Rokop Security

Willkommen, Gast ( Anmelden | Registrierung )

 
 Reply to this topicStart new topic
> Rootkit im System ?, Log von RKDetector0.62
Gast_MoralApostel_*
Beitrag 23.12.2004, 17:01
Beitrag #1






Gäste
Haller erstmal, ist mein erstes Posting hier
aber ich denke ich bin hier richtig und hoffentlich wird mir geholfen.

Hab das Programm RKDetector0.62 von www.3wdesign.es gestartet

...und der sagt folgendes aus: siehe image

user posted image


meint jemand da ist was faul ?

Thx smile.gif
Go to the top of the page
 
+Quote Post
Voyager
Beitrag 23.12.2004, 17:11
Beitrag #2



Ist unverzichtbar
*******

Gruppe: Mitglieder
Beiträge: 14.840
Mitglied seit: 05.07.2004
Mitglieds-Nr.: 1.143

Betriebssystem:
Windows 7 SP1 (x64)
Virenscanner:
NIS2013
Firewall:
NIS2013
was ist deine frage oder problem ?


--------------------
Der Beitrag wurde von Unbekannt bearbeitet: Morgen, 06:00
System:
Intel C2Q9550 , Gigabyte GA-P35-DS3L , 8GB Mushkin , XFX HD6670 , Samsung SATA2 (750GB, 500GB, 2x 1TB) , ATAPI & NEC DVDRAM , TFT Samsung T260 26" , Case Lian Li PC-7FNW , Corsair Accelerator SSD 60GB

"Irgendwelche Politiker mögen irgendwann mal einen cleveren Gedanken haben, aber in der Regel plappern sie nur die Agenda der Lobbyisten nach."
Lobbyismus für Dummies : http://www.youtube.com/watch?v=P_QVyOGnIrI
Einschätzung zur Wikileaks Lage : http://www.youtube.com/watch?v=HVJAUECLdo8 , http://www.youtube.com/watch?v=gWR4VAyva6s
Go to the top of the page
 
+Quote Post
Gast_MoralApostel_*
Beitrag 23.12.2004, 17:51
Beitrag #3


Threadersteller




Gäste
Wenn man das image betrachtet,
steht dort vorletzte Zeile: msvcrt.dll SEEMS TO BE HOOKED !

also das beunruhigt mich unsure.gif
Go to the top of the page
 
+Quote Post
Gast_MoralApostel_*
Beitrag 25.12.2004, 13:48
Beitrag #4


Threadersteller




Gäste
Was mich zusätzlich an meinen System wundert ist das ich den makierten Eintrag siehe image, immer wieder in meinen system einschleust.

Außerdem wundert mich das ich keinen Ordner Namens <Program Files> besitze (Hmm vielleicht doch ein Rootkit?) .

Dieser <KernelFaultCheck> gelangt trotz paar mahliger entfernung in großen Zeitabständen, irgendwie (ich denke Opera exploit) immer wieder rein !

Was meint ihr Leute confused.gif

user posted image

Der Beitrag wurde von MoralApostel bearbeitet: 25.12.2004, 13:49
Go to the top of the page
 
+Quote Post
Lucky
Beitrag 25.12.2004, 14:39
Beitrag #5



Gehört zum Inventar
Gruppensymbol

Gruppe: Freunde
Beiträge: 3.252
Mitglied seit: 21.04.2003
Mitglieds-Nr.: 51
Der Eintrag KernelFaultCheck wird von Windows eingerichtet wenn dein System sich aufhängt etc. Damit wird ein Speicherabbild erzeugt...

Kannst du rausnehmen. Ist aber nichts gefährliches.

- björn
Go to the top of the page
 
+Quote Post
Gast_vampire_*
Beitrag 25.12.2004, 14:50
Beitrag #6






Gäste
6 mal svchost.exe ist schon etwas ungewöhnlich...

angelex.exe ist auch keine system datei, könnte aber von einer sexseite stammen.

und slee503.exe ist meiner meinung nach malware..!!!

EDIT: msvcrt.dll ist ne runtime datei für c++

Der Beitrag wurde von vampire bearbeitet: 25.12.2004, 14:58
Go to the top of the page
 
+Quote Post
docprantl
Beitrag 25.12.2004, 14:59
Beitrag #7



Netzwerkrouter
Gruppensymbol

Gruppe: Freunde
Beiträge: 1.792
Mitglied seit: 22.04.2003
Mitglieds-Nr.: 52

Betriebssystem:
Windows
Bitte schick die Dateien zur genaueren Analyse an virus@rokop-security.de. Danke.

docprantl
Go to the top of the page
 
+Quote Post
Gast_MoralApostel_*
Beitrag 25.12.2004, 18:00
Beitrag #8


Threadersteller




Gäste
Also ich habe jetzt mal mein System versucht ein bischen auf aufzuräumen.

Alte überflüssige Programme gelöscht und aktuelle Update´s (Dez. MS-Patches)gemacht:

1. AdAware
2. KAV
3. Ewidu

...und gesannt, nichts gefunden!

Und anschließend neues RKDetector scan gemacht (siehe image)

user posted image

alles wesentliche ist dort zu sehen auf dem image!


@Vampire
svhost nur noch 4 mal, normal?
und "slee503.exe" ist definetiv keine Maleware, stammt von Staganos Security ab.

@Lucky
Ich habe in einem anderen Forum gelesen das KernelFaultCheck auch vielleicht eine Trojaner sein könnte oder sich dort versteckt hält. (müßte nochmal nachschauen wo ich das mal gelesen hab)

@docprantl
Danke, werde ich sofort machen.

@all
Vielen Dank für eure Hilfe und Frohe Weihnachten smile.gif

Edit: Jetzt wollte ich die Datei auf die mich Vampire aufmerksam gemacht hat auch zum Rokop-Team mitsenden, konnte Sie aber nicht im <System32> finden confused.gif

Der Beitrag wurde von MoralApostel bearbeitet: 25.12.2004, 18:17
Go to the top of the page
 
+Quote Post
Gast_vampire_*
Beitrag 25.12.2004, 18:07
Beitrag #9






Gäste
QUOTE(MoralApostel @ 25.12.2004, 17:59)
@Vampire
svhost nur noch 4 mal, normal?
und "slee503.exe" ist definetiv keine Maleware, stammt von Staganos Security ab.

[right][snapback]68459[/snapback][/right]


ja, 4 mal ist ok !

wenn slee503.exe zu steganos gehört, dann ist insofern alles klar.

und wenn die dateien jetzt richtig gecheckt werden, wird man dir bald zufriedenstellend auskunft geben können,

ich wünsch dir noch ein frohes fest... smile.gif
Go to the top of the page
 
+Quote Post
Gast_Jens1962_*
Beitrag 25.12.2004, 18:57
Beitrag #10






Gäste
QUOTE(vampire @ 25.12.2004, 14:49)
6 mal svchost.exe ist schon etwas ungewöhnlich...
[right][snapback]68403[/snapback][/right]

Ist es nicht.
Go to the top of the page
 
+Quote Post
« Vorhergehendes Thema · HijackThis-Logs · Folgendes Thema »
 

Reply to this topicStart new topic
1 Besucher lesen dieses Thema (Gäste: 1 | Anonyme Besucher: 0)
0 Mitglieder:

 

Anzeige Modus: Standard · Wechsle zu: Thema+ · Wechsle zu: Überblick

Thema abonnieren · Dieses Thema versenden · Dieses Thema ausdrucken · Forum abonnieren

Vereinfachte Darstellung Aktuelles Datum: 14.06.2024, 06:08
Powered By IP.Board © 2024  IPS, Inc.
Licensed to: Rokop Security
Impressum