Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Scann mit RootkitRevealer - Was nun? (https://www.trojaner-board.de/28740-scann-rootkitrevealer.html)

bugfix 24.04.2006 09:35
Scann mit RootkitRevealer - Was nun?
 
Hallo zusammen.

Also, ich habe grad mein Rechner mal mit RootkitRevealer gescannt. Der hat mir auch ein paar Sachen rausgeworfen, doch was soll ich nun damit machen? Woran erkenne ich nun was OK ist und was nicht? Gibt es eine Übersicht oder deutsche Anleitung dazu?

Oder kann ich an den Descriptions sehen was ich damit machen muss oder ist dass dann noch vom Programm abhängig? Oder wie Unterscheidet man das ganze?

Sage schon mal Danke!

Gruß : bugfix

MightyMarc 24.04.2006 09:46
Grundsätzlich sollte RKR nicht allzuviel anzeigen.
Beachte einfach folgendes:

1. Entferne unter Options die NTFS-Metaeinträge
2. Tauchen .exe, -.com, -.bat oder sonstige ausführbare Dateien im Log auf, heisst es obacht geben!
3. Du solltest alle Einträge zuordnen können, auch die von Ordnern und Schlüsseln
4. Beachte vor allem "hidden from windows api"-Einträge
5. Sollte RKR mehr als 10-15 Sachen anzeigen -> Vorsicht


Poste doch einfach mal Dein Log hier.

Shadow 24.04.2006 10:30
@ Bugfix: Die englisch-sprachige Anleitung ist dir bekannt?
Das Programm hat eigentlich keinen "marktreifen Status, dass damit jeder seinen PC von Rootkits befreien kann".

bugfix 24.04.2006 11:02
@ Shadow : Womit sollte ich denn mein Rechner Scannen um ein Überblick zu bekommen ob ich etwas drauf habe? Ich nutze natürlich auch ein Virenscanner und Ad-Aware ... . Mir geht es nur um die Rootkit Geschichte.

Zitat:
1. Entferne unter Options die NTFS-Metaeinträge
Habe ich gemacht.

Zitat:
2. Tauchen .exe, -.com, -.bat oder sonstige ausführbare Dateien im Log auf, heisst es obacht geben!
Bis jetzt noch keine gefunden!

Zitat:
3. Du solltest alle Einträge zuordnen können, auch die von Ordnern und Schlüsseln
Öhm, nicht alle -.- aber ich denke mal so wird es den meisten gehen. Ich weiss einfach nicht was was sein soll.

Zitat:
4. Beachte vor allem "hidden from windows api"-Einträge
Das sind fast alle :D aber das meiste sollte standart sein.

Zitat:
5. Sollte RKR mehr als 10-15 Sachen anzeigen -> Vorsicht
Alles zusammen oder nur bestimmte Sachen oder je Platte? Das meiste wiederholt sich je Laufwerkbuchstabe.

Log kommt noch.

Shadow 24.04.2006 11:15
Zitat:
Zitat von bugfix
@ Shadow : Womit sollte ich denn mein Rechner Scannen um ein Überblick zu bekommen ob ich etwas drauf habe?
Betonung lag auf es ist kein Jedermann-Tool
Es gäbe da noch F-Secure Blacklight, dies zeigt aber weniger an als RKR, wohl nur ERKANNTE Rootkits - ist noch ein beta und wohl nur noch bis zur Wallpurgisnacht frei.
Zitat:
Zitat von bugfix
Log kommt noch.
gut

bugfix 24.04.2006 11:25
Hier mein Log. Hoffe mal das er nicht zu lang ist. Wenn ja sagen was raus soll, dann kürze ich den.

Code:
HKLM\SOFTWARE\Microsoft\Cryptography\RNG\Seed        24.04.2006 10:36        80 bytes        Data mismatch between Windows API and raw hive data.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Cache\Paths\Directory        24.04.2006 10:27        204 bytes        Windows API length not consistent with raw hive data.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Cache\Paths\path1\CachePath        24.04.2006 10:27        218 bytes        Windows API length not consistent with raw hive data.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Cache\Paths\path2\CachePath        24.04.2006 10:27        218 bytes        Windows API length not consistent with raw hive data.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Cache\Paths\path3\CachePath        24.04.2006 10:27        218 bytes        Windows API length not consistent with raw hive data.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Cache\Paths\path4\CachePath        24.04.2006 10:27        218 bytes        Windows API length not consistent with raw hive data.
HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg        09.04.2006 17:42        0 bytes        Access is denied.
C:\$AttrDef        14.02.2006 09:32        2.50 KB        Hidden from Windows API.
C:\$BadClus        14.02.2006 09:32        0 bytes        Hidden from Windows API.
C:\$BadClus:$Bad        14.02.2006 09:32        43.73 GB        Hidden from Windows API.
C:\$Bitmap        14.02.2006 09:32        1.37 MB        Hidden from Windows API.
C:\$Boot        14.02.2006 09:32        8.00 KB        Hidden from Windows API.
C:\$Extend        14.02.2006 09:32        0 bytes        Hidden from Windows API.
C:\$Extend\$ObjId        14.02.2006 09:32        0 bytes        Hidden from Windows API.
C:\$Extend\$Quota        14.02.2006 09:32        0 bytes        Hidden from Windows API.
C:\$Extend\$Reparse        14.02.2006 09:32        0 bytes        Hidden from Windows API.
C:\$LogFile        14.02.2006 09:32        64.00 MB        Hidden from Windows API.
C:\$MFT        14.02.2006 09:32        48.03 MB        Hidden from Windows API.
C:\$MFTMirr        14.02.2006 09:32        4.00 KB        Hidden from Windows API.
C:\$Secure        14.02.2006 09:32        0 bytes        Hidden from Windows API.
C:\$UpCase        14.02.2006 09:32        128.00 KB        Hidden from Windows API.
C:\$Volume        14.02.2006 09:32        0 bytes        Hidden from Windows API.C:\Dokumente und Einstellungen\Tim\Lokale Einstellungen\Temp\~DFCA20.tmp        24.04.2006 10:51        512 bytes        Hidden from Windows API.
C:\Dokumente und Einstellungen\Tim\Lokale Einstellungen\Temp\~DFF042.tmp        24.04.2006 10:51        512 bytes        Hidden from Windows API.
C:\Dokumente und Einstellungen\Tim\Lokale Einstellungen\Temp\~WRF0000.tmp        24.04.2006 10:51        16.00 KB        Hidden from Windows API.
C:\WINDOWS\PCHealth\HelpCtr\DataColl\CollectedData_1137.xml        25.03.2006 11:48        15.48 KB        Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\PCHealth\HelpCtr\DataColl\CollectedData_1996.xml        23.04.2006 10:42        66.22 KB        Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\PCHealth\HelpCtr\DataColl\CollectedData_1998.xml        23.04.2006 10:42        1.46 KB        Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\PCHealth\HelpCtr\DataColl\CollectedData_2000.xml        23.04.2006 10:42        18.04 KB        Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\PCHealth\HelpCtr\DataColl\CollectedData_2002.xml        23.04.2006 10:42        3.55 KB        Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\PCHealth\HelpCtr\DataColl\CollectedData_2004.xml        23.04.2006 10:42        15.42 KB        Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\PCHealth\HelpCtr\DataColl\CollectedData_2006.xml        23.04.2006 10:42        15.80 KB        Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\PCHealth\HelpCtr\DataColl\CollectedData_2008.xml        23.04.2006 10:42        1.55 KB        Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\PCHealth\HelpCtr\DataColl\CollectedData_2010.xml        23.04.2006 10:42        20.43 KB        Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\PCHealth\HelpCtr\DataColl\CollectedData_2012.xml        23.04.2006 10:42        2.01 KB        Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\PCHealth\HelpCtr\DataColl\CollectedData_2014.xml        23.04.2006 10:42        424.63 KB        Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\PCHealth\HelpCtr\DataColl\CollectedData_2016.xml        23.04.2006 10:42        220.66 KB        Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\PCHealth\HelpCtr\DataColl\CollectedData_2018.xml        23.04.2006 10:42        75.12 KB        Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\PCHealth\HelpCtr\DataColl\CollectedData_2020.xml        23.04.2006 10:42        4.54 KB        Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\PCHealth\HelpCtr\DataColl\CollectedData_2022.xml        23.04.2006 10:42        151.23 KB        Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\PCHealth\HelpCtr\DataColl\CollectedData_2024.xml        23.04.2006 10:42        70.21 KB        Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\PCHealth\HelpCtr\DataColl\CollectedData_2026.xml        24.04.2006 10:43        66.22 KB        Hidden from Windows API.
C:\WINDOWS\PCHealth\HelpCtr\DataColl\CollectedData_2028.xml        24.04.2006 10:43        1.46 KB        Hidden from Windows API.
C:\WINDOWS\PCHealth\HelpCtr\DataColl\CollectedData_2030.xml        24.04.2006 10:43        18.04 KB        Hidden from Windows API.
C:\WINDOWS\PCHealth\HelpCtr\DataColl\CollectedData_2032.xml        24.04.2006 10:43        3.55 KB        Hidden from Windows API.
C:\WINDOWS\PCHealth\HelpCtr\DataColl\CollectedData_2034.xml        24.04.2006 10:43        15.42 KB        Hidden from Windows API.
C:\WINDOWS\PCHealth\HelpCtr\DataColl\CollectedData_2036.xml        24.04.2006 10:43        14.25 KB        Hidden from Windows API.
C:\WINDOWS\PCHealth\HelpCtr\DataColl\CollectedData_2037.xml        24.04.2006 10:43        17.16 KB        Hidden from Windows API.
C:\WINDOWS\PCHealth\HelpCtr\DataColl\CollectedData_2038.xml        24.04.2006 10:43        1.55 KB        Hidden from Windows API.
C:\WINDOWS\PCHealth\HelpCtr\DataColl\CollectedData_2040.xml        24.04.2006 10:43        20.43 KB        Hidden from Windows API.
C:\WINDOWS\PCHealth\HelpCtr\DataColl\CollectedData_2042.xml        24.04.2006 10:43        2.01 KB        Hidden from Windows API.
C:\WINDOWS\PCHealth\HelpCtr\DataColl\CollectedData_2044.xml        24.04.2006 10:43        424.63 KB        Hidden from Windows API.
C:\WINDOWS\PCHealth\HelpCtr\DataColl\CollectedData_2046.xml        24.04.2006 10:43        222.03 KB        Hidden from Windows API.
C:\WINDOWS\PCHealth\HelpCtr\DataColl\CollectedData_2047.xml        24.04.2006 10:43        8.63 KB        Hidden from Windows API.
C:\WINDOWS\PCHealth\HelpCtr\DataColl\CollectedData_2048.xml        24.04.2006 10:43        75.12 KB        Hidden from Windows API.
C:\WINDOWS\PCHealth\HelpCtr\DataColl\CollectedData_2050.xml        24.04.2006 10:43        4.54 KB        Hidden from Windows API.
C:\WINDOWS\PCHealth\HelpCtr\DataColl\CollectedData_2052.xml        24.04.2006 10:43        152.80 KB        Hidden from Windows API.
C:\WINDOWS\PCHealth\HelpCtr\DataColl\CollectedData_2053.xml        24.04.2006 10:43        2.02 KB        Hidden from Windows API.
C:\WINDOWS\PCHealth\HelpCtr\DataColl\CollectedData_2054.xml        24.04.2006 10:43        61.27 KB        Hidden from Windows API.
C:\WINDOWS\PCHealth\HelpCtr\DataColl\CollectedData_2055.xml        24.04.2006 10:43        9.80 KB        Hidden from Windows API.
C:\WINDOWS\PCHealth\HelpCtr\DataColl\CollectedData_283.xml        24.02.2006 10:54        4.69 KB        Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\PCHealth\HelpCtr\DataColl\CollectedData_937.xml        18.03.2006 11:24        3.52 KB        Visible in Windows API, but not in MFT or directory index.
D:\$AttrDef        01.07.2005 07:29        2.50 KB        Hidden from Windows API.
D:\$BadClus        01.07.2005 07:29        0 bytes        Hidden from Windows API.
D:\$BadClus:$Bad        01.07.2005 07:29        15.01 GB        Hidden from Windows API.
D:\$Bitmap        01.07.2005 07:29        480.22 KB        Hidden from Windows API.
D:\$Boot        01.07.2005 07:29        8.00 KB        Hidden from Windows API.
D:\$Extend        01.07.2005 07:29        0 bytes        Hidden from Windows API.
D:\$Extend\$ObjId        01.07.2005 07:29        0 bytes        Hidden from Windows API.
D:\$Extend\$Quota        01.07.2005 07:29        0 bytes        Hidden from Windows API.
D:\$Extend\$Reparse        01.07.2005 07:29        0 bytes        Hidden from Windows API.
D:\$LogFile        01.07.2005 07:29        64.00 MB        Hidden from Windows API.
D:\$MFT        01.07.2005 07:29        64.92 MB        Hidden from Windows API.
D:\$MFTMirr        01.07.2005 07:29        4.00 KB        Hidden from Windows API.
D:\$Secure        01.07.2005 07:29        0 bytes        Hidden from Windows API.
D:\$UpCase        01.07.2005 07:29        128.00 KB        Hidden from Windows API.
D:\$Volume        01.07.2005 07:29        0 bytes        Hidden from Windows API.
E:\$AttrDef        01.07.2005 07:29        2.50 KB        Hidden from Windows API.
E:\$BadClus        01.07.2005 07:29        0 bytes        Hidden from Windows API.
E:\$BadClus:$Bad        01.07.2005 07:29        45.72 GB        Hidden from Windows API.
E:\$Bitmap        01.07.2005 07:29        1.43 MB        Hidden from Windows API.
E:\$Boot        01.07.2005 07:29        8.00 KB        Hidden from Windows API.
E:\$Extend        01.07.2005 07:29        0 bytes        Hidden from Windows API.
E:\$Extend\$ObjId        01.07.2005 07:29        0 bytes        Hidden from Windows API.
E:\$Extend\$Quota        01.07.2005 07:29        0 bytes        Hidden from Windows API.
E:\$Extend\$Reparse        01.07.2005 07:29        0 bytes        Hidden from Windows API.
E:\$LogFile        01.07.2005 07:29        64.00 MB        Hidden from Windows API.
E:\$MFT        01.07.2005 07:29        14.51 MB        Hidden from Windows API.
E:\$MFTMirr        01.07.2005 07:29        4.00 KB        Hidden from Windows API.
E:\$Secure        01.07.2005 07:29        0 bytes        Hidden from Windows API.
E:\$UpCase        01.07.2005 07:29        128.00 KB        Hidden from Windows API.
E:\$Volume        01.07.2005 07:29        0 bytes        Hidden from Windows API.
F:\$AttrDef        22.12.2005 12:30        2.50 KB        Hidden from Windows API.
F:\$BadClus        22.12.2005 12:30        0 bytes        Hidden from Windows API.
F:\$BadClus:$Bad        22.12.2005 12:30        29.29 GB        Hidden from Windows API.
F:\$Bitmap        22.12.2005 12:30        937.39 KB        Hidden from Windows API.
F:\$Boot        22.12.2005 12:30        8.00 KB        Hidden from Windows API.
F:\$Extend        22.12.2005 12:30        0 bytes        Hidden from Windows API.
F:\$Extend\$ObjId        22.12.2005 12:30        0 bytes        Hidden from Windows API.
F:\$Extend\$Quota        22.12.2005 12:30        0 bytes        Hidden from Windows API.
F:\$Extend\$Reparse        22.12.2005 12:30        0 bytes        Hidden from Windows API.
F:\$LogFile        22.12.2005 12:30        64.00 MB        Hidden from Windows API.
F:\$MFT        22.12.2005 12:30        22.39 MB        Hidden from Windows API.
F:\$MFTMirr        22.12.2005 12:30        4.00 KB        Hidden from Windows API.
F:\$Secure        22.12.2005 12:30        0 bytes        Hidden from Windows API.
F:\$UpCase        22.12.2005 12:30        128.00 KB        Hidden from Windows API.
F:\$Volume        22.12.2005 12:30        0 bytes        Hidden from Windows API.
G:\$AttrDef        31.12.2005 12:36        2.50 KB        Hidden from Windows API.
G:\$BadClus        31.12.2005 12:36        0 bytes        Hidden from Windows API.
G:\$BadClus:$Bad        31.12.2005 12:36        50.01 GB        Hidden from Windows API.
G:\$Bitmap        31.12.2005 12:36        1.56 MB        Hidden from Windows API.
G:\$Boot        31.12.2005 12:36        8.00 KB        Hidden from Windows API.
G:\$Extend        31.12.2005 12:36        0 bytes        Hidden from Windows API.
G:\$Extend\$ObjId        31.12.2005 12:36        0 bytes        Hidden from Windows API.
G:\$Extend\$Quota        31.12.2005 12:36        0 bytes        Hidden from Windows API.
G:\$Extend\$Reparse        31.12.2005 12:36        0 bytes        Hidden from Windows API.
G:\$LogFile        31.12.2005 12:36        64.00 MB        Hidden from Windows API.
G:\$MFT        31.12.2005 12:36        30.67 MB        Hidden from Windows API.
G:\$MFTMirr        31.12.2005 12:36        4.00 KB        Hidden from Windows API.
G:\$Secure        31.12.2005 12:36        0 bytes        Hidden from Windows API.
G:\$UpCase        31.12.2005 12:36        128.00 KB        Hidden from Windows API.
G:\$Volume        31.12.2005 12:36        0 bytes        Hidden from Windows API.
H:\$AttrDef        20.09.2004 14:23        2.50 KB        Hidden from Windows API.
H:\$BadClus        20.09.2004 14:23        0 bytes        Hidden from Windows API.
H:\$BadClus:$Bad        20.09.2004 14:23        50.01 GB        Hidden from Windows API.
H:\$Bitmap        20.09.2004 14:23        1.56 MB        Hidden from Windows API.
H:\$Boot        20.09.2004 14:23        8.00 KB        Hidden from Windows API.
H:\$Extend        20.09.2004 14:23        0 bytes        Hidden from Windows API.
H:\$Extend\$ObjId        20.09.2004 14:23        0 bytes        Hidden from Windows API.
H:\$Extend\$Quota        20.09.2004 14:23        0 bytes        Hidden from Windows API.
H:\$Extend\$Reparse        20.09.2004 14:23        0 bytes        Hidden from Windows API.
H:\$LogFile        20.09.2004 14:23        64.00 MB        Hidden from Windows API.
H:\$MFT        20.09.2004 14:23        50.89 MB        Hidden from Windows API.
H:\$MFTMirr        20.09.2004 14:23        4.00 KB        Hidden from Windows API.
H:\$Secure        20.09.2004 14:23        0 bytes        Hidden from Windows API.
H:\$UpCase        20.09.2004 14:23        128.00 KB        Hidden from Windows API.
H:\$Volume        20.09.2004 14:23        0 bytes        Hidden from Windows API.
I:\$AttrDef        09.11.2002 10:50        2.50 KB        Hidden from Windows API.
I:\$BadClus        09.11.2002 10:50        0 bytes        Hidden from Windows API.
I:\$BadClus:$Bad        09.11.2002 10:50        21.66 GB        Hidden from Windows API.
I:\$Bitmap        09.11.2002 10:50        693.23 KB        Hidden from Windows API.
I:\$Boot        09.11.2002 10:50        8.00 KB        Hidden from Windows API.
I:\$Extend        09.11.2002 10:50        0 bytes        Hidden from Windows API.
I:\$Extend\$ObjId        09.11.2002 10:50        0 bytes        Hidden from Windows API.
I:\$Extend\$Quota        09.11.2002 10:50        0 bytes        Hidden from Windows API.
I:\$Extend\$Reparse        09.11.2002 10:50        0 bytes        Hidden from Windows API.
I:\$LogFile        09.11.2002 10:50        64.00 MB        Hidden from Windows API.
I:\$MFT        09.11.2002 10:50        81.40 MB        Hidden from Windows API.
I:\$MFTMirr        09.11.2002 10:50        4.00 KB        Hidden from Windows API.
I:\$Secure        09.11.2002 10:50        0 bytes        Hidden from Windows API.
I:\$UpCase        09.11.2002 10:50        128.00 KB        Hidden from Windows API.
I:\$Volume        09.11.2002 10:50        0 bytes        Hidden from Windows API.
J:\$AttrDef        26.12.2003 08:07        2.50 KB        Hidden from Windows API.
J:\$BadClus        26.12.2003 08:07        0 bytes        Hidden from Windows API.
J:\$BadClus:$Bad        26.12.2003 08:07        13.90 GB        Hidden from Windows API.
J:\$Bitmap        26.12.2003 08:07        444.67 KB        Hidden from Windows API.
J:\$Boot        26.12.2003 08:07        8.00 KB        Hidden from Windows API.
J:\$Extend        26.12.2003 08:07        0 bytes        Hidden from Windows API.
J:\$Extend\$ObjId        26.12.2003 08:07        0 bytes        Hidden from Windows API.
J:\$Extend\$Quota        26.12.2003 08:07        0 bytes        Hidden from Windows API.
J:\$Extend\$Reparse        26.12.2003 08:07        0 bytes        Hidden from Windows API.
J:\$LogFile        26.12.2003 08:07        22.56 MB        Hidden from Windows API.
J:\$MFT        26.12.2003 08:07        30.71 MB        Hidden from Windows API.
J:\$MFTMirr        26.12.2003 08:07        4.00 KB        Hidden from Windows API.
J:\$Secure        26.12.2003 08:07        0 bytes        Hidden from Windows API.
J:\$UpCase        26.12.2003 08:07        128.00 KB        Hidden from Windows API.
J:\$Volume        26.12.2003 08:07        0 bytes        Hidden from Windows API.
K:\$AttrDef        21.09.2004 11:08        2.50 KB        Hidden from Windows API.
K:\$BadClus        21.09.2004 11:08        0 bytes        Hidden from Windows API.
K:\$BadClus:$Bad        21.09.2004 11:08        21.69 GB        Hidden from Windows API.
K:\$Bitmap        21.09.2004 11:08        693.98 KB        Hidden from Windows API.
K:\$Boot        21.09.2004 11:08        8.00 KB        Hidden from Windows API.
K:\$Extend        21.09.2004 11:08        0 bytes        Hidden from Windows API.
K:\$Extend\$ObjId        21.09.2004 11:08        0 bytes        Hidden from Windows API.
K:\$Extend\$Quota        21.09.2004 11:08        0 bytes        Hidden from Windows API.
K:\$Extend\$Reparse        21.09.2004 11:08        0 bytes        Hidden from Windows API.
K:\$LogFile        21.09.2004 11:08        64.00 MB        Hidden from Windows API.
K:\$MFT        21.09.2004 11:08        89.28 MB        Hidden from Windows API.
K:\$MFTMirr        21.09.2004 11:08        4.00 KB        Hidden from Windows API.
K:\$Secure        21.09.2004 11:08        0 bytes        Hidden from Windows API.
K:\$UpCase        21.09.2004 11:08        128.00 KB        Hidden from Windows API.
K:\$Volume        21.09.2004 11:08        0 bytes        Hidden from Windows API.

MightyMarc 24.04.2006 11:55
Zitat:
Zitat:
Zitat:
1. Entferne unter Options die NTFS-Metaeinträge
Habe ich gemacht.
Definiere bitte "entfernen" ;)

Alle Einträge die mit "$" anfangen sind NTFS-Einträge und können meist ignoriert werden.
Blieben also noch:
Zitat:
HKLM\SOFTWARE\Microsoft\Cryptography\RNG\Seed 24.04.2006 10:36 80 bytes Data mismatch between Windows API and raw hive data.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Cache\Paths\Directory 24.04.2006 10:27 204 bytes Windows API length not consistent with raw hive data.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Cache\Paths\path1\CachePath 24.04.2006 10:27 218 bytes Windows API length not consistent with raw hive data.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Cache\Paths\path2\CachePath 24.04.2006 10:27 218 bytes Windows API length not consistent with raw hive data.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Cache\Paths\path3\CachePath 24.04.2006 10:27 218 bytes Windows API length not consistent with raw hive data.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Cache\Paths\path4\CachePath 24.04.2006 10:27 218 bytes Windows API length not consistent with raw hive data.
C:\Dokumente und Einstellungen\Tim\Lokale Einstellungen\Temp\~DFF042.tmp 24.04.2006 10:51 512 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\Tim\Lokale Einstellungen\Temp\~WRF0000.tmp 24.04.2006 10:51 16.00 KB Hidden from Windows API.
C:\WINDOWS\PCHealth\HelpCtr\DataColl\CollectedData_1137.xml 25.03.2006 11:48 15.48 KB Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\PCHealth\HelpCtr\DataColl\CollectedData_1996.xml 23.04.2006 10:42 66.22 KB Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\PCHealth\HelpCtr\DataColl\CollectedData_1998.xml 23.04.2006 10:42 1.46 KB Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\PCHealth\HelpCtr\DataColl\CollectedData_2000.xml 23.04.2006 10:42 18.04 KB Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\PCHealth\HelpCtr\DataColl\CollectedData_2002.xml 23.04.2006 10:42 3.55 KB Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\PCHealth\HelpCtr\DataColl\CollectedData_2004.xml 23.04.2006 10:42 15.42 KB Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\PCHealth\HelpCtr\DataColl\CollectedData_2006.xml 23.04.2006 10:42 15.80 KB Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\PCHealth\HelpCtr\DataColl\CollectedData_2008.xml 23.04.2006 10:42 1.55 KB Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\PCHealth\HelpCtr\DataColl\CollectedData_2010.xml 23.04.2006 10:42 20.43 KB Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\PCHealth\HelpCtr\DataColl\CollectedData_2012.xml 23.04.2006 10:42 2.01 KB Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\PCHealth\HelpCtr\DataColl\CollectedData_2014.xml 23.04.2006 10:42 424.63 KB Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\PCHealth\HelpCtr\DataColl\CollectedData_2016.xml 23.04.2006 10:42 220.66 KB Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\PCHealth\HelpCtr\DataColl\CollectedData_2018.xml 23.04.2006 10:42 75.12 KB Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\PCHealth\HelpCtr\DataColl\CollectedData_2020.xml 23.04.2006 10:42 4.54 KB Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\PCHealth\HelpCtr\DataColl\CollectedData_2022.xml 23.04.2006 10:42 151.23 KB Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\PCHealth\HelpCtr\DataColl\CollectedData_2024.xml 23.04.2006 10:42 70.21 KB Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\PCHealth\HelpCtr\DataColl\CollectedData_2026.xml 24.04.2006 10:43 66.22 KB Hidden from Windows API.
C:\WINDOWS\PCHealth\HelpCtr\DataColl\CollectedData_2028.xml 24.04.2006 10:43 1.46 KB Hidden from Windows API.
C:\WINDOWS\PCHealth\HelpCtr\DataColl\CollectedData_2030.xml 24.04.2006 10:43 18.04 KB Hidden from Windows API.
C:\WINDOWS\PCHealth\HelpCtr\DataColl\CollectedData_2032.xml 24.04.2006 10:43 3.55 KB Hidden from Windows API.
C:\WINDOWS\PCHealth\HelpCtr\DataColl\CollectedData_2034.xml 24.04.2006 10:43 15.42 KB Hidden from Windows API.
C:\WINDOWS\PCHealth\HelpCtr\DataColl\CollectedData_2036.xml 24.04.2006 10:43 14.25 KB Hidden from Windows API.
C:\WINDOWS\PCHealth\HelpCtr\DataColl\CollectedData_2037.xml 24.04.2006 10:43 17.16 KB Hidden from Windows API.
C:\WINDOWS\PCHealth\HelpCtr\DataColl\CollectedData_2038.xml 24.04.2006 10:43 1.55 KB Hidden from Windows API.
C:\WINDOWS\PCHealth\HelpCtr\DataColl\CollectedData_2040.xml 24.04.2006 10:43 20.43 KB Hidden from Windows API.
C:\WINDOWS\PCHealth\HelpCtr\DataColl\CollectedData_2042.xml 24.04.2006 10:43 2.01 KB Hidden from Windows API.
C:\WINDOWS\PCHealth\HelpCtr\DataColl\CollectedData_2044.xml 24.04.2006 10:43 424.63 KB Hidden from Windows API.
C:\WINDOWS\PCHealth\HelpCtr\DataColl\CollectedData_2046.xml 24.04.2006 10:43 222.03 KB Hidden from Windows API.
C:\WINDOWS\PCHealth\HelpCtr\DataColl\CollectedData_2047.xml 24.04.2006 10:43 8.63 KB Hidden from Windows API.
C:\WINDOWS\PCHealth\HelpCtr\DataColl\CollectedData_2048.xml 24.04.2006 10:43 75.12 KB Hidden from Windows API.
C:\WINDOWS\PCHealth\HelpCtr\DataColl\CollectedData_2050.xml 24.04.2006 10:43 4.54 KB Hidden from Windows API.
C:\WINDOWS\PCHealth\HelpCtr\DataColl\CollectedData_2052.xml 24.04.2006 10:43 152.80 KB Hidden from Windows API.
C:\WINDOWS\PCHealth\HelpCtr\DataColl\CollectedData_2053.xml 24.04.2006 10:43 2.02 KB Hidden from Windows API.
C:\WINDOWS\PCHealth\HelpCtr\DataColl\CollectedData_2054.xml 24.04.2006 10:43 61.27 KB Hidden from Windows API.
C:\WINDOWS\PCHealth\HelpCtr\DataColl\CollectedData_2055.xml 24.04.2006 10:43 9.80 KB Hidden from Windows API.
C:\WINDOWS\PCHealth\HelpCtr\DataColl\CollectedData_283.xml 24.02.2006 10:54 4.69 KB Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\PCHealth\HelpCtr\DataColl\CollectedData_937.xml 18.03.2006 11:24 3.52 KB Visible in Windows API, but not in MFT or directory index.
Inkonsistenzen treten meist dann auf, wenn der Anwender während des Scans etwas am Rechner macht (dazu reicht uU auch schon das Rumschubsen der Maus). Beschränkt man sich nun auf "Hidden from Windows API", bleiben eigentlich nur noch 2 Einträge übrig:

Zitat:
C:\Dokumente und Einstellungen\Tim\Lokale Einstellungen\Temp\~DFF042.tmp 24.04.2006 10:51 512 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\Tim\Lokale Einstellungen\Temp\~WRF0000.tmp 24.04.2006 10:51 16.00 KB Hidden from Windows API.
Damit kommen wir aber auch nicht weiter. Bliebe noch ein interessanter Eintrag:

Zitat:
HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg 09.04.2006 17:42 0 bytes Access is denied.
Ist aber nur im ersten Moment interessant. Bei genauerem Hinsehen entpuppt sich der Eintrag als Dienstkonfiguration von Daemon-Tools.
Wegen der XML-Dateien bin ich mir noch nicht hundert Prozent sicher. Google liefert auf die Schnelle nichts brauchbares.
Ich melde mich später noch mal. Könntest ja in der Zwischenzeit F-Secures Blacklight laufen lassen (Google wird Dir den Weg zeigen).

bugfix 24.04.2006 14:58
So, F-Secures Blacklight hat nichts gefunden *puhhhh

Zitat:
Inkonsistenzen treten meist dann auf, wenn der Anwender während des Scans etwas am Rechner macht (dazu reicht uU auch schon das Rumschubsen der Maus).
:heilig: naja, ich habe eben "normal" weitergearbeitet am Rechner ...

Daemon-Tools : habe ich nicht drauf. Hatte ich mal irgend wann mal drauf aber da ist es zu Problemen mit Programmen und Spielen gekommen und deswegen ist es runter. Doch könnte es sein das es mit einem anderen Programm (wie Nero) zusammenhängt?

Die XML Dateien machen mich erlich gesagt etwas nervös. Klar das sind eigendlich "nur" Hilfe Dteien von Win XP doch warum wirft er mir die beim scannen aus :eek: ?

Danke noch mal an dieser Stelle für eure Hilfe! Schon zum zweiten mal wirklich TOP!!!!!

Shadow 24.04.2006 15:32
Zitat:
Zitat von bugfix
naja, ich habe eben "normal" weitergearbeitet am Rechner ...
Böser Bube :D
Du darfst NICHTS, aber auch wirklich NICHTS machen, sonst "findet" RKR so viel.

"In order to minimize false positives run RootkitRevealer on an idle system.
For best results exit all applications and keep the system otherwise idle during the RootkitRevealer scanning process."

Kurz und frei übersetzt: ALLES zumachen, schließen,beenden (außer Windows), NICHTS mehr tun bis Ende - auch nicht mausen (Computer).
Idealerweise also noch einmal machen und dabei NICHTS am Computer auch nur scharf ansehen. ;)

bugfix 24.04.2006 16:45
Ach du meine güten -.- das kann ja was geben wenn ich mal nichts mache ...

Ne Scherz beiseite - muss dass dann morgen noch mal neu machen. Da ich von zu Hause aus arbeite steht der Rechner eigentlich nie still. Aber wie gesagt, ich mache das Morgenfrüh noch mal neu.

Ach, ich habe mal dreisterweise in die XML Dateien reingeschaut.

Die werden alle erst gar nicht gefunden auch nicht versteckt angezeigt!

Code:
C:\WINDOWS\PCHealth\HelpCtr\DataColl\CollectedData _1137.xml 25.03.2006 11:48 15.48 KB Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\PCHealth\HelpCtr\DataColl\CollectedData _1996.xml 23.04.2006 10:42 66.22 KB Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\PCHealth\HelpCtr\DataColl\CollectedData _1998.xml 23.04.2006 10:42 1.46 KB Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\PCHealth\HelpCtr\DataColl\CollectedData _2000.xml 23.04.2006 10:42 18.04 KB Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\PCHealth\HelpCtr\DataColl\CollectedData _2002.xml 23.04.2006 10:42 3.55 KB Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\PCHealth\HelpCtr\DataColl\CollectedData _2004.xml 23.04.2006 10:42 15.42 KB Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\PCHealth\HelpCtr\DataColl\CollectedData _2006.xml 23.04.2006 10:42 15.80 KB Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\PCHealth\HelpCtr\DataColl\CollectedData _2008.xml 23.04.2006 10:42 1.55 KB Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\PCHealth\HelpCtr\DataColl\CollectedData _2010.xml 23.04.2006 10:42 20.43 KB Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\PCHealth\HelpCtr\DataColl\CollectedData _2012.xml 23.04.2006 10:42 2.01 KB Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\PCHealth\HelpCtr\DataColl\CollectedData _2014.xml 23.04.2006 10:42 424.63 KB Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\PCHealth\HelpCtr\DataColl\CollectedData _2016.xml 23.04.2006 10:42 220.66 KB Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\PCHealth\HelpCtr\DataColl\CollectedData _2018.xml 23.04.2006 10:42 75.12 KB Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\PCHealth\HelpCtr\DataColl\CollectedData _2020.xml 23.04.2006 10:42 4.54 KB Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\PCHealth\HelpCtr\DataColl\CollectedData _2022.xml 23.04.2006 10:42 151.23 KB Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\PCHealth\HelpCtr\DataColl\CollectedData _2024.xml 23.04.2006 10:42 70.21 KB Visible in Windows API, but not in MFT or directory index.
Die andern findet der alle. Habe mal wie gesagt in einen reingeschaut und siehe da.

Code:
  <?xml version="1.0" encoding="unicode" ?>
- <CIM CIMVERSION="2.0" DTDVERSION="2.0">
- <DECLARATION>
- <DECLGROUP.WITHPATH>
- <VALUE.OBJECTWITHPATH>
- <INSTANCEPATH>
- <NAMESPACEPATH>
  <HOST>MEDIENGE-BQKO9F</HOST>
- <LOCALNAMESPACEPATH>
  <NAMESPACE NAME="root" />
  <NAMESPACE NAME="cimv2" />
  </LOCALNAMESPACEPATH>
  </NAMESPACEPATH>
- <INSTANCENAME CLASSNAME="Win32_CodecFile">
- <KEYBINDING NAME="Name">
  <KEYVALUE VALUETYPE="string">C:\WINDOWS\System32\3IVXVFWCODEC.DLL</KEYVALUE>
  </KEYBINDING>
  </INSTANCENAME>
  </INSTANCEPATH>
- <INSTANCE CLASSNAME="Win32_CodecFile">
- <PROPERTY NAME="CreationDate" TYPE="datetime">
  <VALUE>20030416173936.000000+120</VALUE>
  </PROPERTY>
- <PROPERTY NAME="Description" TYPE="string">
  <VALUE>3ivx D4 4.0.4</VALUE>
  </PROPERTY>
- <PROPERTY NAME="FileSize" TYPE="uint64">
  <VALUE>339968</VALUE>
  </PROPERTY>
- <PROPERTY NAME="Group" TYPE="string">
  <VALUE>Video</VALUE>
  </PROPERTY>
- <PROPERTY NAME="Manufacturer" TYPE="string">
  <VALUE>3ivx.com</VALUE>
  </PROPERTY>
- <PROPERTY NAME="Name" TYPE="string">
  <VALUE>C:\WINDOWS\System32\3IVXVFWCODEC.DLL</VALUE>
  </PROPERTY>
- <PROPERTY NAME="Version" TYPE="string">
  <VALUE>4, 0, 4, 0</VALUE>
  </PROPERTY>
  </INSTANCE>
  </VALUE.OBJECTWITHPATH>
- <VALUE.OBJECTWITHPATH>
- <INSTANCEPATH>
- <NAMESPACEPATH>
  <HOST>MEDIENGE-BQKO9F</HOST>
- <LOCALNAMESPACEPATH>
  <NAMESPACE NAME="root" />
  <NAMESPACE NAME="cimv2" />
  </LOCALNAMESPACEPATH>
  </NAMESPACEPATH>
- <INSTANCENAME CLASSNAME="Win32_CodecFile">
- <KEYBINDING NAME="Name">
  <KEYVALUE VALUETYPE="string">C:\WINDOWS\System32\AVIWRAP.DLL</KEYVALUE>
  </KEYBINDING>
  </INSTANCENAME>
  </INSTANCEPATH>
- <INSTANCE CLASSNAME="Win32_CodecFile">
- <PROPERTY NAME="CreationDate" TYPE="datetime">
  <VALUE>20060227130204.375000+060</VALUE>
  </PROPERTY>
- <PROPERTY NAME="Description" TYPE="string">
  <VALUE>Video Server Wrapper Codec</VALUE>
  </PROPERTY>
- <PROPERTY NAME="FileSize" TYPE="uint64">
  <VALUE>37888</VALUE>
  </PROPERTY>
- <PROPERTY NAME="Group" TYPE="string">
  <VALUE>Audio</VALUE>
  </PROPERTY>
  <PROPERTY NAME="Manufacturer" PROPAGATED="true" TYPE="string" />
- <PROPERTY NAME="Name" TYPE="string">
  <VALUE>C:\WINDOWS\System32\AVIWRAP.DLL</VALUE>
  </PROPERTY>
  <PROPERTY NAME="Version" PROPAGATED="true" TYPE="string" />
  </INSTANCE>
  </VALUE.OBJECTWITHPATH>
- <VALUE.OBJECTWITHPATH>
- <INSTANCEPATH>
- <NAMESPACEPATH>
  <HOST>MEDIENGE-BQKO9F</HOST>
- <LOCALNAMESPACEPATH>
  <NAMESPACE NAME="root" />
  <NAMESPACE NAME="cimv2" />
  </LOCALNAMESPACEPATH>
  </NAMESPACEPATH>
- <INSTANCENAME CLASSNAME="Win32_CodecFile">
- <KEYBINDING NAME="Name">
  <KEYVALUE VALUETYPE="string">C:\WINDOWS\System32\DIVXA32.ACM</KEYVALUE>
  </KEYBINDING>
  </INSTANCENAME>
  </INSTANCEPATH>
- <INSTANCE CLASSNAME="Win32_CodecFile">
- <PROPERTY NAME="CreationDate" TYPE="datetime">
  <VALUE>20060227130158.046875+060</VALUE>
  </PROPERTY>
- <PROPERTY NAME="Description" TYPE="string">
  <VALUE>DivX Audio Codec</VALUE>
  </PROPERTY>
- <PROPERTY NAME="FileSize" TYPE="uint64">
  <VALUE>184832</VALUE>
  </PROPERTY>
- <PROPERTY NAME="Group" TYPE="string">
  <VALUE>Audio</VALUE>
  </PROPERTY>
- <PROPERTY NAME="Manufacturer" TYPE="string">
  <VALUE>Hacked With Joy !</VALUE>
  </PROPERTY>
- <PROPERTY NAME="Name" TYPE="string">
  <VALUE>C:\WINDOWS\System32\DIVXA32.ACM</VALUE>
  </PROPERTY>
- <PROPERTY NAME="Version" TYPE="string">
  <VALUE>4.1.00.3920</VALUE>
  </PROPERTY>
  </INSTANCE>
  </VALUE.OBJECTWITHPATH>
- <VALUE.OBJECTWITHPATH>
- <INSTANCEPATH>
- <NAMESPACEPATH>
  <HOST>MEDIENGE-BQKO9F</HOST>
- <LOCALNAMESPACEPATH>
  <NAMESPACE NAME="root" />
  <NAMESPACE NAME="cimv2" />
  </LOCALNAMESPACEPATH>
  </NAMESPACEPATH>
- <INSTANCENAME CLASSNAME="Win32_CodecFile">
- <KEYBINDING NAME="Name">
  <KEYVALUE VALUETYPE="string">C:\WINDOWS\System32\DIVXC32.DLL</KEYVALUE>
  </KEYBINDING>
  </INSTANCENAME>
  </INSTANCEPATH>
- <INSTANCE CLASSNAME="Win32_CodecFile">
- <PROPERTY NAME="CreationDate" TYPE="datetime">
  <VALUE>20060227130155.515625+060</VALUE>
  </PROPERTY>
- <PROPERTY NAME="Description" TYPE="string">
  <VALUE>DivX Low</VALUE>
  </PROPERTY>
- <PROPERTY NAME="FileSize" TYPE="uint64">
  <VALUE>121344</VALUE>
  </PROPERTY>
- <PROPERTY NAME="Group" TYPE="string">
  <VALUE>Video</VALUE>
  </PROPERTY>
- <PROPERTY NAME="Manufacturer" TYPE="string">
  <VALUE>Hacked with Joy !</VALUE>
  </PROPERTY>
- <PROPERTY NAME="Name" TYPE="string">
  <VALUE>C:\WINDOWS\System32\DIVXC32.DLL</VALUE>
  </PROPERTY>
- <PROPERTY NAME="Version" TYPE="string">
  <VALUE>4.divx.3927</VALUE>
...
Mergwürdieg ist dass das ganze auf diese Seite Linkt
Code:
<VALUE>http://www.mp3dev.org/</VALUE>
Wenn man dann auf dieser Seite schaut fällt ein sovort das dicke SONY ins Auge :snyper:

Bedeutet das nun dass das etwas böses ist? Oder ist das nur ein Codex??

MightyMarc 24.04.2006 19:30
Zitat:
Die werden alle erst gar nicht gefunden auch nicht versteckt angezeigt!
Hidden from Windows API ;)

Bei meinem Streifzug durch die Weiten des Netzes ist mir eigentlich nur ein Verdacht auf Malware begegnet. So wie es scheint, gehören die Dateien zu keiner Malware.
Ein erneuter Scan mit RKR wäre empfehlenswert (diesmal keine Mausschubserei und lass die NTFS-Metadaten weg).

Den DaemonTools-Eintrag bekommst Du vermutlich mit RegDelNull weg. Zu beziehen hier:

http://www.sysinternals.com/Utilities/RegDelNull.html

Die .exe-Datei wirfst Du am besten nach C:\.
Dann Start -> Ausführen -> cmd
C:\regdelnull hklm -s
Bei Nachfrage bestätigen, dass die Einträge gelöscht werden sollen.

bugfix 25.04.2006 05:24
Morgen zusammen.

Also heute mal "ohne" Maus-geschupse und alles aus :)

Schaut auf jedem schon mal schöner aus!

Zitat:
HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg 09.04.2006 17:42 0 bytes Access is denied.
C:\$AttrDef 14.02.2006 09:32 2.50 KB Hidden from Windows API.
C:\$BadClus 14.02.2006 09:32 0 bytes Hidden from Windows API.
C:\$BadClus:$Bad 14.02.2006 09:32 43.73 GB Hidden from Windows API.
C:\$Bitmap 14.02.2006 09:32 1.37 MB Hidden from Windows API.
C:\$Boot 14.02.2006 09:32 8.00 KB Hidden from Windows API.
C:\$Extend 14.02.2006 09:32 0 bytes Hidden from Windows API.
C:\$Extend\$ObjId 14.02.2006 09:32 0 bytes Hidden from Windows API.
C:\$Extend\$Quota 14.02.2006 09:32 0 bytes Hidden from Windows API.
C:\$Extend\$Reparse 14.02.2006 09:32 0 bytes Hidden from Windows API.
C:\$LogFile 14.02.2006 09:32 64.00 MB Hidden from Windows API.
C:\$MFT 14.02.2006 09:32 48.03 MB Hidden from Windows API.
C:\$MFTMirr 14.02.2006 09:32 4.00 KB Hidden from Windows API.
C:\$Secure 14.02.2006 09:32 0 bytes Hidden from Windows API.
C:\$UpCase 14.02.2006 09:32 128.00 KB Hidden from Windows API.
C:\$Volume 14.02.2006 09:32 0 bytes Hidden from Windows API.
D:\$AttrDef 01.07.2005 07:29 2.50 KB Hidden from Windows API.
D:\$BadClus 01.07.2005 07:29 0 bytes Hidden from Windows API.
D:\$BadClus:$Bad 01.07.2005 07:29 15.01 GB Hidden from Windows API.
D:\$Bitmap 01.07.2005 07:29 480.22 KB Hidden from Windows API.
D:\$Boot 01.07.2005 07:29 8.00 KB Hidden from Windows API.
D:\$Extend 01.07.2005 07:29 0 bytes Hidden from Windows API.
D:\$Extend\$ObjId 01.07.2005 07:29 0 bytes Hidden from Windows API.
D:\$Extend\$Quota 01.07.2005 07:29 0 bytes Hidden from Windows API.
D:\$Extend\$Reparse 01.07.2005 07:29 0 bytes Hidden from Windows API.
D:\$LogFile 01.07.2005 07:29 64.00 MB Hidden from Windows API.
D:\$MFT 01.07.2005 07:29 64.92 MB Hidden from Windows API.
D:\$MFTMirr 01.07.2005 07:29 4.00 KB Hidden from Windows API.
D:\$Secure 01.07.2005 07:29 0 bytes Hidden from Windows API.
D:\$UpCase 01.07.2005 07:29 128.00 KB Hidden from Windows API.
D:\$Volume 01.07.2005 07:29 0 bytes Hidden from Windows API.
E:\$AttrDef 01.07.2005 07:29 2.50 KB Hidden from Windows API.
E:\$BadClus 01.07.2005 07:29 0 bytes Hidden from Windows API.
E:\$BadClus:$Bad 01.07.2005 07:29 45.72 GB Hidden from Windows API.
E:\$Bitmap 01.07.2005 07:29 1.43 MB Hidden from Windows API.
E:\$Boot 01.07.2005 07:29 8.00 KB Hidden from Windows API.
E:\$Extend 01.07.2005 07:29 0 bytes Hidden from Windows API.
E:\$Extend\$ObjId 01.07.2005 07:29 0 bytes Hidden from Windows API.
E:\$Extend\$Quota 01.07.2005 07:29 0 bytes Hidden from Windows API.
E:\$Extend\$Reparse 01.07.2005 07:29 0 bytes Hidden from Windows API.
E:\$LogFile 01.07.2005 07:29 64.00 MB Hidden from Windows API.
E:\$MFT 01.07.2005 07:29 14.51 MB Hidden from Windows API.
E:\$MFTMirr 01.07.2005 07:29 4.00 KB Hidden from Windows API.
E:\$Secure 01.07.2005 07:29 0 bytes Hidden from Windows API.
E:\$UpCase 01.07.2005 07:29 128.00 KB Hidden from Windows API.
E:\$Volume 01.07.2005 07:29 0 bytes Hidden from Windows API.
F:\$AttrDef 22.12.2005 12:30 2.50 KB Hidden from Windows API.
F:\$BadClus 22.12.2005 12:30 0 bytes Hidden from Windows API.
F:\$BadClus:$Bad 22.12.2005 12:30 29.29 GB Hidden from Windows API.
F:\$Bitmap 22.12.2005 12:30 937.39 KB Hidden from Windows API.
F:\$Boot 22.12.2005 12:30 8.00 KB Hidden from Windows API.
F:\$Extend 22.12.2005 12:30 0 bytes Hidden from Windows API.
F:\$Extend\$ObjId 22.12.2005 12:30 0 bytes Hidden from Windows API.
F:\$Extend\$Quota 22.12.2005 12:30 0 bytes Hidden from Windows API.
F:\$Extend\$Reparse 22.12.2005 12:30 0 bytes Hidden from Windows API.
F:\$LogFile 22.12.2005 12:30 64.00 MB Hidden from Windows API.
F:\$MFT 22.12.2005 12:30 22.39 MB Hidden from Windows API.
F:\$MFTMirr 22.12.2005 12:30 4.00 KB Hidden from Windows API.
F:\$Secure 22.12.2005 12:30 0 bytes Hidden from Windows API.
F:\$UpCase 22.12.2005 12:30 128.00 KB Hidden from Windows API.
F:\$Volume 22.12.2005 12:30 0 bytes Hidden from Windows API.
G:\$AttrDef 31.12.2005 12:36 2.50 KB Hidden from Windows API.
G:\$BadClus 31.12.2005 12:36 0 bytes Hidden from Windows API.
G:\$BadClus:$Bad 31.12.2005 12:36 50.01 GB Hidden from Windows API.
G:\$Bitmap 31.12.2005 12:36 1.56 MB Hidden from Windows API.
G:\$Boot 31.12.2005 12:36 8.00 KB Hidden from Windows API.
G:\$Extend 31.12.2005 12:36 0 bytes Hidden from Windows API.
G:\$Extend\$ObjId 31.12.2005 12:36 0 bytes Hidden from Windows API.
G:\$Extend\$Quota 31.12.2005 12:36 0 bytes Hidden from Windows API.
G:\$Extend\$Reparse 31.12.2005 12:36 0 bytes Hidden from Windows API.
G:\$LogFile 31.12.2005 12:36 64.00 MB Hidden from Windows API.
G:\$MFT 31.12.2005 12:36 30.67 MB Hidden from Windows API.
G:\$MFTMirr 31.12.2005 12:36 4.00 KB Hidden from Windows API.
G:\$Secure 31.12.2005 12:36 0 bytes Hidden from Windows API.
G:\$UpCase 31.12.2005 12:36 128.00 KB Hidden from Windows API.
G:\$Volume 31.12.2005 12:36 0 bytes Hidden from Windows API.
H:\$AttrDef 20.09.2004 14:23 2.50 KB Hidden from Windows API.
H:\$BadClus 20.09.2004 14:23 0 bytes Hidden from Windows API.
H:\$BadClus:$Bad 20.09.2004 14:23 50.01 GB Hidden from Windows API.
H:\$Bitmap 20.09.2004 14:23 1.56 MB Hidden from Windows API.
H:\$Boot 20.09.2004 14:23 8.00 KB Hidden from Windows API.
H:\$Extend 20.09.2004 14:23 0 bytes Hidden from Windows API.
H:\$Extend\$ObjId 20.09.2004 14:23 0 bytes Hidden from Windows API.
H:\$Extend\$Quota 20.09.2004 14:23 0 bytes Hidden from Windows API.
H:\$Extend\$Reparse 20.09.2004 14:23 0 bytes Hidden from Windows API.
H:\$LogFile 20.09.2004 14:23 64.00 MB Hidden from Windows API.
H:\$MFT 20.09.2004 14:23 50.89 MB Hidden from Windows API.
H:\$MFTMirr 20.09.2004 14:23 4.00 KB Hidden from Windows API.
H:\$Secure 20.09.2004 14:23 0 bytes Hidden from Windows API.
H:\$UpCase 20.09.2004 14:23 128.00 KB Hidden from Windows API.
H:\$Volume 20.09.2004 14:23 0 bytes Hidden from Windows API.
I:\$AttrDef 09.11.2002 10:50 2.50 KB Hidden from Windows API.
I:\$BadClus 09.11.2002 10:50 0 bytes Hidden from Windows API.
I:\$BadClus:$Bad 09.11.2002 10:50 21.66 GB Hidden from Windows API.
I:\$Bitmap 09.11.2002 10:50 693.23 KB Hidden from Windows API.
I:\$Boot 09.11.2002 10:50 8.00 KB Hidden from Windows API.
I:\$Extend 09.11.2002 10:50 0 bytes Hidden from Windows API.
I:\$Extend\$ObjId 09.11.2002 10:50 0 bytes Hidden from Windows API.
I:\$Extend\$Quota 09.11.2002 10:50 0 bytes Hidden from Windows API.
I:\$Extend\$Reparse 09.11.2002 10:50 0 bytes Hidden from Windows API.
I:\$LogFile 09.11.2002 10:50 64.00 MB Hidden from Windows API.
I:\$MFT 09.11.2002 10:50 81.40 MB Hidden from Windows API.
I:\$MFTMirr 09.11.2002 10:50 4.00 KB Hidden from Windows API.
I:\$Secure 09.11.2002 10:50 0 bytes Hidden from Windows API.
I:\$UpCase 09.11.2002 10:50 128.00 KB Hidden from Windows API.
I:\$Volume 09.11.2002 10:50 0 bytes Hidden from Windows API.
J:\$AttrDef 26.12.2003 08:07 2.50 KB Hidden from Windows API.
J:\$BadClus 26.12.2003 08:07 0 bytes Hidden from Windows API.
J:\$BadClus:$Bad 26.12.2003 08:07 13.90 GB Hidden from Windows API.
J:\$Bitmap 26.12.2003 08:07 444.67 KB Hidden from Windows API.
J:\$Boot 26.12.2003 08:07 8.00 KB Hidden from Windows API.
J:\$Extend 26.12.2003 08:07 0 bytes Hidden from Windows API.
J:\$Extend\$ObjId 26.12.2003 08:07 0 bytes Hidden from Windows API.
J:\$Extend\$Quota 26.12.2003 08:07 0 bytes Hidden from Windows API.
J:\$Extend\$Reparse 26.12.2003 08:07 0 bytes Hidden from Windows API.
J:\$LogFile 26.12.2003 08:07 22.56 MB Hidden from Windows API.
J:\$MFT 26.12.2003 08:07 30.71 MB Hidden from Windows API.
J:\$MFTMirr 26.12.2003 08:07 4.00 KB Hidden from Windows API.
J:\$Secure 26.12.2003 08:07 0 bytes Hidden from Windows API.
J:\$UpCase 26.12.2003 08:07 128.00 KB Hidden from Windows API.
J:\$Volume 26.12.2003 08:07 0 bytes Hidden from Windows API.
K:\$AttrDef 21.09.2004 11:08 2.50 KB Hidden from Windows API.
K:\$BadClus 21.09.2004 11:08 0 bytes Hidden from Windows API.
K:\$BadClus:$Bad 21.09.2004 11:08 21.69 GB Hidden from Windows API.
K:\$Bitmap 21.09.2004 11:08 693.98 KB Hidden from Windows API.
K:\$Boot 21.09.2004 11:08 8.00 KB Hidden from Windows API.
K:\$Extend 21.09.2004 11:08 0 bytes Hidden from Windows API.
K:\$Extend\$ObjId 21.09.2004 11:08 0 bytes Hidden from Windows API.
K:\$Extend\$Quota 21.09.2004 11:08 0 bytes Hidden from Windows API.
K:\$Extend\$Reparse 21.09.2004 11:08 0 bytes Hidden from Windows API.
K:\$LogFile 21.09.2004 11:08 64.00 MB Hidden from Windows API.
K:\$MFT 21.09.2004 11:08 89.28 MB Hidden from Windows API.
K:\$MFTMirr 21.09.2004 11:08 4.00 KB Hidden from Windows API.
K:\$Secure 21.09.2004 11:08 0 bytes Hidden from Windows API.
K:\$UpCase 21.09.2004 11:08 128.00 KB Hidden from Windows API.
K:\$Volume 21.09.2004 11:08 0 bytes Hidden from Windows API.
Und dann ohne die $ Einträge.
Bleibt also nur noch ...

Zitat:
HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg 09.04.2006 17:42 0 bytes Access is denied.
Was dann der "Daemon tools" Eintrag sein dürfte oder?

MightyMarc 25.04.2006 08:26
Zitat:
Zitat von bugfix
Morgen zusammen.
Moin

Zitat:
Also heute mal "ohne" Maus-geschupse und alles aus :)
Schaut auf jedem schon mal schöner aus!
;) Das mit den NTFS-Metadaten werden wir eines Tages auch noch schaffen ...

Zitat:
Was dann der "Daemon tools" Eintrag sein dürfte oder?
Jap. Versuch das mal mit RegDelNull wobei ich mir inzwischen nicht mehr so ganz sicher bin, ob das helfen könnte (der Eintrag an sich stört allerdings eh recht wenig...eher Kosmetik).

bugfix 25.04.2006 16:05
Zitat:
Das mit den NTFS-Metadaten werden wir eines Tages auch noch schaffen ...
:o Habe ich doch abgeklickt ... Na ja ... hmm ... och mit der Zeit wird das schon noch kommen.

Zitat:
Jap. Versuch das mal mit RegDelNull wobei ich mir inzwischen nicht mehr so ganz sicher bin, ob das helfen könnte (der Eintrag an sich stört allerdings eh recht wenig...eher Kosmetik).
Habe ich versucht ist aber immer noch drinnen -.- Doch wie du schon geschriben hat "stört nicht" also lasse ich den jetzt drinnen. Zumal ich die letzten Tage eh ein paar Probs mit meiner GraKa habe / hatte (wird / wurde zu heiß). Habe jetzt ein paar Reg Einträge retur gespielt und nun mal schauen. Hoffe da waren keine MüllRegs bei ...

Aber ansonsten kann ich doch nun aber davon ausgehen das mein Rechner sauber ist!? Oder was meint Ihr? Natürlich auf den Bezug von RootKits. Das andere machen wir dann ein andern mal und in einem andern Tradt :D

Dickes Danke an Alle!!!!

MightyMarc 25.04.2006 16:40
Zitat:
Zitat von bugfix
:o Habe ich doch abgeklickt
Vor dem Scan den Haken entfernt? Nun ja, alles mit vorangestelltem "$" ignorieren.


Zitat:
Aber ansonsten kann ich doch nun aber davon ausgehen das mein Rechner sauber ist!?
Soweit man das aus der Distanz beurteilen kann, scheint er sauber zu sein (bezüglich Rootkits).


Alle Zeitangaben in WEZ +1. Es ist jetzt 19:25 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131