Interpretation von RootkitRevealer Ergebnis

26/12/2007 - 08:53 von Heiko Rompel | Report spam
Hallo,

kann mir jemand von Euch helfen die Ergebnis eines
Scanlaufes von "Rootkit Revealer" zu interprtieren?

Hier mal das Ergebnis:

HKLM\SECURITY\Policy\Secrets\SAC* 12.07.2007 07:22 0 bytes Key name contains
embedded nulls (*)
HKLM\SECURITY\Policy\Secrets\SAI* 12.07.2007 07:22 0 bytes Key name contains
embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{3E42295C-1558-42d3-85D7-3F0C8695F26D} 25.12.2007
20:01 0 bytes Security mismatch.
HKLM\SOFTWARE\Classes\CLSID\{3E42295C-1558-42d3-85D7-3F0C8695F26D}\Control
25.12.2007 20:01 0 bytes Security mismatch.
HKLM\SOFTWARE\Classes\CLSID\{3E42295C-1558-42d3-85D7-3F0C8695F26D}\InprocServer32
25.12.2007 20:01 0 bytes Security mismatch.
HKLM\SOFTWARE\Classes\CLSID\{3E42295C-1558-42d3-85D7-3F0C8695F26D}\Insertable
25.12.2007 20:01 0 bytes Security mismatch.
HKLM\SOFTWARE\Classes\CLSID\{3E42295C-1558-42d3-85D7-3F0C8695F26D}\MiscStatus
25.12.2007 20:01 0 bytes Security mismatch.
HKLM\SOFTWARE\Classes\CLSID\{3E42295C-1558-42d3-85D7-3F0C8695F26D}\MiscStatus\1
25.12.2007 20:01 0 bytes Security mismatch.
HKLM\SOFTWARE\Classes\CLSID\{3E42295C-1558-42d3-85D7-3F0C8695F26D}\ProgID
25.12.2007 20:01 0 bytes Security mismatch.
HKLM\SOFTWARE\Classes\CLSID\{3E42295C-1558-42d3-85D7-3F0C8695F26D}\Programmable
25.12.2007 20:01 0 bytes Security mismatch.
HKLM\SOFTWARE\Classes\CLSID\{3E42295C-1558-42d3-85D7-3F0C8695F26D}\ToolboxBitmap32
25.12.2007 20:01 0 bytes Security mismatch.
HKLM\SOFTWARE\Classes\CLSID\{3E42295C-1558-42d3-85D7-3F0C8695F26D}\TypeLib
25.12.2007 20:01 0 bytes Security mismatch.
HKLM\SOFTWARE\Classes\CLSID\{3E42295C-1558-42d3-85D7-3F0C8695F26D}\Version
25.12.2007 20:01 0 bytes Security mismatch.
HKLM\SOFTWARE\Classes\CLSID\{3E42295C-1558-42d3-85D7-3F0C8695F26D}\VersionIndependentProgID
25.12.2007 20:01 0 bytes Security mismatch.
HKLM\SOFTWARE\Classes\CLSID\{AA9F1045-4A07-433f-9B79-F8303066259D} 25.12.2007
20:01 0 bytes Security mismatch.
HKLM\SOFTWARE\Classes\CLSID\{AA9F1045-4A07-433f-9B79-F8303066259D}\InprocServer32
25.12.2007 20:01 0 bytes Security mismatch.
HKLM\SOFTWARE\Classes\CLSID\{AA9F1045-4A07-433f-9B79-F8303066259D}\ProgID
25.12.2007 20:01 0 bytes Security mismatch.
HKLM\SOFTWARE\Classes\CLSID\{AA9F1045-4A07-433f-9B79-F8303066259D}\Programmable
25.12.2007 20:01 0 bytes Security mismatch.
HKLM\SOFTWARE\Classes\CLSID\{AA9F1045-4A07-433f-9B79-F8303066259D}\TypeLib
25.12.2007 20:01 0 bytes Security mismatch.
HKLM\SOFTWARE\Classes\CLSID\{AA9F1045-4A07-433f-9B79-F8303066259D}\VersionIndependentProgID
25.12.2007 20:01 0 bytes Security mismatch.
C:\Dokumente und
Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\e01rkbb6.default\parent.lock
25.12.2007 20:06 0 bytes Visible in directory index, but not Windows API or
MFT.
C:\Dokumente und
Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\e01rkbb6.default\sessionstore.js
25.12.2007 20:06 474 bytes Visible in directory index, but not Windows API or
MFT.
C:\System Volume
Information\_restore{14C2B4AE-CE1C-4F0F-B455-4A4C3408DFD7}\RP159\A0035195.mfl
25.12.2007 19:50 1014.64 KB Visible in directory index, but not Windows API or
MFT.
C:\WINDOWS\assembly\GAC_32\System.EnterpriseServices\2.0.0.0__b03f5f7f11d50a3a\System.EnterpriseServices.dll
07.12.2007 09:57 252.00 KB Visible in Windows API, but not in MFT or directory
index.
C:\WINDOWS\assembly\GAC_32\System.EnterpriseServices\2.0.0.0__b03f5f7f11d50a3a\System.EnterpriseServices.Wrapper.dll
07.12.2007 09:57 111.00 KB Visible in Windows API, but not in MFT or directory
index.
C:\WINDOWS\assembly\GAC_MSIL\IEExecRemote\2.0.0.0__b03f5f7f11d50a3a\IEExecRemote.dll
07.12.2007 09:57 8.00 KB Visible in Windows API, but not in MFT or directory
index.

==
Ist das alles normal oder muss ich handeln?

MfG
Heiko
 

Lesen sie die antworten

#1 Juergen P. Meier
26/12/2007 - 11:07 | Warnen spam
Heiko Rompel :
kann mir jemand von Euch helfen die Ergebnis eines
Scanlaufes von "Rootkit Revealer" zu interprtieren?



Tja. Gelbe Seiten.

Hier mal das Ergebnis:
==>
Ist das alles normal oder muss ich handeln?



Nein, das ist nicht normal.

Suche in der Registry nach Referenzen zu
{3E42295C-1558-42d3-85D7-3F0C8695F26D}.

Untersuche auch, ob die Executables bewusst und mit voller Absicht von
dir installiert wurden.

Im Zweifel den Linkblock beachten (http://www.linkblock.de/)

Juergen
Juergen P. Meier - "This World is about to be Destroyed!"
end
If you think technology can solve your problems you don't understand
technology and you don't understand your problems. (Bruce Schneier)

Ähnliche fragen