Rootkit oder Fehlalarm?

Dieses Thema Rootkit oder Fehlalarm? im Forum "Viren, Trojaner, Spyware etc." wurde erstellt von Dakota, 16. Nov. 2006.

Thema: Rootkit oder Fehlalarm? Guten Morgen, bei der Beseitigung eines anderen Problems bin ich durch den probeweisen Einsatz von RootkitRevealer...

  1. Guten Morgen,

    bei der Beseitigung eines anderen Problems bin ich durch den probeweisen Einsatz von RootkitRevealer und F-SECURE Blacklight
    auf dieses potentielle Rootkit aufmerksam geworden, dies ist das Logfile von RootkitRevealer:


    HKLM\SECURITY\Policy\Secrets\SAC* 18.05.2005 09:03 0 bytes Key name contains embedded nulls (*)
    HKLM\SECURITY\Policy\Secrets\SAI* 18.05.2005 09:03 0 bytes Key name contains embedded nulls (*)
    HKLM\SOFTWARE\Microsoft\RootCertExtraction 15.11.2006 19:21 8 bytes Data mismatch between Windows API and raw hive data.
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\tncojw 14.11.2006 16:58 76 bytes Hidden from Windows API.
    C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\jgdri1rx.default\parent.lock 15.11.2006 19:23 0 bytes Hidden from Windows API.
    C:\WINDOWS\Prefetch\TNCOJW.EXE-0437253F.pf 24.10.2006 15:40 31.48 KB Hidden from Windows API.
    C:\WINDOWS\system32\tncojw.dat 15.11.2006 19:22 6.31 KB Hidden from Windows API.
    C:\WINDOWS\system32\tncojw.exe 10.11.2006 17:34 231.00 KB Hidden from Windows API.
    C:\WINDOWS\system32\tncojw_nav.dat 09.11.2006 10:53 233.89 KB Hidden from Windows API.
    C:\WINDOWS\system32\tncojw_navps.dat 15.11.2006 19:22 402 bytes Hidden from Windows API.


    Über diese tncojw.exe konnte ich beim Googeln überhaupt nichts rausfinden, vielleicht könnt ihr mir sagen, ob die Dateien von Blacklight umbenannt, bzw anschliessend gelöscht werden können.

    Den PC hab ich leihweise von meinem Arbeitgeber, der wurde längere Zeit von nem Kollegen benutzt, ich kann also über eine mögliche Infektion, bzw. deren Herkunft nicht allzu viel sagen. Bei o.g. Problem ging es um die Beseitigung von WinFixer, Errorsafe und Konsorten, vielleicht hat es was damit zu tun?


    Gruss
    Dakota
     
  2. hp
    hp
  3. Hallo HP,

    hab mich schon gestern entschlossen, alles zu löschen.
    Den sophos hab ich auch zusätzlich schon bemüht, hat ausser ein paar unbedeutenden verwaisten Reg-Schlüsseln (deren Herkunft aus unserem Firmen-Netzwerk stammt und mir bekannt sind) nichts mehr gefunden.

    Merkwürdig nur, dass nichts über diese tncojw.exe herauszufinden ist.

    Gruss
    Dakota
     
  4. So wie es aussieht, hat Blacklight die Sache erledigt. Ich habe diese ominöse .exe-Datei und was dazu gehört umbenennen lassen.

    Bisher scheint die Kiste sauber zu sein, wo auch immer der Schädling her kam.

    Schönen Tag noch,

    Gruss
    Dakota
     
  5. hp
    hp
    das haben schädlinge meistens so an sich, daß sie sich umbenennen damit man weniger über sie herausfinden kann. auch wenn du der meinung bist, daß jetzt alles sauber ist, würde ich eventuell alle passwörter die auf der kiste gesetzt wurden neu vergeben, oder wenn kritische daten drauf waren diese daten sichern und die kiste neu aufsetzten ...

    greetz

    hugo
     
Die Seite wird geladen...

Rootkit oder Fehlalarm? - Ähnliche Themen

Forum Datum
Rootkit ja oder nein? Windows XP Forum 29. Dez. 2008
Re: Rootkit oder Trojaner - Befall? Windows XP Forum 7. Nov. 2008
Rootkit oder Trojaner - Befall? Viren, Trojaner, Spyware etc. 5. Nov. 2008
Rootkit - Gefährlich oder nicht Windows XP Forum 14. Sep. 2007
rootkit - wie sind sie sicher zu entfernen? Viren, Trojaner, Spyware etc. 2. Jan. 2011