Как проверить, есть ли в вашем ноутбуке HP кейлоггер Conexant
Многие ноутбуки HP, выпущенные в 2015 и 2016 годах, имеют серьезные проблемы. Аудиодрайвер, предоставленный Conexant, имеет включенный код отладки, и он либо записывает все нажатия клавиш в файл, либо печатает их в системный журнал отладки, где вредоносные программы могут отслеживать их, не выглядя слишком подозрительно. Вот как проверить, не затронут ли ваш компьютер.
Почему мой ноутбук HP регистрирует нажатия клавиш?
HP утверждает, что не имеет доступа к этим данным, и рассматриваемый кейлоггер не выглядит вредоносным. Нет никаких доказательств того, что кейлоггер действительно что-то делает с нажатиями клавиш, помимо сохранения их на вашем ПК. Однако это может быть опасно, поскольку этот секретный журнал нажатий клавиш будет доступен для вредоносных программ и может храниться в резервных копиях. Другими словами, это не злоба - просто некомпетентность.
Похоже, что это код отладки в аудио драйвере Conexant, код, который должен был быть удален Conexant до того, как драйвер был поставлен на ПК. Часть драйвера, которая прослушивает быстрые клавиши мультимедиа, автоматически регистрирует нажатия клавиш. Его обнаружили исследователи из Модзеро.
Как проверить, активен ли кейлоггер
Поведение на разных ноутбуках HP различно в зависимости от версии аудиодрайвера, который они включают. На многих ноутбуках кейлоггер записывает нажатия клавиш на C: \ Users \ Public \ MicTray.log
файл. Этот файл стирается при каждой загрузке, но он может быть захвачен и сохранен в резервных копиях системы.
Перейдите к C: \ Users \ Public \
и посмотрите, есть ли у вас файл MicTray.log. Дважды щелкните по нему, чтобы просмотреть содержимое. Если вы видите информацию о ваших нажатиях клавиш, у вас установлен драйвер проблемы.
Если вы видите данные в этом файле, вам нужно удалить файл MicTray.log из любых резервных копий системы, частью которых он может быть, чтобы гарантировать, что записи ваших нажатий клавиш будут удалены. Вы также должны удалить файл MicTray.log отсюда, чтобы стереть запись ваших нажатий клавиш.
Даже если вы не видите файл MicTray.log, ваш ноутбук HP, возможно, ранее записывал нажатия клавиш в этот файл, прежде чем загрузил автоматическое обновление, которое остановило его. Вы должны проверить все резервные копии, созданные на вашем компьютере, и удалить файл MicTray.log, если вы его видите..
На нашем HP Spectre x360 мы увидели файл MicTray.log, но он был размером 0 КБ. Тем не менее, даже если данные не печатаются в этот файл, каждое нажатие клавиши может быть напечатано через Windows OutputDebugString API. Любое приложение, работающее в текущей учетной записи пользователя, может просматривать эту информацию об отладке и регистрировать каждое нажатие клавиши, не делая ничего, что могло бы показаться подозрительным для антивирусных программ..
Чтобы проверить, происходит ли это, загрузите и запустите приложение DebugView от Microsoft. Посмотрите на приложение DebugView и нажмите несколько клавиш на клавиатуре..
Если аудиодрайвер Conexant записывает нажатия клавиш и печатает их как отладочные сообщения, вы увидите множество строк «Mic target», каждая со скан-кодом. Информация в каждой строке идентифицирует нажатую клавишу, поэтому эта информация может быть расшифрована для записи каждой нажатой клавиши в том порядке, в котором вы их нажимаете, если приложение прослушивало журнал отладки на вашем ПК..
Если вы не видите файл MicTray.log с нажатиями клавиш, и у вас нет вывода «Mic target», видимого в DebugView, поздравляем. Ваша система не имеет установленного и запущенного программного обеспечения аудио драйвера.
Как остановить кейлоггер
Если вы видите файл MicTray.log, заполненный данными, или вы видите выходные данные отладки «Mic target», видимые в DebugView, у вас установлен звуковой драйвер опасного кейлогинга, и вы должны отключить или удалить его.
Исправления этой проблемы будут доставлены через Центр обновления Windows на поврежденные ноутбуки. Исправление для ноутбуков, выпущенных в 2016 году, было добавлено в Центр обновления Windows 11 мая, а исправление для ноутбуков, выпущенных в 2015 году, запланировано на 12 мая. Выберите «Настройки»> «Обновление и безопасность»> «Центр обновления Windows», чтобы убедиться, что у вас установлены последние обновления..
Если исправление еще не выпущено или по какой-то причине вы не можете запустить Центр обновления Windows, вы можете удалить программное обеспечение, вызывающее проблему. Вам нужно будет удалить файл MicTray.exe или MicTray64.exe. Это предотвратит работу некоторых функциональных клавиш на клавиатуре, но это небольшая временная цена за безопасность.
Сначала откройте диспетчер задач, щелкнув правой кнопкой мыши на панели задач и выбрав «Диспетчер задач». Нажмите «Подробнее», перейдите на вкладку «Сведения», найдите в списке файл MicTray64.exe или MicTray.exe, щелкните его правой кнопкой мыши и выберите «Завершить задачу»..
Затем найдите исполняемый файл MicTray в вашей системе и удалите его. Исследователи указывают, что этот файл часто находится в C: \ Windows \ system32 \ MicTray.exe
или же C: \ Windows \ system32 \ MicTray64.exe
. Однако в нашей системе мы нашли его в C: \ Program Files \ CONEXANT \ MicTray \ MicTray64.exe
.
Когда Центр обновления Windows устанавливает обновленный драйвер в будущем, он должен установить новый исполняемый файл MicTray, который решит проблему и снова включит функциональные клавиши клавиатуры..
Кредит Фотографии: Сеть Amanz / Flickr