HookAnalyzer und Icesword melden spwr.sys

D

damaxxed

0
Der Rootkit Hook Analyzer und das Rootkit-Aufspür-Programm IceSword melden neben den TuneUp Utilities und ZoneAlarm eine weitere Datei die sich in kritische Hooks einhängt: spwr.sys.

Die besagte Datei lässt sich aber nicht aufspüren: Die Pfadangaben lauten nur "spwr.sys" ähnlich wie bei allen anderen Treibern auch, jedoch existiert keine spwr.sys im Windows\system32\drivers-Ordner - im gesammten Windowsordner wird die Datei nicht gefunden.

Auf meine Computer läuft Windows XP SP3..

Weiß irgendjemand was die Datei macht? Das ganze kommt mir schon sehr suspekt vor..

Grüße
 
Hast du auch eingeschaltet, dass Systemdateien etc angezeigt werden?
Wenn nicht Arbeitsplatz - Extras - Ordneroptionen - Ansicht - Geschütze Systemdateien anzeigen, Haken weg.
 
Geschützte Systemdateien und versteckte Ordner/Dateien werden angezeigt und durchsucht: Trotzdem nichts mit der Windowssuche gefunden.
 
Du kannst mit IceSword dein Dateisystem auch browsen und an diese Stelle gucken. Dort wirst du die Datei finden, wenn das Rootkit nicht sonderlich gut ist.

Noch besser ist da GMER [1] oder Rootkit Unhooker [2] (nur Suche nach versteckten Dateien). Die implementieren ein RAW Zugriff auf das Dateisystem soweit ich weiss. IceSword dagegen spricht afaik noch Filter Treiber an.

Es kann aber auch sein, dass die Datei wirklich nicht mehr auf der Platte ist, also hier ein Injector am Werk ist, der die Datei kurzzeitig entpackt, lädt und dann löscht.

In dem Fall sollte man die GMER Log-Funktionen nutzen. (Mal alles sinnvolle ankreuzen unter Settings und danach neustarten).

Dann mal ins Log schauen, wie die Datei zu stande kam.

Alternativ: System sicherheitshalber neu aufsetzen.

[1] http://www.gmer.net/files.php
[2] http://hi.baidu.com/rkunhooker
 
Um antworten zu können musst du eingeloggt sein.
Zurück
Oben