[HaBo] - Einzelnen Beitrag anzeigen - HookAnalyzer und Icesword melden spwr.sys

+++ATH0 · 14.11.08, 19:03

Du kannst mit IceSword dein Dateisystem auch browsen und an diese Stelle gucken. Dort wirst du die Datei finden, wenn das Rootkit nicht sonderlich gut ist.

Noch besser ist da GMER [1] oder Rootkit Unhooker [2] (nur Suche nach versteckten Dateien). Die implementieren ein RAW Zugriff auf das Dateisystem soweit ich weiss. IceSword dagegen spricht afaik noch Filter Treiber an.

Es kann aber auch sein, dass die Datei wirklich nicht mehr auf der Platte ist, also hier ein Injector am Werk ist, der die Datei kurzzeitig entpackt, lädt und dann löscht.

In dem Fall sollte man die GMER Log-Funktionen nutzen. (Mal alles sinnvolle ankreuzen unter Settings und danach neustarten).

Dann mal ins Log schauen, wie die Datei zu stande kam.

Alternativ: System sicherheitshalber neu aufsetzen.

[1] http://www.gmer.net/files.php
[2] http://hi.baidu.com/rkunhooker

14.11.08, 19:03	#7 (permalink)
+++ATH0 Member of Honour Registriert seit: 02.04.05 Likes: 76	Du kannst mit IceSword dein Dateisystem auch browsen und an diese Stelle gucken. Dort wirst du die Datei finden, wenn das Rootkit nicht sonderlich gut ist. Noch besser ist da GMER [1] oder Rootkit Unhooker [2] (nur Suche nach versteckten Dateien). Die implementieren ein RAW Zugriff auf das Dateisystem soweit ich weiss. IceSword dagegen spricht afaik noch Filter Treiber an. Es kann aber auch sein, dass die Datei wirklich nicht mehr auf der Platte ist, also hier ein Injector am Werk ist, der die Datei kurzzeitig entpackt, lädt und dann löscht. In dem Fall sollte man die GMER Log-Funktionen nutzen. (Mal alles sinnvolle ankreuzen unter Settings und danach neustarten). Dann mal ins Log schauen, wie die Datei zu stande kam. Alternativ: System sicherheitshalber neu aufsetzen. [1] http://www.gmer.net/files.php [2] http://hi.baidu.com/rkunhooker