Ich habe derzeit das Problem, dass mein Rechner (Windows XP Professional SP3) nicht hochfährt. Egal ob ich normal starte oder im abgesicherten Modus (egal welcher), es kommt immer folgender Bluescreen:

*** STOP: 0x0000007B (0xC0000034, 0x00000000, 0x00000000)

Nach meiner Recherche bedeutet die Meldung, dass irgendetwas mit der Festplatte nicht stimmt und daher nicht richtig gebootet werden kann. Eine genaue Fehlermeldung steht nicht im Bluescreen, nur allgemeine Hinweise zu möglichen Festplattenproblemen und Virenbefall.

Leider weiß ich nicht, wo genau der Fehler ist. Ich habe mehrere Ansätze. Folgendes habe ich zuletzt gemacht:

- Ich habe mir einen Virus eingefangen (vermutlich über ein Forum, welches ich per Google gefunden habe, leider weiß ich es nicht genau; auf jeden Fall schlug mein Virenscanner mehrfach Alarm)
- Nach ein bisschen googlen habe ich dann den TDSSKiller von Kaspersky gefunden, welcher wohl genau auf meinen Virustyp passt. Dieser hat dann, im Gegensatz zu einigen anderen Tools und meinem Virenscanner (Norton Internet Security 2010), direkt ein Rootkit in der atapi.sys gefunden. Es wurde mir mitgeteilt, dass dieser Virus nach einem Reboot entfernt wird. Das war aber nicht der Fall. Ich habe es nochmal versucht, aber wieder kein Erfolg.
- Dann habe ich, nach Hinweisen im Internet, von einer BartPE-CD gebootet und die atapi.sys durch exakt die gleiche Version ersetzt (insgesamt 4x, d.h. sämtliche Vorkommnisse). Die Version habe ich von meinem Notebook (auch WinXP SP3, allerdings Home statt Pro). Version und Größe waren absolut identisch.
- In meinem System32\Drivers-Verzeichnis fand ich auch eine sys-Datei von Kaspersky. Ich habe mir gedacht, die brauche ich ja nicht mehr und habe diese gelöscht. Leider kenne ich den Namen nicht mehr. Google spuckt mir zwei Namen aus, "kl1.sys" und "klif.sys". Ich habe aber keine Ahnung, ob es eine davon war.
- Nun habe ich den PC neugestartet und komme jetzt nur noch bis zum Bluescreen.

Die Frage ist nun: Ist evtl. die fehlende Kaspersky-Datei Schuld am Bluescreen? Wurde diese als Treiber eingebunden und kann nun nicht geladen werden? Ist die atapi.sys inkompatibel oder muss diese in der Registry registriert werden? Habe ich noch einen Virus im System? Ich habe leider gar keine Idee mehr, was ich tun kann. Eine Windows-Neuinstallation will ich unbedingt vermeiden.

Streng genommen ist diese Frage (vermutlich) gar keine Frage zu Viren & Co., allerdings hängt sie unmittelbar damit zusammen und ich denke, ich werde nur hier die passenden Antworten erhalten können.

EDIT: Ich meine natürlich atapi.sys, nicht ansi.sys (habe editiert)!

.sys Dateien löschen ist nie die beste Idee

Versuch mal eine Reparatur Installation falls die richtige CD vorhanden ist.
Größe und Version sind da nicht so ausschlaggeben wie eine MD5 Nummer

Die richtige CD, also von WinXP Pro, habe ich hier, allerdings handelt es sich dabei um SP1, aktuell installiert (durch Updates) ist aber SP3. Kann das klappen? Ich weiß nicht, ob die Datei im Laufe der Zeit aktualisiert wurde. Meinst du wirklich Reparaturinstallation oder Reparaturkonsole? Zum Wiederherstellen der Datei würde ja Letzteres reichen. Bei der Installation würden aber doch sicher Dinge überschrieben, die dann einer Windows Neuinstallation gleichkommen (einer sehr unsauberen). Und sollte es doch die Kaspersky-Datei sein, so würde ich den Fehler dadurch nicht beheben.

Ich habe im Internet nun die Bezeichnung "klmd.sys" im Zusammenhang mi dem TDSSKiller gefunden. Kann das die Datei sein? Wenn ja, könnte mir die Datei jemand zur Verfügung stellen? Leider legt TDSSKiller die nicht an, wenn kein Rootkit gefunden wurde.

Ich glaube ganz einfach das deine atapi.sys im Eimer ist.
Sp1 ist schon OK, musst halt nachher updaten.

Und zum herstellen der atapi.sys reicht die RC nicht aus, da Du die alte sicher nicht umbenannt sondern gelöscht hast oder

Zu TDSS Killer gibt es viele Datein

Zitat:

Zitat von Larusso

Und zum herstellen der atapi.sys reicht die RC nicht aus, da Du die alte sicher nicht umbenannt sondern gelöscht hast oder

Richtig, ich habe die Datei gelöscht. Das Rootkit ließ sich scheinbar nicht anders entfernen. Ich werde erstmal die Wiederherstellungskonsole testen und mittels Expand-Befehl die Originaldatei entpacken. Die Reparaturinstallation würde ich als letzten Schritt testen.

Zitat:

Zitat von Larusso

Zu TDSS Killer gibt es viele Datein

Aber nicht im Driver-Verzeichnis, denke ich mal. Falls jemand die genannte Datei bei sich findet, also klmd.sys, immer her damit.

Auf jeden Fall danke erstmal!

Zitat:

Wiederherstellungskonsole testen und mittels Expand-Befehl

Sorry auf das habe ich total vergessen
Ohne atapi.sys kein Booten

Ich habe nun mit einem Ressourcen-Extractor die klmd.sys aus der TDSSKiller.exe extrahieren können. Die habe ich nach C:\windows\system32\drivers kopiert. Leider gibt es immer noch den Bluescreen. Scheinbar ist das nicht das Problem. Ich habe die Datei dann auch noch nach C:\windows\system32 kopiert und mittels der Wiederherstellungskonsole von der XP-CD die atapi.sys durch die Originalversion (SP1, also alt) ersetzt (wieder 4x). Aber auch das brachte nichts. Ich kann mir daher nur erklären, dass womöglich andere Dateien die durch den Virus veränderte atapi.sys benötigen. Ansonsten habe ich ja nichts verändert.

Falls keinem mehr was einfällt, muss es wohl eine Reparaturinstallation sein (die ich sehr ungern benutzen möchte).

EDIT: Der 2. Fehlercode im Bluescreen ist nun übrigens anders: 0xBA4C3524

Sorry für den Doppelpost, aber Editieren geht ja leider nicht mehr und ich wollte die Information für die Nachwelt erhalten:

Ich habe die Hoffnung noch nicht aufgegeben, eine Neuinstallation vermeiden zu können. Ich habe nämlich gerade etwas Interessantes entdeckt. Scheinbar gibt es ein Microsoft-Update, welches einen Bluescreen bei Systemstart erzeugt, wenn ein Rootkit in der atapi.sys ist oder war.

Hier gibt es ein paar Infos dazu:
hxxp://searchsecurity.techtarget.com/news/article/0,289142,sid14_gci1381423,00.html
https://patrickwbarnes.com/blog/2010/02/microsoft-update-kb977165-triggering-widespread-bsod/
hxxp://www.heise.de/security/meldung/Sicherheits-Update-von-Microsoft-fuehrt-zu-Bluescreen-928926.html
hxxp://forums.techguy.org/windows-xp/901672-windows-xp-fails-boot-up.html

Es gibt noch tausend andere Seiten, die sich genau mit dem Thema beschäftigen.

Dummerweise funktioniert die Lösungsmöglichkeit bei mir nicht, nämlich das Update zu deinstallieren. Der besagte Patch (KB977165) ist bei mir nämlich unter C:\windows\$hf_mig$ und nicht, wie in den Anleitungen beschrieben, im entsprechenden $NTUninstall-Ordner. Und in $hf_mig$ fehlt die Deinstallationsmöglicheit, zumindest für die Wiederherstellungskonsole.

Außerdem habe ich das Update bereits am 16.02. installiert und ich habe nach dem Virenbefall den Rechner 2x erfolgreich neugestartet. Daher ist es fraglich, ob es daran liegt, auch wenn vieles darauf hindeutet.

Hi,

mit BartPE und einem RemoteReg-Editor könntest Du die Treiber im currentcontrollset prüfen, z. B ob der TDSSKiller eine temporäre atapi.sys in der Reg eingetragen hat (unter atapi), irgendwas wie "tmp21.sys". Wenn Du die gelöscht hast, dann nutzt das kopieren auf die atapi.sys nichts...
Weiterhin kannst Du den gelöschten Treiber KL*.sys prüfen (gibts den etc.)...

Code: Alles auswählenAufklappen

ATTFilter

...
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\atapi]
"DisplayName"="IDE-Kanal"
"Group"="SCSI Miniport"
"ImagePath"=hex(2):73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,64,00,\
  72,00,69,00,76,00,65,00,72,00,73,00,5c,00,61,00,74,00,61,00,70,00,69,00,2e,\
  00,73,00,79,00,73,00,00,00 unicode=>ascii:system32\drivers\atapi.sys
"ErrorControl"=dword:00000003
"Start"=dword:00000000
"Type"=dword:00000001
"Tag"=dword:00000021
...
         

Wenn das nicht drin steht, hat der Killer den Pfad und Namen "versemmelt"

Zu beachten ist weiterhin, der neue TDSS infiziert noch einen anderen Treiber, nicht nur die atapi.sys...

chris&out

Danke für den Tipp, den werde ich ausprobieren.

Welchen anderen Treiber infiziert denn der neue TDSS noch? Der TDSSKiller hat nur die atapi.sys gefunden.

Hi,

alle möglichen, ich hatte redbook.sys und jetzt die hier:

File C:\WINDOWS\system32\DRIVERS\cdrom.sys suspicious modification
File C:\WINDOWS\system32\drivers\atapi.sys suspicious modification

chris

Was mir am meisten Sorgen macht: Ich habe keinen Schimmer, wie ich mir den Virus eingefangen habe. Er kam sehr plötzlich und in genau dem Augenblick habe ich nichts angeklickt, es waren nur mehrere Programme offen.

Zitat:

Zitat von Chris4You

mit BartPE und einem RemoteReg-Editor könntest Du die Treiber im currentcontrollset prüfen, z. B ob der TDSSKiller eine temporäre atapi.sys in der Reg eingetragen hat (unter atapi), irgendwas wie "tmp21.sys".

Es war tatsächlich im ControlSet002 statt der atapi.sys eine tmp36.sys eingetragen. Das habe ich geändert und nun startet mein System wieder. Es ist aber definitiv noch infiziert, ich versuche gerade die Entfernung.
Ein Ersetzen von atapi.sys, cdrom.sys und redbook.sys half nicht. Mal sehen, ob das noch auf eine komplette Neuinstallation hinausläuft...

Hi,

back to the roots...

Mach einen neuen GMER-Lauf und poste das Log...
(Ich hasse das TDSS-Teil)...
Wie hast Du versucht die Treiber zu kopieren...?

Wenn garnichts hilft, Boot-Cd basteln, von der Booten und dann die Festplatte komplett scannen und bereinigen lassen, Treiber ersetzen ...

Vorher unbedingt die Systemwiederherstellung ausschalten...

Sauberen PC zum Erstellen nutzen!

Dr. Web-Live-CD
Lade Dir das Abbild (http://freedrweb.com/livecd) runter (jeweils die neuste Version, z. Z. ftp://ftp.drweb.com/pub/drweb/livecd/20091231042002/) und brenne es auf CD/DVD. Stelle dann im BIOS die Bootreihenfolge um (zuerst von CD booten), boote dann von der erstellten CD und starte Dr. Web Live CD (default). Lass dann alle Festplatten untersuchen...
Bei Funden bitte Name und Pfad notieren, bevor du sie von Dr. Web beseitigen lässt...
Weiter Anweisungen: http://www.freedrweb.com/livecd/how_it_works/

Boot-CD erstellen:
Am einfachsten geht dies über http://www.ubcd4win.com/, runterladen installieren und dann mit einer XP-CD (Installations-CD bzw. Recovery-CD [das gibt dann allerdings eine Warnung!])die Boot-CD erstellen (natürlich auf einem sauberen System!).
Vorteil dabei ist, dass die "Universal Boot CD für Windows" gleich Virenscanner und Tools an Board hat, mit denen man dann gleich loslegen kann.
Rootkits liegen nach dem Booten von CD "ungeschützt" auf der Platte (da sie ja nicht gestartet wurden) und können dann sehr einfach gesucht u.
gelöscht werden. Ein Remoteregistry-Editor steht ebenfalls zur Verfügung.

Schnellanweisung für XP:
Im Groben sieht das so aus;
UBCD runterladen, installieren, XP-CD auf die Festplatte kopieren (Speicherplatz beachten, es muss daraus dann nochmal eine ISO-Datei erstellt werden).
Erstelle auf Deinem Rechner ein Verzeichnis (C:\XPCD), kopiere dann den gesamten Inhalt der CD da rein (vorher im Explorer einschalten, dass alle versteckten Dateien etc. angezeigt und Systemdateien nicht ausgeblendet werden (damit auch alles kopiert werden kann)).
Ist die gesamte XP-CD kopiert, starte UBCD4WinBuilder.exe (Normalerweise im Verzeichnis C:\ubcd4win zu finden), Copyright etc. abnicken, "Search for Windows installation Files" -> No, im darauffolgenden Fenster "Source" ->C:\XPCD, Outputpath wie Du willst oder einfach so lassen, dann entweder für das spätere Brennen eine ISO-Datei erstellen lassen (dann einen Filenamen bei "Create ISO-Image" eingeben!), oder gleich eine leere DVD rein und direkt brennen lassen. "Custom" leer lassen. Dann Build auswählen... Nochmal MS-Copyright abnicken und es geht los.
Und nach ca. 0,5-1h haben wir eine Bootfertige Not-CD mit allem was man so braucht ;o)...

chris

Der Scan mit GMER läuft immer noch, dauert ewig. Hier die bisherigen Ergebnisse:

Code: Alles auswählenAufklappen

ATTFilter

GMER 1.0.15.15281 - hxxp://www.gmer.net
Rootkit scan 2010-04-18 00:46:38
Windows 5.1.2600 Service Pack 3
Running: xc97gg3i.exe; Driver: C:\DOKUME~1\MARCUS~1\LOKALE~1\Temp\pwldqpod.sys


---- System - GMER 1.0.15 ----

SSDT                89A65050ZwAlertResumeThread
SSDT                89A41050ZwAlertThread
SSDT                898F99A8ZwAllocateVirtualMemory
SSDT                89A2C050ZwAssignProcessToJobObject
SSDT                89B95A90ZwConnectPort
SSDT                \??\C:\WINDOWS\system32\Drivers\SYMEVENT.SYS (Symantec Event Library/Symantec Corporation)                                ZwCreateKey [0xA737D210]
SSDT                89907C50ZwCreateMutant
SSDT                89907738ZwCreateSymbolicLinkObject
SSDT                89905E10ZwCreateThread
SSDT                89A23050ZwDebugActiveProcess
SSDT                \??\C:\WINDOWS\system32\Drivers\SYMEVENT.SYS (Symantec Event Library/Symantec Corporation)                                ZwDeleteKey [0xA737D490]
SSDT                \??\C:\WINDOWS\system32\Drivers\SYMEVENT.SYS (Symantec Event Library/Symantec Corporation)                                ZwDeleteValueKey [0xA737D9F0]
SSDT                898FB718ZwDuplicateObject
SSDT                spiz.sysZwEnumerateKey [0xB9EC6CA2]
SSDT                spiz.sysZwEnumerateValueKey [0xB9EC7030]
SSDT                898F9808ZwFreeVirtualMemory
SSDT                89A70050ZwImpersonateAnonymousToken
SSDT                89A74050ZwImpersonateThread
SSDT                89B954B0ZwLoadDriver
SSDT                898F9728ZwMapViewOfSection
SSDT                89A3B050ZwOpenEvent
SSDT                \??\C:\WINDOWS\system32\Drivers\SYMEVENT.SYS (Symantec Event Library/Symantec Corporation)                                ZwOpenKey [0xA737D7A0]
SSDT                899044D8ZwOpenProcess
SSDT                89A40050ZwOpenProcessToken
SSDT                89A88050ZwOpenSection
SSDT                89904408ZwOpenThread
SSDT                89907808ZwProtectVirtualMemory
SSDT                spiz.sysZwQueryKey [0xB9EC7108]
SSDT                spiz.sysZwQueryValueKey [0xB9EC6F88]
SSDT                89A6C050ZwResumeThread
SSDT                89A43050ZwSetContextThread
SSDT                898F95D0ZwSetInformationProcess
SSDT                89A54050ZwSetSystemInformation
SSDT                \??\C:\WINDOWS\system32\Drivers\SYMEVENT.SYS (Symantec Event Library/Symantec Corporation)                                ZwSetValueKey [0xA737DC40]
SSDT                89A2D050ZwSuspendProcess
SSDT                89A9A050ZwSuspendThread
SSDT                89A6D050ZwTerminateProcess
SSDT                89A96050ZwTerminateThread
SSDT                89A42050ZwUnmapViewOfSection
SSDT                898F98D8ZwWriteVirtualMemory

INT 0x62            ?       8B195BF8
INT 0x63            ?       8B195BF8
INT 0x63            ?       8B195BF8
INT 0x63            ?       8B03ABF8
INT 0x83            ?       8B03ABF8
INT 0xA4            ?       8B03ABF8
INT 0xB4            ?       8B03ABF8

---- Kernel code sections - GMER 1.0.15 ----

?                   spiz.sysDas System kann die angegebene Datei nicht finden. !
?                   SYMDS.SYS                                   Das System kann die angegebene Datei nicht finden. !
?                   SYMEFA.SYS                                  Das System kann die angegebene Datei nicht finden. !
.text               C:\WINDOWS\system32\DRIVERS\ati2mtag.sys    section is writeable [0xB9855000, 0x1C5D58, 0xE8000020]
.text               USBPORT.SYS!DllUnload                       B98348AC 5 Bytes  JMP 8B03A1D8 
.text               ahmj1x0f.SYS                                B95FE386 35 Bytes  [00, 00, 00, 00, 00, 00, 20, ...]
.text               ahmj1x0f.SYS                                B95FE3AA 24 Bytes  [00, 00, 00, 00, 00, 00, 00, ...]
.text               ahmj1x0f.SYS                                B95FE3C4 3 Bytes  [00, 70, 02] {ADD [EAX+0x2], DH}
.text               ahmj1x0f.SYS                                B95FE3C9 1 Byte  [2E]
.text               ahmj1x0f.SYS                                B95FE3C9 11 Bytes  [2E, 00, 00, 00, 5A, 02, 00, ...]
.text               ...     
.rsrc               C:\WINDOWS\System32\DRIVERS\mouclass.sys    entry point in ".rsrc" section [0xBA49C814]
.text               C:\WINDOWS\system32\drivers\hardlock.sys    section is writeable [0xA4823400, 0x7960C, 0xE8000020]
.protectÿÿÿÿhardlockentry point in ".protectÿÿÿÿhardlockentry point in ".protectÿÿÿÿhardlockentry point in ".p" section [0xA48C5420]  C:\WINDOWS\system32\drivers\hardlock.sys    entry point in ".protectÿÿÿÿhardlockentry point in ".protectÿÿÿÿhardlockentry point in ".p" section [0xA48C5420]
.protectÿÿÿÿhardlockunknown last code section [0xA48C5200, 0x5049, 0xE0000020]                    C:\WINDOWS\system32\drivers\hardlock.sys    unknown last code section [0xA48C5200, 0x5049, 0xE0000020]
.text               C:\Programme\PowerDVD9\PowerDVD9\000.fcl    section is writeable [0xA450F000, 0x2892, 0xE8000020]
.vmp2               C:\Programme\PowerDVD9\PowerDVD9\000.fcl    entry point in ".vmp2" section [0xA4532050]

---- User code sections - GMER 1.0.15 ----

.text               C:\WINDOWS\System32\svchost.exe[984] ntdll.dll!NtProtectVirtualMemory                 7C91D6EE 5 Bytes  JMP 0099000A 
.text               C:\WINDOWS\System32\svchost.exe[984] ntdll.dll!NtWriteVirtualMemory                   7C91DFAE 5 Bytes  JMP 009A000A 
.text               C:\WINDOWS\System32\svchost.exe[984] ntdll.dll!KiUserExceptionDispatcher              7C91E47C 5 Bytes  JMP 0098000C 
.text               C:\WINDOWS\system32\wuauclt.exe[1936] ntdll.dll!NtProtectVirtualMemory                7C91D6EE 5 Bytes  JMP 0099000A 
.text               C:\WINDOWS\system32\wuauclt.exe[1936] ntdll.dll!NtWriteVirtualMemory                  7C91DFAE 5 Bytes  JMP 009A000A 
.text               C:\WINDOWS\system32\wuauclt.exe[1936] ntdll.dll!KiUserExceptionDispatcher             7C91E47C 5 Bytes  JMP 0098000C 
.text               C:\WINDOWS\Explorer.EXE[2116] ntdll.dll!NtProtectVirtualMemory                        7C91D6EE 5 Bytes  JMP 00B6000A 
.text               C:\WINDOWS\Explorer.EXE[2116] ntdll.dll!NtWriteVirtualMemory                          7C91DFAE 5 Bytes  JMP 00C0000A 
.text               C:\WINDOWS\Explorer.EXE[2116] ntdll.dll!KiUserExceptionDispatcher                     7C91E47C 5 Bytes  JMP 00B5000C 

---- Kernel IAT/EAT - GMER 1.0.15 ----

IAT                 atapi.sys[HAL.dll!READ_PORT_UCHAR]          [B9EA9040] spiz.sys
IAT                 atapi.sys[HAL.dll!READ_PORT_BUFFER_USHORT]  [B9EA913C] spiz.sys
IAT                 atapi.sys[HAL.dll!READ_PORT_USHORT]         [B9EA90BE] spiz.sys
IAT                 atapi.sys[HAL.dll!WRITE_PORT_BUFFER_USHORT] [B9EA97FC] spiz.sys
IAT                 atapi.sys[HAL.dll!WRITE_PORT_UCHAR]         [B9EA96D2] spiz.sys
IAT                 \SystemRoot\System32\DRIVERS\i8042prt.sys[HAL.dll!READ_PORT_UCHAR]                    [B9EB9048] spiz.sys
IAT                 \SystemRoot\System32\Drivers\ahmj1x0f.SYS[HAL.dll!KfAcquireSpinLock]                  C0840CEC
IAT                 \SystemRoot\System32\Drivers\ahmj1x0f.SYS[HAL.dll!READ_PORT_UCHAR]                    053C0D74
IAT                 \SystemRoot\System32\Drivers\ahmj1x0f.SYS[HAL.dll!KeGetCurrentIrql]                   57B80974
IAT                 \SystemRoot\System32\Drivers\ahmj1x0f.SYS[HAL.dll!KfRaiseIrql]                        8B000000
IAT                 \SystemRoot\System32\Drivers\ahmj1x0f.SYS[HAL.dll!KfLowerIrql]                        56C35DE5
IAT                 \SystemRoot\System32\Drivers\ahmj1x0f.SYS[HAL.dll!HalGetInterruptVector]              8D08758B
IAT                 \SystemRoot\System32\Drivers\ahmj1x0f.SYS[HAL.dll!HalTranslateBusAddress]             8D51FC4D
IAT                 \SystemRoot\System32\Drivers\ahmj1x0f.SYS[HAL.dll!KeStallExecutionProcessor]          8D52FD55
IAT                 \SystemRoot\System32\Drivers\ahmj1x0f.SYS[HAL.dll!KfReleaseSpinLock]                  8D51FE4D
IAT                 \SystemRoot\System32\Drivers\ahmj1x0f.SYS[HAL.dll!READ_PORT_BUFFER_USHORT]            8D52FF55
IAT                 \SystemRoot\System32\Drivers\ahmj1x0f.SYS[HAL.dll!READ_PORT_USHORT]                   8D51F84D
IAT                 \SystemRoot\System32\Drivers\ahmj1x0f.SYS[HAL.dll!WRITE_PORT_BUFFER_USHORT]           5052F455
IAT                 \SystemRoot\System32\Drivers\ahmj1x0f.SYS[HAL.dll!WRITE_PORT_UCHAR]                   EACAE856
IAT                 \SystemRoot\System32\Drivers\ahmj1x0f.SYS[WMILIB.SYS!WmiSystemControl]                0FC08520
IAT                 \SystemRoot\System32\Drivers\ahmj1x0f.SYS[WMILIB.SYS!WmiCompleteRequest]              0001B185

---- Devices - GMER 1.0.15 ----

Device              \FileSystem\Ntfs \Ntfs                      8B1941F8
Device              \FileSystem\Fastfat \FatCdrom               88C9F1F8

AttachedDevice      \Driver\Tcpip \Device\Ip                    SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)

Device              \Driver\usbuhci \Device\USBPDO-0            8B06D1F8
Device              \Driver\dmio \Device\DmControl\DmIoDaemon   8B2061F8
Device              \Driver\dmio \Device\DmControl\DmConfig     8B2061F8
Device              \Driver\dmio \Device\DmControl\DmPnP        8B2061F8
Device              \Driver\dmio \Device\DmControl\DmInfo       8B2061F8
Device              \Driver\usbuhci \Device\USBPDO-1            8B06D1F8
Device              \Driver\usbuhci \Device\USBPDO-2            8B06D1F8
Device              \Driver\usbuhci \Device\USBPDO-3            8B06D1F8
Device              \Driver\usbehci \Device\USBPDO-4            8B064500

AttachedDevice      \Driver\Tcpip \Device\Tcp                   SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)

Device              \Driver\Ftdisk \Device\HarddiskVolume1      8B1961F8
Device              \Driver\Ftdisk \Device\HarddiskVolume2      8B1961F8
Device              \Driver\Cdrom \Device\CdRom0                8AFFE500
Device              \Driver\Cdrom \Device\CdRom1                8AFFE500
Device              \Driver\atapi \Device\Ide\IdePort0          [B9DFBB40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device              \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-4 [B9DFBB40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device              \Driver\atapi \Device\Ide\IdePort1          [B9DFBB40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device              \Driver\atapi \Device\Ide\IdePort2          [B9DFBB40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device              \Driver\atapi \Device\Ide\IdeDeviceP0T1L0-c [B9DFBB40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device              \Driver\atapi \Device\Ide\IdeDeviceP2T0L0-22[B9DFBB40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device              \Driver\USBSTOR \Device\000000b1            89B981F8
Device              \Driver\Cdrom \Device\CdRom2                8AFFE500
Device              \Driver\USBSTOR \Device\000000b2            89B981F8
Device              \Driver\PCI_PNP4522 \Device\00000074        spiz.sys
Device              \Driver\USBSTOR \Device\000000b3            89B981F8
Device              \Driver\NetBT \Device\NetBt_Wins_Export     89AC3500
Device              \Driver\NetBT \Device\NetbiosSmb            89AC3500

AttachedDevice      \Driver\Tcpip \Device\Udp                   SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)
AttachedDevice      \Driver\Tcpip \Device\RawIp                 SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)

Device              \Driver\usbuhci \Device\USBFDO-0            8B06D1F8
Device              \Driver\usbuhci \Device\USBFDO-1            8B06D1F8
Device              \FileSystem\MRxSmb \Device\LanmanDatagramReceiver 89ABF1F8
Device              \Driver\usbuhci \Device\USBFDO-2            8B06D1F8
Device              \FileSystem\MRxSmb \Device\LanmanRedirector 89ABF1F8
Device              \Driver\USBSTOR \Device\000000ae            89B981F8
Device              \Driver\usbuhci \Device\USBFDO-3            8B06D1F8
Device              \Driver\USBSTOR \Device\000000af            89B981F8
Device              \Driver\usbehci \Device\USBFDO-4            8B064500
Device              \Driver\Ftdisk \Device\FtControl            8B1961F8
Device              \Driver\sptd \Device\990702022              spiz.sys
Device              \Driver\ahmj1x0f \Device\Scsi\ahmj1x0f1     8AFC3500
Device              \Driver\ahmj1x0f \Device\Scsi\ahmj1x0f1Port3Path0Target0Lun0                          8AFC3500
Device              \FileSystem\Fastfat \Fat                    88C9F1F8

AttachedDevice      \FileSystem\Fastfat \Fat                    fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

Device              \FileSystem\Cdfs \Cdfs                      889C21F8
Device               -> \Driver\atapi \Device\Harddisk0\DR0     8AEDEAC8

---- Registry - GMER 1.0.15 ----

Reg                 HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1-1187556267
Reg                 HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2-1133690880
Reg                 HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h01
Reg                 HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4      
Reg                 HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0   0
Reg                 HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh0x93 0x8B 0x95 0x15 ...
Reg                 HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0   C:\Programme\DAEMON Tools Lite\
Reg                 HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001                                 
Reg                 HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh                           0xEE 0x75 0xD4 0x8E ...
Reg                 HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0                              0x20 0x01 0x00 0x00 ...
Reg                 HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40                           
Reg                 HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh                     0x5A 0x43 0xB3 0x27 ...
Reg                 HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 (not active ControlSet)                      
Reg                 HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0       0
Reg                 HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh    0x93 0x8B 0x95 0x15 ...
Reg                 HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0       C:\Programme\DAEMON Tools Lite\
Reg                 HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001 (not active ControlSet)             
Reg                 HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh                               0xEE 0x75 0xD4 0x8E ...
Reg                 HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0                                  0x20 0x01 0x00 0x00 ...
Reg                 HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40 (not active ControlSet)       
Reg                 HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh                         0x5A 0x43 0xB3 0x27 ...
Reg                 HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 (not active ControlSet)                      
Reg                 HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0       C:\Programme\DAEMON Tools\
Reg                 HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0       0
Reg                 HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh    0x48 0x6A 0x4E 0x1B ...
Reg                 HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001 (not active ControlSet)             
Reg                 HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0                                  0x20 0x01 0x00 0x00 ...
Reg                 HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh                               0x20 0xD7 0xFC 0xA6 ...
Reg                 HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40 (not active ControlSet)       
Reg                 HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh                         0xC6 0x8F 0xED 0xCE ...
Reg                 HKLM\SOFTWARE\Microsoft\Windows\Current Version\{8AC25C6A-D4B3-FF2F-2A61-C75CA1DB6116}\Install                            
Reg                 HKLM\SOFTWARE\Microsoft\Windows\Current Version\{8AC25C6A-D4B3-FF2F-2A61-C75CA1DB6116}\Install\VxDs                       
Reg                 HKLM\SOFTWARE\Microsoft\Windows\Current Version\{8AC25C6A-D4B3-FF2F-2A61-C75CA1DB6116}\Install\VxDs@CTE_32 Name           2455090:{301564B2-67A6-1A66-9C4E-A1FE91DE9752}
Reg                 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Install                                
Reg                 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Install\xga-1-{61BAA018-5C0D-5EBA-5152-25F48F6DC09F}                       
Reg                 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Install\xga-1-{61BAA018-5C0D-5EBA-5152-25F48F6DC09F}\Version 1.1           
Reg                 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Install\xga-1-{61BAA018-5C0D-5EBA-5152-25F48F6DC09F}\Version 1.1@dat       806585365:{5754C873-10E4-8AE6-02E9-83118BF7F169}
Reg                 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Install\xga-1-{8095FE63-885F-5836-6A33-CC6572F9446C}                       
Reg                 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Install\xga-1-{8095FE63-885F-5836-6A33-CC6572F9446C}\Version 1.1           
Reg                 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Install\xga-1-{8095FE63-885F-5836-6A33-CC6572F9446C}\Version 1.1@dat       806585365:{9047407A-FA0C-AB7C-FC07-D5FB05433317}
Reg                 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Install\xga-1-{9A9A45AF-F647-BF7D-97EE-3C2793AE20F1}                       
Reg                 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Install\xga-1-{9A9A45AF-F647-BF7D-97EE-3C2793AE20F1}\Version 1.1           
Reg                 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Install\xga-1-{9A9A45AF-F647-BF7D-97EE-3C2793AE20F1}\Version 1.1@dat       806585365:{2FEE5103-1EA6-3FB0-3BDF-095536165505}
Reg                 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\System                                 
Reg                 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\System@OODEFRAG10.00.00.01WORKSTATION  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
Reg                 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\System@OODEFRAG11.00.00.01WORKSTATION  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
Reg                 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\{0F0D1E99-8623-83BD-BFD2-E3141847B5E4} 
Reg                 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\{0F0D1E99-8623-83BD-BFD2-E3141847B5E4}\Install                             
Reg                 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\{0F0D1E99-8623-83BD-BFD2-E3141847B5E4}\Install\xga-1                       
Reg                 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\{0F0D1E99-8623-83BD-BFD2-E3141847B5E4}\Install\xga-1\dat                   
Reg                 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\{0F0D1E99-8623-83BD-BFD2-E3141847B5E4}\Install\xga-1\dat@default           516231230:{770DB800-605C-8BB7-4459-2D31DB7A5769}
Reg                 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\{1937BC63-5A57-4D79-7510-EEE7E842CD4C} 
Reg                 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\{1937BC63-5A57-4D79-7510-EEE7E842CD4C}\Install                             
Reg                 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\{1937BC63-5A57-4D79-7510-EEE7E842CD4C}\Install\xga-1                       
Reg                 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\{1937BC63-5A57-4D79-7510-EEE7E842CD4C}\Install\xga-1\dat                   
Reg                 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\{1937BC63-5A57-4D79-7510-EEE7E842CD4C}\Install\xga-1\dat@default           516231230:{B4578FAC-C3D8-64F9-92A6-DD2F56877CF1}
Reg                 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\{2FA2F546-7F18-A4EA-8732-3A4EB15DD689} 
Reg                 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\{2FA2F546-7F18-A4EA-8732-3A4EB15DD689}\Install                             
Reg                 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\{2FA2F546-7F18-A4EA-8732-3A4EB15DD689}\Install\xga-1                       
Reg                 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\{2FA2F546-7F18-A4EA-8732-3A4EB15DD689}\Install\xga-1\dat                   
Reg                 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\{2FA2F546-7F18-A4EA-8732-3A4EB15DD689}\Install\xga-1\dat@default           516231230:{FB15DFDE-9099-3F28-79DB-2A8F0426D2B5}
Reg                 HKLM\SOFTWARE\Microsoft\Windows Install VBX 
Reg                 HKLM\SOFTWARE\Microsoft\Windows Install VBX\Current                                   
Reg                 HKLM\SOFTWARE\Microsoft\Windows Install VBX\Current\Install                           
Reg                 HKLM\SOFTWARE\Microsoft\Windows Install VBX\Current\Install\xga-1-{61BAA018-5C0D-5EBA-5152-25F48F6DC09F}                  
Reg                 HKLM\SOFTWARE\Microsoft\Windows Install VBX\Current\Install\xga-1-{61BAA018-5C0D-5EBA-5152-25F48F6DC09F}\Version 3.x      
Reg                 HKLM\SOFTWARE\Microsoft\Windows Install VBX\Current\Install\xga-1-{61BAA018-5C0D-5EBA-5152-25F48F6DC09F}\Version 3.x@dat  1767914624:{04CE049B-8CFE-7521-9DCD-490EDE3C0CCD}
Reg                 HKLM\SOFTWARE\Microsoft\Windows Install VBX\Current\Install\xga-1-{8095FE63-885F-5836-6A33-CC6572F9446C}                  
Reg                 HKLM\SOFTWARE\Microsoft\Windows Install VBX\Current\Install\xga-1-{8095FE63-885F-5836-6A33-CC6572F9446C}\Version 3.x      
Reg                 HKLM\SOFTWARE\Microsoft\Windows Install VBX\Current\Install\xga-1-{8095FE63-885F-5836-6A33-CC6572F9446C}\Version 3.x@dat  1767914624:{05837F35-2D72-3DF5-F46B-449E2090F84E}
Reg                 HKLM\SOFTWARE\Microsoft\Windows Install VBX\Current\Install\xga-1-{9A9A45AF-F647-BF7D-97EE-3C2793AE20F1}                  
Reg                 HKLM\SOFTWARE\Microsoft\Windows Install VBX\Current\Install\xga-1-{9A9A45AF-F647-BF7D-97EE-3C2793AE20F1}\Version 3.x      
Reg                 HKLM\SOFTWARE\Microsoft\Windows Install VBX\Current\Install\xga-1-{9A9A45AF-F647-BF7D-97EE-3C2793AE20F1}\Version 3.x@dat  1767914624:{B5EFE182-AC35-A29F-F73F-3FE38FCB182E}
Reg                 HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\smase._dll                                 
Reg                 HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\smase._dll@AplicationGoo                   09S081N0efb?1?1723%
Reg                 HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\smase._dll@ChkAppHelp                      {55152710-5DE2-4833-6A94-90A6686E817E}
Reg                 HKLM\SOFTWARE\Classes\CLSID\{BEB3C0C7-B648-4257-96D9-B5D024816E27}\Version            
Reg                 HKLM\SOFTWARE\Classes\CLSID\{BEB3C0C7-B648-4257-96D9-B5D024816E27}\Version@Version    0x44 0x0C 0x58 0x98 ...
         

Zitat:

Wie hast Du versucht die Treiber zu kopieren...?

Meinst du, wie ich die atapi.sys ersetzt habe? Über BartPE, die Kopie habe ich per USB-Stick von meinem Notebook auf den PC transferiert.