Pytanie odnośnia aplikacji Regedit.exe
Witam! Dziś zdarzyło mi się pierwszy raz, że aplikacja regedit.exe zażądała dostepu do sieci. Wyświetlił mi się taki komunikat w firewallu. Po tym zdarzeniu otworzyła się duża ilość portów a dokładnie portu Microsoft DS (446). Po restarcie i skanowaniu antywirusem się to uspokoiło, mimo że nie wykrył zadnej infekcji... Czym więc moglo to byc spowodowane?
Z góry dzięki za odpowiedzi
Pozdrawiam
Odpowiedzi: 1
Jedną z przyczyn mogła być infekcja (mimo, iż antiwirus nic nie wykrył).
Jest kilka "szkodników", które korzystają z nazwy "regedit.exe".
Np.http://wirusy.antivirenkit.pl/pl/opis/Email-Worm.Win32.Levona.a.html
lub [url]http://wirusy.antivirenkit.pl/pl/opis/Trojan-Spy.Win32.Pity.a.html[/url]
Tak więc ja radziłbym zrobić jakieś logi i przejrzeć je dokładnie.
.
Jest kilka "szkodników", które korzystają z nazwy "regedit.exe".
Np.http://wirusy.antivirenkit.pl/pl/opis/Email-Worm.Win32.Levona.a.html
lub [url]http://wirusy.antivirenkit.pl/pl/opis/Trojan-Spy.Win32.Pity.a.html[/url]
Tak więc ja radziłbym zrobić jakieś logi i przejrzeć je dokładnie.
.
Strona 1 / 1
<DIV>C:\WINDOWS\System32\regedit.exe<BR>O4 - HKLM\..\Run: [Symantec Antivirus professional] regedit.exe<BR>O4 - HKLM\..\RunServices: [Symantec Antivirus professional] regedit.exe<BR>O4 - HKLM\..\RunOnce: [Symantec Antivirus professional] regedit.exe<BR>O4 - HKCU\..\Run: [Symantec Antivirus professional] regedit.exe<BR>O4 - HKCU\..\RunOnce: [Symantec Antivirus professional] regedit.exe</DIV> <DIV> </DIV> <DIV>To jedyne wpisy związane z aplikacją regedit.exe które wykrył HiJackThis. Wg mnie są prawidłowe...</DIV>
<P>Zamiast komentarza daję ciekawy link, dotyczący takich samych wpisów:<BR><a href="http://www.pcformat.pl/forum/showthread.php?tid=21251&pid=190766" target="_blank" title="http://www.pcformat.pl/forum/showthread.php?tid=21251&pid=190766"><b>fałszywy Symantec Antivirus</b></a>.<BR><STRONG>Prawdziwy Symantec nie daje takich wpisów.<BR></STRONG>Ale może być problem z usunięciem pliku "regedit.exe".<BR>Najpierw sprawdź w C:\WINDOWS\system32\ właściwości tego pliku, jego producenta, itd (z prawokliku). To powinno być od Microsoftu, a nie od jakiegoś Symanteca.<BR>W każdym razie już teraz sfiksuj to z Autostartu (<STRONG>04</STRONG>) w Hijacku. Możesz to zrobić z backupem, na wszelki wypadek.<BR>Możesz też poczekać na poradę kogoś bardziej doświadczonego w usuwaniu takich przypadków, żeby nie uszkodzić samemu systemu.</P> <P>Zapomniałem dodać, że jeśli masz system WinXP, to prawidłowy regedit.exe może się znajdować tylko w C:\WINDOWS\, a nie w C:\WINDOWS\system32\. <BR>Natomiast w C:\WINDOWS\system32\ prawidłowym plikiem jest regedt32.exe, a nie regedit.exe.<BR>Tak więc, jeśli masz XP, to ten plik z C:\WINDOWS\system32\<B>regedit.exe</B> możesz śmiało wywalić, bo to śmieć.<BR>Natomiast jeśli masz system Win98, to sprawa nie jest taka prosta.<BR>.<BR>.<BR>.<BR><BR></P>
<DIV>Aplikacja ta okazała się być faktycznie fałszywa. Usunąłem plik oraz wpisy w HJT i problem jak narazie zniknął. Dzięki Morda! Pozdro!</DIV>