- #1
D
Dakota
Bekanntes Mitglied
Themenersteller
- Dabei seit
- 31.05.2004
- Beiträge
- 486
- Reaktionspunkte
- 0
Guten Morgen,
bei der Beseitigung eines anderen Problems bin ich durch den probeweisen Einsatz von RootkitRevealer und F-SECURE Blacklight
auf dieses potentielle Rootkit aufmerksam geworden, dies ist das Logfile von RootkitRevealer:
HKLM\SECURITY\Policy\Secrets\SAC* 18.05.2005 09:03 0 bytes Key name contains embedded nulls (*)
HKLM\SECURITY\Policy\Secrets\SAI* 18.05.2005 09:03 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Microsoft\RootCertExtraction 15.11.2006 19:21 8 bytes Data mismatch between Windows API and raw hive data.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\tncojw 14.11.2006 16:58 76 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\jgdri1rx.default\parent.lock 15.11.2006 19:23 0 bytes Hidden from Windows API.
C:\WINDOWS\Prefetch\TNCOJW.EXE-0437253F.pf 24.10.2006 15:40 31.48 KB Hidden from Windows API.
C:\WINDOWS\system32\tncojw.dat 15.11.2006 19:22 6.31 KB Hidden from Windows API.
C:\WINDOWS\system32\tncojw.exe 10.11.2006 17:34 231.00 KB Hidden from Windows API.
C:\WINDOWS\system32\tncojw_nav.dat 09.11.2006 10:53 233.89 KB Hidden from Windows API.
C:\WINDOWS\system32\tncojw_navps.dat 15.11.2006 19:22 402 bytes Hidden from Windows API.
Über diese tncojw.exe konnte ich beim Googeln überhaupt nichts rausfinden, vielleicht könnt ihr mir sagen, ob die Dateien von Blacklight umbenannt, bzw anschliessend gelöscht werden können.
Den PC hab ich leihweise von meinem Arbeitgeber, der wurde längere Zeit von nem Kollegen benutzt, ich kann also über eine mögliche Infektion, bzw. deren Herkunft nicht allzu viel sagen. Bei o.g. Problem ging es um die Beseitigung von WinFixer, Errorsafe und Konsorten, vielleicht hat es was damit zu tun?
Gruss
Dakota
bei der Beseitigung eines anderen Problems bin ich durch den probeweisen Einsatz von RootkitRevealer und F-SECURE Blacklight
auf dieses potentielle Rootkit aufmerksam geworden, dies ist das Logfile von RootkitRevealer:
HKLM\SECURITY\Policy\Secrets\SAC* 18.05.2005 09:03 0 bytes Key name contains embedded nulls (*)
HKLM\SECURITY\Policy\Secrets\SAI* 18.05.2005 09:03 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Microsoft\RootCertExtraction 15.11.2006 19:21 8 bytes Data mismatch between Windows API and raw hive data.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\tncojw 14.11.2006 16:58 76 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\jgdri1rx.default\parent.lock 15.11.2006 19:23 0 bytes Hidden from Windows API.
C:\WINDOWS\Prefetch\TNCOJW.EXE-0437253F.pf 24.10.2006 15:40 31.48 KB Hidden from Windows API.
C:\WINDOWS\system32\tncojw.dat 15.11.2006 19:22 6.31 KB Hidden from Windows API.
C:\WINDOWS\system32\tncojw.exe 10.11.2006 17:34 231.00 KB Hidden from Windows API.
C:\WINDOWS\system32\tncojw_nav.dat 09.11.2006 10:53 233.89 KB Hidden from Windows API.
C:\WINDOWS\system32\tncojw_navps.dat 15.11.2006 19:22 402 bytes Hidden from Windows API.
Über diese tncojw.exe konnte ich beim Googeln überhaupt nichts rausfinden, vielleicht könnt ihr mir sagen, ob die Dateien von Blacklight umbenannt, bzw anschliessend gelöscht werden können.
Den PC hab ich leihweise von meinem Arbeitgeber, der wurde längere Zeit von nem Kollegen benutzt, ich kann also über eine mögliche Infektion, bzw. deren Herkunft nicht allzu viel sagen. Bei o.g. Problem ging es um die Beseitigung von WinFixer, Errorsafe und Konsorten, vielleicht hat es was damit zu tun?
Gruss
Dakota