log datei des programmes "rootkistreveal" interpretieren

[VoodooDog]

ich hab ein kollegen der mit hilfe des oben genannten programmes einige dinge auf seinem rechner gefunden hat und nun alles gefundene löschen will.

ich hingegen glaube das nicht jeder eintrag löschwürdig ist.


wenn zB ein bestimmter regschlüssel angegeben ist:
hklm\.....\remoteaccess\internetprofile 19byte
"Data mismatch between Windows API and raw hive data."
was sagt die meldung aus ?
eine datenungleichheit zwischen der windows api (anwendgunsprogrammier schnittstelle ? ) und dem ausgangs daten satz ??
also anders kann ich mir das nicht übersetzen

warum dieser datenmismatch nun aufgetreten ist, sagt dieses programm nicht.

oder eine bestimmte datei im ordner
c:\dokumente und einstlelungen\....\lokale einstellungen\temp\~dfea0c.tmp 16kb
"Visible in directory index, but not Windows API or MFT."

ist das nun schlimm das es nicht für (oder im??) windows api sichtbar ist ? muss es deswegen ein rootkit sein ?

und was ist mit "MFT" gemeint ?

ich will hier keine hilfe wie man die ganzen einträge (falls es denn schlimme sind) vernichtet, ich will lediglich verstehen was mir diese log datei sagen will.

gruß

 

[HERR 2FICKENDEHUNDE]

was windows API ist solltest du vilelicht aus den drei aritkeln auf heise security anschauen. das zu erklären würd eh nicht annähernd so verständlich werden, wie es da beschrieben ist.

http://www.heise.de/security/artikel/68243

 

[Myxomat]

Ist eigentlich alles auf der HP beschrieben, wenn auch auf Englisch: http://www.sysinternals.com/Utilities/RootkitRevealer.html

 

[VoodooDog]

ok danke


hund: die seite wird - wahrscheinlich aufgrund der schlecht eingestellten firewall - nicht geladen.
werd es nachher an nem anderen rechner nochmal probieren.


myx: das klingt alles sehr interessant, aber bis ich mich da durchgekämpft habe vergeht eine ganze weile.
gibt es keine änlich kompacke seite auf deutsch ? die englisch kenntnisse des oben angesprochenen kollegen reichen nämlich nichtmal für die überschrift ^^

ich werd versuchen mir das ganze auf english durch zulesen und es ihm dann erklären. besser wäre natürlich eine deutsche seite auf der er sich alleine belesen kann.

edit: einige deutsche erklärungen gibt es auch. mal sehen was die taugen, hab hier leider nur isdn verbindung und ein großen download am laufen

 

[HERR 2FICKENDEHUNDE]

Original geschrieben von dOg[fisch]
ok danke


hund: die seite wird - wahrscheinlich aufgrund der schlecht eingestellten firewall - nicht geladen.
werd es nachher an nem anderen rechner nochmal probieren.

öhm, das ist die erklärung zu den funktionen und unterschieden zu rootkits von heise security in deutsch. wieso blockst du heise.de? oO

 

[VoodooDog]

ich blocke garnicht, da nicht ich diesen rechner konfiguriert habe.

edit: hab die firewall ausgestellt. nun druck ich erstmal alles aus was auf der seite steht und hau es ihm auf den tisch ^^
danke


"Wer allerdings ein Tool erwartet, das auf Knopfdruck ein Rootkit entdeckt, wird enttäuscht. Anders als die Beta-Version des F-Secure-Tools Blacklight liefert Sysinternals Spürhund nur Hinweise auf Anomalien des Systems und entfernt nichts. Ob die Ursache einer Warnung wirklich ein bösartiges Programm ist, das sich eingenistet hat, muss der Anwender selbst entscheiden. RootkitRevealer läuft unter Windows ab Version NT 4.0 und meldet Diskrepanzen beim Auflisten der Registry und beim Anzeigen von Verzeichnisinhalten."

wie können denn derartige diskrepanzen ohne rootkits auftreten ? in der regeln nie ? heißt das, das jede diskrepanz (oder zumindest fast jede) ein rootkit darstellt und gelöscht werden soll ?

hab die seite noch nicht durchgelesen, vielleicht wird da ja ein sinnvolles "verhaltensprotokoll" genannt.