danke, werd's versuchen.
steh in der cmd im Verzeichnis E:\i386

hab jetzt ein wenig herumprobiert, schließlich hat

Code: Alles auswählenAufklappen

ATTFilter

expand -r E:\i386\atapi.sy_ C:\Windows\system32\drivers\
         

geholfen

die atapi aus sp3.cab hat nicht mit dem Befehl funktioniert bzw. ich war mir unsicher, ob nicht alles expandiert wird, wenn ich C:\Windows\system32\drivers\ als destination/ziel angebe

Hi,

dann wäre jetzt mal ein Reboot notwendig...
Trenne den Rechner erstmal vom Netz und lass von der Sygate die spoolsv.exe blockieren...

Das Teil kommt übrigens über infizierte webpages und wird von einem Dropper fallen gelassen, der die spoolsv.exe zum nachladen der Rootkitkomponenten benutzt. Da das ein Windowsprozess ist, kommt der natürlich ohne Probleme durch die Firewall und das Unglück nimmt seinen Lauf...

chris
Ps.: Was bei mir noch ein ungutes Gefühl hervorruft ist das hier:
IoDeviceObjectType -> DeleteProcedure -> ntkrnlpa.exe @ 0x805836a8
\Device\Harddisk0\DR0 -> DeleteProcedure -> ntkrnlpa.exe @ 0x805836a8
Da hängt noch was in Betriegssystemkernel rum...

weiß nicht genau, wo ich speziell spoolsv.exe blockieren kann werde beim neustart einfach alles blockieren. (hab spoolsv.exe unter Applikationen nicht gefunden)
Dafür sind mir dort ein paar Dateien aus dem Temp-Ordner aufgefallen, die hab ich dann gesucht, und bin draufgekommen, dass der Temp-Ordner nicht angezeigt wird, obwohl ich zu Anfang mal überprüft habe, dass Systemdateien und versteckte Dateien angezeigt werden. Kann das von Combofix o.ä. geändert worden sein? Kann das Einfluss auf Scans gehabt haben, so dass potentiell infizierte Dateien gar nicht gescannt worden sind?

edit: die versteckten dateien hatte ich mir bereits vorher anzeigen lassen, ich hab das gleich am anfang nach deinem hinweis nochmal überprüft:

Zitat:

Zitat von Chris4You

• Als erstes versteckte Dateien anzeigen lassen! (nur Punkt 1 durchführen!)

seltsam.

Hi,

dürfte keinen Einfluss haben.

Meines Wissens verbiegt CF da nichts... Plätte mal noch alle versteckten Dateien.

Nach dem booten ohne Netz von Festplatte gleich mal die Scanner auf die Reise schicken.

chris

Zitat:

Zitat von Chris4You

Plätte mal noch alle versteckten Dateien.

was meinst Du damit Chris?

Hi,

nicht die versteckten, die temporären (ich werde langsam -äh- alt)..
C.\windows\temp, c:\dokumente einstellungen\user\lokale einstellungen\temp,
das für den Admin nicht vergessen...

Hast Du die falsche atapi.sys schon "übergebügelt"?

chris

achso, jep, hab ich eh gemacht, jetzt beim neustart waren wieder welche da, hab ich wieder gelöscht.

die atapi.sys hab ich schon länger expandiert s.o., soll ich nochmal?

Zitat:

Zitat von Joe007

Code: Alles auswählenAufklappen

ATTFilter

expand -r E:\i386\atapi.sy_ C:\Windows\system32\drivers\