> Jedenfalls scheint die (legitime!!) Datei atapi.sys in
> system32/drivers dasselbe zu sein! Kann das mal jmd. gegenprüfen?
>
> Was mich immer noch wundert: Warum eine Kopie der atapi.sys sich so
> rootkitmäßig ins System einnistet... und dann mit ständig wechselnden Namen
> 
>
>
File size: 96512 bytes
> MD5 : 9f3a2f5aa6875c72bf062c712cfa2674
> SHA1 : a719156e8ad67456556a02c34e762944234e7a44
> SHA256:
> b4df1d2c56a593c6b54de57395e3b51d288f547842893b32b0f59228a0cf70b9
Hallo Arne,
diese Daten stimmen mit der ATAPI.SYS auf meinem Rechner überein: Windows XP Pro SP3, IE 8. Die \"Ur\"-ATAPI.SYS im Ordner ..\\i386 der Setup CD weist nur 85 KB aus, während in den SP-CABs Größen zwischen 94...95 KB zu finden sind.
Wie in den Dateiinformationen angezeigt, handelt es sich um den Treiber für ATAPI-Laufwerke (CD/DVD/Brenner) an der IDE-Schnittstelle.
Dateinamensänderungen sind mir nicht bekannt, und auch meine diversen Malware-Wächter kläffen nicht -
Archiv