Scann mit RootkitRevealer - Was nun?

bugfix · 24.04.2006, 09:35

Hallo zusammen.

Also, ich habe grad mein Rechner mal mit RootkitRevealer gescannt. Der hat mir auch ein paar Sachen rausgeworfen, doch was soll ich nun damit machen? Woran erkenne ich nun was OK ist und was nicht? Gibt es eine Übersicht oder deutsche Anleitung dazu?

Oder kann ich an den Descriptions sehen was ich damit machen muss oder ist dass dann noch vom Programm abhängig? Oder wie Unterscheidet man das ganze?

Sage schon mal Danke!

Gruß : bugfix

MightyMarc · 24.04.2006, 09:46

Grundsätzlich sollte RKR nicht allzuviel anzeigen.
Beachte einfach folgendes:

1. Entferne unter Options die NTFS-Metaeinträge
2. Tauchen .exe, -.com, -.bat oder sonstige ausführbare Dateien im Log auf, heisst es obacht geben!
3. Du solltest alle Einträge zuordnen können, auch die von Ordnern und Schlüsseln
4. Beachte vor allem "hidden from windows api"-Einträge
5. Sollte RKR mehr als 10-15 Sachen anzeigen -> Vorsicht

Poste doch einfach mal Dein Log hier.

Shadow · 24.04.2006, 10:30

@ Bugfix: Die englisch-sprachige Anleitung ist dir bekannt?
Das Programm hat eigentlich keinen "marktreifen Status, dass damit jeder seinen PC von Rootkits befreien kann".

bugfix · 24.04.2006, 11:02

@ Shadow : Womit sollte ich denn mein Rechner Scannen um ein Überblick zu bekommen ob ich etwas drauf habe? Ich nutze natürlich auch ein Virenscanner und Ad-Aware ... . Mir geht es nur um die Rootkit Geschichte.

Zitat:

1. Entferne unter Options die NTFS-Metaeinträge

Habe ich gemacht.

Zitat:

2. Tauchen .exe, -.com, -.bat oder sonstige ausführbare Dateien im Log auf, heisst es obacht geben!

Bis jetzt noch keine gefunden!

Zitat:

3. Du solltest alle Einträge zuordnen können, auch die von Ordnern und Schlüsseln

Öhm, nicht alle -.- aber ich denke mal so wird es den meisten gehen. Ich weiss einfach nicht was was sein soll.

Zitat:

4. Beachte vor allem "hidden from windows api"-Einträge

Das sind fast alle

aber das meiste sollte standart sein.

Zitat:

5. Sollte RKR mehr als 10-15 Sachen anzeigen -> Vorsicht

Alles zusammen oder nur bestimmte Sachen oder je Platte? Das meiste wiederholt sich je Laufwerkbuchstabe.

Log kommt noch.

Shadow · 24.04.2006, 11:15

Zitat:

Zitat von bugfix

@ Shadow : Womit sollte ich denn mein Rechner Scannen um ein Überblick zu bekommen ob ich etwas drauf habe?

Betonung lag auf es ist kein Jedermann-Tool
Es gäbe da noch F-Secure Blacklight, dies zeigt aber weniger an als RKR, wohl nur ERKANNTE Rootkits - ist noch ein beta und wohl nur noch bis zur Wallpurgisnacht frei.

Zitat:

Zitat von bugfix

Log kommt noch.

gut

bugfix · 24.04.2006, 11:25

Hier mein Log. Hoffe mal das er nicht zu lang ist. Wenn ja sagen was raus soll, dann kürze ich den.

Code:

ATTFilter

HKLM\SOFTWARE\Microsoft\Cryptography\RNG\Seed	24.04.2006 10:36	80 bytes	Data mismatch between Windows API and raw hive data.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Cache\Paths\Directory	24.04.2006 10:27	204 bytes	Windows API length not consistent with raw hive data.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Cache\Paths\path1\CachePath	24.04.2006 10:27	218 bytes	Windows API length not consistent with raw hive data.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Cache\Paths\path2\CachePath	24.04.2006 10:27	218 bytes	Windows API length not consistent with raw hive data.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Cache\Paths\path3\CachePath	24.04.2006 10:27	218 bytes	Windows API length not consistent with raw hive data.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Cache\Paths\path4\CachePath	24.04.2006 10:27	218 bytes	Windows API length not consistent with raw hive data.
HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg	09.04.2006 17:42	0 bytes	Access is denied.
C:\$AttrDef	14.02.2006 09:32	2.50 KB	Hidden from Windows API.
C:\$BadClus	14.02.2006 09:32	0 bytes	Hidden from Windows API.
C:\$BadClus:$Bad	14.02.2006 09:32	43.73 GB	Hidden from Windows API.
C:\$Bitmap	14.02.2006 09:32	1.37 MB	Hidden from Windows API.
C:\$Boot	14.02.2006 09:32	8.00 KB	Hidden from Windows API.
C:\$Extend	14.02.2006 09:32	0 bytes	Hidden from Windows API.
C:\$Extend\$ObjId	14.02.2006 09:32	0 bytes	Hidden from Windows API.
C:\$Extend\$Quota	14.02.2006 09:32	0 bytes	Hidden from Windows API.
C:\$Extend\$Reparse	14.02.2006 09:32	0 bytes	Hidden from Windows API.
C:\$LogFile	14.02.2006 09:32	64.00 MB	Hidden from Windows API.
C:\$MFT	14.02.2006 09:32	48.03 MB	Hidden from Windows API.
C:\$MFTMirr	14.02.2006 09:32	4.00 KB	Hidden from Windows API.
C:\$Secure	14.02.2006 09:32	0 bytes	Hidden from Windows API.
C:\$UpCase	14.02.2006 09:32	128.00 KB	Hidden from Windows API.
C:\$Volume	14.02.2006 09:32	0 bytes	Hidden from Windows API.C:\Dokumente und Einstellungen\Tim\Lokale Einstellungen\Temp\~DFCA20.tmp	24.04.2006 10:51	512 bytes	Hidden from Windows API.
C:\Dokumente und Einstellungen\Tim\Lokale Einstellungen\Temp\~DFF042.tmp	24.04.2006 10:51	512 bytes	Hidden from Windows API.
C:\Dokumente und Einstellungen\Tim\Lokale Einstellungen\Temp\~WRF0000.tmp	24.04.2006 10:51	16.00 KB	Hidden from Windows API.
C:\WINDOWS\PCHealth\HelpCtr\DataColl\CollectedData_1137.xml	25.03.2006 11:48	15.48 KB	Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\PCHealth\HelpCtr\DataColl\CollectedData_1996.xml	23.04.2006 10:42	66.22 KB	Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\PCHealth\HelpCtr\DataColl\CollectedData_1998.xml	23.04.2006 10:42	1.46 KB	Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\PCHealth\HelpCtr\DataColl\CollectedData_2000.xml	23.04.2006 10:42	18.04 KB	Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\PCHealth\HelpCtr\DataColl\CollectedData_2002.xml	23.04.2006 10:42	3.55 KB	Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\PCHealth\HelpCtr\DataColl\CollectedData_2004.xml	23.04.2006 10:42	15.42 KB	Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\PCHealth\HelpCtr\DataColl\CollectedData_2006.xml	23.04.2006 10:42	15.80 KB	Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\PCHealth\HelpCtr\DataColl\CollectedData_2008.xml	23.04.2006 10:42	1.55 KB	Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\PCHealth\HelpCtr\DataColl\CollectedData_2010.xml	23.04.2006 10:42	20.43 KB	Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\PCHealth\HelpCtr\DataColl\CollectedData_2012.xml	23.04.2006 10:42	2.01 KB	Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\PCHealth\HelpCtr\DataColl\CollectedData_2014.xml	23.04.2006 10:42	424.63 KB	Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\PCHealth\HelpCtr\DataColl\CollectedData_2016.xml	23.04.2006 10:42	220.66 KB	Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\PCHealth\HelpCtr\DataColl\CollectedData_2018.xml	23.04.2006 10:42	75.12 KB	Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\PCHealth\HelpCtr\DataColl\CollectedData_2020.xml	23.04.2006 10:42	4.54 KB	Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\PCHealth\HelpCtr\DataColl\CollectedData_2022.xml	23.04.2006 10:42	151.23 KB	Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\PCHealth\HelpCtr\DataColl\CollectedData_2024.xml	23.04.2006 10:42	70.21 KB	Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\PCHealth\HelpCtr\DataColl\CollectedData_2026.xml	24.04.2006 10:43	66.22 KB	Hidden from Windows API.
C:\WINDOWS\PCHealth\HelpCtr\DataColl\CollectedData_2028.xml	24.04.2006 10:43	1.46 KB	Hidden from Windows API.
C:\WINDOWS\PCHealth\HelpCtr\DataColl\CollectedData_2030.xml	24.04.2006 10:43	18.04 KB	Hidden from Windows API.
C:\WINDOWS\PCHealth\HelpCtr\DataColl\CollectedData_2032.xml	24.04.2006 10:43	3.55 KB	Hidden from Windows API.
C:\WINDOWS\PCHealth\HelpCtr\DataColl\CollectedData_2034.xml	24.04.2006 10:43	15.42 KB	Hidden from Windows API.
C:\WINDOWS\PCHealth\HelpCtr\DataColl\CollectedData_2036.xml	24.04.2006 10:43	14.25 KB	Hidden from Windows API.
C:\WINDOWS\PCHealth\HelpCtr\DataColl\CollectedData_2037.xml	24.04.2006 10:43	17.16 KB	Hidden from Windows API.
C:\WINDOWS\PCHealth\HelpCtr\DataColl\CollectedData_2038.xml	24.04.2006 10:43	1.55 KB	Hidden from Windows API.
C:\WINDOWS\PCHealth\HelpCtr\DataColl\CollectedData_2040.xml	24.04.2006 10:43	20.43 KB	Hidden from Windows API.
C:\WINDOWS\PCHealth\HelpCtr\DataColl\CollectedData_2042.xml	24.04.2006 10:43	2.01 KB	Hidden from Windows API.
C:\WINDOWS\PCHealth\HelpCtr\DataColl\CollectedData_2044.xml	24.04.2006 10:43	424.63 KB	Hidden from Windows API.
C:\WINDOWS\PCHealth\HelpCtr\DataColl\CollectedData_2046.xml	24.04.2006 10:43	222.03 KB	Hidden from Windows API.
C:\WINDOWS\PCHealth\HelpCtr\DataColl\CollectedData_2047.xml	24.04.2006 10:43	8.63 KB	Hidden from Windows API.
C:\WINDOWS\PCHealth\HelpCtr\DataColl\CollectedData_2048.xml	24.04.2006 10:43	75.12 KB	Hidden from Windows API.
C:\WINDOWS\PCHealth\HelpCtr\DataColl\CollectedData_2050.xml	24.04.2006 10:43	4.54 KB	Hidden from Windows API.
C:\WINDOWS\PCHealth\HelpCtr\DataColl\CollectedData_2052.xml	24.04.2006 10:43	152.80 KB	Hidden from Windows API.
C:\WINDOWS\PCHealth\HelpCtr\DataColl\CollectedData_2053.xml	24.04.2006 10:43	2.02 KB	Hidden from Windows API.
C:\WINDOWS\PCHealth\HelpCtr\DataColl\CollectedData_2054.xml	24.04.2006 10:43	61.27 KB	Hidden from Windows API.
C:\WINDOWS\PCHealth\HelpCtr\DataColl\CollectedData_2055.xml	24.04.2006 10:43	9.80 KB	Hidden from Windows API.
C:\WINDOWS\PCHealth\HelpCtr\DataColl\CollectedData_283.xml	24.02.2006 10:54	4.69 KB	Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\PCHealth\HelpCtr\DataColl\CollectedData_937.xml	18.03.2006 11:24	3.52 KB	Visible in Windows API, but not in MFT or directory index.
D:\$AttrDef	01.07.2005 07:29	2.50 KB	Hidden from Windows API.
D:\$BadClus	01.07.2005 07:29	0 bytes	Hidden from Windows API.
D:\$BadClus:$Bad	01.07.2005 07:29	15.01 GB	Hidden from Windows API.
D:\$Bitmap	01.07.2005 07:29	480.22 KB	Hidden from Windows API.
D:\$Boot	01.07.2005 07:29	8.00 KB	Hidden from Windows API.
D:\$Extend	01.07.2005 07:29	0 bytes	Hidden from Windows API.
D:\$Extend\$ObjId	01.07.2005 07:29	0 bytes	Hidden from Windows API.
D:\$Extend\$Quota	01.07.2005 07:29	0 bytes	Hidden from Windows API.
D:\$Extend\$Reparse	01.07.2005 07:29	0 bytes	Hidden from Windows API.
D:\$LogFile	01.07.2005 07:29	64.00 MB	Hidden from Windows API.
D:\$MFT	01.07.2005 07:29	64.92 MB	Hidden from Windows API.
D:\$MFTMirr	01.07.2005 07:29	4.00 KB	Hidden from Windows API.
D:\$Secure	01.07.2005 07:29	0 bytes	Hidden from Windows API.
D:\$UpCase	01.07.2005 07:29	128.00 KB	Hidden from Windows API.
D:\$Volume	01.07.2005 07:29	0 bytes	Hidden from Windows API.
E:\$AttrDef	01.07.2005 07:29	2.50 KB	Hidden from Windows API.
E:\$BadClus	01.07.2005 07:29	0 bytes	Hidden from Windows API.
E:\$BadClus:$Bad	01.07.2005 07:29	45.72 GB	Hidden from Windows API.
E:\$Bitmap	01.07.2005 07:29	1.43 MB	Hidden from Windows API.
E:\$Boot	01.07.2005 07:29	8.00 KB	Hidden from Windows API.
E:\$Extend	01.07.2005 07:29	0 bytes	Hidden from Windows API.
E:\$Extend\$ObjId	01.07.2005 07:29	0 bytes	Hidden from Windows API.
E:\$Extend\$Quota	01.07.2005 07:29	0 bytes	Hidden from Windows API.
E:\$Extend\$Reparse	01.07.2005 07:29	0 bytes	Hidden from Windows API.
E:\$LogFile	01.07.2005 07:29	64.00 MB	Hidden from Windows API.
E:\$MFT	01.07.2005 07:29	14.51 MB	Hidden from Windows API.
E:\$MFTMirr	01.07.2005 07:29	4.00 KB	Hidden from Windows API.
E:\$Secure	01.07.2005 07:29	0 bytes	Hidden from Windows API.
E:\$UpCase	01.07.2005 07:29	128.00 KB	Hidden from Windows API.
E:\$Volume	01.07.2005 07:29	0 bytes	Hidden from Windows API.
F:\$AttrDef	22.12.2005 12:30	2.50 KB	Hidden from Windows API.
F:\$BadClus	22.12.2005 12:30	0 bytes	Hidden from Windows API.
F:\$BadClus:$Bad	22.12.2005 12:30	29.29 GB	Hidden from Windows API.
F:\$Bitmap	22.12.2005 12:30	937.39 KB	Hidden from Windows API.
F:\$Boot	22.12.2005 12:30	8.00 KB	Hidden from Windows API.
F:\$Extend	22.12.2005 12:30	0 bytes	Hidden from Windows API.
F:\$Extend\$ObjId	22.12.2005 12:30	0 bytes	Hidden from Windows API.
F:\$Extend\$Quota	22.12.2005 12:30	0 bytes	Hidden from Windows API.
F:\$Extend\$Reparse	22.12.2005 12:30	0 bytes	Hidden from Windows API.
F:\$LogFile	22.12.2005 12:30	64.00 MB	Hidden from Windows API.
F:\$MFT	22.12.2005 12:30	22.39 MB	Hidden from Windows API.
F:\$MFTMirr	22.12.2005 12:30	4.00 KB	Hidden from Windows API.
F:\$Secure	22.12.2005 12:30	0 bytes	Hidden from Windows API.
F:\$UpCase	22.12.2005 12:30	128.00 KB	Hidden from Windows API.
F:\$Volume	22.12.2005 12:30	0 bytes	Hidden from Windows API.
G:\$AttrDef	31.12.2005 12:36	2.50 KB	Hidden from Windows API.
G:\$BadClus	31.12.2005 12:36	0 bytes	Hidden from Windows API.
G:\$BadClus:$Bad	31.12.2005 12:36	50.01 GB	Hidden from Windows API.
G:\$Bitmap	31.12.2005 12:36	1.56 MB	Hidden from Windows API.
G:\$Boot	31.12.2005 12:36	8.00 KB	Hidden from Windows API.
G:\$Extend	31.12.2005 12:36	0 bytes	Hidden from Windows API.
G:\$Extend\$ObjId	31.12.2005 12:36	0 bytes	Hidden from Windows API.
G:\$Extend\$Quota	31.12.2005 12:36	0 bytes	Hidden from Windows API.
G:\$Extend\$Reparse	31.12.2005 12:36	0 bytes	Hidden from Windows API.
G:\$LogFile	31.12.2005 12:36	64.00 MB	Hidden from Windows API.
G:\$MFT	31.12.2005 12:36	30.67 MB	Hidden from Windows API.
G:\$MFTMirr	31.12.2005 12:36	4.00 KB	Hidden from Windows API.
G:\$Secure	31.12.2005 12:36	0 bytes	Hidden from Windows API.
G:\$UpCase	31.12.2005 12:36	128.00 KB	Hidden from Windows API.
G:\$Volume	31.12.2005 12:36	0 bytes	Hidden from Windows API.
H:\$AttrDef	20.09.2004 14:23	2.50 KB	Hidden from Windows API.
H:\$BadClus	20.09.2004 14:23	0 bytes	Hidden from Windows API.
H:\$BadClus:$Bad	20.09.2004 14:23	50.01 GB	Hidden from Windows API.
H:\$Bitmap	20.09.2004 14:23	1.56 MB	Hidden from Windows API.
H:\$Boot	20.09.2004 14:23	8.00 KB	Hidden from Windows API.
H:\$Extend	20.09.2004 14:23	0 bytes	Hidden from Windows API.
H:\$Extend\$ObjId	20.09.2004 14:23	0 bytes	Hidden from Windows API.
H:\$Extend\$Quota	20.09.2004 14:23	0 bytes	Hidden from Windows API.
H:\$Extend\$Reparse	20.09.2004 14:23	0 bytes	Hidden from Windows API.
H:\$LogFile	20.09.2004 14:23	64.00 MB	Hidden from Windows API.
H:\$MFT	20.09.2004 14:23	50.89 MB	Hidden from Windows API.
H:\$MFTMirr	20.09.2004 14:23	4.00 KB	Hidden from Windows API.
H:\$Secure	20.09.2004 14:23	0 bytes	Hidden from Windows API.
H:\$UpCase	20.09.2004 14:23	128.00 KB	Hidden from Windows API.
H:\$Volume	20.09.2004 14:23	0 bytes	Hidden from Windows API.
I:\$AttrDef	09.11.2002 10:50	2.50 KB	Hidden from Windows API.
I:\$BadClus	09.11.2002 10:50	0 bytes	Hidden from Windows API.
I:\$BadClus:$Bad	09.11.2002 10:50	21.66 GB	Hidden from Windows API.
I:\$Bitmap	09.11.2002 10:50	693.23 KB	Hidden from Windows API.
I:\$Boot	09.11.2002 10:50	8.00 KB	Hidden from Windows API.
I:\$Extend	09.11.2002 10:50	0 bytes	Hidden from Windows API.
I:\$Extend\$ObjId	09.11.2002 10:50	0 bytes	Hidden from Windows API.
I:\$Extend\$Quota	09.11.2002 10:50	0 bytes	Hidden from Windows API.
I:\$Extend\$Reparse	09.11.2002 10:50	0 bytes	Hidden from Windows API.
I:\$LogFile	09.11.2002 10:50	64.00 MB	Hidden from Windows API.
I:\$MFT	09.11.2002 10:50	81.40 MB	Hidden from Windows API.
I:\$MFTMirr	09.11.2002 10:50	4.00 KB	Hidden from Windows API.
I:\$Secure	09.11.2002 10:50	0 bytes	Hidden from Windows API.
I:\$UpCase	09.11.2002 10:50	128.00 KB	Hidden from Windows API.
I:\$Volume	09.11.2002 10:50	0 bytes	Hidden from Windows API.
J:\$AttrDef	26.12.2003 08:07	2.50 KB	Hidden from Windows API.
J:\$BadClus	26.12.2003 08:07	0 bytes	Hidden from Windows API.
J:\$BadClus:$Bad	26.12.2003 08:07	13.90 GB	Hidden from Windows API.
J:\$Bitmap	26.12.2003 08:07	444.67 KB	Hidden from Windows API.
J:\$Boot	26.12.2003 08:07	8.00 KB	Hidden from Windows API.
J:\$Extend	26.12.2003 08:07	0 bytes	Hidden from Windows API.
J:\$Extend\$ObjId	26.12.2003 08:07	0 bytes	Hidden from Windows API.
J:\$Extend\$Quota	26.12.2003 08:07	0 bytes	Hidden from Windows API.
J:\$Extend\$Reparse	26.12.2003 08:07	0 bytes	Hidden from Windows API.
J:\$LogFile	26.12.2003 08:07	22.56 MB	Hidden from Windows API.
J:\$MFT	26.12.2003 08:07	30.71 MB	Hidden from Windows API.
J:\$MFTMirr	26.12.2003 08:07	4.00 KB	Hidden from Windows API.
J:\$Secure	26.12.2003 08:07	0 bytes	Hidden from Windows API.
J:\$UpCase	26.12.2003 08:07	128.00 KB	Hidden from Windows API.
J:\$Volume	26.12.2003 08:07	0 bytes	Hidden from Windows API.
K:\$AttrDef	21.09.2004 11:08	2.50 KB	Hidden from Windows API.
K:\$BadClus	21.09.2004 11:08	0 bytes	Hidden from Windows API.
K:\$BadClus:$Bad	21.09.2004 11:08	21.69 GB	Hidden from Windows API.
K:\$Bitmap	21.09.2004 11:08	693.98 KB	Hidden from Windows API.
K:\$Boot	21.09.2004 11:08	8.00 KB	Hidden from Windows API.
K:\$Extend	21.09.2004 11:08	0 bytes	Hidden from Windows API.
K:\$Extend\$ObjId	21.09.2004 11:08	0 bytes	Hidden from Windows API.
K:\$Extend\$Quota	21.09.2004 11:08	0 bytes	Hidden from Windows API.
K:\$Extend\$Reparse	21.09.2004 11:08	0 bytes	Hidden from Windows API.
K:\$LogFile	21.09.2004 11:08	64.00 MB	Hidden from Windows API.
K:\$MFT	21.09.2004 11:08	89.28 MB	Hidden from Windows API.
K:\$MFTMirr	21.09.2004 11:08	4.00 KB	Hidden from Windows API.
K:\$Secure	21.09.2004 11:08	0 bytes	Hidden from Windows API.
K:\$UpCase	21.09.2004 11:08	128.00 KB	Hidden from Windows API.
K:\$Volume	21.09.2004 11:08	0 bytes	Hidden from Windows API.

MightyMarc · 24.04.2006, 11:55

Zitat:

Zitat:
1. Entferne unter Options die NTFS-Metaeinträge

Habe ich gemacht.

Definiere bitte "entfernen"

Alle Einträge die mit "$" anfangen sind NTFS-Einträge und können meist ignoriert werden.
Blieben also noch:

Zitat:

HKLM\SOFTWARE\Microsoft\Cryptography\RNG\Seed 24.04.2006 10:36 80 bytes Data mismatch between Windows API and raw hive data.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Cache\Paths\Directory 24.04.2006 10:27 204 bytes Windows API length not consistent with raw hive data.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Cache\Paths\path1\CachePath 24.04.2006 10:27 218 bytes Windows API length not consistent with raw hive data.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Cache\Paths\path2\CachePath 24.04.2006 10:27 218 bytes Windows API length not consistent with raw hive data.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Cache\Paths\path3\CachePath 24.04.2006 10:27 218 bytes Windows API length not consistent with raw hive data.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Cache\Paths\path4\CachePath 24.04.2006 10:27 218 bytes Windows API length not consistent with raw hive data.
C:\Dokumente und Einstellungen\Tim\Lokale Einstellungen\Temp\~DFF042.tmp 24.04.2006 10:51 512 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\Tim\Lokale Einstellungen\Temp\~WRF0000.tmp 24.04.2006 10:51 16.00 KB Hidden from Windows API.
C:\WINDOWS\PCHealth\HelpCtr\DataColl\CollectedData_1137.xml 25.03.2006 11:48 15.48 KB Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\PCHealth\HelpCtr\DataColl\CollectedData_1996.xml 23.04.2006 10:42 66.22 KB Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\PCHealth\HelpCtr\DataColl\CollectedData_1998.xml 23.04.2006 10:42 1.46 KB Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\PCHealth\HelpCtr\DataColl\CollectedData_2000.xml 23.04.2006 10:42 18.04 KB Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\PCHealth\HelpCtr\DataColl\CollectedData_2002.xml 23.04.2006 10:42 3.55 KB Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\PCHealth\HelpCtr\DataColl\CollectedData_2004.xml 23.04.2006 10:42 15.42 KB Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\PCHealth\HelpCtr\DataColl\CollectedData_2006.xml 23.04.2006 10:42 15.80 KB Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\PCHealth\HelpCtr\DataColl\CollectedData_2008.xml 23.04.2006 10:42 1.55 KB Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\PCHealth\HelpCtr\DataColl\CollectedData_2010.xml 23.04.2006 10:42 20.43 KB Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\PCHealth\HelpCtr\DataColl\CollectedData_2012.xml 23.04.2006 10:42 2.01 KB Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\PCHealth\HelpCtr\DataColl\CollectedData_2014.xml 23.04.2006 10:42 424.63 KB Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\PCHealth\HelpCtr\DataColl\CollectedData_2016.xml 23.04.2006 10:42 220.66 KB Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\PCHealth\HelpCtr\DataColl\CollectedData_2018.xml 23.04.2006 10:42 75.12 KB Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\PCHealth\HelpCtr\DataColl\CollectedData_2020.xml 23.04.2006 10:42 4.54 KB Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\PCHealth\HelpCtr\DataColl\CollectedData_2022.xml 23.04.2006 10:42 151.23 KB Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\PCHealth\HelpCtr\DataColl\CollectedData_2024.xml 23.04.2006 10:42 70.21 KB Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\PCHealth\HelpCtr\DataColl\CollectedData_2026.xml 24.04.2006 10:43 66.22 KB Hidden from Windows API.
C:\WINDOWS\PCHealth\HelpCtr\DataColl\CollectedData_2028.xml 24.04.2006 10:43 1.46 KB Hidden from Windows API.
C:\WINDOWS\PCHealth\HelpCtr\DataColl\CollectedData_2030.xml 24.04.2006 10:43 18.04 KB Hidden from Windows API.
C:\WINDOWS\PCHealth\HelpCtr\DataColl\CollectedData_2032.xml 24.04.2006 10:43 3.55 KB Hidden from Windows API.
C:\WINDOWS\PCHealth\HelpCtr\DataColl\CollectedData_2034.xml 24.04.2006 10:43 15.42 KB Hidden from Windows API.
C:\WINDOWS\PCHealth\HelpCtr\DataColl\CollectedData_2036.xml 24.04.2006 10:43 14.25 KB Hidden from Windows API.
C:\WINDOWS\PCHealth\HelpCtr\DataColl\CollectedData_2037.xml 24.04.2006 10:43 17.16 KB Hidden from Windows API.
C:\WINDOWS\PCHealth\HelpCtr\DataColl\CollectedData_2038.xml 24.04.2006 10:43 1.55 KB Hidden from Windows API.
C:\WINDOWS\PCHealth\HelpCtr\DataColl\CollectedData_2040.xml 24.04.2006 10:43 20.43 KB Hidden from Windows API.
C:\WINDOWS\PCHealth\HelpCtr\DataColl\CollectedData_2042.xml 24.04.2006 10:43 2.01 KB Hidden from Windows API.
C:\WINDOWS\PCHealth\HelpCtr\DataColl\CollectedData_2044.xml 24.04.2006 10:43 424.63 KB Hidden from Windows API.
C:\WINDOWS\PCHealth\HelpCtr\DataColl\CollectedData_2046.xml 24.04.2006 10:43 222.03 KB Hidden from Windows API.
C:\WINDOWS\PCHealth\HelpCtr\DataColl\CollectedData_2047.xml 24.04.2006 10:43 8.63 KB Hidden from Windows API.
C:\WINDOWS\PCHealth\HelpCtr\DataColl\CollectedData_2048.xml 24.04.2006 10:43 75.12 KB Hidden from Windows API.
C:\WINDOWS\PCHealth\HelpCtr\DataColl\CollectedData_2050.xml 24.04.2006 10:43 4.54 KB Hidden from Windows API.
C:\WINDOWS\PCHealth\HelpCtr\DataColl\CollectedData_2052.xml 24.04.2006 10:43 152.80 KB Hidden from Windows API.
C:\WINDOWS\PCHealth\HelpCtr\DataColl\CollectedData_2053.xml 24.04.2006 10:43 2.02 KB Hidden from Windows API.
C:\WINDOWS\PCHealth\HelpCtr\DataColl\CollectedData_2054.xml 24.04.2006 10:43 61.27 KB Hidden from Windows API.
C:\WINDOWS\PCHealth\HelpCtr\DataColl\CollectedData_2055.xml 24.04.2006 10:43 9.80 KB Hidden from Windows API.
C:\WINDOWS\PCHealth\HelpCtr\DataColl\CollectedData_283.xml 24.02.2006 10:54 4.69 KB Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\PCHealth\HelpCtr\DataColl\CollectedData_937.xml 18.03.2006 11:24 3.52 KB Visible in Windows API, but not in MFT or directory index.

Inkonsistenzen treten meist dann auf, wenn der Anwender während des Scans etwas am Rechner macht (dazu reicht uU auch schon das Rumschubsen der Maus). Beschränkt man sich nun auf "Hidden from Windows API", bleiben eigentlich nur noch 2 Einträge übrig:

Zitat:

C:\Dokumente und Einstellungen\Tim\Lokale Einstellungen\Temp\~DFF042.tmp 24.04.2006 10:51 512 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\Tim\Lokale Einstellungen\Temp\~WRF0000.tmp 24.04.2006 10:51 16.00 KB Hidden from Windows API.

Damit kommen wir aber auch nicht weiter. Bliebe noch ein interessanter Eintrag:

Zitat:

HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg 09.04.2006 17:42 0 bytes Access is denied.

Ist aber nur im ersten Moment interessant. Bei genauerem Hinsehen entpuppt sich der Eintrag als Dienstkonfiguration von Daemon-Tools.
Wegen der XML-Dateien bin ich mir noch nicht hundert Prozent sicher. Google liefert auf die Schnelle nichts brauchbares.
Ich melde mich später noch mal. Könntest ja in der Zwischenzeit F-Secures Blacklight laufen lassen (Google wird Dir den Weg zeigen).

bugfix · 24.04.2006, 14:58

So, F-Secures Blacklight hat nichts gefunden *puhhhh

Zitat:

Inkonsistenzen treten meist dann auf, wenn der Anwender während des Scans etwas am Rechner macht (dazu reicht uU auch schon das Rumschubsen der Maus).

naja, ich habe eben "normal" weitergearbeitet am Rechner ...

Daemon-Tools : habe ich nicht drauf. Hatte ich mal irgend wann mal drauf aber da ist es zu Problemen mit Programmen und Spielen gekommen und deswegen ist es runter. Doch könnte es sein das es mit einem anderen Programm (wie Nero) zusammenhängt?

Die XML Dateien machen mich erlich gesagt etwas nervös. Klar das sind eigendlich "nur" Hilfe Dteien von Win XP doch warum wirft er mir die beim scannen aus

?

Danke noch mal an dieser Stelle für eure Hilfe! Schon zum zweiten mal wirklich TOP!!!!!

Shadow · 24.04.2006, 15:32

Zitat:

Zitat von bugfix

naja, ich habe eben "normal" weitergearbeitet am Rechner ...

Böser Bube

Du darfst NICHTS, aber auch wirklich NICHTS machen, sonst "findet" RKR so viel.

"In order to minimize false positives run RootkitRevealer on an idle system.
For best results exit all applications and keep the system otherwise idle during the RootkitRevealer scanning process."

Kurz und frei übersetzt: ALLES zumachen, schließen,beenden (außer Windows), NICHTS mehr tun bis Ende - auch nicht mausen (Computer).
Idealerweise also noch einmal machen und dabei NICHTS am Computer auch nur scharf ansehen.

bugfix · 24.04.2006, 16:45

Ach du meine güten -.- das kann ja was geben wenn ich mal nichts mache ...

Ne Scherz beiseite - muss dass dann morgen noch mal neu machen. Da ich von zu Hause aus arbeite steht der Rechner eigentlich nie still. Aber wie gesagt, ich mache das Morgenfrüh noch mal neu.

Ach, ich habe mal dreisterweise in die XML Dateien reingeschaut.

Die werden alle erst gar nicht gefunden auch nicht versteckt angezeigt!

Code:

ATTFilter

C:\WINDOWS\PCHealth\HelpCtr\DataColl\CollectedData _1137.xml 25.03.2006 11:48 15.48 KB Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\PCHealth\HelpCtr\DataColl\CollectedData _1996.xml 23.04.2006 10:42 66.22 KB Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\PCHealth\HelpCtr\DataColl\CollectedData _1998.xml 23.04.2006 10:42 1.46 KB Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\PCHealth\HelpCtr\DataColl\CollectedData _2000.xml 23.04.2006 10:42 18.04 KB Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\PCHealth\HelpCtr\DataColl\CollectedData _2002.xml 23.04.2006 10:42 3.55 KB Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\PCHealth\HelpCtr\DataColl\CollectedData _2004.xml 23.04.2006 10:42 15.42 KB Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\PCHealth\HelpCtr\DataColl\CollectedData _2006.xml 23.04.2006 10:42 15.80 KB Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\PCHealth\HelpCtr\DataColl\CollectedData _2008.xml 23.04.2006 10:42 1.55 KB Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\PCHealth\HelpCtr\DataColl\CollectedData _2010.xml 23.04.2006 10:42 20.43 KB Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\PCHealth\HelpCtr\DataColl\CollectedData _2012.xml 23.04.2006 10:42 2.01 KB Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\PCHealth\HelpCtr\DataColl\CollectedData _2014.xml 23.04.2006 10:42 424.63 KB Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\PCHealth\HelpCtr\DataColl\CollectedData _2016.xml 23.04.2006 10:42 220.66 KB Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\PCHealth\HelpCtr\DataColl\CollectedData _2018.xml 23.04.2006 10:42 75.12 KB Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\PCHealth\HelpCtr\DataColl\CollectedData _2020.xml 23.04.2006 10:42 4.54 KB Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\PCHealth\HelpCtr\DataColl\CollectedData _2022.xml 23.04.2006 10:42 151.23 KB Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\PCHealth\HelpCtr\DataColl\CollectedData _2024.xml 23.04.2006 10:42 70.21 KB Visible in Windows API, but not in MFT or directory index.

Die andern findet der alle. Habe mal wie gesagt in einen reingeschaut und siehe da.

Code:

ATTFilter

  <?xml version="1.0" encoding="unicode" ?> 
- <CIM CIMVERSION="2.0" DTDVERSION="2.0">
- <DECLARATION>
- <DECLGROUP.WITHPATH>
- <VALUE.OBJECTWITHPATH>
- <INSTANCEPATH>
- <NAMESPACEPATH>
  <HOST>MEDIENGE-BQKO9F</HOST> 
- <LOCALNAMESPACEPATH>
  <NAMESPACE NAME="root" /> 
  <NAMESPACE NAME="cimv2" /> 
  </LOCALNAMESPACEPATH>
  </NAMESPACEPATH>
- <INSTANCENAME CLASSNAME="Win32_CodecFile">
- <KEYBINDING NAME="Name">
  <KEYVALUE VALUETYPE="string">C:\WINDOWS\System32\3IVXVFWCODEC.DLL</KEYVALUE> 
  </KEYBINDING>
  </INSTANCENAME>
  </INSTANCEPATH>
- <INSTANCE CLASSNAME="Win32_CodecFile">
- <PROPERTY NAME="CreationDate" TYPE="datetime">
  <VALUE>20030416173936.000000+120</VALUE> 
  </PROPERTY>
- <PROPERTY NAME="Description" TYPE="string">
  <VALUE>3ivx D4 4.0.4</VALUE> 
  </PROPERTY>
- <PROPERTY NAME="FileSize" TYPE="uint64">
  <VALUE>339968</VALUE> 
  </PROPERTY>
- <PROPERTY NAME="Group" TYPE="string">
  <VALUE>Video</VALUE> 
  </PROPERTY>
- <PROPERTY NAME="Manufacturer" TYPE="string">
  <VALUE>3ivx.com</VALUE> 
  </PROPERTY>
- <PROPERTY NAME="Name" TYPE="string">
  <VALUE>C:\WINDOWS\System32\3IVXVFWCODEC.DLL</VALUE> 
  </PROPERTY>
- <PROPERTY NAME="Version" TYPE="string">
  <VALUE>4, 0, 4, 0</VALUE> 
  </PROPERTY>
  </INSTANCE>
  </VALUE.OBJECTWITHPATH>
- <VALUE.OBJECTWITHPATH>
- <INSTANCEPATH>
- <NAMESPACEPATH>
  <HOST>MEDIENGE-BQKO9F</HOST> 
- <LOCALNAMESPACEPATH>
  <NAMESPACE NAME="root" /> 
  <NAMESPACE NAME="cimv2" /> 
  </LOCALNAMESPACEPATH>
  </NAMESPACEPATH>
- <INSTANCENAME CLASSNAME="Win32_CodecFile">
- <KEYBINDING NAME="Name">
  <KEYVALUE VALUETYPE="string">C:\WINDOWS\System32\AVIWRAP.DLL</KEYVALUE> 
  </KEYBINDING>
  </INSTANCENAME>
  </INSTANCEPATH>
- <INSTANCE CLASSNAME="Win32_CodecFile">
- <PROPERTY NAME="CreationDate" TYPE="datetime">
  <VALUE>20060227130204.375000+060</VALUE> 
  </PROPERTY>
- <PROPERTY NAME="Description" TYPE="string">
  <VALUE>Video Server Wrapper Codec</VALUE> 
  </PROPERTY>
- <PROPERTY NAME="FileSize" TYPE="uint64">
  <VALUE>37888</VALUE> 
  </PROPERTY>
- <PROPERTY NAME="Group" TYPE="string">
  <VALUE>Audio</VALUE> 
  </PROPERTY>
  <PROPERTY NAME="Manufacturer" PROPAGATED="true" TYPE="string" /> 
- <PROPERTY NAME="Name" TYPE="string">
  <VALUE>C:\WINDOWS\System32\AVIWRAP.DLL</VALUE> 
  </PROPERTY>
  <PROPERTY NAME="Version" PROPAGATED="true" TYPE="string" /> 
  </INSTANCE>
  </VALUE.OBJECTWITHPATH>
- <VALUE.OBJECTWITHPATH>
- <INSTANCEPATH>
- <NAMESPACEPATH>
  <HOST>MEDIENGE-BQKO9F</HOST> 
- <LOCALNAMESPACEPATH>
  <NAMESPACE NAME="root" /> 
  <NAMESPACE NAME="cimv2" /> 
  </LOCALNAMESPACEPATH>
  </NAMESPACEPATH>
- <INSTANCENAME CLASSNAME="Win32_CodecFile">
- <KEYBINDING NAME="Name">
  <KEYVALUE VALUETYPE="string">C:\WINDOWS\System32\DIVXA32.ACM</KEYVALUE> 
  </KEYBINDING>
  </INSTANCENAME>
  </INSTANCEPATH>
- <INSTANCE CLASSNAME="Win32_CodecFile">
- <PROPERTY NAME="CreationDate" TYPE="datetime">
  <VALUE>20060227130158.046875+060</VALUE> 
  </PROPERTY>
- <PROPERTY NAME="Description" TYPE="string">
  <VALUE>DivX Audio Codec</VALUE> 
  </PROPERTY>
- <PROPERTY NAME="FileSize" TYPE="uint64">
  <VALUE>184832</VALUE> 
  </PROPERTY>
- <PROPERTY NAME="Group" TYPE="string">
  <VALUE>Audio</VALUE> 
  </PROPERTY>
- <PROPERTY NAME="Manufacturer" TYPE="string">
  <VALUE>Hacked With Joy !</VALUE> 
  </PROPERTY>
- <PROPERTY NAME="Name" TYPE="string">
  <VALUE>C:\WINDOWS\System32\DIVXA32.ACM</VALUE> 
  </PROPERTY>
- <PROPERTY NAME="Version" TYPE="string">
  <VALUE>4.1.00.3920</VALUE> 
  </PROPERTY>
  </INSTANCE>
  </VALUE.OBJECTWITHPATH>
- <VALUE.OBJECTWITHPATH>
- <INSTANCEPATH>
- <NAMESPACEPATH>
  <HOST>MEDIENGE-BQKO9F</HOST> 
- <LOCALNAMESPACEPATH>
  <NAMESPACE NAME="root" /> 
  <NAMESPACE NAME="cimv2" /> 
  </LOCALNAMESPACEPATH>
  </NAMESPACEPATH>
- <INSTANCENAME CLASSNAME="Win32_CodecFile">
- <KEYBINDING NAME="Name">
  <KEYVALUE VALUETYPE="string">C:\WINDOWS\System32\DIVXC32.DLL</KEYVALUE> 
  </KEYBINDING>
  </INSTANCENAME>
  </INSTANCEPATH>
- <INSTANCE CLASSNAME="Win32_CodecFile">
- <PROPERTY NAME="CreationDate" TYPE="datetime">
  <VALUE>20060227130155.515625+060</VALUE> 
  </PROPERTY>
- <PROPERTY NAME="Description" TYPE="string">
  <VALUE>DivX Low</VALUE> 
  </PROPERTY>
- <PROPERTY NAME="FileSize" TYPE="uint64">
  <VALUE>121344</VALUE> 
  </PROPERTY>
- <PROPERTY NAME="Group" TYPE="string">
  <VALUE>Video</VALUE> 
  </PROPERTY>
- <PROPERTY NAME="Manufacturer" TYPE="string">
  <VALUE>Hacked with Joy !</VALUE> 
  </PROPERTY>
- <PROPERTY NAME="Name" TYPE="string">
  <VALUE>C:\WINDOWS\System32\DIVXC32.DLL</VALUE> 
  </PROPERTY>
- <PROPERTY NAME="Version" TYPE="string">
  <VALUE>4.divx.3927</VALUE> 
...

Mergwürdieg ist dass das ganze auf diese Seite Linkt

Code:

ATTFilter

<VALUE>http://www.mp3dev.org/</VALUE>

Wenn man dann auf dieser Seite schaut fällt ein sovort das dicke SONY ins Auge

Bedeutet das nun dass das etwas böses ist? Oder ist das nur ein Codex??

MightyMarc · 24.04.2006, 19:30

Zitat:

Die werden alle erst gar nicht gefunden auch nicht versteckt angezeigt!

Hidden from Windows API

Bei meinem Streifzug durch die Weiten des Netzes ist mir eigentlich nur ein Verdacht auf Malware begegnet. So wie es scheint, gehören die Dateien zu keiner Malware.
Ein erneuter Scan mit RKR wäre empfehlenswert (diesmal keine Mausschubserei und lass die NTFS-Metadaten weg).

Den DaemonTools-Eintrag bekommst Du vermutlich mit RegDelNull weg. Zu beziehen hier:

http://www.sysinternals.com/Utilities/RegDelNull.html

Die .exe-Datei wirfst Du am besten nach C:\.
Dann Start -> Ausführen -> cmd
C:\regdelnull hklm -s
Bei Nachfrage bestätigen, dass die Einträge gelöscht werden sollen.

bugfix · 25.04.2006, 05:24

Morgen zusammen.

Also heute mal "ohne" Maus-geschupse und alles aus

Schaut auf jedem schon mal schöner aus!

Zitat:

HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg 09.04.2006 17:42 0 bytes Access is denied.
C:\$AttrDef 14.02.2006 09:32 2.50 KB Hidden from Windows API.
C:\$BadClus 14.02.2006 09:32 0 bytes Hidden from Windows API.
C:\$BadClus:$Bad 14.02.2006 09:32 43.73 GB Hidden from Windows API.
C:\$Bitmap 14.02.2006 09:32 1.37 MB Hidden from Windows API.
C:\$Boot 14.02.2006 09:32 8.00 KB Hidden from Windows API.
C:\$Extend 14.02.2006 09:32 0 bytes Hidden from Windows API.
C:\$Extend\$ObjId 14.02.2006 09:32 0 bytes Hidden from Windows API.
C:\$Extend\$Quota 14.02.2006 09:32 0 bytes Hidden from Windows API.
C:\$Extend\$Reparse 14.02.2006 09:32 0 bytes Hidden from Windows API.
C:\$LogFile 14.02.2006 09:32 64.00 MB Hidden from Windows API.
C:\$MFT 14.02.2006 09:32 48.03 MB Hidden from Windows API.
C:\$MFTMirr 14.02.2006 09:32 4.00 KB Hidden from Windows API.
C:\$Secure 14.02.2006 09:32 0 bytes Hidden from Windows API.
C:\$UpCase 14.02.2006 09:32 128.00 KB Hidden from Windows API.
C:\$Volume 14.02.2006 09:32 0 bytes Hidden from Windows API.
D:\$AttrDef 01.07.2005 07:29 2.50 KB Hidden from Windows API.
D:\$BadClus 01.07.2005 07:29 0 bytes Hidden from Windows API.
D:\$BadClus:$Bad 01.07.2005 07:29 15.01 GB Hidden from Windows API.
D:\$Bitmap 01.07.2005 07:29 480.22 KB Hidden from Windows API.
D:\$Boot 01.07.2005 07:29 8.00 KB Hidden from Windows API.
D:\$Extend 01.07.2005 07:29 0 bytes Hidden from Windows API.
D:\$Extend\$ObjId 01.07.2005 07:29 0 bytes Hidden from Windows API.
D:\$Extend\$Quota 01.07.2005 07:29 0 bytes Hidden from Windows API.
D:\$Extend\$Reparse 01.07.2005 07:29 0 bytes Hidden from Windows API.
D:\$LogFile 01.07.2005 07:29 64.00 MB Hidden from Windows API.
D:\$MFT 01.07.2005 07:29 64.92 MB Hidden from Windows API.
D:\$MFTMirr 01.07.2005 07:29 4.00 KB Hidden from Windows API.
D:\$Secure 01.07.2005 07:29 0 bytes Hidden from Windows API.
D:\$UpCase 01.07.2005 07:29 128.00 KB Hidden from Windows API.
D:\$Volume 01.07.2005 07:29 0 bytes Hidden from Windows API.
E:\$AttrDef 01.07.2005 07:29 2.50 KB Hidden from Windows API.
E:\$BadClus 01.07.2005 07:29 0 bytes Hidden from Windows API.
E:\$BadClus:$Bad 01.07.2005 07:29 45.72 GB Hidden from Windows API.
E:\$Bitmap 01.07.2005 07:29 1.43 MB Hidden from Windows API.
E:\$Boot 01.07.2005 07:29 8.00 KB Hidden from Windows API.
E:\$Extend 01.07.2005 07:29 0 bytes Hidden from Windows API.
E:\$Extend\$ObjId 01.07.2005 07:29 0 bytes Hidden from Windows API.
E:\$Extend\$Quota 01.07.2005 07:29 0 bytes Hidden from Windows API.
E:\$Extend\$Reparse 01.07.2005 07:29 0 bytes Hidden from Windows API.
E:\$LogFile 01.07.2005 07:29 64.00 MB Hidden from Windows API.
E:\$MFT 01.07.2005 07:29 14.51 MB Hidden from Windows API.
E:\$MFTMirr 01.07.2005 07:29 4.00 KB Hidden from Windows API.
E:\$Secure 01.07.2005 07:29 0 bytes Hidden from Windows API.
E:\$UpCase 01.07.2005 07:29 128.00 KB Hidden from Windows API.
E:\$Volume 01.07.2005 07:29 0 bytes Hidden from Windows API.
F:\$AttrDef 22.12.2005 12:30 2.50 KB Hidden from Windows API.
F:\$BadClus 22.12.2005 12:30 0 bytes Hidden from Windows API.
F:\$BadClus:$Bad 22.12.2005 12:30 29.29 GB Hidden from Windows API.
F:\$Bitmap 22.12.2005 12:30 937.39 KB Hidden from Windows API.
F:\$Boot 22.12.2005 12:30 8.00 KB Hidden from Windows API.
F:\$Extend 22.12.2005 12:30 0 bytes Hidden from Windows API.
F:\$Extend\$ObjId 22.12.2005 12:30 0 bytes Hidden from Windows API.
F:\$Extend\$Quota 22.12.2005 12:30 0 bytes Hidden from Windows API.
F:\$Extend\$Reparse 22.12.2005 12:30 0 bytes Hidden from Windows API.
F:\$LogFile 22.12.2005 12:30 64.00 MB Hidden from Windows API.
F:\$MFT 22.12.2005 12:30 22.39 MB Hidden from Windows API.
F:\$MFTMirr 22.12.2005 12:30 4.00 KB Hidden from Windows API.
F:\$Secure 22.12.2005 12:30 0 bytes Hidden from Windows API.
F:\$UpCase 22.12.2005 12:30 128.00 KB Hidden from Windows API.
F:\$Volume 22.12.2005 12:30 0 bytes Hidden from Windows API.
G:\$AttrDef 31.12.2005 12:36 2.50 KB Hidden from Windows API.
G:\$BadClus 31.12.2005 12:36 0 bytes Hidden from Windows API.
G:\$BadClus:$Bad 31.12.2005 12:36 50.01 GB Hidden from Windows API.
G:\$Bitmap 31.12.2005 12:36 1.56 MB Hidden from Windows API.
G:\$Boot 31.12.2005 12:36 8.00 KB Hidden from Windows API.
G:\$Extend 31.12.2005 12:36 0 bytes Hidden from Windows API.
G:\$Extend\$ObjId 31.12.2005 12:36 0 bytes Hidden from Windows API.
G:\$Extend\$Quota 31.12.2005 12:36 0 bytes Hidden from Windows API.
G:\$Extend\$Reparse 31.12.2005 12:36 0 bytes Hidden from Windows API.
G:\$LogFile 31.12.2005 12:36 64.00 MB Hidden from Windows API.
G:\$MFT 31.12.2005 12:36 30.67 MB Hidden from Windows API.
G:\$MFTMirr 31.12.2005 12:36 4.00 KB Hidden from Windows API.
G:\$Secure 31.12.2005 12:36 0 bytes Hidden from Windows API.
G:\$UpCase 31.12.2005 12:36 128.00 KB Hidden from Windows API.
G:\$Volume 31.12.2005 12:36 0 bytes Hidden from Windows API.
H:\$AttrDef 20.09.2004 14:23 2.50 KB Hidden from Windows API.
H:\$BadClus 20.09.2004 14:23 0 bytes Hidden from Windows API.
H:\$BadClus:$Bad 20.09.2004 14:23 50.01 GB Hidden from Windows API.
H:\$Bitmap 20.09.2004 14:23 1.56 MB Hidden from Windows API.
H:\$Boot 20.09.2004 14:23 8.00 KB Hidden from Windows API.
H:\$Extend 20.09.2004 14:23 0 bytes Hidden from Windows API.
H:\$Extend\$ObjId 20.09.2004 14:23 0 bytes Hidden from Windows API.
H:\$Extend\$Quota 20.09.2004 14:23 0 bytes Hidden from Windows API.
H:\$Extend\$Reparse 20.09.2004 14:23 0 bytes Hidden from Windows API.
H:\$LogFile 20.09.2004 14:23 64.00 MB Hidden from Windows API.
H:\$MFT 20.09.2004 14:23 50.89 MB Hidden from Windows API.
H:\$MFTMirr 20.09.2004 14:23 4.00 KB Hidden from Windows API.
H:\$Secure 20.09.2004 14:23 0 bytes Hidden from Windows API.
H:\$UpCase 20.09.2004 14:23 128.00 KB Hidden from Windows API.
H:\$Volume 20.09.2004 14:23 0 bytes Hidden from Windows API.
I:\$AttrDef 09.11.2002 10:50 2.50 KB Hidden from Windows API.
I:\$BadClus 09.11.2002 10:50 0 bytes Hidden from Windows API.
I:\$BadClus:$Bad 09.11.2002 10:50 21.66 GB Hidden from Windows API.
I:\$Bitmap 09.11.2002 10:50 693.23 KB Hidden from Windows API.
I:\$Boot 09.11.2002 10:50 8.00 KB Hidden from Windows API.
I:\$Extend 09.11.2002 10:50 0 bytes Hidden from Windows API.
I:\$Extend\$ObjId 09.11.2002 10:50 0 bytes Hidden from Windows API.
I:\$Extend\$Quota 09.11.2002 10:50 0 bytes Hidden from Windows API.
I:\$Extend\$Reparse 09.11.2002 10:50 0 bytes Hidden from Windows API.
I:\$LogFile 09.11.2002 10:50 64.00 MB Hidden from Windows API.
I:\$MFT 09.11.2002 10:50 81.40 MB Hidden from Windows API.
I:\$MFTMirr 09.11.2002 10:50 4.00 KB Hidden from Windows API.
I:\$Secure 09.11.2002 10:50 0 bytes Hidden from Windows API.
I:\$UpCase 09.11.2002 10:50 128.00 KB Hidden from Windows API.
I:\$Volume 09.11.2002 10:50 0 bytes Hidden from Windows API.
J:\$AttrDef 26.12.2003 08:07 2.50 KB Hidden from Windows API.
J:\$BadClus 26.12.2003 08:07 0 bytes Hidden from Windows API.
J:\$BadClus:$Bad 26.12.2003 08:07 13.90 GB Hidden from Windows API.
J:\$Bitmap 26.12.2003 08:07 444.67 KB Hidden from Windows API.
J:\$Boot 26.12.2003 08:07 8.00 KB Hidden from Windows API.
J:\$Extend 26.12.2003 08:07 0 bytes Hidden from Windows API.
J:\$Extend\$ObjId 26.12.2003 08:07 0 bytes Hidden from Windows API.
J:\$Extend\$Quota 26.12.2003 08:07 0 bytes Hidden from Windows API.
J:\$Extend\$Reparse 26.12.2003 08:07 0 bytes Hidden from Windows API.
J:\$LogFile 26.12.2003 08:07 22.56 MB Hidden from Windows API.
J:\$MFT 26.12.2003 08:07 30.71 MB Hidden from Windows API.
J:\$MFTMirr 26.12.2003 08:07 4.00 KB Hidden from Windows API.
J:\$Secure 26.12.2003 08:07 0 bytes Hidden from Windows API.
J:\$UpCase 26.12.2003 08:07 128.00 KB Hidden from Windows API.
J:\$Volume 26.12.2003 08:07 0 bytes Hidden from Windows API.
K:\$AttrDef 21.09.2004 11:08 2.50 KB Hidden from Windows API.
K:\$BadClus 21.09.2004 11:08 0 bytes Hidden from Windows API.
K:\$BadClus:$Bad 21.09.2004 11:08 21.69 GB Hidden from Windows API.
K:\$Bitmap 21.09.2004 11:08 693.98 KB Hidden from Windows API.
K:\$Boot 21.09.2004 11:08 8.00 KB Hidden from Windows API.
K:\$Extend 21.09.2004 11:08 0 bytes Hidden from Windows API.
K:\$Extend\$ObjId 21.09.2004 11:08 0 bytes Hidden from Windows API.
K:\$Extend\$Quota 21.09.2004 11:08 0 bytes Hidden from Windows API.
K:\$Extend\$Reparse 21.09.2004 11:08 0 bytes Hidden from Windows API.
K:\$LogFile 21.09.2004 11:08 64.00 MB Hidden from Windows API.
K:\$MFT 21.09.2004 11:08 89.28 MB Hidden from Windows API.
K:\$MFTMirr 21.09.2004 11:08 4.00 KB Hidden from Windows API.
K:\$Secure 21.09.2004 11:08 0 bytes Hidden from Windows API.
K:\$UpCase 21.09.2004 11:08 128.00 KB Hidden from Windows API.
K:\$Volume 21.09.2004 11:08 0 bytes Hidden from Windows API.

Und dann ohne die $ Einträge.
Bleibt also nur noch ...

Zitat:

HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg 09.04.2006 17:42 0 bytes Access is denied.

Was dann der "Daemon tools" Eintrag sein dürfte oder?

MightyMarc · 25.04.2006, 08:26

Zitat:

Zitat von bugfix

Morgen zusammen.

Moin

Zitat:

Also heute mal "ohne" Maus-geschupse und alles aus

Schaut auf jedem schon mal schöner aus!

Das mit den NTFS-Metadaten werden wir eines Tages auch noch schaffen ...

Zitat:

Was dann der "Daemon tools" Eintrag sein dürfte oder?

Jap. Versuch das mal mit RegDelNull wobei ich mir inzwischen nicht mehr so ganz sicher bin, ob das helfen könnte (der Eintrag an sich stört allerdings eh recht wenig...eher Kosmetik).

bugfix · 25.04.2006, 16:05

Zitat:

Das mit den NTFS-Metadaten werden wir eines Tages auch noch schaffen ...

Habe ich doch abgeklickt ... Na ja ... hmm ... och mit der Zeit wird das schon noch kommen.

Zitat:

Jap. Versuch das mal mit RegDelNull wobei ich mir inzwischen nicht mehr so ganz sicher bin, ob das helfen könnte (der Eintrag an sich stört allerdings eh recht wenig...eher Kosmetik).

Habe ich versucht ist aber immer noch drinnen -.- Doch wie du schon geschriben hat "stört nicht" also lasse ich den jetzt drinnen. Zumal ich die letzten Tage eh ein paar Probs mit meiner GraKa habe / hatte (wird / wurde zu heiß). Habe jetzt ein paar Reg Einträge retur gespielt und nun mal schauen. Hoffe da waren keine MüllRegs bei ...

Aber ansonsten kann ich doch nun aber davon ausgehen das mein Rechner sauber ist!? Oder was meint Ihr? Natürlich auf den Bezug von RootKits. Das andere machen wir dann ein andern mal und in einem andern Tradt

Dickes Danke an Alle!!!!

MightyMarc · 25.04.2006, 16:40

Zitat:

Zitat von bugfix

Habe ich doch abgeklickt

Vor dem Scan den Haken entfernt? Nun ja, alles mit vorangestelltem "$" ignorieren.

Zitat:

Aber ansonsten kann ich doch nun aber davon ausgehen das mein Rechner sauber ist!?

Soweit man das aus der Distanz beurteilen kann, scheint er sauber zu sein (bezüglich Rootkits).

24.04.2006, 10:30	#3
Shadow /// Mr. Schatten	Scann mit RootkitRevealer - Was nun? @ Bugfix: Die englisch-sprachige Anleitung ist dir bekannt? Das Programm hat eigentlich keinen "marktreifen Status, dass damit jeder seinen PC von Rootkits befreien kann". __________________ __________________

Scann mit RootkitRevealer - Was nun?

Plagegeister aller Art und deren Bekämpfung: Scann mit RootkitRevealer - Was nun?