Dann habe ich eine leere, schreibgeschützte Datei mit dem Namen rikvm_34E30CCC.sys erstellt und neu gebootet.
Irgendwas hat meine Datei gelöscht und der Stealthtreiber ist wieder da.
Ok dann habe ich eben ein Verzeichnis mit dem Namen rikvm_34E30CCC.sys erstellt und Gotcha - jetzt ist der Treiber nicht mehr im Speicher.
Wie denn "Schreibgeschützt"?
Nur das nutzlose Attribut gesetzt, oder alle Schreibrechte entfernt?
Vermutlich Eventuell wird die Datei kurz erstellt, geladen und wieder von der Platte entfernt, wobei die deine Datei überschreiben und sie dann natürlich weg ist.
Das gleichnamige Verzeichnis ließ sich nicht überschreiben und war somit noch vorhanden, bzw. die Datei konnte nicht gespeichert und dann auch nicht geladen werden.
Das dürfte aber auch gehen, wenn der Schreibende keine Schreibrechte besitzt.
Ist die Datei eigentlich wirklich nicht vorhanden, oder ist die nur "unsichtbar"?
Im Explorer werden unsichtbare Systemdateien ja standardmäßig ausgeblendet. (wenn man es in den Exploreroptionen nicht deaktiviert)
Hmmmm, die Datei ist wohl schon bekannt, aber keiner weiß wofür die ist.
http://www.tomshardware.co.uk/forum/...a-suit-rootkit
Vielleicht ein Kopierschutz?
Nja, ich hab PowerDVD schon mehrere Jahre nicht mehr installiert, auch wenn ich den vorher viele Jahre brav installiert hatte, und langsam findet man immer mehr Gründe es nicht zu tun.
Aber über die Jahre zeigte sich, daß der VLC mir meisten vollkommen ausreicht und weniger Resourcen nutzlos verschwendet.