Windows 7で1日1回UACがオフになる


10

HPラップトップに奇妙な問題があります。これは最近起こり始めました。マシンを起動するたびに、Windows 7アクションセンターに次の警告が表示されます。

UACをオフにするには、コンピューターを再起動する必要があります。

実際、特定の日に1回発生した場合、これは発生しません。たとえば、午前中にマシンを起動すると、表示されます。ただし、その日以降の再起動では表示されません。翌日、同じことが再び起こります。

UACを無効にすることはありませんが、明らかにルートキットまたはウイルスが原因です。この警告が表示されたらすぐに、UAC設定に進み、UACを再度有効にしてこの警告を閉じます。私はそれを修正できないので、これは厄介な状況です。

まず、コンピュータでフルスキャンを実行して、ウイルスとマルウェア/ルートキットの可能性のあるアクティビティを検出しましたが、TrendMicro OfficeScanはウイルスが検出されなかったと述べました。Windowsシステムの復元を使用して古い復元ポイントに移動しましたが、問題は解決しませんでした。

私がこれまでに試したこと(ルートキットが見つかりませんでした):

  • TrendMicro OfficeScanアンチウイルス
  • アバスト
  • Malwarebytes 'アンチマルウェア
  • アドアウェア
  • Vipre Antivirus
  • GMER
  • TDSSKiller(カスペルスキー)
  • HiJackThis
  • RegRuns
  • UnHackMe
  • SuperAntiSpyware Portable
  • タイザールートキットかみそり(*
  • Sophos Anti-Rootkit
  • SpyHunter 4
  • ComboFix

マシンには他に奇妙なアクティビティはありません。この奇妙な事件を除き、すべてが正常に機能します。

この迷惑なルートキットの名前は何でしょうか?検出して削除するにはどうすればよいですか?


編集:以下はHijackThisによって生成されたログファイルです:

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 13:07:04, on 17.01.2011
Platform: Windows 7  (WinNT 6.00.3504)
MSIE: Internet Explorer v8.00 (8.00.7600.16700)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskhost.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\CheckPoint\SecuRemote\bin\SR_GUI.Exe
C:\Windows\System32\igfxtray.exe
C:\Windows\System32\hkcmd.exe
C:\Windows\system32\igfxsrvc.exe
C:\Windows\System32\igfxpers.exe
C:\Program Files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\QLBCTRL.exe
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\VolCtrl.exe
C:\Program Files\LightningFAX\LFclient\lfsndmng.exe
C:\Program Files\Common Files\Java\Java Update\jusched.exe
C:\Program Files\Microsoft Office Communicator\communicator.exe
C:\Program Files\Iron Mountain\Connected BackupPC\Agent.exe
C:\Program Files\Trend Micro\OfficeScan Client\PccNTMon.exe
C:\Program Files\Microsoft LifeCam\LifeExp.exe
C:\Program Files\Hewlett-Packard\Shared\HpqToaster.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\mimio\mimio Studio\system\aps_tablet\atwtusb.exe
C:\Program Files\Microsoft Office\Office12\OUTLOOK.EXE
C:\Program Files\Babylon\Babylon-Pro\Babylon.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Users\userx\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://www.yaysat.com.tr/proxy/proxy.pac
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Babylon IE plugin - {9CFACCB6-2F3F-4177-94EA-0D2B72D384C1} - C:\Program Files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [IgfxTray] C:\Windows\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\Windows\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\Windows\system32\igfxpers.exe
O4 - HKLM\..\Run: [hpWirelessAssistant] C:\Program Files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [QlbCtrl.exe] C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [lfsndmng] C:\Program Files\LightningFAX\LFclient\LFSNDMNG.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Common Files\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [Communicator] "C:\Program Files\Microsoft Office Communicator\communicator.exe" /fromrunkey
O4 - HKLM\..\Run: [AgentUiRunKey] "C:\Program Files\Iron Mountain\Connected BackupPC\Agent.exe" -ni -sss -e http://localhost:16386/
O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\Program Files\Trend Micro\OfficeScan Client\pccntmon.exe" -HideWindow
O4 - HKLM\..\Run: [Babylon Client] C:\Program Files\Babylon\Babylon-Pro\Babylon.exe -AutoStart
O4 - HKLM\..\Run: [LifeCam] "C:\Program Files\Microsoft LifeCam\LifeExp.exe"
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - Global Startup: mimio Studio.lnk = C:\Program Files\mimio\mimio Studio\mimiosys.exe
O8 - Extra context menu item: Microsoft Excel'e &Ver - res://C:\PROGRA~1\MICROS~1\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Translate this web page with Babylon - res://C:\Program Files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll/ActionTU.htm
O8 - Extra context menu item: Translate with Babylon - res://C:\Program Files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll/Action.htm
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\Office12\REFIEBAR.DLL
O9 - Extra button: Translate this web page with Babylon - {F72841F0-4EF1-4df5-BCE5-B3AC8ACF5478} - C:\Program Files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll
O9 - Extra 'Tools' menuitem: Translate this web page with Babylon - {F72841F0-4EF1-4df5-BCE5-B3AC8ACF5478} - C:\Program Files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll
O16 - DPF: {00134F72-5284-44F7-95A8-52A619F70751} (ObjWinNTCheck Class) - https://172.20.12.103:4343/officescan/console/html/ClientInstall/WinNTChk.cab
O16 - DPF: {08D75BC1-D2B5-11D1-88FC-0080C859833B} (OfficeScan Corp Edition Web-Deployment SetupCtrl Class) - https://172.20.12.103:4343/officescan/console/html/ClientInstall/setup.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = yaysat.com
O17 - HKLM\Software\..\Telephony: DomainName = yaysat.com
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = yaysat.com
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = yaysat.com
O18 - Protocol: qcom - {B8DBD265-42C3-43E6-B439-E968C71984C6} - C:\Program Files\Common Files\Quest Shared\CodeXpert\qcom.dll
O22 - SharedTaskScheduler: FencesShellExt - {1984DD45-52CF-49cd-AB77-18F378FEA264} - C:\Program Files\Stardock\Fences\FencesMenu.dll
O23 - Service: Andrea ADI Filters Service (AEADIFilters) - Andrea Electronics Corporation - C:\Windows\system32\AEADISRV.EXE
O23 - Service: AgentService - Iron Mountain Incorporated - C:\Program Files\Iron Mountain\Connected BackupPC\AgentService.exe
O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - LSI Corporation - C:\Program Files\LSI SoftModem\agrsmsvc.exe
O23 - Service: BMFMySQL - Unknown owner - C:\Program Files\Quest Software\Benchmark Factory for Databases\Repository\MySQL\bin\mysqld-max-nt.exe
O23 - Service: Com4QLBEx - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\Com4QLBEx.exe
O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
O23 - Service: OfficeScanNT RealTime Scan (ntrtscan) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client\ntrtscan.exe
O23 - Service: SMS Task Sequence Agent (smstsmgr) - Unknown owner - C:\Windows\system32\CCM\TSManager.exe
O23 - Service: Check Point VPN-1 Securemote service (SR_Service) - Check Point Software Technologies - C:\Program Files\CheckPoint\SecuRemote\bin\SR_Service.exe
O23 - Service: Check Point VPN-1 Securemote watchdog (SR_Watchdog) - Check Point Software Technologies - C:\Program Files\CheckPoint\SecuRemote\bin\SR_Watchdog.exe
O23 - Service: Trend Micro Unauthorized Change Prevention Service (TMBMServer) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client\..\BM\TMBMSRV.exe
O23 - Service: OfficeScan NT Listener (tmlisten) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client\tmlisten.exe
O23 - Service: OfficeScan NT Proxy Service (TmProxy) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client\TmProxy.exe
O23 - Service: VNC Server Version 4 (WinVNC4) - RealVNC Ltd. - C:\Program Files\RealVNC\VNC4\WinVNC4.exe

--
End of file - 8204 bytes

この非常によく似た質問で示唆されているように、RegRunとUnHackMeでフルスキャン(+ブート時間スキャン)を実行しましたが、何も見つかりませんでした。イベントビューアのすべてのエントリを注意深く調べましたが、何も問題はありません。

これで、自分のマシンに隠されたトロイの木馬(ルートキット)が存在することがわかりました。これは、HDDを削除したり、OSを再インストールしたりする機会がないことに注意してください。これは、会社のドメインで特定のITポリシーの対象となる作業マシンです。

私のすべての試みにもかかわらず、問題はまだ残っています。それが何であれ削除するには、厳密な方法またはpukka rootkit removerが厳密に必要です。私はシステム設定で猿になりたくない、すなわち、自動実行を一つ一つ無効にする、レジストリを台無しにする、など。


編集2:私のトラブルに密接に関連する記事を見つけました:

マルウェアは、Windows 7でUACをオフにすることができます。「設計上」とMicrosoftは言います。Microsoftに感謝します。

この記事では、UACを自動的に無効にするVBScriptコードが提供されています。

'// 1337H4x Written by _____________ 
'//                    (12 year old)

Set WshShell = WScript.CreateObject("WScript.Shell")

'// Toggle Start menu
WshShell.SendKeys("^{ESC}")
WScript.Sleep(500)

'// Search for UAC applet
WshShell.SendKeys("change uac")
WScript.Sleep(2000)

'// Open the applet (assuming second result)
WshShell.SendKeys("{DOWN}")
WshShell.SendKeys("{DOWN}")
WshShell.SendKeys("{ENTER}")
WScript.Sleep(2000)

'// Set UAC level to lowest (assuming out-of-box Default setting)
WshShell.SendKeys("{TAB}")
WshShell.SendKeys("{DOWN}")
WshShell.SendKeys("{DOWN}")
WshShell.SendKeys("{DOWN}")

'// Save our changes
WshShell.SendKeys("{TAB}")
WshShell.SendKeys("{ENTER}")

'// TODO: Add code to handle installation of rebound
'// process to continue exploitation, i.e. place something
'// evil in Startup folder

'// Reboot the system
'// WshShell.Run "shutdown /r /f"

残念ながら、システムで実行されているこの悪意のあるコードをどのように取り除くことができるかはわかりません。


編集3:昨夜、実行中のSQLタスクのためにラップトップを開いたままにしました。朝来たとき、UACがオフになっているのを見ました。だから、私は問題が起動に関連していないと思う。マシンがリブートされたかどうかに関係なく、確実に1日に1回発生します。


編集4:今日は、Windowsが有罪者を捕まえ始めるとすぐに「プロセスモニタ」をすぐに開始しました(アイデアを@harrymcに感謝します)。9:17に、UACスライダーが下部にスライドしました(Windows 7アクションセンターが警告を出しました)。9:16から9:18までのすべてのレジストリアクションを調査しました。プロセスモニターのログファイル(その2分間隔のみを含む70MB)を保存しました。多くのEnableLUA = 0(および他の)エントリがあります。以下の最初の4つのプロパティウィンドウのスクリーンショットを投稿しています。これを実行していると言われsvchost.exe、いくつかのスレッドとPID番号を提供します。私はそれらについて何を推測すべきかわかりません:

ここに画像の説明を入力してください ここに画像の説明を入力してください ここに画像の説明を入力してください ここに画像の説明を入力してください


1
追加の調査として、これはドメインコントローラからグループポリシーによって適用されている設定である可能性があります。彼らは(何らかの理由で)毎日UACをリセットするように設定している可能性があります。もちろん、彼らがグループポリシーを使用してそれを有効にし、マルウェアがそれを無効にしている場合、それは悪いことです。IT担当者とおしゃべりをします。つまり、おしゃべりな人です。
木梅

@木梅:ご提案ありがとうございます。私は社内の他の同僚と話をしましたが、誰もそのような問題を抱えていません。私たちのITはUACを無効にしていないと確信しています。UACはセキュリティの問題に非常に敏感だからです。興味深いのは、その(可能性のある)ルートキットが、ITによって導入されたウイルス対策またはその他のセキュリティ対策をどのように欺いたのかということです。
Mehper C. Palavuzlar

そもそもこの可能性のある感染をどのようにして得たのかについては、最も簡単なのは、マルウェア保護が一般的に本質的に事後対応であるということですが、予防的な検出は可能ですが、信頼性はありません。誰かがシステムに侵入する方法を夢見た後、会社はそれを見つけて、それを検出または削除する方法、アクション、および反応を書き留めます。実際に感染している場合、それは非常によく、まだAV企業によって見られていない完全に新しい株である可能性があります。あなたがそれをどうやって手に入れたかについては、あなたがどんな考えも与えるとは思わない場所にあまりにも多くのセキュリティホールがあります...
木梅

HijackThisはクリーンです。ファイルウォールを取得することを検討してください。Harryの説明に従って、AutorunsとProcess Monitorを試してください。
タマラWijsman

タスクスケジューラを調べてみましたか?([スタート]-> [コントロールパネル]-> [管理ツール]-> [タスクスケジューラ])[タスクスケジューラライブラリ]をクリックして、Googleアップデータなどによって設定されたタスクを表示します。タスクが特定の時間に設定され、その時間が既に経過している場合はログイン後X分実行するように設定できるため、毎日のUACリセットがどこかにある可能性があります...そこにある何千ものアイテムを検索する長くて骨の折れる作業である。
Mokubai

回答:


6

最初に、セキュリティセンターサービスが開始できるかどうかを確認し、開始できない場合は、どの依存関係が原因であるかを確認する必要があります。イベントビューアでエラーメッセージも探してください。

コンピュータが感染していると感じている場合、考えられる解決策は次のとおりです。

  1. システムファイルチェッカーを使用してWindows 7システムファイルを修復する方法
  2. スタートアップ修復:スタートアップ修復を使用してWindows 7ブートの問題を簡単に修復する方法
  3. 最後の手段は、ハードディスクを再フォーマットし、Windowsを再インストールすることです。
    あなたの場合、これは適用されるかもしれません:Windows VistaでのHPシステムリカバリの実行

Windowsは何の助けもなしにそれ自体を破壊する能力が非常に高いことに注意してください。そのため、Windows Updateはどのウイルスよりも危険です。スタートアップ修復は、アプリケーションを再インストールせずにWindowsを再初期化することで、この場合の問題を解決する場合があります。

問題がウイルスの問題であると本当に考えており、コンピュータで何が起こっているかをさらに知りたい場合は、次の2つのことを調べる必要があります。

  1. システムにどのような変更が加えられているか、
  2. どのプログラムがこれを変更しますか。

最初のものは、レジストリの変更である場合、キーはおそらくHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\SystemアイテムEnableLUAで、その値は無効化の場合は0、有効化の場合は1です。

システムに対して行われている変更を特定したら、プロセスモニターとその[ブートログを有効にする]オプション(ヘルプを参照)を使用して、キーへのすべてのアクセスを記録できます。

最初にセーフモードで起動し、これも発生するかどうかを確認します。そうでない場合、別の攻撃手段は自動実行を使用して、製品のバイナリ検索でスタートアップアイテムを無効にすることです(これはウイルスではなく問題を引き起こす正当な製品である可能性があるため)。


ご提案ありがとうございます。私はすでに演じたsfc /scannowことがありますWindows Resource Protection Did Not Find Any Integrity Violations。ステップ2は、ITポリシーの対象となる会社のラップトップであるため、私にとって危険です。どういうわけかブートプロセスを台無しにすると、さらにトラブルになります。ステップ3は私にとっては疑問です。
Mehper C. Palavuzlar

ITポリシーの問題を理解しました。最初の段落の結果はありますか?
-harrymc

セキュリティセンターは通常モードで問題なく起動します。イベントビューアーのすべてのエントリを注意深く調べました(現在までのすべての日付)が、私の質問で述べたように、何も問題はありません。また、さまざまなウイルス対策プログラムおよびマルウェア対策プログラムを使用して、実行中のすべてのサービス、スタートアッププロセス、レジストリエントリ、および.dllファイルを個別に確認しました。
Mehper C. Palavuzlar

OK、詳細を追加しました。いずれにせよ、コンピューターが感染していると思われる場合は、ITポリシーにより、会社全体に感染する前にITに公表する必要があると確信しています。
ハリーマク

1
うん、何かがUACをオフにしている。(1)regeditの実行時に昇格のプロンプトが表示されますか?そうしないと、UACは起動後にすでにオフになっています。(2)セーフモードで起動した後の状況は?(3)EnableLUAだけでなく、ConsentPromptBehaviorAdminの変更によりアクションセンターメッセージを表示できることに注意してください。
ハリーマク

5

私の場合、1日に1回適用されていたのはドメインポリシーでした。同じ問題。UACのオフはドメインへのログイン時、またはVPN経由での接続時​​にのみ発生するため、診断は簡単でした。したがって、ドメインポリシーにUACをオフにするスクリプトが含まれていることがわかりました。私はシステム管理者に連絡し、彼らはそれを確認しました。そのため、ドメインの管理者に相談するか、ドメインにいない場合はプロファイルのローカルポリシーとスクリプトを検証してください。


2

オプション1:スタートアップですべてのプログラムを無効にします。(スタート>ファイル名を指定して実行> Msconfig。起動中のすべてを無効にします)。

オプション2:AVASTホームエディションをインストールし、ブート時間スキャンをスケジュールします。さらに良いことに、マシンからハードディスクを取り外し、別のマシンに接続して、AVASTを使用してそこからスキャンします。

オプション3。別のオプションは、HijackThisを実行することです。レポートを生成し、分析のためにここで共有します。 http://free.antivirus.com/hijackthis/


1
Yorのスタートアップアイテムは正常に見えます。それでも同じように、スタートアップ項目を無効にして再度確認します。できればハードディスクを別のマシンに接続した後に、アバストをインストールして起動時間スキャンをスケジュールすることを強くお勧めします。
bobbyalex

もう1つ試すことができます。非管理ユーザーを作成し、そのユーザーとしてログインします。プログラムを実行しようとすると、UACプロンプトが表示されます。
bobbyalex

これは会社のドメイン上の仕事用PCであるため、新しいユーザーを作成する権限がありません。ところで、アバストブートタイムスキャンも試してみましたが、ウイルスは見つかりませんでした。
Mehper C. Palavuzlar

1

Microsoft Security Essentialsをインストールし、システム全体のスキャンを実行してください。MSEはOS APIとフックを使用しているため、実際には何らかのマルウェアである場合、マルウェアを特定できる可能性があります。また、MSEが実際にインストールまたは実行できない場合、システムが危険にさらされていることは確かです。

システムをチェックするために非常に多くのAVおよびマルウェア対策プログラムを実行しているので、コンピューターが危険にさらされていることは非常に疑わしいです。AVおよびマルウェア対策プログラムをインストールしてからブートスキャンを実行する代わりに、別のコンピューターを使用してドライブをスキャンします。ドライブを別のシステムにスレーブとして接続し、スキャンを実行します。ハードドライブ自体からではなく、CDまたはDVDからブートすることでブートスキャンを実行する必要があります。これにより、実際のスキャン中にOSが起動し、ルートキットが実行されなくなるためです。

正直なところ、システムがルートキットで構成されていることが確実な場合は、ハードドライブを無効にして、ゼロから始めます。IT部門に依頼してください。これは、システムがクリーンであることを確認する唯一の確実な方法です。


まず、ご提案ありがとうございます。HDDの取り外しはオプションではありません(理由については質問を参照してください)。MSEは試してみる価値があると思います。明日、結果を確認して共有します。光ディスクからブートすることによるブートスキャンは、私にとって非常に合理的です。ディスクに書き込むためのイメージファイルへのリンクを推奨できますか?繰り返しになりますが、HDDを消すことは私にとって最後の手段です。私はそれをせずにケースを解決する必要があります。私はそれが絶対的な解決策であることを知っていますが、何ができるか見てみましょう。
Mehper C. Palavuzlar

クイック検索をしました。さまざまなベンダーのブータブルウイルススキャンに関する情報があるリンクを次に示します。techmixer.com/free-bootable-antivirus-rescue-cds-download-list 試してみてください。
メトリル

MSEは何も見つかりませんでした。次に、ブータブルレスキューCDを試します。
メーパーC.パラヴズラー

0

コンピューターに別のユーザーアカウントを作成することをお勧めします。このアカウントを管理者にしないでください。標準ユーザーとして保管してください。管理者アカウントの代わりにこの新しいアカウントを使用してください。管理者権限が必要な場合、UACは常に管理者資格情報の入力を求めます。そうすれば、マルウェアはUACを無効にして悪事を実行できなくなります...

管理者権限なしでUACを無効にしてみてください

これはウイルスを取り除くことはできませんが、少なくとも悪化を防ぐことができます。その後、アンチウイルスが新しい定義を取得して検出すると、それを削除できます。


問題は、これは会社のドメイン上の仕事用PCであり、新しいユーザーを作成する権限がないことです。
Mehper C. Palavuzlar

0

より複雑な対策に進む前に、AVG Anti-Virus Free Edition 2011をインストールしてください。コンピューター全体のスキャンを実行します。最近、私は同様の問題を抱えており、他のアンチウイルスプログラムはありませんでしたが、前述のものはアンチルートキット対策でそれを修正できました。


今日は試してみて、お知らせします。
メーパーC.パラブズラー

何も見つかりませんでした
メーパーC. Palavuzlar

0

これはかなり興味深い問題です。これは、1つまたは2つの異なる問題によって引き起こされると言わざるを得ません。

1)ほとんどの人はウイルスを疑っています。当然、ウイルスは窓に入って設定をいじるのが大好きです。

包括的な量のスキャンがすでに実行されています。ウイルスはすでに実行されているものに捕捉されるはずなので、私はそれがウィンドウズファウルアップだと信じています。

2)Windowsが育ちました。コンピュータでディスクチェックを実行することをお勧めします。同様の結果をレンダリングする2つの異なる方法。

-コンピューターを開き、Windowsが読み込まれるハードドライブを右クリックします。次に、[ツール]タブを選択し、[ディスクチェック](または同様のもの)というボタンをクリックします。2つのオプションボックスにチェックが入っていない場合は、チェックを付けます。オプションボックスをチェックしなかった場合、コンピューターはコンピューターの再起動を要求するはずです。そのスキャンを実行します。それはあなたのWindowsインストール内の家禽をきれいにするはずです。

ここで、そのスキャンが失敗した場合、オペレーティングシステムのインストールディスクを挿入します。XPを使用している場合、ブルースクリーンが表示されたら、Rを押して、実行したいタスクを尋ねます。次に、オペレーティングシステムのハードドライブを選択し、適切な番号を入力してEnterキーを押します。その後、管理者アカウントのパスワードを入力します[通常、これは空白です]。次に、コマンドコンソールに入力します:chkdsk / r

これは同じスキャンを実行する必要がありますが、スキャンはインストールディスクから実行されるため、より多くの問題を修正できます。

VISTAまたはSEVENマシンのスキャンを実行する場合は、ディスクを挿入して修復オプションを選択します。その後、キャンセルを押すと、新しいウィンドウが表示され、そこでさらに操作を行うことができます。最後のオプションは、「コンソールウィンドウ」またはそのようなものを言う必要があります。

コマンドコンソール「chkdsk / r C:」に入ります。

お役に立てれば。


Windows 7を実行しています(質問タグをご覧ください)。chkdsk /r C:ブート時に実行しましたが、約1時間かかりました。問題は見つかりませんでした。
Mehper C. Palavuzlar

0

私はまさにこのメッセージに出会いました。今朝。Javaはしばらくの間自分自身を更新しようとしていたので、通知設定を「通知しない」に変更し、すぐにCPUを再起動して制御をオフにする必要があるというメッセージを受け取りました。私は入って通知レベルをリセットし、問題は解決しました。役立つことを願っています


-1

Malwarebytesを使用して10勝する。マルウェアは、起動時にUACをオフにしたようです。起動時にロードを停止し、問題が解決したようです。その後、Malwarebytesのセットアップを遅らせるように起動を調整し、動作するように見えました。


マルウェア検出ソフトウェアの起動を遅らせると、実際のマルウェアが自分自身を隠す可能性が高くなりませんか?
アルジャン

この質問はWindows 7について明示的に尋ねているので、なぜWindows 10に取り組んでいるのかわかりません。また、あなたの提案が問題を単に隠すのではなく、実際に解決するかどうかも明らかではありません。
デビッドリチャービー
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.