ocurrir lo mismo.

Nunca desactivo UAC, pero obviamente algunos rootkit o virus causan esto. Tan pronto como recibo esta advertencia, me dirijo a la configuración de UAC y vuelvo a habilitar UAC para descartar esta advertencia. Esta es una situación molesta ya que no puedo solucionarlo.

Primero, he realizado un análisis completo en la computadora para detectar cualquier posible virus y actividad de malware / rootkit, pero TrendMicro OfficeScan dijo que no se han encontrado virus. Fui a un antiguo Punto de restauración usando Restaurar sistema de Windows, pero el problema no se resolvió.

Lo que he intentado hasta ahora (que no pudo encontrar el rootkit):

  • TrendMicro OfficeScan Antivirus
  • AVAST
  • Malwarebytes Anti-Malware
  • Ad-Aware
  • Antivirus Vipre
  • GMER
  • TDSSKiller (Kaspersky Labs)
  • HiJackThis
  • RegRuns
  • UnHackMe
  • SuperAntiSpyware Portable
  • Tizer Rootkit Razor ( * )
  • Sophos Anti-Rootkit
  • SpyHunter 4
  • ComboFix

No hay otras actividades extrañas en la máquina. Todo funciona bien, excepto este extraño incidente.

¿Cuál podría ser el nombre de este molesto rootkit? ¿Cómo puedo detectarlo y eliminarlo?

EDITAR: a continuación se muestra el archivo de registro generado por HijackThis:

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 13:07:04, on 17.01.2011
Platform: Windows 7  (WinNT 6.00.3504)
MSIE: Internet Explorer v8.00 (8.00.7600.16700)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskhost.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\CheckPoint\SecuRemote\bin\SR_GUI.Exe
C:\Windows\System32\igfxtray.exe
C:\Windows\System32\hkcmd.exe
C:\Windows\system32\igfxsrvc.exe
C:\Windows\System32\igfxpers.exe
C:\Program Files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\QLBCTRL.exe
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\VolCtrl.exe
C:\Program Files\LightningFAX\LFclient\lfsndmng.exe
C:\Program Files\Common Files\Java\Java Update\jusched.exe
C:\Program Files\Microsoft Office Communicator\communicator.exe
C:\Program Files\Iron Mountain\Connected BackupPC\Agent.exe
C:\Program Files\Trend Micro\OfficeScan Client\PccNTMon.exe
C:\Program Files\Microsoft LifeCam\LifeExp.exe
C:\Program Files\Hewlett-Packard\Shared\HpqToaster.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\mimio\mimio Studio\system\aps_tablet\atwtusb.exe
C:\Program Files\Microsoft Office\Office12\OUTLOOK.EXE
C:\Program Files\Babylon\Babylon-Pro\Babylon.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Users\userx\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://www.yaysat.com.tr/proxy/proxy.pac
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Babylon IE plugin - {9CFACCB6-2F3F-4177-94EA-0D2B72D384C1} - C:\Program Files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [IgfxTray] C:\Windows\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\Windows\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\Windows\system32\igfxpers.exe
O4 - HKLM\..\Run: [hpWirelessAssistant] C:\Program Files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [QlbCtrl.exe] C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [lfsndmng] C:\Program Files\LightningFAX\LFclient\LFSNDMNG.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Common Files\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [Communicator] "C:\Program Files\Microsoft Office Communicator\communicator.exe" /fromrunkey
O4 - HKLM\..\Run: [AgentUiRunKey] "C:\Program Files\Iron Mountain\Connected BackupPC\Agent.exe" -ni -sss -e http://localhost:16386/
O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\Program Files\Trend Micro\OfficeScan Client\pccntmon.exe" -HideWindow
O4 - HKLM\..\Run: [Babylon Client] C:\Program Files\Babylon\Babylon-Pro\Babylon.exe -AutoStart
O4 - HKLM\..\Run: [LifeCam] "C:\Program Files\Microsoft LifeCam\LifeExp.exe"
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - Global Startup: mimio Studio.lnk = C:\Program Files\mimio\mimio Studio\mimiosys.exe
O8 - Extra context menu item: Microsoft Excel'e &Ver - res://C:\PROGRA~1\MICROS~1\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Translate this web page with Babylon - res://C:\Program Files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll/ActionTU.htm
O8 - Extra context menu item: Translate with Babylon - res://C:\Program Files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll/Action.htm
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\Office12\REFIEBAR.DLL
O9 - Extra button: Translate this web page with Babylon - {F72841F0-4EF1-4df5-BCE5-B3AC8ACF5478} - C:\Program Files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll
O9 - Extra 'Tools' menuitem: Translate this web page with Babylon - {F72841F0-4EF1-4df5-BCE5-B3AC8ACF5478} - C:\Program Files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll
O16 - DPF: {00134F72-5284-44F7-95A8-52A619F70751} (ObjWinNTCheck Class) - https://172.20.12.103:4343/officescan/console/html/ClientInstall/WinNTChk.cab
O16 - DPF: {08D75BC1-D2B5-11D1-88FC-0080C859833B} (OfficeScan Corp Edition Web-Deployment SetupCtrl Class) - https://172.20.12.103:4343/officescan/console/html/ClientInstall/setup.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = yaysat.com
O17 - HKLM\Software\..\Telephony: DomainName = yaysat.com
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = yaysat.com
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = yaysat.com
O18 - Protocol: qcom - {B8DBD265-42C3-43E6-B439-E968C71984C6} - C:\Program Files\Common Files\Quest Shared\CodeXpert\qcom.dll
O22 - SharedTaskScheduler: FencesShellExt - {1984DD45-52CF-49cd-AB77-18F378FEA264} - C:\Program Files\Stardock\Fences\FencesMenu.dll
O23 - Service: Andrea ADI Filters Service (AEADIFilters) - Andrea Electronics Corporation - C:\Windows\system32\AEADISRV.EXE
O23 - Service: AgentService - Iron Mountain Incorporated - C:\Program Files\Iron Mountain\Connected BackupPC\AgentService.exe
O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - LSI Corporation - C:\Program Files\LSI SoftModem\agrsmsvc.exe
O23 - Service: BMFMySQL - Unknown owner - C:\Program Files\Quest Software\Benchmark Factory for Databases\Repository\MySQL\bin\mysqld-max-nt.exe
O23 - Service: Com4QLBEx - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\Com4QLBEx.exe
O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
O23 - Service: OfficeScanNT RealTime Scan (ntrtscan) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client\ntrtscan.exe
O23 - Service: SMS Task Sequence Agent (smstsmgr) - Unknown owner - C:\Windows\system32\CCM\TSManager.exe
O23 - Service: Check Point VPN-1 Securemote service (SR_Service) - Check Point Software Technologies - C:\Program Files\CheckPoint\SecuRemote\bin\SR_Service.exe
O23 - Service: Check Point VPN-1 Securemote watchdog (SR_Watchdog) - Check Point Software Technologies - C:\Program Files\CheckPoint\SecuRemote\bin\SR_Watchdog.exe
O23 - Service: Trend Micro Unauthorized Change Prevention Service (TMBMServer) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client\..\BM\TMBMSRV.exe
O23 - Service: OfficeScan NT Listener (tmlisten) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client\tmlisten.exe
O23 - Service: OfficeScan NT Proxy Service (TmProxy) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client\TmProxy.exe
O23 - Service: VNC Server Version 4 (WinVNC4) - RealVNC Ltd. - C:\Program Files\RealVNC\VNC4\WinVNC4.exe

--
End of file - 8204 bytes

Como se sugiere en esta pregunta muy similar , he ejecutado exploraciones completas (+ exploraciones de tiempo de arranque) con RegRun y ​​UnHackMe, pero tampoco encontraron nada. He examinado cuidadosamente todas las entradas en el Visor de eventos, pero no hay nada de malo.

Ahora sé que hay un troyano oculto (rootkit) en mi máquina que parece disfrazarse con bastante éxito. Tenga en cuenta que no tengo la oportunidad de eliminar el HDD o reinstalar el sistema operativo, ya que esta es una máquina de trabajo sujeta a ciertas políticas de TI en el dominio de una empresa.

A pesar de todos mis intentos, el problema aún persiste. Necesito estrictamente un método directo o un removedor de rootkit pukka para eliminar lo que sea. No quiero usar la configuración del sistema, es decir, deshabilitar las ejecuciones automáticas una por una, alterar el registro, etc.

EDIT 2: he encontrado un artículo que está estrechamente relacionado con mi problema:

El malware puede apagar UAC en Windows 7; "Por diseño" dice Microsoft . Un agradecimiento especial (!) A Microsoft.

En el artículo, se proporciona un código VBScript para deshabilitar UAC automáticamente:

'// 1337H4x Written by _____________ 
'//                    (12 year old)

Set WshShell = WScript.CreateObject("WScript.Shell")

'// Toggle Start menu
WshShell.SendKeys("^{ESC}")
WScript.Sleep(500)

'// Search for UAC applet
WshShell.SendKeys("change uac")
WScript.Sleep(2000)

'// Open the applet (assuming second result)
WshShell.SendKeys("{DOWN}")
WshShell.SendKeys("{DOWN}")
WshShell.SendKeys("{ENTER}")
WScript.Sleep(2000)

'// Set UAC level to lowest (assuming out-of-box Default setting)
WshShell.SendKeys("{TAB}")
WshShell.SendKeys("{DOWN}")
WshShell.SendKeys("{DOWN}")
WshShell.SendKeys("{DOWN}")

'// Save our changes
WshShell.SendKeys("{TAB}")
WshShell.SendKeys("{ENTER}")

'// TODO: Add code to handle installation of rebound
'// process to continue exploitation, i.e. place something
'// evil in Startup folder

'// Reboot the system
'// WshShell.Run "shutdown /r /f"

Desafortunadamente, eso no me dice cómo puedo deshacerme de este código malicioso que se ejecuta en mi sistema.

EDITAR 3: Anoche, dejé la computadora portátil abierta debido a una tarea SQL en ejecución. Cuando llegué por la mañana, vi que UAC estaba apagado. Entonces, sospecho que el problema no está relacionado con el inicio. Está sucediendo una vez al día, sin importar si la máquina se reinicia.

EDIT 4: Hoy, inmediatamente comencé a "Process Monitor" tan pronto como Windows comenzó a capturar al culpable (gracias a @harrymc por la idea). A las 9:17, el control deslizante UAC se deslizó hacia abajo (el Centro de acción de Windows 7 dio la advertencia). Investigué todas las acciones de registro entre las 9:16 y las 9:18. Guardé el archivo de registro de Process Monitor (70 MB que contiene solo ese intervalo de 2 minutos). Hay muchas EnableLUA = 0(y otras) entradas. Estoy publicando las capturas de pantalla de las ventanas de propiedades de los primeros 4 a continuación. Dice que svchost.exeestá haciendo esto, y le da algunos hilos y números PID. No sé qué debo inferir sobre ellos:

ingrese la descripción de la imagen aquí ingrese la descripción de la imagen aquí ingrese la descripción de la imagen aquí ingrese la descripción de la imagen aquí

windows-7  virus  uac  malware  rootkit 
rev Mehper C. Palavuzlar
fuente
1
Como una cosa adicional para investigar, esto podría ser una configuración que está siendo aplicada por la Política de grupo desde su controlador de dominio. Puede ser que ellos (por alguna razón) lo tengan configurado para restablecer UAC diariamente. Por supuesto, si lo habilitan mediante políticas grupales y el malware lo deshabilita, entonces eso es malo. Hablaría con sus chicos de TI, es decir, si son del tipo hablador.
Mokubai
@Mokubai: Gracias por su sugerencia. Hablé con los otros colegas de la empresa, y ninguno de ellos tiene ese problema. Estoy seguro de que nuestra TI no ha deshabilitado UAC, ya que son muy sensibles a los problemas de seguridad. Lo interesante es, ¿cómo ese (posible) rootkit superó el antivirus u otras medidas de seguridad implementadas por TI?
Mehper C. Palavuzlar
En cuanto a cómo puede haber contraído esta posible infección en primer lugar, en general, cualquier protección contra malware que pueda tener es generalmente de naturaleza reactiva, aunque la detección proactiva es posible, no es confiable. Alguien sueña con una forma de entrar en un sistema, luego una empresa lo detecta y escribe una forma de detectarlo o eliminarlo, acción y reacción. Si realmente tiene una infección, podría ser una cepa completamente nueva que aún no han visto las compañías de AV. En cuanto a cómo lo obtuvo, hay demasiados agujeros de seguridad en lugares que no esperaría dar una idea ...
Mokubai
Secuestro Esto está limpio. Es posible que desee considerar obtener un muro de archivos. Intenta ejecutar Autoruns y Process Monitor como lo describe Harry.
Tamara Wijsman
¿Has intentado buscar en el Programador de tareas? (Inicio -> Panel de control -> Herramientas administrativas -> Programador de tareas) Haga clic en "Biblioteca del Programador de tareas" para ver las tareas configuradas por cosas como Google Updater. Es posible que su reinicio diario de UAC esté en algún lugar, ya que las tareas se pueden configurar en un momento determinado y luego configurarse para ejecutarse X minutos después de iniciar sesión si ese tiempo ya ha pasado ... Debo decir que podría Será una tarea larga y ardua buscar a través de los miles de elementos allí.
Mokubai

Respuestas:

6

Primero debe verificar si el servicio del Centro de seguridad puede iniciarse y, de no ser así, cuál de sus dependencias es la culpable. Busque también mensajes de error en el Visor de eventos.

Si tiene la sensación de que su computadora está infectada, las posibles soluciones pueden ser:

  1. Cómo reparar archivos del sistema de Windows 7 con el Comprobador de archivos del sistema .
  2. Reparación de inicio: Cómo reparar fácilmente los problemas de arranque de Windows 7 mediante la reparación de inicio .
  3. El último recurso es formatear el disco duro y reinstalar Windows.
    En su caso, esto podría aplicarse: Realización de una recuperación del sistema HP en Windows Vista .

Solo para comentar que Windows es bastante capaz de destruirse a sí mismo sin ninguna ayuda, por lo que Windows Update es más peligroso que cualquier virus. La Reparación de inicio puede solucionar el problema en este caso reiniciando Windows, sin que sea necesario reinstalar las aplicaciones.

Si realmente piensa que el problema es más bien el de un virus, y desea saber más sobre lo que está sucediendo en su computadora, deberá descubrir dos cosas:

  1. Qué cambio se está haciendo en su sistema,
  2. ¿Qué programa cambia esto?

Para el primero, si se trata de un cambio en el registro, entonces la clave probablemente sea el HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Systemelemento EnableLUA , cuyo valor es 0 para Deshabilitar y 1 para Habilitar.

Una vez que haya localizado el cambio que se está realizando en su sistema, puede usar Process Monitor y su opción Habilitar registro de inicio (consulte la ayuda) para registrar todos los accesos a la clave.

Primero arrancaría en modo seguro y vería si esto también está sucediendo. De lo contrario, otro vector de ataque es usar Autoruns para deshabilitar los elementos de inicio en una búsqueda binaria del producto (ya que este podría ser un producto legítimo que causa el problema, en lugar de un virus).

harrymc
fuente
Gracias por sus sugerencias Ya he actuado sfc /scannowy dice Windows Resource Protection Did Not Find Any Integrity Violations. El paso 2 es arriesgado para mí, ya que esta es una computadora portátil de la empresa sujeta a políticas de TI. Si de alguna manera estropeo el proceso de arranque, tendré más problemas. El paso 3 está fuera de discusión para mí.
Mehper C. Palavuzlar
Problema de políticas de TI entendido. ¿Algún resultado de mi primer párrafo?
harrymc
Security Center se inicia sin problemas en modo normal. He examinado cuidadosamente todas las entradas en el Visor de eventos (todas las fechas disponibles hasta ahora), pero no hay nada de malo, como dije en mi pregunta. También he verificado por separado todos los servicios en ejecución, procesos de inicio, entradas de registro y archivos .dll utilizando varios programas antivirus y antimalware.
Mehper C. Palavuzlar
OK, agregué más información. En cualquier caso, si cree que su computadora está infectada, estoy seguro de que las políticas de TI requieren que lo anuncie antes de infectar a toda la empresa.
harrymc
1
Sí, algo está apagando el UAC. (1) ¿Recibe un mensaje de elevación cuando ejecuta regedit? Si no lo hace, UAC ya está apagado después del arranque. (2) ¿Cuál es la situación después de un arranque en modo seguro? (3) Solo para comentar que el mensaje del Centro de actividades se puede mostrar debido a un cambio en ConsentPromptBehaviorAdmin y no solo para EnableLUA.
harrymc
5

En mi caso, se aplicaba una política de dominio una vez al día. El mismo problema. El diagnóstico fue más fácil porque el apagado de UAC se produjo solo al iniciar sesión en el dominio o al conectarse a través de VPN. Por lo tanto, se descubrió que la política de dominio incluía algún script para desactivar UAC. Me puse en contacto con los administradores de mi sistema y lo confirmaron. Por lo tanto, es mejor consultar con sus administradores de dominio o validar las políticas y scripts locales del perfil si no está en el dominio.

Alexey Bondarenko
fuente
2

Opción 1: deshabilitar todos los programas en el inicio. (Inicio> Ejecutar> Msconfig. Desactive todo durante el inicio).

Opción 2: Instale AVAST home edition y programe un análisis de tiempo de arranque. Mejor aún, desconecte el disco duro de su máquina y conéctelo a otro y escanee desde allí usando AVAST.

Opción 3. Otra opción es ejecutar HijackThis. Genere el informe y compártalo aquí para su análisis. http://free.antivirus.com/hijackthis/

bobbyalex
fuente
1
Sus elementos de inicio se ven bien. De todos modos, deshabilite los elementos de inicio y verifique nuevamente. Le sugiero encarecidamente que instale Avast y programe un análisis del tiempo de arranque, preferiblemente después de conectar el disco duro a otra máquina.
bobbyalex
Hay otra cosa que puede intentar: crear un usuario no administrativo e iniciar sesión como ese usuario. Si un programa está tratando de ejecutarse, entonces debería recibir un aviso de UAC.
bobbyalex
Esta es una PC de trabajo en el dominio de una empresa, por lo que no estoy autorizado para crear nuevos usuarios. Por cierto, también probé el análisis del tiempo de arranque de Avast, pero no encontré ningún virus.
Mehper C. Palavuzlar
1

Instale Microsoft Security Essentials y realice un análisis completo del sistema. Dado que MSE utiliza las API y los ganchos del sistema operativo, es posible que pueda localizar el malware, si en realidad es algún tipo de malware. Además, si MSE no puede realmente instalarse o ejecutarse, entonces sabemos con certeza que el sistema está comprometido.

Desde entonces, ha ejecutado tantos programas antivirus y antimalware para verificar su sistema, dudo mucho que su computadora se haya visto comprometida. En lugar de instalar los programas AV y Anti-Malware y luego hacer un escaneo de arranque, use otra computadora para escanear el disco. Conecte el disco a otro sistema como esclavo y luego ejecute los escaneos. Debe realizar el escaneo de arranque arrancando desde un CD o DVD y no desde el disco duro, ya que eso realmente impide que el sistema operativo se inicie y el kit raíz se ejecute durante el escaneo real.

Honestamente, sin embargo, si está seguro de que su sistema ha sido compuesto por un kit raíz, entonces destruya el disco duro y comience desde cero. Pídale a su departamento de TI que haga esto. Esta es la única forma infalible de asegurarse de que su sistema esté limpio.

Metril
fuente
Primero, gracias por sus sugerencias. Quitar el HDD no es una opción (vea la pregunta de por qué). Creo que MSE vale la pena intentarlo. Mañana comprobaré y compartiré el resultado. Un escaneo de arranque al arrancar desde un disco óptico me parece bastante razonable. ¿Me puede recomendar un enlace a algún archivo de imagen para grabar en disco? Nuevamente, destruir el HDD es el último recurso para mí. Necesito resolver el caso sin hacerlo. Sé que es una solución absoluta, pero veamos qué podemos hacer.
Mehper C. Palavuzlar
Hice una búsqueda rápida. Aquí hay un enlace que contiene información sobre análisis de virus de arranque de diferentes proveedores. techmixer.com/free-bootable-antivirus-rescue-cds-download-list Pruébelos.
Metril
MSE no encontró nada. Ahora intentaré un CD de rescate de arranque.
Mehper C. Palavuzlar
0

Le recomiendo que cree otra cuenta de usuario en su computadora. No haga de esta cuenta un administrador; manténgalo como un usuario estándar. Use esta nueva cuenta en lugar de su cuenta de administrador. Si necesita derechos de administrador, UAC siempre le solicitará sus credenciales de administrador. De esa manera, el malware no podrá desactivar UAC y ejecutar cosas malvadas ...

Intente deshabilitar UAC sin derechos de administrador

Esto no eliminará el virus, pero al menos evitará que empeore. Luego, cuando su antivirus obtenga nuevas definiciones para detectarlo, podrá eliminarlo.

Kranu
fuente
El problema es que esta es una PC de trabajo en el dominio de una empresa y no tengo derechos para crear un nuevo usuario.
Mehper C. Palavuzlar
0

Este es un tema bastante interesante. Debo decir que esto sería causado por uno o dos problemas diferentes:

1) La mayoría de las personas sospecharon de un virus, y con razón, a los virus les encanta entrar a Windows y jugar con la configuración.

Ya tiene una gran cantidad de escaneos ejecutados. Cualquier virus debe ser detectado por los que ya están en ejecución, así que creo que es un ave de Windows.

2) Windows está inventado. Le recomendaría que ejecute una comprobación de disco en su computadora. Dos métodos diferentes que rinden resultados similares.

- Abra mi computadora y luego haga clic derecho en su disco duro desde el que se carga Windows. A continuación, seleccione la pestaña de herramientas y haga clic en el botón que dice Comprobación de disco [o algo similar]. Ahora marque las dos casillas de opción si ya no lo están. Su computadora debe pedirle que reinicie su computadora, si no es así, no marcó las casillas de opción. Deje que se ejecute ese escaneo. Debería limpiar las aves dentro de su instalación de Windows.

Ahora, si ese escaneo falla, inserte el disco de instalación del sistema operativo. Si usa XP, presione R cuando aparezca la pantalla azul preguntándole qué tarea desea hacer. Ahora, seleccione en qué disco duro está su sistema operativo y presione enter después de ingresar el número apropiado. Luego, ingrese la contraseña para la cuenta de administrador [generalmente está en blanco]. Ahora, ingrese a la consola de comandos: chkdsk / r

esto debería hacer el mismo escaneo, sin embargo, puede solucionar más problemas porque el escaneo se ejecuta desde el disco de instalación.

Si ejecuta el escaneo para una máquina VISTA o SEVEN, inserte el disco y seleccione la opción de reparación. Luego, presione cancelar y debería abrir una nueva ventana, en la que puede realizar más operaciones. La última opción debería decir "Ventana de consola" o algo por el estilo.

ingrese a la consola de comandos "chkdsk / r C:"

Espero que esto ayude.

Flasimbufasa
fuente
Estoy ejecutando Windows 7 (consulte las etiquetas de preguntas). He corrido chkdsk /r C:en el arranque y me llevó aproximadamente 1 hora. No se encontraron problemas.
Mehper C. Palavuzlar
0

Acabo de encontrarme con este mismo mensaje. esta mañana. Java ha estado tratando de actualizarse por un tiempo ahora, así que cambié la configuración de notificación a "no notificar" e inmediatamente recibí el mensaje de que tenía que reiniciar mi CPU para desactivar el control. Entré y restablecí el nivel de notificación y el problema se resolvió. Espero que ayude

usuario338543
fuente
-1

Gana 10 usando Malwarebytes. Al parecer, el malware estaba apagando el UAC al inicio. Dejé de cargarlo al inicio y el problema pareció resolverse. Luego ajustó el inicio para retrasar la configuración de Malwarebytes y pareció funcionar.

Maleware puede Byte UAC
fuente
¿No retrasar el inicio del software de detección de malware aumentaría las posibilidades de que el malware real pueda ocultarse?
Arjan
La pregunta se refiere explícitamente a Windows 7, por lo que no estoy seguro de por qué se dirige a Windows 10. Además, no está claro que su sugerencia realmente resuelva el problema, en lugar de simplemente ocultarlo.
David Richerby
Al usar nuestro sitio, usted reconoce que ha leído y comprende nuestra Política de Cookies y Política de Privacidad.
Licensed under cc by-sa 3.0 with attribution required.