System Volume Information

Internet Internet Sicherheit
#1

Hallo,

Ich hatte gestern einen Virus in dem Ordner „System Volume Information“…aber ich hab den Virus glücklicher weise löschen können.
Jetzt stellt sich mir aber dir Frage wie konnte der Virus dort hingelangen, da ich noch Sicherheitseinstellungen ändern musste- selbst als Administrator- um den Ordner öffnen zu können.

(Ich möchte jetzt auch keine Anleitung wie ich einen solchen Virus schreiben kann. Aber ist eine Art „Windows-Lücke“?)

MfG
Tristan

#2

Jetzt stellt sich mir aber dir Frage wie konnte der Virus dort
hingelangen, da ich noch Sicherheitseinstellungen ändern
musste- selbst als Administrator- um den Ordner öffnen zu
können.

Der Virus verfügt offenbar genau wie du über Administrator-Rechte und kann sich deshalb auch genau wie du dazu Zugang verschaffen. Eine andere Möglichkeit ist, dass der Virus von Windows selbst dorthin kopiert wurde, weil Windows in diesem Ordner die Systemwiederherstellungspunkte ablegt. Dabei sichert es diverse Systemdateien in diesen Ordner (und natürlich auch infizierte Dateien).

(Ich möchte jetzt auch keine Anleitung wie ich einen solchen
Virus schreiben kann. Aber ist eine Art „Windows-Lücke“?)

Nein.

Außerdem solltest du dir - wenn du den Virus nur dort drin gefunden hast und sonst nirgends - eher Gedanken machen, wo der Virus eigentlich ist. Denn er ist in dem Fall noch irgendwo auf deinem System aktiv, dort drin befand sich nur eine Art „Sicherheitskopie“ des Viruses.

Auch wäre es nicht schlecht, den genauen Namen des Viruses hier und am besten die gesamte Meldung des Virenscanners hier zu posten.

Ansonsten: Scan deinen PC doch mal mit diesem von CD bootbaren Virenscanner komplett durch und poste das Ergebnis hier. Dann sieht man überhaupt erst mal, was auf deinem System noch so herumkreucht und fleucht.
http://www.free-av.com/de/tools/12/avira_antivir_res…

#3

Danke
VIelen Dank

Ja der Virus hatte sich in einem AOL-Update versteckt, die ich aber auch schon löschen konnte…Ich hatte mich aber gewundert weil ich ihn ja gelöscht hatte, er aber trotzdem noch da war. Nein bis zu dem Zeitpunkt der „Entdeckung“(das er in System Volume Information ist) hatte ich keine Administratoren-Rechte.

Die Virenmeldung Ist leider nicht mehr da aber weiss zufällig noch das die Datei „A00… (und dann irgend welche Zahlen) .exe“ hieß und der Virus „Gen:Adware.Heur. (und dann eine Zahlen-Buchstaben-Zeichen-Kombination)“

Ich hoffe das hilft

MfG
Tristan

#4

Die Virenmeldung Ist leider nicht mehr da aber weiss zufällig
noch das die Datei „A00… (und dann irgend welche Zahlen)
.exe“ hieß und der Virus „Gen:Adware.Heur. (und dann eine
Zahlen-Buchstaben-Zeichen-Kombination)“

Das wahr vermutlich kein Virus, sondern ein Fehlalarm. Alles was mit Gen/Heur betitelt ist, ist mit sehr großer Vorsicht zu genießen, da der Virenscanner hier nur rät, dass es sich um ein Schadprogramm handelt.

#5

Frage
Was genau ist es denn?
Also ich hatte da einen Artikel gelesen,(den ich jetzt aber leider nicht mehr finde), in dem stand, dass sich der Virus Maleware auf meinen PC läd.

War es ein Fehler diese Datei zu löschen?

Gruß Tristan

#6

Hi Tristan

Was genau ist es denn?

das kann man jetzt wohl nicht mehr herausfinden

Also ich hatte da einen Artikel gelesen,(den ich jetzt aber
leider nicht mehr finde), in dem stand, dass sich der Virus
Maleware auf meinen PC läd.

nicht Malware? :wink:
sei’s drum. Viren, die mit der heuristischen Methode gefunden werden (nichts anderes bedeutet gen oder heur) sind insofern mit Vorsicht zu geniessen, weil diese Methode viele false positives (zu Unrecht verdächtige Dateien) produziert. Virenscanner arbeiten nach 2 Methoden: zum ersten vergleichen sie die Signatur der Viren mit einer Datenbank (sehr sicher, mit dem Nachteil, dass diese Datenbank notgedrungen nur die bekannten Viren enthält), zum 2. versuchen sie die Viren nach ihrem, sagen wir mal, virenähnlichen Verhalten zu finden. Das ist die heuristische Methode. Viren, die so gefunden werden, sollte man am besten gegenchecken, zB in dem man sie zu einem Online-Virenchecker, wie zB http://virusscan.jotti.org/de hochlädt

War es ein Fehler diese Datei zu löschen?

das kann man im Nachhinein nicht mehr sagen. Vielleicht war es ja ein richtiger Virus

Gruss
ExNicki

#7

Danke Danke Danke
Vielen Dank für diese sehr lehrreiche Information.
Und auch vielen Dank für eine Lösung.
Also alle die dies hier gelesen haben bzw. sich hier angemeldet haben können sich freuen eine so tolle Seite zu kennen auf der man nicht unpassende Kommentare sondern Erklärungen kombiniert mit einer Lösung zu einer Frage bekommt.
Und das innerhalb eines Tages!!!

Vielen Dank nochmal an alle Antworten…waren sehr hilfreich.

MfG Tristan

#8

Hallo,
im Ordner „System Volume Information“ werden die Dateien abgespeichert, die für eine Systemwiederherstellung benötigt werden. Darunter fallen auch alte Installationsdateien. Solange eine Datei sich in diesem Ordner befindet, kann sie nicht ausgeführt werden, somit stellt sie keine akute Gefahr dar. Erst nach eine Systemwiederherstellung liegt die angeblich verseuchte Datei wieder im ausführbaren Bereich. Spätestens beim versuchten Aufruf sollte dein Virenscanner Alarm schlagen, was ja bei dir geschehen ist.
Wenn du eine gut funktionierendes System hast, kannst du einen neuen Systemwiederherstellungspunkt erstellen und anschließend über die Datenträgerbereinigung (Eigenschaften / Bereinigen / Weitere Optionen Systemwiederherstellung und Schattenkopien / Bereinigen) alle bis auf den letzten wieder löschen. Damit wird dein infizierter Ordner „System Volume Information“ bereinigt und der Virus entfernt.

Grüße Culles