小红伞Rookit扫描，发现注册表隐藏项

xiaowangzi

Starting search for hidden objects.
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{85989278-F50B-D6F7-A425-BA9ED4DE4EE8}\InProcServer32\oaapdfildieaacknaoomfjekhamolh
      [INFO]      The registry entry is invisible.
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{85989278-F50B-D6F7-A425-BA9ED4DE4EE8}\InProcServer32\naapjfkjaefdplioeplgbmflknop
      [INFO]      The registry entry is invisible.

今天偶然用Rookit扫描，发现以上是两个隐藏项，不知道是怎么回事，问下？谢谢！


已解决，具体见
http://bbs.kafan.cn/viewthread.php?tid=269442&page=1&extra=page%3D1#pid3790130

[ 本帖最后由 xiaowangzi 于 2008-6-15 14:10 编辑 ]

闪电战

说这两个注册表项无法访问
用IceSword删除看

xiaowangzi

IceSword也删不掉

zenwalk

我用某些清理工具经常会扫到这样的。

dollsgame

很明显是rootkit

超过九成以上防毒都不能声称100%检测和清除

请去病毒救援区发贴求助

xiaowangzi

原帖由 dollsgame 于 2008-6-14 19:05 发表
很明显是rootkit

超过九成以上防毒都不能声称100%检测和清除

请去病毒救援区发贴求助

ok，去救援区发个贴，谢谢诸位

cgk508

要删除请如下操作：
1、进入注册表，找到该项，假设为A。
2、在该项上单击鼠标右键，在弹出菜单中选择权限。
3、在弹出菜单中选择添加，再次弹出菜单，在光标默认闪烁的位置，也就是“输入对象名来选择（示例）（E）”下面的空白处键入你当前的用户名（不知道用户名可以点电脑左下角开始，在注销那里可以看见）。点确定。
4、赋予你当前用户名“完全控制”的权限，点确定。
5、你会发现A前面有“+”了，单击“+”，多处几项子项了吧，重复2、3、4步，直至所有项前面步出现“+”为止，然后就可以从子项开始，一个一个删除了，最后删除A。

好了，去试一下吧，第一次发帖，呵呵！！

cgk508

不好意思啊，前面的回答出了几个错别字，^_^

xiaowangzi

谢谢阿，不过，打开到InProcServer32时，就提示“无法打开InProcServer32：打开项时错误”，所以没法这样干，