WinFuture-Forum.de: "recycler", "system Volume Information" < ? - WinFuture-Forum.de

Zum Inhalt wechseln

Nachrichten zum Thema: Windows XP
  • 2 Seiten +
  • 1
  • 2

"recycler", "system Volume Information" < ? Unbekannte Ordner aufgetaucht


#1 Mitglied ist offline   G701R 

  • Gruppe: aktive Mitglieder
  • Beiträge: 448
  • Beigetreten: 02. Oktober 04
  • Reputation: 0
  • Geschlecht:Männlich

geschrieben 01. April 2005 - 21:01

Hallo,

mein AntiVir meldete mir eben, dass eine gewisse .exe, die sich in D:/System Volume Information befindet, ein Trojanisches Pferd enthält. Die .exe hatte einen seltsamen Dateinamen, nur war es garnicht das, was mich beunruhigte. Das seltsame daran war, dass ich den Ordner, in der sie lag garnicht kannte, obwohl er sich angeblich im Hauptverzeichnis meiner Sicherungsfestplatte (D:) befand und es in jenem Hauptverzeichnis nur 4 große Ordner gibt, die ich allesamt kenne.
Habe dann die versteckten Dateien und Ordner mal einblenden lassen und da tauchten sie auf - direkt im Hauptverzeichnis von D: .. 2 Ordner, einer trug den Namen "System Volume Information" und ein anderer den Namen "RECYCLER".

Nun meine Frage(n): Was machen die da? Wie kamen die dahin? Sind sie schädlich? (war ja immerhin ein troj. Pferd drin)

Der Ordner "RECYCLER" enthält nochmals einen Unterordner, der aus lauter Zahlen besteht. In diesem Unterordner finden sich all die gelöschten Dateien, die in den Papierkorb verschoben worden. Von da her vielleicht ein Systemordner, der regulär dort ist und keine Bedrohung darstellt.

Der Ordner "System Volume Information" kann, wie der Ordner "RECYCLER" nicht gelöscht werden. Dazu kommt aber, dass mir auch der Zugriff zum Öffnen verwehrt wird und ich also nicht sagen kann, was sich in diesem Ordner befindet.

Könnt ihr helfen?

Dieser Beitrag wurde von G701R bearbeitet: 01. April 2005 - 21:03

0

Anzeige



#2 Mitglied ist offline   Meatwad 

  • Gruppe: aktive Mitglieder
  • Beiträge: 784
  • Beigetreten: 07. August 04
  • Reputation: 0
  • Geschlecht:Männlich
  • Wohnort:Bad Vilbel
  • Interessen:Computer, Inliner, Chatten...

geschrieben 01. April 2005 - 21:04

richtig, das sind systemordner...system volume information, wie der name schon sagt, speichert daten, über die partition und recicler wie du gesagt hast,ist der papierkorb...
I am away to look for my self. If I am back before I return keep me here. | Mein Server
0

#3 Mitglied ist offline   shogun03 

  • Gruppe: Verbannt
  • Beiträge: 894
  • Beigetreten: 26. März 05
  • Reputation: 0

geschrieben 01. April 2005 - 21:07

c:\System Volume Information\ sind die rückstellpunkte/ordner der "systemwiederherstellung" und wenn sich in einem ordner malware befindet ist es ratsam gesamten ordner RPxx zu löschen.

Dieser Beitrag wurde von shogun03 bearbeitet: 01. April 2005 - 21:07

0

#4 Mitglied ist offline   G701R 

  • Gruppe: aktive Mitglieder
  • Beiträge: 448
  • Beigetreten: 02. Oktober 04
  • Reputation: 0
  • Geschlecht:Männlich

geschrieben 01. April 2005 - 21:12

Aha, also doch ganz reguläre Windows-Ordner.
Nur, wieso befand sich in einem davon ein Trojaner?

Zitat (shogun03: 01.04.2005, 22:07)

und wenn sich in einem ordner malware befindet ist es ratsam gesamten ordner RPxx zu löschen.
<{POST_SNAPBACK}>

"RPxx"? Was meinst du?
0

#5 Mitglied ist offline   Meatwad 

  • Gruppe: aktive Mitglieder
  • Beiträge: 784
  • Beigetreten: 07. August 04
  • Reputation: 0
  • Geschlecht:Männlich
  • Wohnort:Bad Vilbel
  • Interessen:Computer, Inliner, Chatten...

geschrieben 01. April 2005 - 21:20

uuuups ich muss mich wohl verbessern...mit System Volume Information hatte ich wohl unrecht :$ zorry
I am away to look for my self. If I am back before I return keep me here. | Mein Server
0

#6 Mitglied ist offline   shogun03 

  • Gruppe: Verbannt
  • Beiträge: 894
  • Beigetreten: 26. März 05
  • Reputation: 0

geschrieben 01. April 2005 - 21:20

@G701R
c:\System Volume Information\_restore{FDB60592-9718-470A-8AC2-94B3F9F53471}\RP34\
dieses RP ist gemeint.
ein regulärer windowsordner? im weitensten sinne ja, es nennt sich "systemwiederherstellung" .
wenn sich in einem ordner für die systemrücksetzung malware befindet besteht das risiko diese malware wiedeherzustellen, daher kann man gleich den ganzen unterordner löschen.

ein tip: insofern das system noch fehlerfrei arbeitet und man sich trotzdem malware eingefangen hat kann man die systemwiederherstellung (systemsteuerung -> system -> systemwiederherstellung) vorerst deaktivieren (damit werden alle RP-ordner gelöscht) und nach bereinigung des problemes wieder aktivieren.
damit umgeht man das risiko , das sich bei löschungsversuchen der malware diese selbst wiederherstellt.

Dieser Beitrag wurde von shogun03 bearbeitet: 01. April 2005 - 21:22

0

#7 Mitglied ist offline   G701R 

  • Gruppe: aktive Mitglieder
  • Beiträge: 448
  • Beigetreten: 02. Oktober 04
  • Reputation: 0
  • Geschlecht:Männlich

geschrieben 01. April 2005 - 21:30

Wie gesagt: Mir wird der Zugriff zu diesem Ordner verwehrt - ich komme also nicht rein und kann demzufolge auch nichts darin löschen.

Den Tipp, die Systemwiederherstellung zu deaktivieren um den Effekt zu kassieren, den Ordner entleert zu bekommen, kann ich gerne befolgen, da ich die Systemwiederherstellung sowieso nie benutze. Als ich es mal bewusst nutzen wollte, hat es nicht funktioniert und seither kann mir diese Systemwiederherstellung mal gestohlen bleiben. :rolleyes:
0

#8 Mitglied ist offline   Tarnatos 

  • Gruppe: aktive Mitglieder
  • Beiträge: 751
  • Beigetreten: 25. September 03
  • Reputation: 0
  • Wohnort:root
  • Interessen:Viele

geschrieben 01. April 2005 - 21:30

Hmm gibt es denn nicht normale Ordner :rolleyes:.

Du kannst die Ordner auch ganz einfach per Hand löschen.

Zuerste hebst du mit
cacls "C:\System Volume Information" /E /G BENUTZERNAME:F

Den Verzeichnisschutz auf. Wobei BENUTZERNAME durch deinen Benutzername ersetzt werden muss.

Dann löscht du den Ordner mit
rd /q /s "C:\System Volume Information"


Ggf. musst du den Ordner mehrmals löschen lassen, da manchmal erst nach dem 1. löschen die System Rechte aufgehoben werden!

##EDIT

Dieser Regtweak schalltet die Systemwiederherstellung komplett ab.

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]
"DisableSR"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srservice]
"Start"=dword:00000004

Dieser Beitrag wurde von Tarnatos bearbeitet: 01. April 2005 - 21:38

Gruss
-Tarnatos
Eingefügtes Bild
0

#9 Mitglied ist offline   shogun03 

  • Gruppe: Verbannt
  • Beiträge: 894
  • Beigetreten: 26. März 05
  • Reputation: 0

geschrieben 01. April 2005 - 21:33

@G701R

im abgesicherten modus kann man sich zugriff auf den ordner wieder beschaffen indem man dort den vollzugriff auf den ordner in den freigaben einträgt , aber das geht glaube nur im winXP pro.
ich habs jedenfalls schon paarmal so gemacht.
0

#10 Mitglied ist offline   G701R 

  • Gruppe: aktive Mitglieder
  • Beiträge: 448
  • Beigetreten: 02. Oktober 04
  • Reputation: 0
  • Geschlecht:Männlich

geschrieben 01. April 2005 - 21:38

Nachdem ich die automatische Systemwiederherstellung für D: abgeschalten und dann wieder angeschalten hatte, gab mir das System immer noch keinen Zugriff auf den Ordner (auch nicht in der Zwischenphase, als die autom. Systemwiederherstellung komplett deaktiviert war (bevor ich sie wieder aktiviert habe)).

Ich habe dann mal Tarnatos' Tipps befolgt und mir Zugang zum Ordner "System Volume Information" besorgt.

In dem Ordner befindet sich aber nur noch eine 20kb-große Datei namens "tracking.log" und ein Ordner aus Zahlen und Buchstaben, der erst vor 3min erstellt worden ist und, über einen weiteren Unterordner ("RP14") nur 2 1k-Dateien beherbergt. Nun geht davon wohl sicher keine Bedrohung mehr aus.

Seltsam finde es trotzdem, wie der Trojaner da hereinkam. :rolleyes: Vielleicht tut er es wieder?
0

#11 Mitglied ist offline   Tarnatos 

  • Gruppe: aktive Mitglieder
  • Beiträge: 751
  • Beigetreten: 25. September 03
  • Reputation: 0
  • Wohnort:root
  • Interessen:Viele

geschrieben 01. April 2005 - 21:44

Das Trojanische Pferd war sicherlich vorher schon im System jedoch inaktiv. Als Windows dann einen Systemwiederherstellungspunkt erstellt hat wurde die Datei Kopiert und somit aktiv.

Was den On Access Scanner von AntiVir diesen erkennen ließ. Aber auch ein Fehlalarm ist nicht auzuschließen!

Eine andere Möglichkeit wäre, das sich dieses Trojanische Pferd geziehlt in diesen Ordner einnistet.

Der Inhalt des System Volume Information Ordners wird gelöscht, wenn die Systemwiederherstellung abgeschalltet wird, das wurde ja auch weiter oben bereits gesagt.

Das erklärt die 20KB Datei.

Dieser Beitrag wurde von Tarnatos bearbeitet: 01. April 2005 - 21:45

Gruss
-Tarnatos
Eingefügtes Bild
0

#12 Mitglied ist offline   MZottel 

  • Gruppe: aktive Mitglieder
  • Beiträge: 1.165
  • Beigetreten: 14. Mai 03
  • Reputation: 8
  • Geschlecht:Männlich
  • Wohnort:Leverkusen
  • Interessen:Musik (Gothic)
    Sport
    Computer

geschrieben 01. April 2005 - 21:45

daten kommen in diesen ordner
wenn auf einer bewachten partition etwas installiert, deinstalliert oder geändert wird
denn genau dafür ist ja auch die systemwiederherstellung, dass man sein sys auf den stand vor ... 2 Tagen (nur ein beispiel) zurückstellen kann.

daher kommt da auch jeder mist rein
und kann so mal schnell sehr viele mb einnehmen kann
Have Fun MZottel

Projekte: UpdatePack + Scanner, ZAAMPPServer, VistaMizer, UltraUXThemePatcher, LaTeXUSB, SevenMizer

Zitat

"Es ist gelogen, dass Videogames Kids beeinflussen. Hätte Pac Man das getan, würden wir heute durch dunkle Räume irren, Pillen fressen und elektronische Musik hören." (Kristian Wilson, NINTENDO INC., 1989)
0

#13 Mitglied ist offline   shogun03 

  • Gruppe: Verbannt
  • Beiträge: 894
  • Beigetreten: 26. März 05
  • Reputation: 0

geschrieben 01. April 2005 - 21:47

@G701R

Zitat

Nachdem ich die automatische Systemwiederherstellung für D: abgeschalten und dann wieder angeschalten hatte, gab mir das System immer noch keinen Zugriff auf den Ordner (auch nicht in der Zwischenphase, als die autom. Systemwiederherstellung komplett deaktiviert war (bevor ich sie wieder aktiviert habe)).

das deaktivieren und aktivieren der sonderfunktion des windows hat nichts mit den userfreigaben zu tun, wie du diese erlangst hatte ich kurz ausgeführt.

Zitat

In dem Ordner befindet sich aber nur noch eine 20kb-große Datei namens "tracking.log" und ein Ordner aus Zahlen und Buchstaben, der erst vor 3min erstellt worden ist und, über einen weiteren Unterordner ("RP14") nur 2 1k-Dateien beherbergt. Nun geht davon wohl sicher keine Bedrohung mehr aus.

das ist normal, ich sagte ja, es wird beim deaktivieren "alles" darin gelöscht.

Zitat

Seltsam finde es trotzdem, wie der Trojaner da hereinkam.

das liegt ganz bei dir, hast du irgendwo draufgeklickt ? :rolleyes:

Dieser Beitrag wurde von shogun03 bearbeitet: 01. April 2005 - 21:51

0

#14 Mitglied ist offline   G701R 

  • Gruppe: aktive Mitglieder
  • Beiträge: 448
  • Beigetreten: 02. Oktober 04
  • Reputation: 0
  • Geschlecht:Männlich

geschrieben 01. April 2005 - 21:53

Ok, woher der Trojaner kam lässt sich wohl recht schlecht diagnostizieren, wie ich merke. Fakt ist, dass er aus "System Volume Information", dem Ort, wo ihn AntiVir entdeckt hat, verschwunden ist.

Naja, so lange AntiVir immer schön solche Dateien meldet, müsste doch alles ok sein, oder?

Ansonsten wüsste ich jetzt auch nicht, was ich jetzt weiter tun sollte (irgendwie herausfinden, wo er herkam oder so).
0

#15 Mitglied ist offline   Tarnatos 

  • Gruppe: aktive Mitglieder
  • Beiträge: 751
  • Beigetreten: 25. September 03
  • Reputation: 0
  • Wohnort:root
  • Interessen:Viele

geschrieben 01. April 2005 - 21:56

Zitat

Naja, so lange AntiVir immer schön solche Dateien meldet, müsste doch alles ok sein, oder?


Wie sagt man doch so schön, wenn der Virenscanner einen Schädling erkennt weißt du, dass du einen hast. Wenn nicht, weißt du es nicht!
Gruss
-Tarnatos
Eingefügtes Bild
0

Thema verteilen:


  • 2 Seiten +
  • 1
  • 2

1 Besucher lesen dieses Thema
Mitglieder: 0, Gäste: 1, unsichtbare Mitglieder: 0