Original von WaxWorm
Original von Solagon
Schon untersucht, ob es sich bei jatmlano.sys um einen Kopierschutztreiber handelt?
Mit einem Hexviewer sollte sich ein Copyrightvermerk finden lassen.
Wenn das so wäre, würde es wenigstens einen google-Hit mit dieser Info geben.
Das Gottvertrauen in google ist mir manchmal fast unheimlich.
Hier wären noch ein paar sys-Dateien aus dem Temp Ordner.
bfastfao.sys
gsplittm.sys
jgameenp.sys
pnicml.sys
Und was findet man bei google über diese sys-Dateien, jedenfalls nichts über ihren Ursprung.
Ein kleine Testreihe, die Klarheit schafft. Wir brauchen ein Anno 1503 Spiel mit Kopierschutz, vorzugsweise die KE. Und ein Savegame, das Anno zum Absturz bringt.
Anno 1503 installieren und starten. Im Temp-Ordner erscheint eine sys-Datei. Anno beenden und die sys-Datei verschwindet.
Anno erneut starten und das defekte Savegame laden. Anno stürtzt ab und die sys-Datei verbleibt im Temp-Ordner. Sie läßt sich auch vorerst nicht löschen, da sie noch im System eingebunden ist. Das klappt erst nach einem Neustart von XP. Die sys-Datei sichern und im Temp-Ordner löschen, sowie Anno komplett deinstallieren.
Anno erneut installieren und starten. Es erscheint wieder eine sys-Datei im Temp-Ordner.
Allerdings hat sie nun einen anderen Namen!!! Auswahl siehe oben.
Ein binärer Vergleich zeigt, das die Dateien identisch sind.
Bei den sys-Dateien aus der KE ist es nun relativ einfach. Mit einem Hexviewer findet sich im Klartext der Hinweis auf Securom 5.02., dem Kopierschutz von Anno 1503.
Bei Excali gibt es nun einige Parallelen. Die jatmlano.sys erscheint auch nur beim Spielstart und verschwindet nach Spielende. Zudem nistet sie sich ebenfalls im Temp-Ordner ein. Also hatte ich angenommen, das es sich auch hier um einen Kopierschutztreiber handelt und der Scanner von Avast nur etwas überempfindlich ist.
Natürlich besteht noch die Möglichkeit, das eine Malware den Kopierschutztreiber als Tarnung benutzt, aber würde die nach Spielende wieder verschwinden?
Die Sache ist doch ganz einfach, statt sich den Kopf zu zerbrechen, Avast kontaktieren und den Leuten nach Rückfrage die jatmlano.sys zur genauren Prüfung schicken.