Hallo,
bin nicht ganz sicher, wo das hin muß: Rootkit-Unhooker meldet eine Datei "spwc.sys" als hooked. Wie kann ich herausfinden, was das überhaupt für eine Datei ist ?
Da es ja nicht zwangsweise ein Rootkit sein muß, muß man ja irgendwie die Dateien identifizieren ? Aber wie ?

Danke + Grüße

Hallo,

eine Google-Suche nach spwc.sys ergibt keinen Treffer. Das ist meist kein gutes Zeichen.

Hast du alternativ mal mit Blacklight gescannt? Es kann ggf. einen Fund umbenennen, so dass man nach einem Rechner-Neustart die betroffene Datei analysieren kann.

Hallo Franz,
die Datei scheint sich umzubenennen, es ist jetzt z.B. eine "spjc.sys" !
Werde mir auch mal Blacklight ansehen. Melde mich dann.

Danke erstmal.

Hallo zusammen,

ich habe vermutlich das gleiche Problem. Habe mit IceSword die Datei "spms.sys" entdeckt, die sich als roter Eintrag in der "System Service Sescriptor Table" und zuerst als eher unauffälliges Kernel-Modul bemerkbar gemacht hat. Nach jedem Systemstart ändert sich der Name. "spms.sys" "spgo.sys" "spze.sys" "spyj.sys" "sppa.sys" "sprq.sys" und momentan "spsw.sys". Zu keiner Variante gab Google etwas sinnvolles her. Blacklight hat irgendwie nichts gebracht. Habe gerade den Rootkit Unhooker laufen, mich aber noch nicht weiter damit beschäftigt. Bin mir jedenfalls sicher, daß die Datei nicht in mein System gehört...

Hallo Walker_84.

Eröffne bitte einen eigenen Thread damit die Übersicht gewahrt wird.

Blacklight hat leider auch nichts gefunden. Rootkit Unhooker, IceSword und GMER entdecken die files, aber mehr kann ich dann nicht tun. Was kann man denn überhaupt anfangen mit der "Entdeckung" ?

Danke

So,
zufällig über Sysinternals Autoruns bin ich auf die "spdt.sys" (boot bus extender) gestoßen. Und nach Google scheint die zu den "Daemon Tools" zu gehören, das sich "versteckt". Daher wohl keine Gefahr.

Grüße
boe