Hi zusammen,
habe gerade eine Meldung von Antivir Premium bekommen.
Die sagt folgendes:
Es wurde Mailware beim Zugriff auf folgende Datei gefunden:
'E:\System Volume Information_restore{792D3F7A-E972-49A5-93E8-0833F5DCB1EF}\RP140\A0018857.exe
Dabei habe ich gar nicht auf die Datei zugegriffen und diese Datei bzw die Verzeichnisse existieren gar nicht.
Weiß jmd, was da los ist?
Danke
Viele Grüße
Doc
Hi Doc
habe gerade eine Meldung von Antivir Premium bekommen.
Die sagt folgendes:Es wurde Mailware beim Zugriff auf folgende Datei gefunden:
mailware?
'E:\System Volume
Information_restore{792D3F7A-E972-49A5-93E8-0833F5DCB1EF}\RP140\A0018857.exeDabei habe ich gar nicht auf die Datei zugegriffen und diese
Datei bzw die Verzeichnisse existieren gar nicht.
die existiert schon, aber ich glaube dir, dass du nicht auf die Daei zugegriffen hast, der SystemVolumeInformation Ordner ist gut geschützt.
Dort werden Daten für eine Systemwiederherstellung gesammelt.
Weiß jmd, was da los ist?
nun, wir wissen jetzt, welche Datei moniert wurde, aber noch nicht, welche Malware das Progi gefunden hat. Und so lange können wir auch noch nichts gescheites dazu sagen. Schau mal in der Report-Datei des Virenscanners, was genau da gefunden wurde, und poste es hier
Gruss
ExNicki
Hallo Doc
Es wurde Mailware beim Zugriff auf folgende Datei gefunden:
Du meinst wohl wie auch Exnicki anmerkte Maleware!
'E:\System Volume
Information_restore{792D3F7A-E972-49A5-93E8-0833F5DCB1EF}\RP140\A0018857.exeDabei habe ich gar nicht auf die Datei zugegriffen
Du nicht aber das System bzw. der Scanner halt!
Datei bzw die Verzeichnisse existieren gar nicht.
Doch die existieren schon wie ebefalls exnicki bereits angemerkt hat! Du siehst den Ordner halt nicht da er für Benutzer unsichtbar gemacht wurde. Da es sich in diesem Ordner um Wiederherstellungsdateien handelt sollte auch niemand der keine Ahnung davon hat herumhantieren!
Du kannst den Ordner allerdings unter Start->Systemsteuerung->Ordneroptionen->unter Reiter Ansicht-> „bei Geschützte Systemdateien ausblenden (empfohlen), bei Einfache Dateifreigabe verwenden (empfohlen)und bei Alle Dateien und Ordner anzeigen einfach das Häckchen entfernen“ sichtbar machen!
Aach ja wenn du das Häckchen bei geschützte Systemdateien ausblenden entfernst einfach die darauffolgende Warnmeldung mit Ja bestätigen.
Dann einfach Übernehmen und mit Ok bestätigen.
Jetzt musst du allerdings noch den Zugriff für den angemeldeten Benutzer erlauben da du sonst die meldung „Zugriff verweigert“ erhältst und so gehst du vor:
Rechtsklick auf den Ordner „System Volume Information“ und auf Eigenschaften klicken. dann zum Reiter Sicherheit gehen und dort auf den Button Hinzufügen klicken. Im sich öffnenden Fenster auf Erweitert klicken und dann auf Jetzt suchen klicken. Nun wählst du den Benutzernamen aus unter dem du angemeldet bist zw. unter dem du die Datei löschen willst (wenn der Benutzername „Start“ ist wählst du „Start“ aus) und bestätigst mit Ok und dan nochmals mit Ok. Jetzt siehst du im oberen Feld des Fensters den von dir hinzugefügten Benutzernamen z.B. Start. Diesen wählst du an und siehst dann im unteren Feld die zugeteilten Zugriffsrechte. So mit einem Klick auf das Kästchen Vollzugriff unter Zulassen (nun müsste dort ein Häckchen zu sehen sein) und der bestätigung mit Ok.
Jetzt kannst du auf den Ordner zugreifen und die erkannte Datei von Hand löschen allerdings solltest du wissen das dann dieser vom System oder auch von dir selbst erstellte Systemwiederherstellungspunkt mit ziemlicher Sicherheit unbrauchbar wird!!! Daher solltest du vor dem löschen dein ganzes System auf Viren und Maleware scannen und reinigen und dann selbst einen Wiederherstellungspunkt erstellen damit du wenn (Gott bewahre dich davor) dein System mal zurücksetzen musst einen sauberen Wwiederherstellungspunkt hast und nicht auf den verseuchten zurückgreifen musst! Ach ja nachdem es sich wie oben bereits erwähnt um eine vom System erstellte Backup-Datei handelt und soweit ich weiß diese ,solange du dein System nicht auf diesen Punkt zurücksetzt, nicht aktiv ist müsstest du diese eigentlich nicht entfernen aber sicher ist sicher und die Warnmeldungen von AntiVir verschwinden ebenfalls!
Gekürzte Anleitung:
System scannen und reinigen!
Start->Systemsteuerung->Ordneroptionen->unter Reiter Ansicht-> Häckchen bei geschützte Systemdateien ausblenden (empfohlen) und bei Alle Dateien und Ordner anzeigen entfernen.
Rechtsklick auf den Ordner „System Volume Information“
Klick Eigenschaften
Klick Reiter Sicherheit
Klick Hinzufügen :
-> Erweitert -> Jetzt suchen -> angemel. Benutzer auswählen
-> Klick OK -> Klick OK
Benutzer ob. Feld auswählen
un. Feld unter zulassen Klick auf Vollzugriff
Klick übernehmen
Klick OK
Fertig!
Hoffe dir damit weitergeholfen zu haben!
Ps: Wenn du unter deinem Account nicht alleine an deinem Recher arbeitest solltest du den freigegebenen Ordner wieder dicht machen und den Vollzugriff wieder entfernen.
lg
euer maxi
Hi zusammen,
danke für die erste schnelle Hilfe.
Habe ihr entfernt.
Habe gerade nochmal nachgeschaut.
Der Schädling heißt:
‚SPR/Hacktool.176128‘
Habe es mal bei Google eingegeben.
Finde aber nicht so recht was dazu.
Kennt Ihr den Schädling?
Danke
Gruß
Doc
Hi Doc
danke für die erste schnelle Hilfe.
Habe ihr entfernt.Habe gerade nochmal nachgeschaut.
Der Schädling heißt:
‚SPR/Hacktool.176128‘
SPR steht bei Avira für Security Privacy Risk
Zitat:
_Security Privacy Risk (SPR)
Software, die die Sicherheit Ihres Systems beeinträchtigen, nicht gewünschte Programmaktivitäten auslösen, Ihre Privatsphäre verletzen oder Ihr Benutzerverhalten ausspähen kann und daher möglicherweise unerwünscht ist.
Avira AntiVir Premium erkennt „Security Privacy Risk“ Software. Ist in der Konfiguration unter Erweiterte Gefahrenkategorien die Option Security Privacy Risk (SPR) mit einem Häkchen aktiviert, erhalten Sie eine entsprechende Warnung, wenn Avira AntiVir Premium fündig geworden ist._
also nicht direkt ein Virus, aber ein Programm, das möglicherweise in der Lage ist, die Sicherheit des Systems zu beeinträchtigen, nicht gewünschte Programmaktivitäten auszulösen oder deine Privatsphäre zu verletzen
Leider gibt Avira selbst zu, dass bei der Aktivierung dieses Features ziemlich viele false positives auftreten können
alle diese SPRs werden bei Avira unter SPR/Hacktool mit Nummer katalogisiert, bis sie eindeutig als Malware oder Fehlalarm identifiziert sind.
in anderen Worten: wie sind so klug wie zuvor:smile:
in der Virendatenbank von Avira wird das Ding nicht (mehr?) aufgeführt.
mach ein Update von Avira, vllt taucht es dann unter anderem Namen auf oder ist ganz verschwunden.
Oder beam die Datei zu Avira zur Analyse rüber
Gruss
ExNicki