RootkitRevealer bringt 32817 Einträge!

Dieses Thema im Forum "Sicherheit" wurde erstellt von firool, 19. November 2005.

Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. firool

    firool Byte

    Registriert seit:
    10. November 2003
    Beiträge:
    32
    Hallo,

    hier hab ich etwas ganz komisches:
    blackLight läuft ohne Ergebnisse durch, RootkitRevealer jedoch bringt insgesammt fast 33.000 Logfileeinträge der Art:

    M:\casio\Image Library\20041024\HTML\NEXT.HTM 25/10/2004 13:19 4.03 KB Hidden from Windows API.
    M:\casio\Image Library\20041024\INDEX.HTM 25/10/2004 13:19 710 bytes Hidden from Windows API.
    M:\casio\Image Library\20041024\PREVIEW 17/05/2005 22:08 0 bytes Hidden from Windows API.
    M:\casio\Image Library\20041024\PREVIEW\ . 17/05/2005 21:08 0 bytes Visible in Windows API, but not in MFT or directory index.
    M:\casio\Image Library\20041024\PREVIEW\ .. 17/05/2005 21:08 0 bytes Visible in Windows API, but not in MFT or directory index.
    M:\casio\Image Library\20041024\PREVIEW\ 7 292 CIMG4614a.JPG 25/10/2004 12:19 7 bytes Visible in Windows API, but not in MFT or directory index.
    M:\casio\Image Library\20041024\PREVIEW\ 7 638 CIMG4585a.JPG 25/10/2004 12:16 7 bytes Visible in Windows API, but not in MFT or directory index.
    M:\casio\Image Library\20041024\PREVIEW\ 7 780 CIMG4583a.JPG 25/10/2004 12:16 7 bytes Visible in Windows API, but not in MFT or directory index.

    Was kann das denn sein?
    Besonders verwundern mich die Einträge mit ..
    "\PREVIEW\ .. "

    Any hints?
     
  2. irish-tiger

    irish-tiger Megabyte

    Registriert seit:
    27. August 2003
    Beiträge:
    1.170
    HI,

    die Einträge gehören vermutlich zum Programm Photo Loader -> Casio Digitalkameras. Sorgen solltest Du Dir nur machen, wenn Du nie eine Casio am PC angeschlossen hattest ;). "Preview" deutet auf Vorschauen von Bildern, die schon längst wieder gelöscht sind; anscheinend werden die immer in die Registry geschrieben und nie gelöscht - Du könntest die Registry mal mit einem Programm wie CCleaner (Freeware) säubern http://www.ccleaner.com/ccdownload.asp .

    Gruß,

    irish-tiger.
     
  3. Jasager

    Jasager Viertel Gigabyte

    Registriert seit:
    6. Dezember 2004
    Beiträge:
    2.642
    Hallo,
    sehe ich ähnlich, ich denke das die Einträge dadurch zu Stande kommen, das die Preview wahrscheinlich nach einem vorgegebenen Zeitraum gelöscht wird, dieses wird während des Scans mit Rootkitrevealer geschehen sein, und da RR nach Unterschieden sucht, wird es hier angeschlagen haben.
    Ausserdem sollte ein Rootkit auf der Systempartition zu finden sein, üblicherweise im Windowsordner, und eine *.sys Datei sein, also würde ich mir an deiner Stelle keine Sorgen machen.


    Grüße Jasager
     
  4. irish-tiger

    irish-tiger Megabyte

    Registriert seit:
    27. August 2003
    Beiträge:
    1.170
    Hier http://www.heise.de/security/artikel/58158 mal ein Artikel über den Rootkitrevealer; wenn man ein paar Foreneinträge (-> Google) sichtet, stellt man fest, dass dieses Tool desöfteren viel anzeigt - aber die Einträge fast nie von Schädlingen stammen.

    Blacklight scheint m.E. da schon gründlicher zu arbeiten.
     
  5. firool

    firool Byte

    Registriert seit:
    10. November 2003
    Beiträge:
    32
    PhotoLoader ist installiert, ich wundere mich nur, dass er das anmeckert. Auf meinem Computer generiert er hierfür keinen Eintrag - ist der Rechner meiner Freundin.

    Andere Logfileeinträge:

    C:\221 AUTOEXEC.BAT 01/01/2005 17:33 221 bytes Visible in Windows API, but not in MFT or directory index.
    C:\227 boot.ini 05/01/2005 14:06 227 bytes Visible in Windows API, but not in MFT or directory index.
    C:\304 UNWISE.EXE 24/05/2001 11:59 162 bytes Visible in Windows API, but not in MFT or directory index.
    C:\349 WINA20.386 30/09/1993 05:20 9 bytes Visible in Windows API, but not in MFT or directory index.
    C:\351 COMMAND.COM 30/09/1993 05:20 57 bytes Visible in Windows API, but not in MFT or directory index.
    C:\512 bootsect.dos 01/01/2005 17:41 512 bytes Visible in Windows API, but not in MFT or directory index.
    C:\564 NTDETECT.COM 03/08/2004 19:38 47 bytes Visible in Windows API, but not in MFT or directory index.
    C:\712 ntldr 03/08/2004 19:59 251 bytes Visible in Windows API, but not in MFT or directory index.
    C:\847 IO.SYS 30/09/1993 05:20 40 bytes Visible in Windows API, but not in MFT or directory index.
    C:\952 Bootfont.bin 24/08/2001 11:00 4 bytes Visible in Windows API, but not in MFT or directory index.
    C:\AUTOEXEC.BAT 01/01/2005 17:33 221 bytes Hidden from Windows API.
    C:\boot.ini 05/01/2005 14:06 227 bytes Hidden from Windows API.

    Man beachte die 1. und letzen 2 Zeilen???

    C:\Documents and Settings\All Users\ Application Data 01/01/2005 17:42 0 bytes Visible in Windows API, but not in MFT or directory index.
    C:\Documents and Settings\All Users\ Bureau 01/01/2005 17:42 0 bytes Visible in Windows API, but not in MFT or directory index.
    C:\Documents and Settings\All Users\ Documents 01/01/2005 17:42 0 bytes Visible in Windows API, but not in MFT or directory index.
    C:\Documents and Settings\All Users\ DRM 01/01/2005 17:53 0 bytes Visible in Windows API, but not in MFT or directory index.
    C:\Documents and Settings\All Users\ Favoris 01/01/2005 17:42 0 bytes Visible in Windows API, but not in MFT or directory index.
    C:\Documents and Settings\All Users\ Menu Démarrer 01/01/2005 17:42 0 bytes Visible in Windows API, but not in MFT or directory index.

    Alle Verzeichnisse aus Dokumente und Einstellungen...

    Dann noch alle Dateien aus dem WindowsVerzeichnis und diese doppelt mit jeweils einer Zahl voran gestellt. Wie das 1. Beispiel oben...usw.

    Was kann das denn sein?
     
  6. irish-tiger

    irish-tiger Megabyte

    Registriert seit:
    27. August 2003
    Beiträge:
    1.170
    Nichts, dass Dich beunruhigen sollte - nur Meldungen, die nichts mit Rootkits oder Schädlingen zu tun haben. Verlass Dich lieber auf Blacklight, Spybot/AdAware und HijackThis - dann solltest Du sicher sein.
     
  7. firool

    firool Byte

    Registriert seit:
    10. November 2003
    Beiträge:
    32
    Ok, wunderbar nicht beunruhigen.

    Dennoch hätte ich gerne gewusst, was diese Einträge bedeuten. Bei meinem Rechner läuft Rootkitrevealer doch auch ohne einen einzigen Fileeintrag durch :confused:

    Macht aber nix, wenn diese Frage offen bleibt.

    Danke mach ich...
     
Status des Themas:
Es sind keine weiteren Antworten möglich.

Diese Seite empfehlen