Как удалить предустановленный кейлоггер Conexant на ноутбуках HP

TL;DR

Если на вашем ноутбуке HP установлен пакет Conexant HD Audio версии 1.0.0.46 или старее, в систему может попадать процесс MicTray(MicTray64), который сохраняет все нажатия клавиш в открытом виде в файле C:\users\public\MicTray.log. Самый надёжный быстрый метод — заблокировать запуск MicTray.exe/MicTray64.exe через параметры исполнения образа в реестре (Image File Execution Options). Ниже — пошаговые инструкции, альтернативы, возможные побочные эффекты и список действий для администраторов.

Что это за кейлоггер и почему это важно

Исследователи обнаружили, что в комплекте Conexant HD Audio Driver Package (версия 1.0.0.46 и более ранние) включён исполняемый файл MicTray64.exe (или MicTray.exe), который создаёт задачу планировщика для запуска при входе пользователя в систему. Программа записывает нажатия клавиш в открытый текстовый файл по пути C:\users\public\MicTray.log. Такой файл доступен другим пользователям локальной машины и приложениям, что создаёт серьёзный риск утечки паролей и других конфиденциальных данных. В случае компрометации системы злоумышленником последствия могут быть критичны.

Важно: если вы используете Windows 11, отключение системных средств слежения — отдельная инструкция; здесь описано именно поведение Conexant и способ блокировки MicTray.

На какие файлы и версии обратить внимание

• Уязвимый пакет: Conexant HD Audio Driver Package, версия ≤ 1.0.0.46.
• Файлы процесса: MicTray.exe и MicTray64.exe.
• Файл логов: C:\users\public\MicTray.log.
• По состоянию на публикацию, сообщалось об ~28 моделях HP, затронутых этой проблемой.

Риск и побочные эффекты

• Конфиденциальность: файл лога хранит нажатия клавиш в открытом виде.
• Доступ приложений: любой локальный процесс с правами чтения может извлечь данные из лога.
• Побочный эффект блокировки: некоторые функции управления микрофоном или горячих клавиш аудиопанели могут перестать работать, так как MicTray часто отвечает за UI/индикацию аудио.

Важно: перед любыми изменениями создайте точку восстановления системы и резервную копию реестра.

Быстрая блокировка через реестр (рекомендуемый метод)

Шаги, показанные пользователем на Reddit, надёжно предотвращают запуск MicTray, заставляя систему пытаться запустить отладчик для этих исполняемых файлов, что приводит к их неуспешному выполнению.

1. Запустите Редактор реестра (Regedit).

2. Перейдите к ветке:

   HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options

3. Щёлкните правой кнопкой на “Image File Execution Options” → Новый → Раздел (Key).

4. Если у вас 32‑бита Windows: назовите новый раздел MicTray.exe. Если 64‑бита Windows: назовите его MicTray64.exe.

5. В новом разделе щёлкните правой кнопкой → Новый → Строковое значение (String Value).

6. Назовите новое строковое значение Debugger.

7. Установите значение Debugger в:

   devenv /debugexe

Этот приём заставляет систему запускать исполняемый файл через отладчик, из‑за чего MicTray не сможет корректно запуститься.

Цитата от автора решения на Reddit:

“Это заставляет любой .exe с именем MicTray или MicTray64 проходить через отладчик, и это вызывает его неудачный запуск. Именно так я обезвредил GWX.exe, который автоматически обновлял компьютеры до другой версии Windows.”

Как проверить разрядность Windows: удерживайте клавишу с логотипом Windows и нажмите Pause (Break), либо в Windows 8.1/10 правой кнопкой по Пуск → Система. В более старых версиях — правой по “Компьютер“ → Свойства.

Дополнительные способы и альтернативы

• Удаление/переименование исполняемого файла MicTray.exe/MicTray64.exe: можно удалить или переименовать файл в папке драйвера, но система обновлений или восстановление драйверов может вернуть его. Также нужно иметь права администратора.
• Изменение прав доступа к файлу лога: снять права чтения у групп/пользователей, которым не нужен доступ.
• Полное удаление пакета Conexant: деинсталлируйте драйверы Conexant через “Программы и компоненты” и установите стандартный драйвер Windows или обновлённую версию с сайта HP, если доступна.
• Использование инструмента контроля целостности/EDR: для корпоративной среды — зафиксируйте исполнение и используйте политики AppLocker/WDAC для блокировки MicTray.
• Обновление ПО: следите за обновлениями HP/Conexant — производитель может выпустить патч, удаляющий логирование.

Контрпример: если MicTray выполняет также функциональность управления микрофоном (индикация, хоткеи), его блокировка может нарушить удобство использования аудиоустройств. В корпоративной среде оценивайте влияние на пользователям перед масштабным развёртыванием блокировки.

Пошаговый чеклист для домашнего пользователя

• Создать точку восстановления системы.
• Сделать резервную копию реестра (Файл → Экспорт).
• Применить изменения в Image File Execution Options, как описано выше.
• Проверить, существует ли C:\users\public\MicTray.log и удалить файл, если нужно.
• Установить обновлённые драйверы HP/Conexant при появлении.
• Сменить пароли, если есть сомнения, что лог был прочитан внешней программой.

Рекомендации для IT‑администраторов — план действий

1. Обнаружение: просканируйте машины на наличие Conexant, MicTray.exe/MicTray64.exe и файла MicTray.log.
2. Ограничение распространения: разверните правило блокировки (Image File Execution Options / AppLocker / WDAC) по GPO.
3. Устранение: удалите/переименуйте исполняемый файл или примените блокировку через реестр централизованно.
4. Проверка: убедитесь, что функции аудио, зависящие от MicTray, работают или заменены альтернативой.
5. Восстановление: при проблемах — отмените изменение реестра, восстановите из точки восстановления.

Критерии приёмки

• MicTray.exe/MicTray64.exe не запускаются при входе в систему.
• Файл C:\users\public\MicTray.log не обновляется новыми записями.
• Ключи Image File Execution Options содержат запись Debugger для MicTray[64].exe.
• Отсутствуют критические жалобы пользователей на утрату основных аудиофункций.

Факт‑бокс

• Уязвимый драйвер: Conexant HD Audio Driver Package ≤ 1.0.0.46.
• Лог‑файл: C:\users\public\MicTray.log.
• Затронуто машин: около 28 моделей HP (сообщалось исследователями).

Глоссарий — 1 строка

• Кейлоггер: программа, которая записывает нажатия клавиш.
• Image File Execution Options: ветка реестра Windows, позволяющая перенаправлять или перехватывать запуск исполняемых файлов.

Часто задаваемые вопросы

Можно ли просто удалить MicTray.log и забыть об этом?

Нет. Удаление файла логов устраняет текущую копию данных, но если процесс MicTray продолжит работать, он будет вновь записывать данные в новый файл.

Безопасно ли устанавливать обновлённый драйвер Conexant с сайта HP?

Если HP выпустит обновление, которое удаляет логирование — да. Всегда загружайте драйверы с официального сайта HP для вашей модели и сверяйте версии.

Итог

MicTray(MicTray64) из старых пакетов Conexant может вести лог нажатий клавиш в открытом файле и представлять серьёзную угрозу приватности. Самый простой и надёжный способ — заблокировать исполнение через Image File Execution Options в реестре либо применить политики блокировки исполнения централизовано. Перед изменениями сделайте резервные копии и оцените влияние на пользовательский опыт.

Сопутствующие материалы:

• Windows 10 имеет включённый кейлоггер по умолчанию: как отключить
• Лучшее ПО против кейлоггеров
• Лучшие программы родительского контроля для мониторинга и ограничения доступа в Интернет