212462

Infizierten Treiber ersetzen

15.02.2010 | 15:42 Uhr | Frank Ziemann

Bluescreen nach Neustart
Vergrößern Bluescreen nach Neustart
© 2014

Ändert ein Software-Update wie ein Windows-Patch etwas an den von den Malware-Programmierern angenommen Strukturen, schlagen die Aufrufe fehl und das Laden des infizierten Treibers scheitert. Da es sich um einen essentiellen Systemtreiber handelt, startet Windows nicht mehr - auch nicht im Abgesicherten Modus.

Die Abhilfe kann in solchen Fällen darin bestehen, den infizierten Treiber nach Starten des Rechners von einer sauberen Boot-CD (etwa die Windows-CD) durch eine nicht verseuchte Kopie des Originaltreibers zu ersetzen. Typische Kandidaten sind laut Mircea Ciubotariu von Symantec neben atapi.sys die Treiberdateien iastor.sys, idechndr.sys, ndis.sys, nvata.sys oder vmscsi.sys.

Mit dem Originaltreiber sollte Windows wieder starten. Danach sollte der Rechner mit mehreren Antivirus- und Anti-Rootkit-Programmen untersucht und bereinigt werden. Denn wo ein Rootkit ist, findet sich in der Regel auch weitere Malware.

PC-WELT Marktplatz

212462