Драйвера для звуковых карт в ноутбуках НР вот уже два года поставляются со встроенным кейлоггером
Корпорация HP продает большое количество разнообразной техники, включая несколько десятков моделей ноутбуков и планшетов. Как оказалось, драйвера, которые поставляются компанией для своих устройств, содержат встроенный кейлоггер. Речь идет о драйверах для звуковой карты. Кейлоггер фиксирует все нажатия клавиш пользователя и сохраняет полученные данные в зашифрованный файл на жестком диске компьютера.
Это не разработка киберпреступников, а вполне официальный софт. Производителем драйвера, о котором идет речь, является не сама компания HP, а ее партнер, поставщик аудиочипов Conexant. Один из компонентов драйвера, элемент MicTray64.exe, выполняет отслеживание и запись нажатий клавиш пользователя компьютера или ноутбука с установленным драйвером.
Собственно, компонент, о котором идет речь, следит за нажатиями клавиш пользователей для того, чтобы уловить специальную комбинацию кнопок. Речь идет о так называемых «горячих клавишах», которые используются для управления драйвером и параметрами звука. Но то, что компонент не делает ничего плохо, не отменяет того факта, что это чистой воды кейлоггер. «Такой способ работы превращает драйвер звука в эффективный кейлоггер», — говорит представитель швейцарской компании Modzero. Причем компонент, о котором идет речь, стал частью драйвера звука, начиная с конца 2015 года. Получается, что вот уже около двух лет звуковые драйвера для ноутбуков HP поставляются с интегрированным официальным кейлоггером.
Файл, куда записываются нажатия кнопок клавиатуры расположен по адресу C:\Users\Public\MicTray.log (можете проверить наличие этого файла, если у вас ноутбук от HP). Его содержимое затирается при каждой перезагрузке ПК. Но есть много вариантов, когда система не обнуляет файл. Кроме того, если в Windows настроено архивирование, то MicTray.log со всеми данными сохраняется в архиве. При желании его можно с легкостью найти и просмотреть содержимое.
«MicTray64.exe от Conexant устанавливается вместе с аудиодрайвером звука Conexant, планировщик Windows запускает его при загрузке системы и последующем логине пользователя. Программа регистрирует все нажатия клавиш, которые выполняет пользователь и реагирует при регистрации определенной комбинации… Если файл MicTray.log отсутствует в системе, то все нажатия клавиш передаются в OutputDebugString API, что позволяет получать эту информацию любому процессу, и для антивирусного ПО все это не является подозрительными действиями. В версии файла 10.0.0.31 регистрации нажатий клавиш и передача данных использовалась только с функцией OutputDebugString без записи в файл», — говорится в опубликованном анализе аудиодрайвера НР от Modzero.
По мнению экспертов по кибербезопасности, этот компонент аудиодрайвера с легкостью позволяет злоумышленнику получить данные пользователя. Да, содержимое файла шифруется, но восстановить данные из файла совсем несложно. Пользователи ноутбуков от НР вообще не в курсе того, что их данные пишутся в файл таким вот незамысловатым образом. Причем для кейлоггера нет различия в том, что это за данные — курсовая работа или доступ к счету в банке.
Для злоумышленников здесь огромные возможности. Можно каким-либо образом похищать файл с сохраненными нажатиями. А можно создать ПО, которое будет подключаться к API драйвера для сохранения и последующей передачи информации, о которой шла речь выше.
Модельный ряд ноутбуков HP включает серии HP EliteBooks, HP ProBooks, HP ZBooks, and HP Elites. Вполне может быть, что проблема актуальна не только для ноутбуков НР, а вообще для всех устройств с чипами от Conexant. Проверить свою систему можно, просмотрев файлы в следующих местах: C:\Windows\System32\MicTray.exe или C:\Windows\System32\MicTray64.exe. Пока точно известно, что проблема сохраняется для целого ряда моделей:
Что касается компании HP, то ее представители уже ознакомились с проблемой и заявили, что сотрудники ликвидируют проблему в ближайшее время. «Мы нашли решение и сделаем его доступным для наших пользователей», — заявили в компании.
HP — не единственный производитель и поставщик ноутбуков, чье ПО содержит проблемные элементы. В 2015 году стала известной проблема программного обеспечения ноутбуков от Lenovo. Кейлоггеров там не было, зато практически на всех машинах устанавливалась программа Superfish, которая анализировала трафик пользователя, изучала картинки товаров и вставляла в браузер рекламу этих товаров из сторонних магазинах. Причем такая реклама вставлялась даже в результаты поиска в Google.
В том же 2015 году обнаружилось, что предустановленный в операционной системе ноутбуков Dell XPS 15 сертификат безопасности ненадежен. Дело в том, что ключ и пароль этого сертификата совпадал для всех ноутбуков этой модели.
Можно предположить, что на самом деле проблем с уязвимостью ПО поставляемых на рынок электронных устройств очень много, причем специалисты по инфобезу обнаруживают лишь малую толику проблемных мест. В итоге уязвимости могут оставаться открытыми годами, а этим уже пользуются киберпреступники.
990x.top
Простой компьютерный блог для души)
HP JumpStart что это за программа и нужна ли она?
Всем привет. Моя задача, это узнать инфу о программе HP JumpStart, что это вообще такое. Ну а вы сможете для себя решить, нужна она вам или нет. Покопавшись в интернете, я понял, что HP JumpStart это прога, которая идет на ноутах HP и предназначена для некоторой настройки ноута при его первом запуске. Имею ввиду что вы запустили ноут и эта прога поможет вам сразу выполнить некоторые важные шаги. Какие? Например регистрация устройства в HP, регистрация McAfee, активация HP Dropbox (это облачное хранение данных). Также HP JumpStart даст вам полезные советы и рекомендации. Ну короче я так понимаю эта прога не критически важная. Однако тем, кто не особо шарит в ПК, то им я думаю она будет полезна…
В принципе понятно что за программа HP JumpStart, согласны? Это что ни есть самое настоящая фирменная прога. Она особенно будет полезна новичкам, так как она вам поможет зарегить ноут HP, после этого вы получите доступ к поддержке. Просто для тех, у кого устройство зарегано, то для них помощь будет как бы быстрее, чем для других. Ну и McAfee, это я так и не смог понять что это, то ли антивирус, то ли подобие его.
Я понаходил картинки по поводу HP JumpStart. Вот первая, смотрите:
Да, я знаю что тут видно плохо, за это извините. Но что тут? Здесь мы видим, что HP JumpStart также может предложить вам установить некоторые популярные программы. Их можно выбрать несколько. Так вот, после нажатия кнопки Continue & Install будет сообщение что оно начинает качать проги, жмете ОК, после этого будет такое окно, и если тут нажать кнопку Downloads (она в левом верхнем углу):
То вы попадете в окно App Install Status:
Здесь можно посмотреть процесс загрузки и установки приложений 
Вот еще одна картинка, это наверно если вы запустите прогу, то вам будет предложено три раздела, это Protect (типа защита), Customize (настройка) ну или Get acquainted (типа знакомство с прогой):
Ну вот картинка по поводу регистрации в Dropbox:
Что вообще тут изображено? Я так понимаю, что при помощи HP JumpStart можно зарегится в Dropbox и получить бесплатно 25 гигов облачного хранения данных на год, что вообще-то неплохо, учитывая что Dropbox это реально стоящее облако. Честно говоря не знаю как это все регистрируется, но вроде тут нужно ввести свое имя, почту, пароль.. и будет создан аккаунт, где будет доступно 25 гигов.. как-то так
Вот картинка, тут типа HP рекомендует зарегаться в McAfee:
Но можете этого не делать, просто нажав Skip (пропустить)
Ребята, я тут нашел такую картинку, даже не знаю что вам сказать, но вообще программ от HP я вижу прилично много может быть и кажется что это даже не все:
Интересно, а у вас сколько их?.
Кстати, если вы запустите программу HP JumpStart и при этом вы не подключены к интернету, то у вас будет такое окно:
Видите ту тесть три кнопки, это Tips (вроде подсказки), Tricks (какие-то трюки), Advice (советы). Не совсем понятно что именно эти кнопки делают. Но ладно, в общем я понял что прогу лучше запускать когда интернет есть, это наверно нужно в первую очередь для регистрации устройства. Кнопка Thanks, I’ll come back later переводится типа спасибо я вернусь позже
Ребята, я нашел страницу, где рассказывается о проге HP JumpStart. Это официальный сайт HP, поэтому я вам даю ссылку на эту страницу, вот она:
Если интересно можете посмотреть, там всякая инфа по поводу HP JumpStart
Как удалить HP JumpStart? Так, так, а вы точно уверены что это нужно делать? Ну смотрите.. Просто я не знаю что будет с регистрацией ноута в HP после удаления этой проги.. Ладно. Смотрите, зажимаете кнопки Win + R, далее вводите такую команду:
Потом у вас появится окно со списком прог всяких, примерно такое:
Тут вы ищите прогу HP JumpStart, нажимаете правой кнопкой и выбираете Удалить, после чего следуете указаниям удалятора. Сложняка в удалении нет
На этом все ребята, не знаю было ли полезно то что я вам тут написал или нет. Удачи вам и чтобы все у вас было хорошо!
HP Audio Switch — что это за программа и нужна ли она?
Итак, я начал искать инфу и очень быстро все понял:
HP Audio Switch — скорее всего нужна для переключения звука. Но что именно точно делает узнать не удалось, разве что:
Прога может быть уже установленной на ноуте.
Один человек удалил HP Audio Switch, после звук на ноуте остался и все работало как раньше.
Еще я узнал что.. эта прога вызывает какую-то коробку.. какую именно — неизвестно, я просто нашел такой коммент на форуме Microsoft:
Возможно имеется ввиду какое-то текстовое поле..
Повторная попытка узнать что за прога
Ребята, информации нет. Я не могу найти вообще! Поэтому я иду искать картинки. Я соберу полезные картинки и напишу свое мнение/описание к ним.
И вот первое что я нахожу — прога вроде как имеет свою иконку в трее и.. нужна для каких-то настроек. Судя по картинке — может она переключает аудио-гнездо из положения под микрофон в положение под акустику, вот сама картинка:
То самое странное текстовое поле.. типа коробка, как писали на форуме Microsoft, в общем вот она:
Еще картинка — из какой именно проги это окошко непонятно:
Короче.. я так понимаю, что прога нужна для переключения звука. И все? Да нет, но точнее понять сложно, вот мои варианты:
HP Audio Switch — может ли быть опасной?
Интересный вопрос, неправда ли, как может быть фирменная прога.. опасной? Нет, я не думаю. Но я нашел инфу, что эта прога может как бы собирать данные для улучшения возможностей и повышения производительности приложения. В общем собирает инфу. Нет, конечно никакие пароли.. логины.. почты.. ну это все бред. Ничего такого прога не собирает. И никакая уважающая компания не позволит себе собирать такие данные)) Но что может собирать прога HP Audio Switch? Я узнал, примерно вот что:
В общем как видите — ничего такого секретного прога не собирает. Эту инфу я нашел на.. в общем на картинке, которая точно имеет отношение к HP (ребята за качество сори):
А вообще детальную инфу об этом всем можно посмотреть тут (это офф сайт):
Отключение из автозагрузки
Прога вроде запускается автоматически при включении винды. Можно попробовать этот автозапуск отключить:
Как удалить HP Audio Switch?
Решили удалить? Ну, дело ваше. Я покажу универсальный способ, он работает и на Windows 7 и на новенькой Windows 10, итак:
У вас вообще может быть много установлено фирменного софта от HP, вот например:
Заключение
И еще. Если вам не сложно, то перед удалением любой проги из ПК — создавайте точку восстановления. Она места занимает мало. Но зато может сохранить вам нервы и сэкономить время!
Надеюсь информация оказалась полезной. Удачи и добра, до новых встреч господа!
filecheck .ru
Бесплатный форум с информацией о файлах может помочь вам разобраться является ли HPAudioSwitchLC.vbs вирусом, трояном, программой-шпионом, рекламой, которую вы можете удалить, или файл принадлежит системе Windows или приложению, которому можно доверять.
Вот так, вы сможете исправить ошибки, связанные с HPAudioSwitchLC.vbs
Информация о файле HPAudioSwitchLC.vbs
Процесс HP Audio Switch принадлежит программе HP Audio Switch от неизвестно.
Описание: HPAudioSwitchLC.vbs не является необходимым для Windows. HPAudioSwitchLC.vbs находится в подпапках «C:\Program Files». Размер файла для Windows 10/8/7/XP составляет 249 байт. 
У процесса есть видимое окно. Нет более детального описания программы. Процесс начинает работать вместе с Windows (Смотрите ключ реестра: MACHINE\User Shell Folders ). Это не файл Windows. HPAudioSwitchLC.vbs представляется сжатым файлом. Поэтому технический рейтинг надежности 63% опасности.
Программа HP Audio Switch может быть удалена в Панели управления в разделе программы и компоненты.
Важно: Некоторые вредоносные программы маскируют себя как HPAudioSwitchLC.vbs. Таким образом, вы должны проверить файл HPAudioSwitchLC.vbs на вашем ПК, чтобы убедиться, что это угроза. Мы рекомендуем Security Task Manager для проверки безопасности вашего компьютера.
Комментарий пользователя
Лучшие практики для исправления проблем с HPAudioSwitchLC
Если у вас актуальные проблемы, попробуйте вспомнить, что вы делали в последнее время, или последнюю программу, которую вы устанавливали перед тем, как появилась впервые проблема. Используйте команду resmon, чтобы определить процесс, который вызывает проблемы. Даже если у вас серьезные проблемы с компьютером, прежде чем переустанавливать Windows, лучше попробуйте восстановить целостность установки ОС или для Windows 8 и более поздних версий Windows выполнить команду DISM.exe /Online /Cleanup-image /Restorehealth. Это позволит восстановить операционную систему без потери данных.
HPAudioSwitchLC сканер
Security Task Manager показывает все запущенные сервисы Windows, включая внедренные скрытые приложения (например, мониторинг клавиатуры или браузера, авто вход). Уникальный рейтинг надежности указывает на вероятность того, что процесс потенциально может быть вредоносной программой-шпионом, кейлоггером или трояном.
Бесплатный aнтивирус находит и удаляет неактивные программы-шпионы, рекламу, трояны, кейлоггеры, вредоносные и следящие программы с вашего жесткого диска. Идеальное дополнение к Security Task Manager.
Reimage бесплатное сканирование, очистка, восстановление и оптимизация вашей системы.
Большой старый сюрприз от HP
Присоединяясь к новому проекту, разработка и поддержание долгоживущей программы, решил обновить себе ноутбук. Давно хотел приобрести себе что-то такое компактное, легкое, чтоб можно было спокойно взять с собой в кофейню, поработать часик-другой вне офиса.
Выбор пал на ноутбук HP c 14» экраном, поддерживающим расширение 1920×1080, что и явилось решающим критерием для выбора. Железо вроде хорошее, но вот софт от HP заставляет задумываться, а надо ли оно было.
История
Функционал программы, с которым нужно работать, как я уже сказал, долго живущий, т.е. он пережил много итераций, смен руководителей и разработчиков и представляет из себя такой микс всего правильного, понятного и непонятного со статусом «А зачем это было надо?». В общем, хороший legacy код.
Так вот, одной из особенностью функционала является использование распределённых транзакций. Т.е. на компьютере должен работать сервис MSDTC (он же Distributed Transaction Coordinator, он же Координатор распределённых транзакций) и включены соответствующие настройки.
Вроде всё хорошо. У других участников команды (они не используют HP) проект компилируется, запускается и отрабатываются все сценарии. Работа идёт полным ходом.
Хорошо. Беру свой новенький HP, настраиваю, устанавливаю, скачиваю, компилирую, запускаю, прогоняю сценарии и бац, ошибка:
Хорошо. Всякое бывает. Начинаю копать.
После потраченных часов, удаления антивируса, отключения брандмауэра (он же firewall), использования всех рекомендаций из интернета проблема остается. Ошибка упорно вылезает.
Хорошо. Отключаем сервисы начинающиеся с HP, благо их немного:
Отключение первого же сервиса «HP Analytics service» даёт результат. Просто всё начинает работать. MSDTC отрабатывает нормально, все сценарии проходят успешно.
Так кто ты такой, HP Analytics service? Смотрим полный путь и имя исполняемого файла:
