Hallo,
Mir wurde von einem System vom Scanner von Antivir der Trojaner Trojan.Barin.A gemeldet.
Ich hab das System erst einmal isoliert(vom Netz getrennt) und weil Antivir den TRojaner nicht löschen konnte habe ich mit einem Windows PE von aus einer c't den PC mit Bitdefender untersucht. Der hat mir dann auch den Pfad angegeben, welche Datei infiziert sei. als er aber die Datei nicht löschen konnte, und er sie nur verschoben hat, hab ich sie kurzerhand selbst gelöscht.
1. Ich konnte auf den Pfad unter Windows nicht zugreifen, er lautete: C: System Volume Information, war das wahrscheinlich ein Rootkit?
2. Soll ich den ganzen Pfad löschen, obwohl sehr viele Verknüpfungen zu Programmen vorhanden sind?
3. Werd ich wohl das System komplett neu aufsetzen müssen, weil es kompromittiert ist?
da wärs fürs erste,
Samuel
Seite 1 von 1
Trojaner Identifizieren
Anzeige
#2
geschrieben 02. Januar 2006 - 21:17
Der/die Ordner SystemVolumeInformation wird für jede vorhandene Partition von der Systemwiederherstellung erstellt. Darin "mitgesicherte" Schädlinge wirst du wieder los, wenn du die Systemwiederherstellung einfach mal komplett deaktivierst (alle Restore-Punkte werden gelöscht) und dann wieder, falls gewünscht, aktivierst.
Das machst du so: Rechtsklick auf Arbeitsplatz-Icon und Eigenschaften wählen. Unter dem Reiter Systemwiederherstellung wirst du dann fündig...alles weitere ist selbsterklärend.
Hoffe mal, das hilft dir erstmal weiter.
Das machst du so: Rechtsklick auf Arbeitsplatz-Icon und Eigenschaften wählen. Unter dem Reiter Systemwiederherstellung wirst du dann fündig...alles weitere ist selbsterklärend.
Hoffe mal, das hilft dir erstmal weiter.
Dieser Beitrag wurde von Systemlord67 bearbeitet: 02. Januar 2006 - 21:59
#3
geschrieben 03. Januar 2006 - 00:17
Wieso versuchst du bei so etwas eigentlich noch mit dem Löschen von irgendwelchen Dateien herumzufrickeln? Dass eine Infektion nur in den allerwenigsten Fällen durch Löschen einer einzigen Datei beseitigt ist sollte ja hinreichend bekannt sein. Daher kann ich auf nur mit "Ja" antworten.
Samuel Nutkin sagte:
3. Werd ich wohl das System komplett neu aufsetzen müssen, weil es kompromittiert ist?
"If you make something idiot proof, someone will invent a better idiot." - Marvin
For Emails always use OpenPGP. My KeyID: 0xA1E011A4
For Emails always use OpenPGP. My KeyID: 0xA1E011A4
#4
geschrieben 03. Januar 2006 - 13:00
Im Grunde wollte ich nur wissen, für was der "SystemValueINformation" Ordner gut ist, Ich hab schon ein Rootkit o.ä. dahinter vermutet!!!
Danke!!
Samuel
Danke!!
Samuel
Thema verteilen:
Seite 1 von 1