HP 랩탑에 이상한 문제가 있습니다. 이것은 최근에 시작되었습니다. 컴퓨터를 시작할 때마다 Windows 7 Action Center에 다음 경고가 표시됩니다.
UAC를 끄려면 컴퓨터를 다시 시작해야합니다.
실제로 특정 날짜에 한 번 발생한 경우에는 발생하지 않습니다. 예를 들어, 아침에 머신을 시작하면 나타납니다. 그러나 그 날의 후속 재시작에는 표시되지 않습니다. 다음 날에도 같은 일이 다시 발생합니다.
UAC를 비활성화하지는 않지만 분명히 일부 루트킷 또는 바이러스가이를 유발합니다. 이 경고가 표시되면 UAC 설정으로 가서 UAC를 다시 활성화하여이 경고를 해제하십시오. 내가 고칠 수 없기 때문에 귀찮은 상황입니다.
먼저 바이러스 및 맬웨어 / 루트킷 활동에 대해 컴퓨터에서 전체 검사를 실행했지만 TrendMicro OfficeScan은 바이러스가 발견되지 않았다고 말했습니다. Windows 시스템 복원을 사용하여 이전 복원 지점으로 갔지만 문제가 해결되지 않았습니다.
내가 지금까지 시도한 것 (루트킷을 찾을 수 없음) :
- TrendMicro OfficeScan 바이러스 백신
- AVAST
- 멀웨어 바이트의 맬웨어 방지
- 광고 인식
- 바이 프레 안티 바이러스
- GMER
- TDSSKiller (카스퍼 스키 랩)
- 하이 잭
- RegRuns
- UnHackMe
- SuperAntiSpyware 휴대용
- 티저 루트킷 면도기 ( * )
- 소포스 안티 루트킷
- 스파이 헌터 4
- 콤보 픽스
기계에 다른 이상한 활동이 없습니다. 이 기괴한 사건을 제외하고는 모든 것이 잘 작동합니다.
이 성가신 루트킷의 이름은 무엇입니까? 어떻게 감지하고 제거 할 수 있습니까?
편집 : 아래는 HijackThis에 의해 생성 된 로그 파일입니다.
Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 13:07:04, on 17.01.2011
Platform: Windows 7 (WinNT 6.00.3504)
MSIE: Internet Explorer v8.00 (8.00.7600.16700)
Boot mode: Normal
Running processes:
C:\Windows\system32\taskhost.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\CheckPoint\SecuRemote\bin\SR_GUI.Exe
C:\Windows\System32\igfxtray.exe
C:\Windows\System32\hkcmd.exe
C:\Windows\system32\igfxsrvc.exe
C:\Windows\System32\igfxpers.exe
C:\Program Files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\QLBCTRL.exe
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\VolCtrl.exe
C:\Program Files\LightningFAX\LFclient\lfsndmng.exe
C:\Program Files\Common Files\Java\Java Update\jusched.exe
C:\Program Files\Microsoft Office Communicator\communicator.exe
C:\Program Files\Iron Mountain\Connected BackupPC\Agent.exe
C:\Program Files\Trend Micro\OfficeScan Client\PccNTMon.exe
C:\Program Files\Microsoft LifeCam\LifeExp.exe
C:\Program Files\Hewlett-Packard\Shared\HpqToaster.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\mimio\mimio Studio\system\aps_tablet\atwtusb.exe
C:\Program Files\Microsoft Office\Office12\OUTLOOK.EXE
C:\Program Files\Babylon\Babylon-Pro\Babylon.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Users\userx\Desktop\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://www.yaysat.com.tr/proxy/proxy.pac
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Babylon IE plugin - {9CFACCB6-2F3F-4177-94EA-0D2B72D384C1} - C:\Program Files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [IgfxTray] C:\Windows\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\Windows\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\Windows\system32\igfxpers.exe
O4 - HKLM\..\Run: [hpWirelessAssistant] C:\Program Files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [QlbCtrl.exe] C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [lfsndmng] C:\Program Files\LightningFAX\LFclient\LFSNDMNG.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Common Files\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [Communicator] "C:\Program Files\Microsoft Office Communicator\communicator.exe" /fromrunkey
O4 - HKLM\..\Run: [AgentUiRunKey] "C:\Program Files\Iron Mountain\Connected BackupPC\Agent.exe" -ni -sss -e http://localhost:16386/
O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\Program Files\Trend Micro\OfficeScan Client\pccntmon.exe" -HideWindow
O4 - HKLM\..\Run: [Babylon Client] C:\Program Files\Babylon\Babylon-Pro\Babylon.exe -AutoStart
O4 - HKLM\..\Run: [LifeCam] "C:\Program Files\Microsoft LifeCam\LifeExp.exe"
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - Global Startup: mimio Studio.lnk = C:\Program Files\mimio\mimio Studio\mimiosys.exe
O8 - Extra context menu item: Microsoft Excel'e &Ver - res://C:\PROGRA~1\MICROS~1\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Translate this web page with Babylon - res://C:\Program Files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll/ActionTU.htm
O8 - Extra context menu item: Translate with Babylon - res://C:\Program Files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll/Action.htm
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\Office12\REFIEBAR.DLL
O9 - Extra button: Translate this web page with Babylon - {F72841F0-4EF1-4df5-BCE5-B3AC8ACF5478} - C:\Program Files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll
O9 - Extra 'Tools' menuitem: Translate this web page with Babylon - {F72841F0-4EF1-4df5-BCE5-B3AC8ACF5478} - C:\Program Files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll
O16 - DPF: {00134F72-5284-44F7-95A8-52A619F70751} (ObjWinNTCheck Class) - https://172.20.12.103:4343/officescan/console/html/ClientInstall/WinNTChk.cab
O16 - DPF: {08D75BC1-D2B5-11D1-88FC-0080C859833B} (OfficeScan Corp Edition Web-Deployment SetupCtrl Class) - https://172.20.12.103:4343/officescan/console/html/ClientInstall/setup.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = yaysat.com
O17 - HKLM\Software\..\Telephony: DomainName = yaysat.com
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = yaysat.com
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = yaysat.com
O18 - Protocol: qcom - {B8DBD265-42C3-43E6-B439-E968C71984C6} - C:\Program Files\Common Files\Quest Shared\CodeXpert\qcom.dll
O22 - SharedTaskScheduler: FencesShellExt - {1984DD45-52CF-49cd-AB77-18F378FEA264} - C:\Program Files\Stardock\Fences\FencesMenu.dll
O23 - Service: Andrea ADI Filters Service (AEADIFilters) - Andrea Electronics Corporation - C:\Windows\system32\AEADISRV.EXE
O23 - Service: AgentService - Iron Mountain Incorporated - C:\Program Files\Iron Mountain\Connected BackupPC\AgentService.exe
O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - LSI Corporation - C:\Program Files\LSI SoftModem\agrsmsvc.exe
O23 - Service: BMFMySQL - Unknown owner - C:\Program Files\Quest Software\Benchmark Factory for Databases\Repository\MySQL\bin\mysqld-max-nt.exe
O23 - Service: Com4QLBEx - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\Com4QLBEx.exe
O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
O23 - Service: OfficeScanNT RealTime Scan (ntrtscan) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client\ntrtscan.exe
O23 - Service: SMS Task Sequence Agent (smstsmgr) - Unknown owner - C:\Windows\system32\CCM\TSManager.exe
O23 - Service: Check Point VPN-1 Securemote service (SR_Service) - Check Point Software Technologies - C:\Program Files\CheckPoint\SecuRemote\bin\SR_Service.exe
O23 - Service: Check Point VPN-1 Securemote watchdog (SR_Watchdog) - Check Point Software Technologies - C:\Program Files\CheckPoint\SecuRemote\bin\SR_Watchdog.exe
O23 - Service: Trend Micro Unauthorized Change Prevention Service (TMBMServer) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client\..\BM\TMBMSRV.exe
O23 - Service: OfficeScan NT Listener (tmlisten) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client\tmlisten.exe
O23 - Service: OfficeScan NT Proxy Service (TmProxy) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client\TmProxy.exe
O23 - Service: VNC Server Version 4 (WinVNC4) - RealVNC Ltd. - C:\Program Files\RealVNC\VNC4\WinVNC4.exe
--
End of file - 8204 bytes
이 매우 비슷한 질문 에서 제안한 것처럼 RegRun 및 UnHackMe를 사용하여 전체 검사 (+ 부팅 시간 검사)를 실행했지만 아무것도 찾지 못했습니다. 이벤트 뷰어의 모든 항목을주의 깊게 검사했지만 아무런 문제가 없습니다.
이제 내 컴퓨터에 숨겨진 트로이 목마 (루트킷)가 있다는 것을 알고 있습니다. 회사 도메인에 특정 IT 정책이 적용되는 작업 시스템이므로 HDD를 제거하거나 OS를 다시 설치할 기회가 없습니다.
나의 모든 시도에도 불구하고 문제는 여전히 남아 있습니다. 나는 그것이 무엇이든 제거하기 위해 to-the-point 방법이나 pukka 루트킷 리무버가 엄격히 필요합니다. 시스템 설정으로 원숭이를 원치 않습니다. 즉, 자동 실행을 하나씩 비활성화하고 레지스트리를 엉망으로 만드는 등.
편집 2 : 내 문제와 밀접한 관련이있는 기사를 찾았습니다.
맬웨어는 Windows 7에서 UAC를 끌 수 있습니다. “디자인으로”Microsoft가 말합니다 . Microsoft에게 특별한 감사 (!).
이 기사에서는 UAC를 자동으로 비활성화하기 위해 VBScript 코드가 제공됩니다.
'// 1337H4x Written by _____________
'// (12 year old)
Set WshShell = WScript.CreateObject("WScript.Shell")
'// Toggle Start menu
WshShell.SendKeys("^{ESC}")
WScript.Sleep(500)
'// Search for UAC applet
WshShell.SendKeys("change uac")
WScript.Sleep(2000)
'// Open the applet (assuming second result)
WshShell.SendKeys("{DOWN}")
WshShell.SendKeys("{DOWN}")
WshShell.SendKeys("{ENTER}")
WScript.Sleep(2000)
'// Set UAC level to lowest (assuming out-of-box Default setting)
WshShell.SendKeys("{TAB}")
WshShell.SendKeys("{DOWN}")
WshShell.SendKeys("{DOWN}")
WshShell.SendKeys("{DOWN}")
'// Save our changes
WshShell.SendKeys("{TAB}")
WshShell.SendKeys("{ENTER}")
'// TODO: Add code to handle installation of rebound
'// process to continue exploitation, i.e. place something
'// evil in Startup folder
'// Reboot the system
'// WshShell.Run "shutdown /r /f"
불행히도 시스템에서 실행되는이 악성 코드를 제거하는 방법을 알려주지는 않습니다.
편집 3 : 어젯밤 SQL 작업이 실행되어 노트북을 열어 두었습니다. 아침에 왔을 때 UAC가 꺼져있는 것을 보았습니다. 따라서 문제가 시작과 관련이 없다고 생각합니다. 시스템이 재부팅되었는지 여부에 관계없이 하루에 한 번 발생합니다.
편집 4 : 오늘 Windows가 유죄 판결을 받기를 희망하자마자 즉시 "Process Monitor"를 시작했습니다 (아이디어 @harrymc에게 감사드립니다). 9시 17 분에 UAC 슬라이더가 아래쪽으로 밀렸습니다 (Windows 7 Action Center에서 경고 표시). 9:16과 9:18 사이의 모든 레지스트리 작업을 조사했습니다. 프로세스 모니터 로그 파일 (2 분 간격 만 포함하는 70MB)을 저장했습니다. 많은 EnableLUA = 0항목이 있습니다. 아래 첫 4 개의 속성 창의 스크린 샷을 게시하고 있습니다. 그것은 말한다 svchost.exe이 일을하고, 일부 스레드 및 PID 번호를 제공합니다. 나는 그들에 대해 무엇을 추론 해야할지 모르겠다.
1
추가로 조사해야 할 사항은 도메인 정책에서 그룹 정책에 의해 적용되는 설정일 수 있습니다. (어떤 이유로 든) 매일 UAC를 재설정하도록 설정했을 수 있습니다. 물론 그룹 정책을 사용하여 활성화하고 악성 프로그램이 비활성화 한 경우 이는 나쁘다. IT 담당자와 대화를 나눌 수 있습니다.
—
Mokubai
@ Mokubai : 귀하의 제안에 감사드립니다. 나는 회사의 다른 동료들과 이야기를 나 and는데 그 중 아무도 그런 문제가 없었습니다. 우리의 IT 부서는 보안 문제에 매우 민감하기 때문에 UAC를 비활성화하지 않았다고 확신합니다. 흥미로운 점은 어떻게 (가능한) 루트킷이 안티 바이러스 나 IT가 시행 한 다른 보안 조치에 영향을 주었습니까?
—
Mehper C. Palavuzlar
처음 에이 가능한 감염 을 어떻게 입수했는지에 관해서는 , 가장 간단한 방법으로, 악성 프로그램 보호는 일반적으로 본질적으로 반응성이지만 사전 탐지는 가능하지만 신뢰할 수는 없습니다. 누군가는 시스템에 침입 할 수있는 방법을 꿈꾸고, 회사는이를 발견하고이를 감지하거나 제거하는 방법, 행동 및 반응을 작성합니다. 실제로 감염된 경우 AV 회사에서 아직 보지 못한 완전히 새로운 변종 일 수 있습니다. 당신이 그것을 얻는 방법에 관해서는 당신이 전혀 생각하지 않을 장소에 너무 많은 보안 구멍이 있습니다 ...
—
Mokubai
납치되었습니다. 파일 월을 얻는 것을 고려할 수도 있습니다. Harry가 설명한대로 자동 실행 및 프로세스 모니터를 사용해보십시오.
—
Tamara Wijsman
작업 스케줄러를 살펴 보셨습니까? (시작-> 제어판-> 관리 도구-> 작업 스케줄러) "작업 스케줄러 라이브러리"를 클릭하여 Google 업데이터와 같은 것들에 의해 설정된 작업을 봅니다. 작업을 특정 시간에 설정 한 다음 해당 시간이 이미 지나면 로그인 후 X 분을 실행하도록 설정할 수 있으므로 일일 UAC 재설정이 어딘가에있을 수 있습니다 ...하지만 말할 수는 있습니다. 거기에있는 수천 개의 항목을 검색하는 길고 힘든 작업입니다.
—
Mokubai
