Infected by rootkit?

Discussion in 'Computer Security' started by max_weinland@yahoo.de, Nov 20, 2005.

  1. Guest

    Hello,

    I have run RootkitRevealer from www.sysinternals.com.
    Can someone please explain this results.
    Is there a rootkit hidden in System.EnterpriseServices?

    Thank you,
    Max Weinland

    C:\WINDOWS\assembly\GAC_32\System.EnterpriseServices\2.0.0.0__b03f5f7f11d50a3a\System.EnterpriseServices.dll 04.11.2005
    22:09 258 bytes Visible in Windows API, but not in MFT or directory
    index.
    C:\WINDOWS\assembly\GAC_32\System.EnterpriseServices\2.0.0.0__b03f5f7f11d50a3a\System.EnterpriseServices.Wrapper.dll 04.11.2005
    22:09 114 bytes Visible in Windows API, but not in MFT or directory
    index.
    C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temporary
    Internet Files\Content.IE5\05EBW5IV\search[1].: 03.12.2002 01:03 18.53
    KB Hidden from Windows API.
    C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temporary
    Internet Files\Content.IE5\0PMVKHMB\search[1].: 29.11.2002 11:27 12.42
    KB Hidden from Windows API.
    C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temporary
    Internet Files\Content.IE5\3EGBVDGH\groups[1].: 06.12.2002 21:43 20.04
    KB Hidden from Windows API.
    C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temporary
    Internet Files\Content.IE5\6NOZW78X\search[1].: 09.12.2002 16:52 21.09
    KB Hidden from Windows API.
    C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temporary
    Internet Files\Content.IE5\76SZ3T4X\google[1].: 22.04.2003 09:48 3.65
    KB Hidden from Windows API.
    C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temporary
    Internet Files\Content.IE5\BUKV7PO5\groups[1].: 21.11.2002 22:09 12.62
    KB Hidden from Windows API.
    C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temporary
    Internet Files\Content.IE5\E4E1RPKG\groups[1].: 29.12.2002 14:57 21.24
    KB Hidden from Windows API.
    C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temporary
    Internet Files\Content.IE5\G1A7OPIF\groups[1].: 04.06.2003 23:44 1.08
    KB Hidden from Windows API.
    C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temporary
    Internet Files\Content.IE5\GXQVK92V\dvfaq[1].: 04.06.2003 08:22 84.64
    KB Hidden from Windows API.
    C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temporary
    Internet Files\Content.IE5\WDC3OFGV\search[1].: 20.12.2002 22:56 18.01
    KB Hidden from Windows API.
     
    , Nov 20, 2005
    #1
    1. Advertising

  2. DavidPostill Guest

    In article <>, on 20 Nov 2005 04:01:16 -0800,
    wrote:

    | Hello,
    |
    | I have run RootkitRevealer from www.sysinternals.com.
    | Can someone please explain this results.
    | Is there a rootkit hidden in System.EnterpriseServices?

    The experts hang out at <http://www.sysinternals.com/Forum/forum_topics.asp?FID=15>

    I suggest you post there.

    Regards,

    --
    DavidPostill
     
    DavidPostill, Nov 20, 2005
    #2
    1. Advertising

  3. Autumn Guest

    On 20 Nov 2005 04:01:16 -0800, wrote:

    >Hello,
    >
    >I have run RootkitRevealer from www.sysinternals.com.
    >Can someone please explain this results.
    >Is there a rootkit hidden in System.EnterpriseServices?
    >
    >Thank you,
    >Max Weinland
    >
    >C:\WINDOWS\assembly\GAC_32\System.EnterpriseServices\2.0.0.0__b03f5f7f11d50a3a\System.EnterpriseServices.dll 04.11.2005
    >22:09 258 bytes Visible in Windows API, but not in MFT or directory
    >index.
    >C:\WINDOWS\assembly\GAC_32\System.EnterpriseServices\2.0.0.0__b03f5f7f11d50a3a\System.EnterpriseServices.Wrapper.dll 04.11.2005
    >22:09 114 bytes Visible in Windows API, but not in MFT or directory
    >index.
    >C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temporary
    >Internet Files\Content.IE5\05EBW5IV\search[1].:

    03.12.2002 01:03 18.53
    >KB Hidden from Windows API.
    >C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temporary
    >Internet Files\Content.IE5\0PMVKHMB\search[1].:

    29.11.2002 11:27 12.42
    >KB Hidden from Windows API.
    >C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temporary
    >Internet Files\Content.IE5\3EGBVDGH\groups[1].:

    06.12.2002 21:43 20.04
    >KB Hidden from Windows API.
    >C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temporary
    >Internet Files\Content.IE5\6NOZW78X\search[1].:

    09.12.2002 16:52 21.09
    >KB Hidden from Windows API.
    >C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temporary
    >Internet Files\Content.IE5\76SZ3T4X\google[1].:

    22.04.2003 09:48 3.65
    >KB Hidden from Windows API.
    >C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temporary
    >Internet Files\Content.IE5\BUKV7PO5\groups[1].:

    21.11.2002 22:09 12.62
    >KB Hidden from Windows API.
    >C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temporary
    >Internet Files\Content.IE5\E4E1RPKG\groups[1].:

    29.12.2002 14:57 21.24
    >KB Hidden from Windows API.
    >C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temporary
    >Internet Files\Content.IE5\G1A7OPIF\groups[1].:

    04.06.2003 23:44 1.08
    >KB Hidden from Windows API.
    >C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temporary
    >Internet Files\Content.IE5\GXQVK92V\dvfaq[1].: 04.06.2003 08:22 84.64
    >KB Hidden from Windows API.
    >C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temporary
    >Internet Files\Content.IE5\WDC3OFGV\search[1].:

    20.12.2002 22:56 18.01
    >KB Hidden from Windows API.


    May I make a suggestion? Run RootKit Revealer with your internet
    connection off. I think you will see a different result.

    HTH,

    Autumn
     
    Autumn, Nov 20, 2005
    #3
  4. Autumn wrote:
    > On 20 Nov 2005 04:01:16 -0800, wrote:
    >
    >
    >>Hello,
    >>
    >>I have run RootkitRevealer from www.sysinternals.com.
    >>Can someone please explain this results.
    >>Is there a rootkit hidden in System.EnterpriseServices?
    >>
    >>Thank you,
    >>Max Weinland
    >>
    >>C:\WINDOWS\assembly\GAC_32\System.EnterpriseServices\2.0.0.0__b03f5f7f11d50a3a\System.EnterpriseServices.dll 04.11.2005
    >>22:09 258 bytes Visible in Windows API, but not in MFT or directory
    >>index.
    >>C:\WINDOWS\assembly\GAC_32\System.EnterpriseServices\2.0.0.0__b03f5f7f11d50a3a\System.EnterpriseServices.Wrapper.dll 04.11.2005
    >>22:09 114 bytes Visible in Windows API, but not in MFT or directory
    >>index.
    >>C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temporary
    >>Internet Files\Content.IE5\05EBW5IV\search[1].:

    >
    > 03.12.2002 01:03 18.53
    >
    >>KB Hidden from Windows API.
    >>C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temporary
    >>Internet Files\Content.IE5\0PMVKHMB\search[1].:

    >
    > 29.11.2002 11:27 12.42
    >
    >>KB Hidden from Windows API.
    >>C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temporary
    >>Internet Files\Content.IE5\3EGBVDGH\groups[1].:

    >
    > 06.12.2002 21:43 20.04
    >
    >>KB Hidden from Windows API.
    >>C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temporary
    >>Internet Files\Content.IE5\6NOZW78X\search[1].:

    >
    > 09.12.2002 16:52 21.09
    >
    >>KB Hidden from Windows API.
    >>C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temporary
    >>Internet Files\Content.IE5\76SZ3T4X\google[1].:

    >
    > 22.04.2003 09:48 3.65
    >
    >>KB Hidden from Windows API.
    >>C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temporary
    >>Internet Files\Content.IE5\BUKV7PO5\groups[1].:

    >
    > 21.11.2002 22:09 12.62
    >
    >>KB Hidden from Windows API.
    >>C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temporary
    >>Internet Files\Content.IE5\E4E1RPKG\groups[1].:

    >
    > 29.12.2002 14:57 21.24
    >
    >>KB Hidden from Windows API.
    >>C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temporary
    >>Internet Files\Content.IE5\G1A7OPIF\groups[1].:

    >
    > 04.06.2003 23:44 1.08
    >
    >>KB Hidden from Windows API.
    >>C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temporary
    >>Internet Files\Content.IE5\GXQVK92V\dvfaq[1].: 04.06.2003 08:22 84.64
    >>KB Hidden from Windows API.
    >>C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temporary
    >>Internet Files\Content.IE5\WDC3OFGV\search[1].:

    >
    > 20.12.2002 22:56 18.01
    >
    >>KB Hidden from Windows API.

    >
    >
    > May I make a suggestion? Run RootKit Revealer with your internet
    > connection off. I think you will see a different result.


    I assume this is a case of changing a file's existence in the middle of
    a RKR run.

    How close to reality am I?

    >
    > HTH,
    >
    > Autumn
    >



    --

    Liquid
     
    fluidly unsure, Nov 20, 2005
    #4
    1. Advertising

Want to reply to this thread or ask your own question?

It takes just 2 minutes to sign up (and it's free!). Just click the sign up button to choose a username and then you can ask your own questions on the forum.
Similar Threads
  1. Annette Kurten

    New stealth rootkit

    Annette Kurten, Apr 9, 2005, in forum: Computer Support
    Replies:
    22
    Views:
    2,494
    trout
    Apr 9, 2005
  2. Tony

    Rootkit Security Threat Alert

    Tony, Oct 26, 2005, in forum: Computer Support
    Replies:
    1
    Views:
    740
    =?ISO-8859-1?Q?R=F4g=EAr?=
    Oct 26, 2005
  3. Goro
    Replies:
    1
    Views:
    550
  4. Goro
    Replies:
    0
    Views:
    515
  5. Doug Fox
    Replies:
    10
    Views:
    765
    donutbandit
    Feb 28, 2004
Loading...

Share This Page