Rootkit - ukryta usługa

[Zappa]

W zasadzie nie powinienem już pisać w tym temacie, ale chciałbym skomentować swoją rolę i aż nadto przydługi wątek. Jedno nie ulega watpliwości - rootkita jak na lekarstwo. Zamierzałem dać od razu komendę usuwania klucza w FRST ale nie znam aż tak dobrze możliwości wykonawczych programu. Jak widać na przykładzie nie było łatwo. Troszkę mnie zmyliły dwa inne tematy, które rozwiązywano na forum. W każdym razie, swoje błedy naprawiłem (usuwanie biblioteki). Szczerze mówiąc, nie spotkałem sie z tak oporną blokadą w rejestrze windows. Pewnie znaczy to tyle, że jeszcze mało widziałem. A teraz kilka słow do autora problemu:

 

jest taki watek w tutkach, może warto się nad nim pochylić?

 

https://www.fixitpc.pl/topic/6855-rekonstrukcja-zapory-systemu-windows/?hl=%2Brekonstrukcja+%2Bzapory

[wertumnus]

Temat w tutkach przeczytany ale z uwagi na moja małą znajomość zagadnień na temat zapory sam nie jestem w stanie zinterpretować wyników ostatniego skanu.

Ponieważ zdecydowałem się na użycie automatu "ServicesRepair" po uprzednim wykonaniu kroku 1 z postu 74 sprawdziłem log z FRST odnośnie odczytu o MpsSvc. Okazuje się, że jest taki sam w dwóch logach ale ja nie wiem co jest z nim nie tak. Dlatego czekam na jakieś konkrety by nie wydłużać niepotrzebnie przydługiego wątku.

Co do rootkita: podałem jedynie sugestię avasta o przyczynie ukrytej usługi. Samemu zwróciłem uwagę na to, że jest zmieniona literka więc sprawa wydała mi się podejrzana. Ocenę pozostawiłem specjalistom.

 

Podsumowując: mam wykonać wszystkie kroki z przytaczanego tematu czy czekać na jakąś konkretną odpowiedź?

[Zappa]

automat nie zawsze daje radę dlatego moja sugestia ręcznej naprawy

[wertumnus]

Nie mogę scalić MpsSvc z powodu używania kluczy bądź ich części przez jakiś proces. Podobnie było z BFE ale w awaryjnym poszło dalej a z MpsSvc nie. Próbowałem również kroków z drugiej części dla wpisów z MpsSvc ale i to nie pomogło w scaleniu.