Verdächtige Treiber, handelt es sich um ein Rootkit?

Die folgenden Einträge werden in DriverView auf meinem PC angezeigt:

• C: \ Windows \ System32 \ Drivers \ dump_dumpata.sys
• C: \ Windows \ System32 \ Drivers \ dump_dumpfve.sys
• C: \ Windows \ System32 \ Drivers \ dump_msahci.sys

Diese Dateien existieren nicht oder sind versteckt.

Ich habe im Internet nichts Spezielles über diese Dateien gefunden. Weiß jemand, ob sie echt sind?

Das Betriebssystem ist Windows 7 Professional.

Vielen Dank.

Nein, Sie haben kein Rootkit. So sieht ein frisch installiertes Win 7 SP1 für mich aus:

• dump_dumpfve.sys ist ein Teil von Win 7
• dump_iaStor.sys ist Teil eines Treibers, den ich installiert habe. Intel Storage etwas etwas

In Ihrem Fall zusätzlich:

• dump_msahci.sys hat mit dem AHCI-Treiber zu tun.
• dump_dumpata.sys hat mit PATA zu tun, auch bekannt als Parallel ATA . Ich würde raten, dass der Dum vor pata in dumpata für Dummy steht, aber ich weiß nicht.

Kurz gesagt, nein, Sie haben kein Rootkit.

C:\Windows\System32\Drivers\dump_dumpata.sys
C:\Windows\System32\Drivers\dump_dumpfve.sys
C:\Windows\System32\Drivers\dump_msahci.sys

Ich suchte nach einer Antwort zu denselben Treibern, die in nirsoft DriverView angezeigt wurden

Laut der Treiberreferenztabelle auf der John Carrona-Website, Microsoft MVP http://www.carrona.org/dvrref.php

dump_dumpata.sys

%SysDir%\Drivers\DUMP_DUMPATA.SYS is related to Microsoft Windows Vista.
DUMP_DUMPATA.SYS is a system driver for managing ATA devices. 

dump_dumpfve.sys

%SysDir%\Drivers\DUMP_DUMPFVE.SYS is related to Microsoft Windows Vista.
DUMP_DUMPFVE.SYS is a Full Volume Encryption Crashdump Hibernate Filter Driver.
DUMPFVE.SYS is a part of Microsoft® Windows® Vista Operating System. 

dump_msahci.sys

DUMP_MSAHCI.SYS is related to MS AHCI 1.0 Standard Driver.
DUMP_MSAHCI.SYS is a part of Microsoft® Windows® Operating System.
Manufacturer: Microsoft Corp.

anscheinend hängen sie alle mit dump files und legit zusammen, aber ich weiß nicht sicher, ob es für einen anderen hilfreich sein könnte

Windows 7 SP1

Laut MS-Erklärung

Hierbei handelt es sich um virtuelle Treiber, die zum Erstellen von Absturzabbildern verwendet werden.1

Das Erstellen eines Absturzabbilds ist ein Haken: Wenn der Absturz eintritt, befindet sich das System in einem unbekannten Zustand, was bedeutet, dass Sie nichts vertrauen können, nicht einmal dem Dateisystem oder den Block-Gerätetreibern. Immerhin könnte der Absturz in einem dieser Fahrer gewesen sein!

Wenn das System gestartet wird, reserviert es vorab Speicherplatz auf der Festplatte, um Crash-Dump-Informationen aufzuzeichnen, falls dies erforderlich wird. Außerdem werden die Treiber geklont, die zum Schreiben auf die Festplatte erforderlich sind. Wenn ein Absturz auftritt, vertraut der Kernel den Treibern, die die Show ausgeführt haben, nicht. Stattdessen werden diese Klone aufgefordert, die Absturzdaten einzugeben und zu schreiben. Die Theorie hier ist, dass diese Klontreiber unmittelbar nach der Initialisierung in einem angehaltenen Animationszustand gehalten wurden, um die Wahrscheinlichkeit zu minimieren, dass sie in einen fehlerhaften Zustand geraten, der sie daran hindert, ihre Arbeit zu erledigen

Diese virtuellen Treiber werden im Process Explorer ohne Beschreibung oder andere Metadaten angezeigt, da der Process Explorer den angegebenen Pfad verwendet und die Metadaten aus diesem Pfad extrahiert. Diese Treiber wurden jedoch nicht aus einer Datei geladen, sodass nichts angezeigt werden kann.