Niewidzialne wpisy rejestru rookita


(Mikkolo123) #1

Ostatnio złapałem rootkita tdssserv.sys - opisałem to w poście viewtopic.php?f=16&t=303796&p=2015273#p2015273 - i po zastosowaniu wszystkich porad opisanych przez forumowiczów wydawało mi się, że wszystko jest już w porządku. Jednak niepokoiło mnie to, że przy wylogowaniu i zmianie użytkownika wyskakiwał bluescreen z kodem błędu 0x00000050. Gdzieś na forum przeczytałem, że jedną z przyczyn może być rootkit. Ściągnąłem avirę, która ponoć wykrywa te wirusy i przeskanowałem na obecność "hidden objects". Avira znalazła takie http://wklejto.pl/23507 ukryte pliki. To chyba dowodzi, że wirus jest nadal obecny w systemie. Proszę o pomoc.

Tutaj jeszcze pełny raport i log hijackthis:

http://wklejto.pl/23506 - Raport

http://wklejto.pl/23508 - Log hijackthis

Pomożecie?;]


(jessica) #2

Do Notatnika wklej:

Windows Registry Editor Version 5.00


[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\TDSSserv.sys]

Z menu Notatnika >>> Plik >>> Zapisz jako >>> Ustaw rozszerzenie na Wszystkie pliki >>> Zapisz jako FIX.REG >>>

plik uruchom (dwuklik i OK).

Zrestartuj komputer.

Ten klucz (i jego pochodne) wcale nie oznacza, że masz w dalszym ciągu tego Rootkita. To świadczy tylko o tym, że "Legacy" usługi tego Rootkita nie zostało usunięte. Choć, prawdę mówiąc, z ostatniego logu ComboFixa wynika, że to "LEGACY" zostało niby usunięte.

Nawiasem mówiąc: w tamtym logu jeszcze te powyższe obiekty były do usunięcia.

Ale to już historia.

jessi


(Mikkolo123) #3

Ok, dzięki - narazie wszystko w porządku. Ale dam jeszcze znać jak coś:slight_smile: