Hilfe
Neues Thema
Antworten
Angehängte Datei(en)
-
outputfile.txt (610bytes)
Anzahl der Downloads: 429
Dieser Beitrag wurde von mighty bearbeitet: 04. September 2006 - 21:57
Seite 1 von 1
Rootkitrevealer Gescannt und jetzt?
#1
mighty 
geschrieben 04. September 2006 - 21:52
Dies ist bei der Ausgabe herausgekommen. Wie habe ich nun vorzugehen, oder ist es bereits zu spät?.
Nach oben
#2
Rika
- Gruppe: aktive Mitglieder
- Beiträge: 11.533
- Beigetreten: 11. Juni 03
- Reputation: 2
- Geschlecht:Männlich
geschrieben 04. September 2006 - 22:15
Zitat
"Access is denied.",27.03.2006 18:18,0 bytes,"HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg"
Die Dämonischen Tools. Für sich genommen schon schlecht, aber, so fürchte ich, gewollt.
Zitat
"Visible in Windows API, but not in MFT or directory index.",11.07.2006 19:17,252.00 KB,"C:\WINDOWS\assembly\GAC_32\System.EnterpriseServices\2.0.0.0__b03f5f7f11d50a3a\System.EnterpriseServices.dll"
"Visible in Windows API, but not in MFT or directory index.",11.07.2006 19:17,111.50 KB,"C:\WINDOWS\assembly\GAC_32\System.EnterpriseServices\2.0.0.0__b03f5f7f11d50a3a\System.EnterpriseServices.Wrapper.dll"
"Visible in Windows API, but not in MFT or directory index.",11.07.2006 19:17,111.50 KB,"C:\WINDOWS\assembly\GAC_32\System.EnterpriseServices\2.0.0.0__b03f5f7f11d50a3a\System.EnterpriseServices.Wrapper.dll"
Du hast gerade ein .NET-Programm gestartet, welches System.EnterpriseServices verwendet. Der Ngen-Dienst, den du eigentlich mal deaktivieren solltest, erstellt dafür gerade ein Native Image, das aber noch nicht auf die Platte geschrieben wurde.
Zitat
"Hidden from Windows API.",05.10.2005 00:08,25 bytes,"E:\Temp\Rar$DI00.062\Codename Panzers : Phase One.txt"
Aufgrunde der Abwärtskompatibilität dürfen normale Dateinamen im Win32-API keinen Doppelpunkt enthalten. Das Native API erlaubt es, ebenso wie das Dateisystem, und WinRAR schafft es offenbar, das ordentlich zu verwenden. Noch ein Punkt mehr, warum Rootkit Revealer scheiße ist.
Konnichiwa. Manga wo shitte masu ka? Iie? Gomenne, sonoyouna koto ga tabitabi arimasu. Mangaka ojousan nihongo doujinshi desu wa 'Clamp X', 'Ayashi no Ceres', 'Card Captor Sakura', 'Tsubasa', 'Chobits', 'Sakura Taisen', 'Inuyasha' wo 'Ah! Megamisama'. Hai, mangaka gozaimashita desu ni yuujin yori.
Ja, mata ne!
(For sending email please use OpenPGP encryption and signing. KeyID: 0xA0E28D18)
Ja, mata ne!
(For sending email please use OpenPGP encryption and signing. KeyID: 0xA0E28D18)
#3
mighty
geschrieben 04. September 2006 - 22:22
Zitat (Rika: 04.09.2006, 23:15)
Die Dämonischen Tools. Für sich genommen schon schlecht, aber, so fürchte ich, gewollt.
Auf dem Rechner ist eine Deinstallation eigentlich erfolgt, aber scheinbar mit gewollten Resten.
Zitat (Rika: 04.09.2006, 23:15)
Du hast gerade ein .NET-Programm gestartet, welches System.EnterpriseServices verwendet. Der Ngen-Dienst, den du eigentlich mal deaktivieren solltest, erstellt dafür gerade ein Native Image, das aber noch nicht auf die Platte geschrieben wurde.
Auf dem Rechner läuft "NFS:SFU", um Aufnahme von einer Dbox2 zu übernehmen.
Zitat (Rika: 04.09.2006, 23:15)
Aufgrunde der Abwärtskompatibilität dürfen normale Dateinamen im Win32-API keinen Doppelpunkt enthalten. Das Native API erlaubt es, ebenso wie das Dateisystem, und WinRAR schafft es offenbar, das ordentlich zu verwenden. Noch ein Punkt mehr, warum Rootkit Revealer scheiße ist.
Diese Datei lässt sich nicht löschen, gibt es eine Möglichkeit dies zu tun?.
#4
Rika
- Gruppe: aktive Mitglieder
- Beiträge: 11.533
- Beigetreten: 11. Juni 03
- Reputation: 2
- Geschlecht:Männlich
geschrieben 04. September 2006 - 22:52
Zitat
Auf dem Rechner läuft "NFS:SFU", um Aufnahme von einer Dbox2 zu übernehmen.
Hch... scanne einfach noch mal, es dürfte jetzt verschwunden sein.
Zitat
Diese Datei lässt sich nicht löschen, gibt es eine Möglichkeit dies zu tun?.
Nimm UNC-Pfadnamen -> del "\\.\E:\Temp\Rar$DI00.062\Codename Panzers : Phase One.txt" bzw. auch mit \\?\ für ASCII- statt Unicode-Namen, oder auch \?\ für Device-Namen.
Konnichiwa. Manga wo shitte masu ka? Iie? Gomenne, sonoyouna koto ga tabitabi arimasu. Mangaka ojousan nihongo doujinshi desu wa 'Clamp X', 'Ayashi no Ceres', 'Card Captor Sakura', 'Tsubasa', 'Chobits', 'Sakura Taisen', 'Inuyasha' wo 'Ah! Megamisama'. Hai, mangaka gozaimashita desu ni yuujin yori.
Ja, mata ne!
(For sending email please use OpenPGP encryption and signing. KeyID: 0xA0E28D18)
Ja, mata ne!
(For sending email please use OpenPGP encryption and signing. KeyID: 0xA0E28D18)
#5
mighty
geschrieben 04. September 2006 - 23:05
Zitat (Rika: 04.09.2006, 23:52)
"Access is denied.",27.03.2006 18:18,0 bytes,"HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg"
Wie kann ich diesen Eintrag entfernen?. Bzw die restlichen Sachen die noch evtl. vorhanden sind?.
Zitat (Rika: 04.09.2006, 23:52)
Hch... scanne einfach noch mal, es dürfte jetzt verschwunden sein.
, gut welches Programm sollte man stattdessen verwenden?. Rkdetector?Zitat (Rika: 04.09.2006, 23:52)
Nimm UNC-Pfadnamen -> del "\\.\E:\Temp\Rar$DI00.062\Codename Panzers : Phase One.txt" bzw. auch mit \\?\ für ASCII- statt Unicode-Namen, oder auch \?\ für Device-Namen.
Probiert, aber hat nichts funktioniert. Der Explorer zeigt auch einen anderen Dateinamen an, den ich natürlich ebenfalls ausprobiert habe.
Verzeichnis von E:\Temp\Rar1$DI00.062 23.03.2005 12:07 <DIR> . 23.03.2005 12:07 <DIR> .. 11.11.2004 18:30 0 Codename Panzers 1 Datei(en) 0 Bytes
Dieser Beitrag wurde von mighty bearbeitet: 04. September 2006 - 23:20
#6
Rika
- Gruppe: aktive Mitglieder
- Beiträge: 11.533
- Beigetreten: 11. Juni 03
- Reputation: 2
- Geschlecht:Männlich
geschrieben 04. September 2006 - 23:21
Zitat
gut welches Programm sollte man stattdessen verwenden?. Rkdetector?
Ja, u.a. Allerdings ist hier Rootkit Revealer unschuldig, die Inkonsistenz hat sich ja aus der Aktivität des Dateisystems ergeben.
Zitat
Probiert, aber hat nichts funktioniert. Der Explorer zeigt auch einen anderen Dateinamen an, den ich natürlich ebenfalls ausprobiert habe.
Zieh mal die Datei auf die Konsole, um sicherzugehen, daß du den richtigen Dateinamen hast. Eventuell mal den Doppelpunkt mit einem ^ escapen -> del "\\.\E:\Temp\Rar$DI00.062\Codename Panzers ^: Phase One.txt"
Ansonsten sollte auch ein "rd /s /q E:\Temp\Rar$DI00.062" genügen.
Konnichiwa. Manga wo shitte masu ka? Iie? Gomenne, sonoyouna koto ga tabitabi arimasu. Mangaka ojousan nihongo doujinshi desu wa 'Clamp X', 'Ayashi no Ceres', 'Card Captor Sakura', 'Tsubasa', 'Chobits', 'Sakura Taisen', 'Inuyasha' wo 'Ah! Megamisama'. Hai, mangaka gozaimashita desu ni yuujin yori.
Ja, mata ne!
(For sending email please use OpenPGP encryption and signing. KeyID: 0xA0E28D18)
Ja, mata ne!
(For sending email please use OpenPGP encryption and signing. KeyID: 0xA0E28D18)
#7
mighty
geschrieben 04. September 2006 - 23:28
Zitat (Rika: 05.09.2006, 00:21)
Ansonsten sollte auch ein "rd /s /q E:\Temp\Rar$DI00.062" genügen.
Perfekt, gut zu wissen. Bleibt nur noch ein Problem bestehen, die Überbleibsel einer DT Installation
.
#8
Rika
- Gruppe: aktive Mitglieder
- Beiträge: 11.533
- Beigetreten: 11. Juni 03
- Reputation: 2
- Geschlecht:Männlich
geschrieben 04. September 2006 - 23:34
Wo soll da das Problem sein? Besitz übernehmen, Zugriffsrechte ordentlich setzen, löschen.
Konnichiwa. Manga wo shitte masu ka? Iie? Gomenne, sonoyouna koto ga tabitabi arimasu. Mangaka ojousan nihongo doujinshi desu wa 'Clamp X', 'Ayashi no Ceres', 'Card Captor Sakura', 'Tsubasa', 'Chobits', 'Sakura Taisen', 'Inuyasha' wo 'Ah! Megamisama'. Hai, mangaka gozaimashita desu ni yuujin yori.
Ja, mata ne!
(For sending email please use OpenPGP encryption and signing. KeyID: 0xA0E28D18)
Ja, mata ne!
(For sending email please use OpenPGP encryption and signing. KeyID: 0xA0E28D18)
#9
mighty
geschrieben 04. September 2006 - 23:45
Danke, habs nun, manchmal fehlt mir der gewissen Anstoß.
Dieser Beitrag wurde von mighty bearbeitet: 04. September 2006 - 23:45
Thema verteilen:
Seite 1 von 1