Многие ноутбуки HP, выпущенные в 2015 и 2016 годах, имеют серьезные проблемы. В звуковом драйвере, предоставленном Conexant, включен код отладки, и он либо записывает все нажатия клавиш в файл, либо печатает их в системный журнал отладки, где вредоносное ПО может отслеживать их, не выглядя слишком подозрительно. Вот как проверить, не затронут ли ваш компьютер.
Почему мой ноутбук HP регистрирует нажатия клавиш?
HP утверждает, что не имеет доступа к этим данным, и рассматриваемый кейлоггер не выглядит вредоносным. Нет никаких доказательств того, что кейлоггер действительно что-то делает с нажатиями клавиш, помимо сохранения их на вашем компьютере. Однако это может быть опасно, поскольку этот секретный журнал нажатий клавиш будет доступен для вредоносных программ и может храниться в резервных копиях. Другими словами, это не злоба – просто некомпетентность.
Похоже, что это код отладки в аудио драйвере Conexant, код, который должен был быть удален Conexant до того, как драйвер был поставлен на ПК. Часть драйвера, которая прослушивает комбинации клавиш, автоматически регистрирует нажатия клавиш, которые он видит. Его обнаружили исследователи из Модзеро.
Как проверить, активен ли кейлоггер
Поведение на разных ноутбуках HP различается в зависимости от версии аудиодрайвера, который они включают. На многих ноутбуках кейлоггер записывает нажатия клавиш в файл C: \ Users \ Public \ MicTray.log . Этот файл стирается при каждой загрузке, но он может быть захвачен и сохранен в резервных копиях системы.
Перейдите в C: \ Users \ Public \ и проверьте, есть ли у вас файл MicTray.log. Дважды щелкните по нему, чтобы просмотреть содержимое. Если вы видите информацию о ваших нажатиях клавиш, у вас установлен драйвер проблемы.
Если вы видите данные в этом файле, вам нужно удалить файл MicTray.log из любых резервных копий системы, частью которых он может быть, чтобы гарантировать, что записи ваших нажатий клавиш будут удалены. Вы также должны удалить файл MicTray.log отсюда, чтобы стереть запись ваших нажатий клавиш.
Даже если вы не видите файл MicTray.log, возможно, ваш ноутбук HP ранее записывал нажатия на этот файл до того, как загрузил автоматическое обновление, которое остановило его. Вам следует проверить все резервные копии, созданные на вашем компьютере, и удалить файл MicTray.log, если вы его видите.
На нашем HP Spectre x360 мы увидели файл MicTray.log, но он был размером 0 КБ. Однако даже если данные не печатаются в этот файл, каждое нажатие клавиши может быть напечатано с помощью API-интерфейса Windows OutputDebugString. Любое приложение, работающее в текущей учетной записи пользователя, может просматривать эту информацию об отладке и фиксировать каждое нажатие клавиши, не делая ничего, что могло бы показаться подозрительным антивирусным программам.
Чтобы проверить, происходит ли это, загрузите и запустите приложение DebugView от Microsoft. Посмотрите на приложение DebugView и нажмите несколько клавиш на клавиатуре.
Если аудиодрайвер Conexant записывает нажатия клавиш и печатает их как отладочные сообщения, вы увидите много строк «Mic target», каждая со скан-кодом. Информация в каждой строке идентифицирует нажатую клавишу, поэтому эта информация может быть расшифрована для записи каждой нажатой клавиши в том порядке, в котором вы их нажимали, если приложение прослушивало журнал отладки на вашем ПК.
Если вы не видите файл MicTray.log с нажатой клавишей в нем и у вас нет вывода «Mic target», видимого в DebugView, поздравляем. В вашей системе не установлено и не работает программное обеспечение драйвера аудио с ошибками.
Как остановить кейлоггер
Если вы видите файл MicTray.log, заполненный данными, или видите отладочный вывод «Mic target», видимый в DebugView, у вас установлен звуковой драйвер для опасного кейлогинга, и вы должны отключить или удалить его.
Исправления этой проблемы будут доставлены через Центр обновления Windows на поврежденные ноутбуки. Исправление для ноутбуков, выпущенных в 2016 году, было добавлено в Центр обновления Windows 11 мая, а исправление для ноутбуков, выпущенных в 2015 году, запланировано на 12 мая. Выберите «Настройки»> «Обновление и безопасность»> «Центр обновления Windows», чтобы иметь последние обновления.
Если исправление еще не выпущено или по какой-либо причине вы не можете запустить Центр обновления Windows, вы можете удалить программное обеспечение, вызывающее проблему. Вам нужно будет удалить файл MicTray.exe или MicTray64.exe. Это предотвратит работу некоторых функциональных клавиш на клавиатуре, но это небольшая временная цена за безопасность.
Сначала откройте Диспетчер задач, щелкнув правой кнопкой мыши на панели задач и выбрав «Диспетчер задач». Нажмите «Подробнее», перейдите на вкладку «Сведения», найдите в списке файл MicTray64.exe или MicTray.exe, щелкните его правой кнопкой мыши и выберите «Завершить задачу».
Затем найдите исполняемый файл MicTray в вашей системе и удалите его. Исследователи указывают, что этот файл часто находится по адресу C: \ Windows \ system32 \ MicTray.exe или C: \ Windows \ system32 \ MicTray64.exe . Однако в нашей системе мы нашли его по адресу C: \ Program Files \ CONEXANT \ MicTray \ MicTray64.exe .
Когда Центр обновления Windows установит обновленный драйвер в будущем, он должен установить новый исполняемый файл MicTray, который решит проблему и снова включит функциональные клавиши клавиатуры.
Кредит Фотографии: Сеть Amanz/Flickr
