Game Stats Beta Test
purzelbaum
unsere besten emails
RSS Feedselector .: Homepage :. Gästebuch .: Impressum :. Link Us Board Empfehlen Partner von Liddll´s Satpage Partnerboard The Toplist of Liddll´s Satpage
Licht aus
Liddll's Satboard

Registrierung Guthaben CP Mitgliederliste Teammitglieder .: Pranger :. .: Friedhof :. Abwesenheits-Liste Häufig gestellte Fragen

letzte Beiträge Termin-Kalender .: Statistik :. Links Datenbank Suche

AdBanner KickTipp Arcade Games .: Game Menü :.

Portal DiseqC NASA ..: Videos :.. Zur Startseite
OMS



Liddll's Satboard » PC - Hardware - Software - Peripherie » Internet » Warnungen: Viren, Trojaner & Co » System Volume Information - Viren entfernen » Hallo Gast [Anmelden|Registrieren]
« Vorheriges Thema | Nächstes Thema » Thema im PDF®-Format herunterladen | Druckvorschau | An Freund senden | Thema zu Favoriten hinzufügen
Zum Ende der Seite springen System Volume Information - Viren entfernen Baumstruktur | Brettstruktur
Autor
Beitrag Letzter Beitrag | Erster ungelesener Beitrag
Wasdasdenn? Wasdasdenn? ist männlich   Zeige Wasdasdenn? auf Karte Steckbrief
Super Moderator


images/avatars/avatar-660.gif


Dabei seit: Dabei seit: 11.02.2009
Beiträge: Beiträge: 4.218
Guthaben: Guthaben: 1.686.462 Lümmel
Kontonummer: Kontonummer: 2043


System Volume Information - Viren entfernen Auf diesen Beitrag antworten Zitatantwort auf diesen Beitrag erstellen Diesen Beitrag editieren/löschen Diesen Beitrag einem Moderator melden       Zum Anfang der Seite springen


geelstert bei it-academy.cc danke an Prometheus für dieses hervorragende Tut

Zitat:
System Volume Information - Viren entfernen

Viel Schadcode setzt sich in diesen Ordner ab und richtet später enormen Schaden an. Viele AV's können den Schadcode nicht löschen, da der Ordner durch spezielle Rechte geschützt ist, hier wird erklärt wie man sich diese Rechte beschafft und den Schadcode trozdem löschen kann.

Autor: Jan Guth (Prometheus)

Datum: 07-08-2007, 2033 40

Referenzen: keine

Schwierigkeit: Anfänger

Ansichten: 108665x

Rating: 7 (1x bewertet)


Hinweis:
Für den hier dargestellte Inhalt ist nicht der Betreiber der Plattform, sondern der jeweilige Autor verantwortlich.Falls Sie Missbrauch vermuten, bitten wir Sie, uns unter missbrauch@it-academy.cc zu kontaktieren.



System Volume Information

Einleitung

Wenn ihr Antivirusprogramm (kurz AV) ein Virus, Trojaner, RAT, etc. in diesem Ordner „System Volume Information“ entdeckt, ist es ihm oft nicht möglich den Schadcode zu entfernen, da dieser Ordner zur Systemwiederherstellung von Windows gehört und ein „normaler“ Benutzer weder etwas bearbeiten noch löschen, er kann den Ordner nicht einmal sehen.

Da dieser Ordner ein sehr beliebtes Ziel für Schadcode jeglicher Art ist und die meisten Av’s sie nicht löschen können, zeige ich ihnen hier, wie man sie dennoch entfernen kann.

Hauptteil

Beispiel:

„C:\System Volume Information\_restore{A7F210B0-7A36-4CAB-B164-3264ACD55FFC}\RP99\A0027020.ex
e”


Wenn der Av eine Meldung macht, dass sich Schadcode in diesem Ordner befindet, dann ist gerade eben der oben genannte Fall eingetreten.

Das Verzeichnis wo sich der Schadcode befindet, ist: „C:\System Volume Information\_restore{A7F210B0-7A36-4CAB-B164-3264ACD55FFC}\RP99\“, der Name des Schadcodes ist „A0027020.exe”. Der Schadcode ist ein Trojaner folgener Art: „Win32:Trojan-gen. {UPX!}“.

Ein Trojaner der sich höchstwahrscheinlich durch den UPX-Packer selbst installiert hat. Der AV kann diesen nicht entfernen, da er nicht die benötigte Sicherheitsstufe besitzt um was in diesem Ordner (System Volume Information) zu bewirken.

Deshalb müssen wir uns diese Sicherheitsstufe beschaffen und den Trojaner manuell löschen.
1. Etappe

Wir öffnen den Arbeitesplatz und wählen die Festplatte aus auf der sich der Trojaner befindet (in diesem Fall ist es „C:\“). Auf der Festplatte „C:\“ haben wir standartmäßig folgende Ordner: Dokumente und Einstellungen, Programme und Windows. Sie können natürlich mehrere Ordner hier haben, aber diese sind wie schon erwähnt Standart. Sie sind in einer gelben farbe (bei normalem XP – Theme) dargestellt. In der Menüleiste ganz oben wählen wir nun „Extras“ aus und klicken auf die Option „Ordneroptionen“. Ein neues Fenster öffnet sich und wir haben nun 4 Rubriken, wie wählen die zweite mit der Überschrift „Ansicht“.

2. Etappe

In dem Fenster gibt es nun eine Überschrift „Erweiterte Einstellungen“, dort müssen wir nun 3 Optionen ändern.

Bei „Einfache Dateifreigabe verwenden (empfohlen)“ und bei „Geschützte Systemdateien ausblenden (empfohlen)“ entfernen wir das Häckchen.

!!!Achutng: Bei „Geschützte Systemdateien ausblenden (empfohlen)“ wird eine Meldung angezeigt, bestätigen Sie diese mit „Ja“. !!!

Bei der Option „Versteckte Dateien und Ordner anzeigen“ wählen Sie die Option „Alle Dateien und Ordner anzeigen“.

Oben über der Überschrift „Erweitere Einstellungen“ ist ein Abschnitt mit der Überschrift „Ordneransicht“, hier klicken sie nun auf „Für alle übernehmen“. Es erscheint wiederum eine Meldung und Sie bestätigen diese wiederum mit „Ja“.

Anschließend klicken Sie unten links auf „Übernhemen“ und danach auf „OK“.

3. Etappe


Nun sind auf der Festplatte „C:\“ neben den 3 Standartordnern noch andere Ordner sowie auch Dateien aufgetaucht. Wir intressieren uns aber nur für den „System Volume Information“ – Ordner.

!!!Achtung: Löschen, verschieben bzw? bearbeiten Sie keine Datein von alle diesen neu aufgetauchten Ordnern und Dateien, da dies zur kompletten „Zerstörung“ von Windows bzw. des kompletten Pc’s führen kann.!!!
Wenn Sie nun einen Doppemklick auf den „System Volume Information“ verüben bekommen Sie ein Fehlermeldung, in der Sie mitgeteilt bekommen, dass ihnen der „Zugriff verweigert“ wird. Damit wir nun Zugriff bekommen, geben wir uns für diese Ordner spezielle Rechte.

4. Etappe

Wir verüben einen „Rechtsklick“ mit der Maus auf den Ordner „System Volume Information“ und klicken in den 4 obengennanten Rubriken die Rubrik „Sicherheit“ an. Dort klicken wir auf „Hinzufügen“ und in dem neu geöffneten Fenster geben wir unter dem Satz „Geben Sie die zu verwendenden Objektnamen ein (Beispiele):“ ihren Benutzernamen ihres Pc’s ein. Bei mir wäre es z.B.: Dusel. Danach bestätigen Sie mit „OK“.

Unten bei der Überschrift „Berechtigungen für Dusel“ (in meinem Fall) wählen Sie bei „Zulassen“ den „Vollzugriff“ aus. Danach klicken auf „Übernehemen“ und anschließend wie gewohnt auf „OK“.

!!!Achtung: Beachten Sie, dass ihr Benutzername (in meinem Fall Dusel) angeklickt ist und blau markiert ist.!!!



5. Etappe

Öffnen Sie den „System Volume Information“ – Ordner und suchen Sie den Trojaner in dem genanneten Verzeichnis. Der Trojaner lässt sich dann wahrscheinlich nicht sofort löschen wenn Sie ihn gefunden haben, da er unter irgendeinem Prozess läuft. Natürlich gibt es für dieses Problem auch eine Lösung und diese heißt „Unlocker“. Dieses kleine „Freeware-Tool“ downloaden Sie sich hier und installieren es.

Nachdem dies erledigt ist verüben Sie ein Rechtsklick auf den Trojaner aus und klicken auf Unlocker. Nun können 3 verschiedene Fälle eintreten, entweder:

Es geht ein neues Fenster auf und Sie klicken auf „Alle Freigeben“ und löschen dann den Trojaner.
Es geht ein neues kleineres Fenster auf und Sie wählen die Aktion „Löschen“ aus und bestätigen mit „OK“.
Oder es geht das gleiche kleine Fenster auf wie bei Punkt b) und sie wählen die Aktion „Löschen“ aus, jedoch wird die Datei (indem Fall der Trojaner erst nach einem Neustart gelöscht.

Nun dürfte der Trojaner in unserem Szenario gelöscht sein. Wir setzten alle veränderten Parameter wieder zurück auf ihren alte Werte.

6. Etappe

Sie kehren ins Laufwerk „C:\“ zurück verüben wieder einen Rechtsklick auf den Ordner „System Volume Information“ aus und klicken auf „Eigenschaften“. In der Rubrik „Sicherheit“ klicken Sie ihren Benutzernamen an (in meinem Fall Dusel) und klicken anschließend auf entfernen. Danach bestätigen Sie mit „Übernehmen“ und „OK“.

Danach klicken Sie wiederum in der Menüleiste auf „Extras“ und danach auf „Ordneroptionen“. Hier wählen Sie die Rubrik „Ansicht“ und setzten ein Häckchen vor die Optionen „Einfache Dateifreigabe verwenden (empfohlen)“ und vor „Geschützte Systemdatein ausblenden (empfohlen)“. Bei der Überschrift „Alle Dateien und Ordner“ ein wenig drunter wählen Sie „Versteckte Dateien und Ordner ausblenden“.

Anschließend klicken Sie oben unter der Überschrift „Ordneransicht“ auf „Für alle übernhemen“. !!!Achtung: Es kommt wieder eine Meldung und Sie bestätigen Sie wiederrum mit der Antwort „Ja“.

Danach bestätigen Sie mit „Übernehmen“ und „OK“.

Schluss

Nun wissen Sie wie Sie Schadcode aus diesem Ordner entfernen können. Dies gillt jedoch nicht bloß für den „System Volume Information“ – Ordner sondern auch für andere in ähnlichen Fällen.

Ich hoffe mein Tutorial konnte ihnen weiterhelfen und wenn Sie Fragen, Anregungen oder Verbesserungsschläge haben können Sie diese gerne unter www.x303.cc in meinem Webblog über dieses Tutorial bzw. Sie können mir aber auch gerne eine E-Mail an folgende Adresse schreiben: prometheus@ethical-hacking.cc. (Anm. Pirol: e-mail und website invalid)
!!!Achtung: Es wäre von Vorteil wenn Sie im Betreff der E-Mail einen angepassten Titel aussuchen würden, wie z.B.: [Frage]System Volume Information . Dies dient alleine dazu damit ich die E-Mail nicht als Spam einstufe.!!!

Promtheus


__________________
Der Laie staunt - der Fachmann wundert sich...

Hi Folks, I´m Whitebird





05.02.2015 23:40 Wasdasdenn? ist offline E-Mail an Wasdasdenn? senden Beiträge von Wasdasdenn? suchen Nehmen Sie Wasdasdenn? in Ihre Freundesliste auf Fügen Sie Wasdasdenn? in Ihre Kontaktliste ein
Gehe zu:

Neues Thema erstellen Antwort erstellen

Ähnliche Themen
Thread Forum Gestartet Letzte Antwort Statistik
Information Information   11.05.2019 17:29 von mosi     11.05.2019 17:29 von mosi   Views: 8.649
Antworten: 0
SatelliFax Mehr Eigenproduktionen und Informationsprogramme: ProS [...] Sat - News   27.09.2018 07:33 von RSS-Bot     27.09.2018 07:33 von RSS-Bot   Views: 6.994
Antworten: 0
SatelliFax AS&S Radio startet mit flexiblerem Preissystem und lei [...] Sat - News   27.09.2018 07:33 von RSS-Bot     27.09.2018 07:33 von RSS-Bot   Views: 6.743
Antworten: 0
SatelliFax Eutelsat unternimmt mit dem Start von Eutelsat CIRRUS [...] Sat - News   10.09.2018 07:41 von RSS-Bot     10.09.2018 07:41 von RSS-Bot   Views: 6.741
Antworten: 0
SatelliFax TechniSat: Erster intelligenter Lautsprecher mit Multi [...] Sat - News   24.08.2018 15:33 von RSS-Bot     24.08.2018 15:33 von RSS-Bot   Views: 5.891
Antworten: 0

Du möchtest einen Link zu diesem Thema "System Volume Information - Viren entfernen" setzen?
Dir gefällt unser Projekt und du möchtest uns etwas unterstützen?
Diesen Verweis kannst du auf deinen Seiten einbinden, durch Kopieren des jeweiligen Codes und Einfügen auf deiner Seite. Einfach den Html- oder BB-Code markieren und durch drücken der Tastenkombination "Strg+C" kopieren. Wenn du den Code nun wieder in dein/e Forum/Seite einfügen willst, klickst du einfach auf die gewünschte Stelle und drückst die Tasten "Strg+V".
Wir danken dir für deine Unterstützung!
Anleitung
Thema - System Volume Information - Viren entfernen (Klick!) Demolink
Code für HTML-Seiten
BB-Code für Foren

Liddll's Satboard » PC - Hardware - Software - Peripherie » Internet » Warnungen: Viren, Trojaner & Co » System Volume Information - Viren entfernen

Views heute: 391.795 | Views gestern: 434.514 | Views gesamt: 847.254.249
Portal .: Impressum :. RSS Feedselector Link Us Zur Startseite
Powered by JGS-Portal Version 3.1.0 © 2002-2005 www.jgs-xa.de
Forensoftware: Burning Board 2.3.6, entwickelt von WoltLab GmbH