Atapi.sys + Bluescreen! Komm nicht mehr ins System.

Hallo Leute,
Ich bin mir nicht sicher wo ich das posten darf... weil es eigentlich ein XP-Problem ist.
Deshalb fasse ich mich kurz.

Ich habe ein Dualboot-System mit Win7 auf der einen und XP auf der anderen Platte.
Nun habe ich gestern mal im XP einen kompletten Virenscan gemacht...es gab keine Warnung... das sollte eher so "Hausputz-Routine" sein.
Da kam dann tatsächlich ne Meldung das in System32/Drivers/atapi.sys infiziert wäre.
OK... Ich kenne diese Datei eigentlich nur von einer Geschichte:
Ich habe da ein Tool das all meine CDs verwaltet... es heißt "Where is it" und ist sehr nützlich wenn man mal in 100ten von CDs was sucht. Als ich das installierte wollte es nachsehen ob die Atapi-Treiber auf dem neuesten Stand sind.
Mehr weiß ich eigentlich nicht über atapi.

OK. Vielleicht war das ein Fehler, aber ich habe dann meinem Antivir gesagt es könne diese atapi.sys löschen.
Beim nächsten Reboot dann: BLUESCREEN!
Ich kann auch nicht in den abgesicherten Modus! Da geht halt gar nix mehr.

Meine Frage nun:
Ich habe ein Backup (Acronis) von diesem XP, das ca. 1 Monat jung ist. Kann ich dort aus dem Ordner System32/Drivers die atapi.sys rauskopieren und in das XP einfügen? Also... wieder an den Platz kopieren wo es ja im Moment nicht mehr ist?

Und... an die Experten von Euch gefragt: Ist denn diese atapi.sys SOOO wichtig, das ohne sie das System nicht mehr bootet?
1000 Dank für Hilfe... auch wenn es weder mit Vista noch mit Win7 zu tun hat.
Factorinskij

Ohne die ATAPI.SYS läuft da nicht mehr viel, ich denke das es genügen sollte wenn Du sie Einfügst.
Ansonsten könntest Du doch auch das Backup aufspielen wenn Dir dadurch keine Daten verloren gehen.
Lösche niemals die ATAPI.SYS da sonst keine Kommunikation der Massenspeichergeräte mit den Laufwerken stattfinden kann!

mit acronis kann man doch einzelne ordner/dateien wiederherstellen. das solltest du tun.
oder besorg dir von einem bekannten mit xp als BS diese datei und füg sie über win7 bei der xp -partition ein. da es eine windows-eigene datei ist die zum atapi-miniport treiber gehört, sollte das kein prob. werden.

falls du über win7 keinen zugriff bekommst, könntest du es auch mal mit einer linux-live cd versuchen.

Danke liebe Leutz!
Ich bin an dem Problem dran... und was ich da rausgefunden hab ist echt n Krimi!
Denn: Die atapi.sys wurde ja von "jemandem" zerschossen! Und dieser "Jemand" ist noch zu Besuch DA!
- Da haben sich 2 in die msconfig geschrieben
- deren RUN-Befehle hab ich auch in der Registry gefunden
- die herrschaften haben sich natürlich gut versteckt
Nun hab ich den Vorteil wie von Euch schon erwähnt, das ich von Win7 aus agieren kann, da die Dateien unter XP nicht zu löschen sind.
Hoffe mal das ich alles richtig gemacht habe (also die Reg-Einträge von denen unter XP gelöscht, die msconfig-Einträge rausgeschmissen, die Dateien selbst von Win7 aus gelöscht...)
Nu werd ich aus der XP-SP3 Installations-CD aus der CAB die atapi.sys holen und wieder in XP einfügen. Das ist dann auf keden Fall ne jungfräuliche atapi.sys... da ich NICHT weiß, ob der Besuch nicht sogar in der Acronis-Backup-Datei geschnüffelt hat, oder das konnte... und diese dann auch noch infiziert hat???
Auf jeden Fall gehört auf sowas 10 Jahre ohne Bewährung find ich! Das das nicht mal aufhört! Die entsprechenden Wesen müssen dermaßen einsame Gestalten sein, das sie sich an der ganzen Welt rächen... indem sie sowas wie Viren in die Welt setzen.

Tschüss, und bis bald,
Factorinskij

Selbst wenn Du es hinbekommst die Sachen zu entfernen solltest Du dir über eine Neuinstallation gedanken machen.
Je nachdem was es für Besucher sind haben sie warscheinlich auch noch andere Dateien befallen und werden darüber nachladen oder besser gesagt ihr Unwesen treiben.
Wenn ein Trojaner dabei ist würd ich es auf jedenfall machen , dann bist Du auf der sicheren Seite!!!

Hey -latte-...
Da hast Du absolut RECHT.... jedoch versucht doch jeder erstmal was zu retten, hm?

Was ich im Moment auch tu, und da was ganz, ganz merkwürdiges erlebe:
Ich habe von AVIRA diese Antivir-Nottfall-CD, mit der man booten kann.

OK... ich boote also in die CD, klasse.
Ich kann sogar die Virendefinitionen updaten... da passiert was, aber dann sagts auf englisch was von "kann die nicht schreiben".
OK... ich wähle nun in der Konfiguration die Platte D:\ wo XP liegt aus, und starte den Scanner
Er ist in Millisekunden fertig! DAS kann doch nicht sein! Ich mein... ich hab das früher schon mal gemacht, da konnte man dann auch die Dateien dahinrasen sehen... wie sie gescannt werden. Und das hat natürlich auch gedauert.

JETZT... wie gesagt... Millisekunden... und der Scanner scheint fertig zu sein.
Da stimmt was nicht!
Dumme Frage: Kann es ihn stören das ich da 3 USB-Platten mit dran habe???
Die werden auch ordentlich aufgeführt,und ich kann auch in jede Ordnerstruktur reingehen. Aber egal was ich scanne... der Scanner ist s o f o r t fertig.

Mann, Mann, Mann.... da hört mein bischen Wissen echt auf.
Ich weiß, das ist nervig... was ich hier schildere. Aber, laßt mich bitte jetzt nicht im Regen stehen.

Das da "Besuch" ist liegt bestimmt nicht an gleichgültiger Unvorsichtigkeit.
Ich bemühe mich redlich die Systeme zu pflegen, Schutz aktuell zu halten, das ganze Programm halt. Es war ja auch lange Zeit gut... nur jetzt...
Dank an alle.
Factorinskij

Ich vermute, daß da nur die Boot-Dateien und der RAM gescannt werden....

Du bootest in die CD???????

Sei doch so gut und poste mal einen HijackThis Logfile, da kann man dann sehen was Ambach is!

HijackThis Download

Desweiteren kannst Du auch mal Superantispyware laufen lassen.Ich benutze das selber und bin zufrieden damit!

Superantispyware Download

Du bootest in die CD??????
=o) Hm, ja Latte... da hab ich mich wohl n bischen dumm ausgedrückt. Aber ich denk Du weißt was ich meine!!?? Da der Screen anbietet von der Festplatte ODER der Notfall-CD zu starten, hab ich halt gesagt "Ich boote "in" die CD!"
Und an Rudolf...: Ich hatte da was falsch eingestellt. Nachher gings dann doch.
Zu guter letzt...der aktuelle Stand:
Nach nem erneuten Scan (Ich hatte ja von Win7 aus die erkannten Übeltäter gekillt, und die atapi.sys aus dem Acronis-Backup ersetzt, sowie alle Registry-Einträge die sich auf die verdächtigen Dateien bezogen rausgelöscht) scheint nun alles friedlich.
NOCH! Gebranntes Kind scheut dett Feua.
Aber mal am Rande: Da hat sich eine Datei echt was einfallen lassen, von dem ich SO noch NIE gelesen habe:
TROTZ "Alle Dateien+Ordner anzeigen" und "Versteckte+Systemdateien" ebenso anzeigen lassen... meldete Antivir im Ordner Startmenü\Programme\Autostart eine Datei!
Die konnt ich aber nicht sehen!
Schonmal jemand von EUCH gehört das es nem Trojaner oder Virus möglich ist, sich ECHT UNSICHTBAR zu machen????
Hammer das!
Tja... und die besagten hatten dann auch noch Einträge in Msconfig gesetzt, die widerum auch in der Registry zu finden waren... und zu eben dieser unsichtbaren Datei im Autostartordner führten.
GFott sei Dank konnte man die unter Win7 dann doch sehen. Das... war dann ihr Tod!
Hoffe mal für die nächste Zeit das, wie Latte bemerkte, da nicht noch "Begleiter" dran mit beteiligt waren/sind!!
Man kommt sich echt vor wie in "Apokalypse now". Voll der Vietnamkrieg... hinter jedem Baum könnte ja....
Aber kommen da DOCH noch welche in der nächsten Zeit raus... dann kriegt Acronis Arbeit.
Habe auf ner externen mehrere Images in verschiedenen Stadien erstellt.
Also:
Ein XP pur... gerad mal mit allen Treibern und Antivir.
Ein XP mit obiger Basis sowie ein paar fetten Programmen zusätzlich wie Photoshop, Office, Acrobat und Nero.
Tja und dann noch ein ULTIMATE-Image wie ich es nenne, wo halt alles drin ist was ich brauche (Gemacht NACHDEM ich das System komplett gescannt hatte)

OK... Ich blubber wierder n bischen viel, ich weiß. Das macht die Vereinsamung durch die Krankheit, da unter Leute gehn nicht so oft drin ist. Verzeiht also bitte den einen oder anderen Satz zuviel.
Ich bin nämlich echt gern hier....
Reiner (Factorinsklij)

Mach doch mal ein HijackThis wie schon oben vorgeschlagen damit man sieht ob noch was auffälliges da ist und den Durchlauf mit Superantispyware kann ich Dir auch wärmstens empfehlen!!!