[HaBo]

damaxxed · 11.11.08, 15:53

Der Rootkit Hook Analyzer und das Rootkit-Aufspür-Programm IceSword melden neben den TuneUp Utilities und ZoneAlarm eine weitere Datei die sich in kritische Hooks einhängt: spwr.sys.

Die besagte Datei lässt sich aber nicht aufspüren: Die Pfadangaben lauten nur "spwr.sys" ähnlich wie bei allen anderen Treibern auch, jedoch existiert keine spwr.sys im Windows\system32\drivers-Ordner - im gesammten Windowsordner wird die Datei nicht gefunden.

Auf meine Computer läuft Windows XP SP3..

Weiß irgendjemand was die Datei macht? Das ganze kommt mir schon sehr suspekt vor..

Grüße

90nop · 11.11.08, 16:05

Hast du daemon tools bei dir installiert?

HaBo Ads

damaxxed · 11.11.08, 16:17

Ja, Daemon Tools Lite, aber auch im Daemon Tools-Programmordner kein spwr.sys.

[starfoxx] · 11.11.08, 16:19

Wieso durchsuchst du nicht einfach mal das ganze system? Dauert ja nicht allzu lange..

SilentBoB · 11.11.08, 16:19

Hast du auch eingeschaltet, dass Systemdateien etc angezeigt werden?
Wenn nicht Arbeitsplatz - Extras - Ordneroptionen - Ansicht - Geschütze Systemdateien anzeigen, Haken weg.

damaxxed · 11.11.08, 17:19

Geschützte Systemdateien und versteckte Ordner/Dateien werden angezeigt und durchsucht: Trotzdem nichts mit der Windowssuche gefunden.

+++ATH0 · 14.11.08, 19:03

Du kannst mit IceSword dein Dateisystem auch browsen und an diese Stelle gucken. Dort wirst du die Datei finden, wenn das Rootkit nicht sonderlich gut ist.

Noch besser ist da GMER [1] oder Rootkit Unhooker [2] (nur Suche nach versteckten Dateien). Die implementieren ein RAW Zugriff auf das Dateisystem soweit ich weiss. IceSword dagegen spricht afaik noch Filter Treiber an.

Es kann aber auch sein, dass die Datei wirklich nicht mehr auf der Platte ist, also hier ein Injector am Werk ist, der die Datei kurzzeitig entpackt, lädt und dann löscht.

In dem Fall sollte man die GMER Log-Funktionen nutzen. (Mal alles sinnvolle ankreuzen unter Settings und danach neustarten).

Dann mal ins Log schauen, wie die Datei zu stande kam.

Alternativ: System sicherheitshalber neu aufsetzen.

[1] http://www.gmer.net/files.php
[2] http://hi.baidu.com/rkunhooker

Empfehlung

11.11.08, 15:53	#1 (permalink)
damaxxed Registriert seit: 18.11.06 Likes: 0	HookAnalyzer und Icesword melden spwr.sys Der Rootkit Hook Analyzer und das Rootkit-Aufspür-Programm IceSword melden neben den TuneUp Utilities und ZoneAlarm eine weitere Datei die sich in kritische Hooks einhängt: spwr.sys. Die besagte Datei lässt sich aber nicht aufspüren: Die Pfadangaben lauten nur "spwr.sys" ähnlich wie bei allen anderen Treibern auch, jedoch existiert keine spwr.sys im Windows\system32\drivers-Ordner - im gesammten Windowsordner wird die Datei nicht gefunden. Auf meine Computer läuft Windows XP SP3.. Weiß irgendjemand was die Datei macht? Das ganze kommt mir schon sehr suspekt vor.. Grüße

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
Sicherheitsbugs wo melden ?	THRALL	Internet Allgemein	3	08.03.07 19:58
XP-PWD vergessen.wie kann ich mich aufm Rechner melden	Erazer	Windows	3	26.07.02 17:24

11.11.08, 16:05	#2 (permalink)
90nop Registriert seit: 07.03.08 Likes: 0	Hast du daemon tools bei dir installiert?

11.11.08, 16:17	#3 (permalink)
damaxxed Themenstarter Registriert seit: 18.11.06 Likes: 0	Ja, Daemon Tools Lite, aber auch im Daemon Tools-Programmordner kein spwr.sys.

11.11.08, 16:19	#4 (permalink)
[starfoxx] Senior Member Registriert seit: 18.09.05 Likes: 0	Wieso durchsuchst du nicht einfach mal das ganze system? Dauert ja nicht allzu lange..

11.11.08, 16:19	#5 (permalink)
SilentBoB Registriert seit: 26.06.05 Likes: 0	Hast du auch eingeschaltet, dass Systemdateien etc angezeigt werden? Wenn nicht Arbeitsplatz - Extras - Ordneroptionen - Ansicht - Geschütze Systemdateien anzeigen, Haken weg.

11.11.08, 17:19	#6 (permalink)
damaxxed Themenstarter Registriert seit: 18.11.06 Likes: 0	Geschützte Systemdateien und versteckte Ordner/Dateien werden angezeigt und durchsucht: Trotzdem nichts mit der Windowssuche gefunden.

14.11.08, 19:03	#7 (permalink)
+++ATH0 Member of Honour Registriert seit: 02.04.05 Likes: 64	Du kannst mit IceSword dein Dateisystem auch browsen und an diese Stelle gucken. Dort wirst du die Datei finden, wenn das Rootkit nicht sonderlich gut ist. Noch besser ist da GMER [1] oder Rootkit Unhooker [2] (nur Suche nach versteckten Dateien). Die implementieren ein RAW Zugriff auf das Dateisystem soweit ich weiss. IceSword dagegen spricht afaik noch Filter Treiber an. Es kann aber auch sein, dass die Datei wirklich nicht mehr auf der Platte ist, also hier ein Injector am Werk ist, der die Datei kurzzeitig entpackt, lädt und dann löscht. In dem Fall sollte man die GMER Log-Funktionen nutzen. (Mal alles sinnvolle ankreuzen unter Settings und danach neustarten). Dann mal ins Log schauen, wie die Datei zu stande kam. Alternativ: System sicherheitshalber neu aufsetzen. [1] http://www.gmer.net/files.php [2] http://hi.baidu.com/rkunhooker


HaBo Ads HaBOT

[HaBo]

HookAnalyzer und Icesword melden spwr.sys