Ein Virus u. weitere Merkwürdigkeiten

[rollout]

Hallo an alle,

nachdem die Lizenz für meine alte Internet Security auslief, hab ich mir das GData-Trial installiert (IS 2009; mein System: XP Pro, SP3).

Mit der IS 2009 laufen KomplettScans - trotz aller Neuerungen - immer noch unakzeptabel langsam. Deshalb machte ich diese Scans stets mit der Notfall-Disk, die unter Linux bootet. Mit der laufen die KomplettScans ungefähr in einem Drittel der Zeit, sie erfolgen ebenfalls mit dem DoppelScanner, und man scannt auch gleich noch auf aktive RootKits.

Dabei wurde ein Virus in der 'System Volume Information' (SVI) entdeckt. Wie die meisten hier vermutlich wissen, sitzen da die Wiederherstellungspunkte für die Recovery-CD drin. Da eine Desinfektion der betroffenen Datei nicht möglich war, blieb mir mit der CD nur das Löschen der Datei.

Wollte ich nicht. Da der Virus scheinbar nicht aktiv war (der Scanner hatte den Virus nur dort und nicht im RAM geortet), bootete ich wieder mit Windows und einem Admin-Account, öffnete die SVI mit dem Explorer und scannte den SubOrdner, der die infizierte Datei enthielt, via Kontextmenü. Auch der WinScanner entdeckte den Virus, konnte jedoch ebenfalls nicht desinfizieren, also schob ich die Datei erstmal in die Quarantäne.

Das war die Geschichte mit dem Virus. Jetzt die Merkwürdigkeiten: Seitdem diese Aktion gelaufen ist, kann ich die SVI plötzlich nicht mehr mit dem Explorer öffnen (via Admin). Auch funzen die WinScans via Kontextmenü bei der SVI nicht mehr, wohl aber mit der Scan-Option 'Ordner und Verzeichnisse'. Mit der Linux-CD von GData lässt sich die SVI ebenfalls weiterhin screenen, und es werden keine weiteren Virus-Funde oder RootKits angezeigt (verwende auch hier immer die aktuellsten Patterns).

Da man in der Testphase keinen Support von GData erhält und mich deren IS 2009 nicht rundum überzeugt, wende ich mich an Euch. Was meint Ihr dazu, und wie sollte ich weiter vorgehen?

Danke für Eure Hinweise!

[leader]

Hallo und willkommen im WSF

Wie heißt denn der Virus?

Es könnte ja auch sein, das GDATA hier einen Fehlalarm ausgegeben hat und nun eventuell eine wichtige Systemdatei in Quarantäne gesetzt wurde.

Poste mal die genaue Bezeichnung des Virus und dann kann man mal nachschauen wie und was man dagegen machen kann, immer vorrausgesetzt das es kein Fehlalarm ist.

[BuckFix]

Hallo und Willkommen im WinSupportForum!

Zitat:
Wie die meisten hier vermutlich wissen, sitzen da die Wiederherstellungspunkte für die Recovery-CD drin.

Wiederherstellungspunkte ist richtig. Allerdings hat das nichts mit einer Recovery-CD zu tun.

Das du auf den Ordner "System Volume Information" keinen Zugriff hast ist auch normal. Hier ist im Normalfall "System" der alleinige Berechtigte für diesen Ordner. Das sollte auch tunlichst so bleiben.

[rollout]

Hallo,

danke für Eure schnellen Antworten.

@BuckFix
Ich frag mich nur, warum ich das anfangs konnte. Denn, wie gesagt, nachdem ich die SVI im Explorer sichtbar gemacht hatte, öffnete ich sie mit dem Explorer und führte einen Scan via Kontextmenü an dem Subordner durch, der die mit der CD zuvor entdeckte, infizierte Datei enthielt.

Kannst du mir bitte noch sagen, wofür diese Wiederherstellungspunkte dienen?

Hier sind die GData-Daten für den Virus:
Objekt: A0057832.dll
Pfad: C:\System Volume Information\_restore{1055D147-4109-4939-83BB-5929928B1F13}\RP147
Status: Datei in Quarantäne verschoben
Virus: Win32:CTX (Engine B) -> Die Engine-Angabe bezieht sich auf den GData-DoppelScanner

[BuckFix]

Zitat:
Ich frag mich nur, warum ich das anfangs konnte.

Weil irgendwer oder irgendwas die Berechtigungen an dem Ordner geändert hat.

Zitat:
Kannst du mir bitte noch sagen, wofür diese Wiederherstellungspunkte dienen?

Systemwiederherstellungspunkte werden bei jeder Installation und bei verschiedenen Ereignissen angelegt und bieten mittels der Systemwiederherstellung die Möglichkeit, auf eben diese Punkte zurückzustellen falls mal was schiefgeht.

Weiterführende Erklärungen:
http://msdn.microsoft.com/de-de/library/ms997627.aspx
http://support.microsoft.com/kb/818903/de

[iScream]

Ich hatte nach einer Infektion auch noch einen Virus in SVI. Einfach die Systemwiederherstellung deaktivieren, neu booten, wieder einschalten, und neu scannen.

Bei mir hat es damals geklappt, es war auch nötig, da der Virus, als er noch aktiv war sich aus der Wiederherstellungspunkt immer "wiederbelebt" hat.

[rollout]

Super, vielen Dank, auch für den Link!

Ok, das beruhigt mich, dann muss ich mir also wegen der SVI erstmal keine Sorgen machen.

@IScream
Wenn ich dich richtig verstand, wird dann auch die jetzt in der Quarantäne befindliche Datei bei der Reaktivierung der SVI neu erstellt? D.h. ich kann anschließend die Datei in der Quarantäne löschen?

[BuckFix]

Wenn in die System Volume Information ein Virus gelangt (weil er dorthin gesichert wird), wird dieser bei Benutzung dieses Wiederherstellungspunktes natürlich auch wieder in das System zurückgespielt. Löschen solcher Systemwiederherstellungspunkte ist daher empfohlen.

[rollout]

Moment, jetzt bin ich etwas verwirrt.

Also, der infizierte Wiederherstellungspunkt (bzw. die entsprechende DLL) befindet sich doch momentan in der Quarantäne. Und anderswo im System oder den Progis wurde kein Virus gefunden.

Wenn ich jetzt also IScreams Anweisungen folge, dürfte es doch keine Probs mehr geben. Und die Datei in der Quarantäne lösche ich.

[BuckFix]

Wenn du den Ordner System Volume Information in die Quarantäne bewegt hast, kann die Systemwiederherstellung (oder deren Abschalten) diesen Ordner nicht entfernen. Dazu hättest du ihn an Ort und Stelle lassen müssen.

[rollout]

Sorry, da hast du mich falsch verstanden.

Ich habe nicht die gesamte SVI in die Quarantäne verfrachtet, sondern nur eine infizierte DLL, die sich in der SVI befand.

[BuckFix]

Damit hast du dir sicherlich keinen besonderen Gefallen getan, denn dadurch wird der gesamte Wiederherstellungspunkt unbrauchbar. Der kann jetzt also weg.

[rollout]

Genau das ist ja meine Frage.

Wenn ich so vorgehe, wie IScream das skizziert hat, werden dann nicht sämtliche Wiederherstellungspunkte auf der Basis des aktuellen Systemzustandes neu erstellt - und damit auch die momentan in der Quarantäne befindiche Datei. So dass die anschließend gelöscht werden kann und die Systemwiederherstellung trotzdem wieder komplett ist. So hatte ich das verstanden.

Oder soll ich die infizierte Datei zurück an ihren Ursprungsort setzen und dann den Vorgang gemäß IScream starten?

[BuckFix]

Man kann es sich aber auch wirklich kompliziert machen! Entferne die infizierte Datei und lege neue Systemwiederherstellungspunkte an und gut ist.

[rollout]

Ähm sorry, aber wer hat das hier kompliziert gemacht???

[MaryLong]

Halt .. Stop! So solltest Du mit Helfenden nicht umgehen. Du hast Hilfe gesucht und bereits Hilfe bekommen von "freiwilligen Helfern". Auch wenn es bei Dir so ankommt, es ist nicht selbstverständlich ..

Lies Dich mal hier durch um Dein Verständnis zu erhöhen und mach's einfach mal!
How antivirus software and System Restore work together

[rollout]

Sagt mal, wer hat euch denn gebissen?

Ich habe bei BuckFix nachgefragt, weil ich seine Antworten nicht richtig kapierte. Statt gezielt zu antworten, ergeht er sich in allgemeinen Bemerkungen, mit denen ich nichts anfangen konnte. Also habe ich nachgefragt. Ich habe kein einziges Mal gesagt, dass ich den Vorschlag von IScream nicht aufgreifen wollte.

Schließlich schnauzt er mich an, ich soll's nicht unnötig kompliziert machen. Ja Himmel, dann soll er sich seine letzten Antworten anschauen, dann weiß er, wer's hier unnötig kompliziert machte.

[MaryLong]

Tja .. dann lies Post #14 nochmals - wenn das für Dich "angeschnautzt" ist, dann reden wir tatsächlich aneinander vorbei ..

Empfehlung:
Nimm den von mir geposteten Link von MS. Da steht alles drin und löse doch einfach mal Dein Problem, dann haben wir hier wenigstens nicht alles umsonst gemacht.

[rollout]

Für mich ist das zumindest keine sonderlich freundliche Antwort. Und ich kann nicht erkennen, dass diese Reaktion gerechtfertigt war, denn er selbst hat nichts unternommen, um die Angelegenheit abzukürzen.

Im Übrigen ist das hier besprochene Problem längst erledigt.

Aber nochmals sorry, dass ich mir anmaßte, hier zu fragen. Ich wusste nicht, dass man hier nur rein darf, wenn man bereits alle Whitepapers und sonstigen Infos kennt.

Irgendwo stand am Eingang: "Fragen kostet nichts". Das muss ich wohl falsch verstanden haben. Bitte nochmals um Entschuldigung. Wird nicht wieder vorkommen.

[BuckFix]

Ähem sorry, aber DU wolltest es doch genau wissen, oder?

[rollout]

Richtig, und wenn du dich gleich ein wenig genauer ausgedrückt hättest und nicht erst in deinem unfreundlichen Abgang (#14), wär die Angelegenheit auch kürzer geworden.

[Andy1]

Das war doch klar erklärt, so das ich es sogar gut nachvollziehen kann, und ich überlese, auch gern etwas.

Na poste mal das Ergeniss. Damit wir wenigstens wissen, ob wir alles richtig gemacht haben.

[rollout]

Na klar, du kleiner Schlaumeier musst jetzt auch noch deinen Senf dazu geben, hm?

Brav!

[BuckFix]

Ich mache das mittlerweile schon zu lange, um mich mit irgendwelchen arroganten Dummköpfen herumzuärgern, die ihr eigenes Unvermögen in Frechheiten umzuwandeln versuchen.
Du darfst dir gerne eine Anlaufstelle suchen, wo solche Leute erwünscht sind.

[Andy1]

Was macht es einer "deutschen Eiche" wenn ein kleines "Wildschwein" sich dran schubbert?

Nein im ernst, auch in kostenfreien Supportforen gibt es klare Regeln.

Du wolltest ein Problem geklärt haben, es wurde versucht Dir zu helfen, aber Du weichst unsachlich vom Thema ab, auf welches man Dich in jedem 2. Beitrag höflich hingewiesen hat.

Wenn an Deinem Rechner etwas nicht so läuft wie es soll, kann doch keiner der Dir hier geschrieben hat, etwas dafür.

Und die Bitte um Feedback für die "Lösung" ist doch einfach normal.