AnnoZone Forum

Also meinem Virusproggi ist das net bekannt auch TruPrevent erkennt das nicht.
Wird wohl keiner sein.

Laut einiger google-Hits wird das Teil auch unter Diensten gestartet, was schon sehr suspekt ist, bei einer Datei, die im Temp-Ordner liegt. Ich bezweilfe allerdings, dass es wirklich was mit der Thief-DVD zu tun hat, oder hast Du die betreffende Datei explizit auch auf der DVD gefunden?.
Ich vermute eher, dass Du Dir da woanders was eingefangen hast, dass erst jetzt aktiv wird/wurde.
Du solltest auf jeden Fall versuchen, das Teil loszuwerden.

Laut einem französischen Forum ( http://www.sur-la-toile.com/viewTopicNum…-tres-lent.html ) kann das Teil durch http://www.ewido.net/de/download/ entfernt werden.

Zitat

ewido anti-spyware - Scan Report
---------------------------------------------------------

+ Created at: 14:48:38 23/07/2006

C:\Documents and Settings\luc\Local Settings\Temp\jatmlano.sys -> Backdoor.Genlot.DX : Cleaned.

Es könnte durchaus sein, dass das durch den Autostart bestimmter DVDs ausgelöst wird, die Quelle aber nicht die jeweilige DVD ist. Probier doch mal das Antispywareprogramm aus meinem letzten Post.

Schon untersucht, ob es sich bei jatmlano.sys um einen Kopierschutztreiber handelt?

Mit einem Hexviewer sollte sich ein Copyrightvermerk finden lassen.

Zitat

Original von Solagon
Schon untersucht, ob es sich bei jatmlano.sys um einen Kopierschutztreiber handelt?

Mit einem Hexviewer sollte sich ein Copyrightvermerk finden lassen.

Wenn das so wäre, würde es wenigstens einen google-Hit mit dieser Info geben. Da findet sich diese Datei aber echt ohne Ausnahme im Zusammenhang mit Trojanermeldungen oder zumindest der Vermutung, dass sie mit einem Trojaner zusammenhängt.

Der Trojaner wird von woanders gekommen sein, nur hat er sich in diese Datei eingeschummelt, da die aber im Tempordner drinn is, müsste sie probleblos zu killen sein, einfach den Ordner leeren.

So einfach wird es wohl nicht sein... laut der Betroffenen ist die Datei spätestens nach einem Neustart wieder da. Es bedarf also schon etwas mehr als nur des Löschens dieser Datei

Kannst Du diese Datei nicht von der Suche ausschließen?

Zitat

Original von WaxWorm

Zitat

Original von Solagon
Schon untersucht, ob es sich bei jatmlano.sys um einen Kopierschutztreiber handelt?

Mit einem Hexviewer sollte sich ein Copyrightvermerk finden lassen.

Wenn das so wäre, würde es wenigstens einen google-Hit mit dieser Info geben.

Das Gottvertrauen in google ist mir manchmal fast unheimlich.

Hier wären noch ein paar sys-Dateien aus dem Temp Ordner.

bfastfao.sys
gsplittm.sys
jgameenp.sys
pnicml.sys

Und was findet man bei google über diese sys-Dateien, jedenfalls nichts über ihren Ursprung.
Ein kleine Testreihe, die Klarheit schafft. Wir brauchen ein Anno 1503 Spiel mit Kopierschutz, vorzugsweise die KE. Und ein Savegame, das Anno zum Absturz bringt.

Anno 1503 installieren und starten. Im Temp-Ordner erscheint eine sys-Datei. Anno beenden und die sys-Datei verschwindet.
Anno erneut starten und das defekte Savegame laden. Anno stürtzt ab und die sys-Datei verbleibt im Temp-Ordner. Sie läßt sich auch vorerst nicht löschen, da sie noch im System eingebunden ist. Das klappt erst nach einem Neustart von XP. Die sys-Datei sichern und im Temp-Ordner löschen, sowie Anno komplett deinstallieren.

Anno erneut installieren und starten. Es erscheint wieder eine sys-Datei im Temp-Ordner.
Allerdings hat sie nun einen anderen Namen!!! Auswahl siehe oben.
Ein binärer Vergleich zeigt, das die Dateien identisch sind.

Bei den sys-Dateien aus der KE ist es nun relativ einfach. Mit einem Hexviewer findet sich im Klartext der Hinweis auf Securom 5.02., dem Kopierschutz von Anno 1503.

Bei Excali gibt es nun einige Parallelen. Die jatmlano.sys erscheint auch nur beim Spielstart und verschwindet nach Spielende. Zudem nistet sie sich ebenfalls im Temp-Ordner ein. Also hatte ich angenommen, das es sich auch hier um einen Kopierschutztreiber handelt und der Scanner von Avast nur etwas überempfindlich ist.

Natürlich besteht noch die Möglichkeit, das eine Malware den Kopierschutztreiber als Tarnung benutzt, aber würde die nach Spielende wieder verschwinden?

Die Sache ist doch ganz einfach, statt sich den Kopf zu zerbrechen, Avast kontaktieren und den Leuten nach Rückfrage die jatmlano.sys zur genauren Prüfung schicken.

Klingt ja nicht unplausibel.
Mich wundert nur, dass einige beschrieben, dass die Datei nach einem Neustart von alleine wieder auftaucht, aber vielleicht meinten diejenigen auch nur einen Neustart des Spiels...