[Rootkit] sptd.sys, spuy.sys, spah.sys
Während einer Rootkit-Untersuchung (aswmbr 0.9.9 - nutzt das gute alte Gmer) bekam ich auf einem Rechner Warnungen bzw. eine Rootkit-Detektion.
In den Logmeldungen der Scans fanden sich suspekte Einträge zu den Dateien
01:01:39.390 ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll >>UNKNOWN [0x85fdb1e8]<<
01:01:39.390 1 nt!IofCallDriver -> \Device\Harddisk2\DR2[0x85f16ab8]
01:01:39.406 3 CLASSPNP.SYS[f7621fd7] -> nt!IofCallDriver -> \Device\00000062[0x85f54920]
01:01:39.406 5 ACPI.sys[f738d620] -> nt!IofCallDriver -> \Device\Scsi\SiSRaid1Port2Path0Target0Lun0[0x85f18a38]
01:01:39.421 \Driver\SiSRaid[0x85f52a08] -> IRP_MJ_CREATE -> 0x85fdb1e8 kamen zur Anzeige.
Wie sich nach einigem Suchen herausstellte, rührten diese Falschmeldungen von einer Installation der Deamontools (inkl. SPTD-Treiber) und Acronis True-Image her.
Will man die Meldungen los werden, muss diese beiden Tools schon vollständig deinstallieren. Nach der gewöhnlichen Deinstallation über Systemsteuerung->Software sollte man noch etwas nacharbeiten, um die Treiber endgültig aus dem System zu entfernen.
Für Acronis gibt es ein Tool dafür: Acronis Cleanup Utility
Die SPTD-Treiber muss man manuell per Regeditor entfernen:
The correct SPTD key removal procedure:
1. Execute registry editor, go to HKLM\SYSTEM\CurrentControlSet\Services\sptd, set "Start" value to 4,
2. reboot,
3. execute registry editor again, enable all permissions of sptd\cfg key, then delete entire sptd key in Services hive,
4. reboot
via
In den Logmeldungen der Scans fanden sich suspekte Einträge zu den Dateien
- sptd.sys
- spuy.sys
- spah.sys
- ...
01:01:39.390 ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll >>UNKNOWN [0x85fdb1e8]<<
01:01:39.390 1 nt!IofCallDriver -> \Device\Harddisk2\DR2[0x85f16ab8]
01:01:39.406 3 CLASSPNP.SYS[f7621fd7] -> nt!IofCallDriver -> \Device\00000062[0x85f54920]
01:01:39.406 5 ACPI.sys[f738d620] -> nt!IofCallDriver -> \Device\Scsi\SiSRaid1Port2Path0Target0Lun0[0x85f18a38]
01:01:39.421 \Driver\SiSRaid[0x85f52a08] -> IRP_MJ_CREATE -> 0x85fdb1e8 kamen zur Anzeige.
Wie sich nach einigem Suchen herausstellte, rührten diese Falschmeldungen von einer Installation der Deamontools (inkl. SPTD-Treiber) und Acronis True-Image her.
Will man die Meldungen los werden, muss diese beiden Tools schon vollständig deinstallieren. Nach der gewöhnlichen Deinstallation über Systemsteuerung->Software sollte man noch etwas nacharbeiten, um die Treiber endgültig aus dem System zu entfernen.
Für Acronis gibt es ein Tool dafür: Acronis Cleanup Utility
Die SPTD-Treiber muss man manuell per Regeditor entfernen:
The correct SPTD key removal procedure:
1. Execute registry editor, go to HKLM\SYSTEM\CurrentControlSet\Services\sptd, set "Start" value to 4,
2. reboot,
3. execute registry editor again, enable all permissions of sptd\cfg key, then delete entire sptd key in Services hive,
4. reboot
via
techomatic - 2012-10-28 13:12
