IT-Academy Logo
Sign Up Login Help
Home - Betriebssysteme - Windows - Windows XP-Spezielles - System Volume Information - Viren entfernen



System Volume Information - Viren entfernen

Viel Schadcode setzt sich in diesen Ordner ab und richtet später enormen Schaden an. Viele AV's können den Schadcode nicht löschen, da der Ordner durch spezielle Rechte geschützt ist, hier wird erklärt wie man sich diese Rechte beschafft und den Schadcode trozdem löschen kann.


Autor: Jan Guth (Prometheus)
Datum: 07-08-2007, 20:33:40
Referenzen: keine
Schwierigkeit: Anfänger
Ansichten: 115857x
Rating: 7 (1x bewertet)

Hinweis:

Für den hier dargestellte Inhalt ist nicht der Betreiber der Plattform, sondern der jeweilige Autor verantwortlich.
Falls Sie Missbrauch vermuten, bitten wir Sie, uns unter missbrauch@it-academy.cc zu kontaktieren.

[Druckansicht] [Als E-Mail senden] [Kommentar verfassen]



System Volume Information


Einleitung


Wenn ihr Antivirusprogramm (kurz AV) ein Virus, Trojaner, RAT, etc. in diesem Ordner „System Volume Information“ entdeckt, ist es ihm oft nicht möglich den Schadcode zu entfernen, da dieser Ordner zur Systemwiederherstellung von Windows gehört und ein „normaler“ Benutzer weder etwas bearbeiten noch löschen, er kann den Ordner nicht einmal sehen.


Da dieser Ordner ein sehr beliebtes Ziel für Schadcode jeglicher Art ist und die meisten Av’s sie nicht löschen können, zeige ich ihnen hier, wie man sie dennoch entfernen kann.


Hauptteil


Beispiel:


C:\System Volume Information\_restore{A7F210B0-7A36-4CAB-B164-3264ACD55FFC}\RP99\A0027020.exe”


Wenn der Av eine Meldung macht, dass sich Schadcode in diesem Ordner befindet, dann ist gerade eben der oben genannte Fall eingetreten.


Das Verzeichnis wo sich der Schadcode befindet, ist: „C:\System Volume Information\_restore{A7F210B0-7A36-4CAB-B164-3264ACD55FFC}\RP99\“, der Name des Schadcodes ist „A0027020.exe”. Der Schadcode ist ein Trojaner folgener Art: „Win32:Trojan-gen. {UPX!}“.


Ein Trojaner der sich höchstwahrscheinlich durch den UPX-Packer selbst installiert hat. Der AV kann diesen nicht entfernen, da er nicht die benötigte Sicherheitsstufe besitzt um was in diesem Ordner (System Volume Information) zu bewirken.


Deshalb müssen wir uns diese Sicherheitsstufe beschaffen und den Trojaner manuell löschen.

  1. Etappe


Wir öffnen den Arbeitesplatz und wählen die Festplatte aus auf der sich der Trojaner befindet (in diesem Fall ist es „C:\“). Auf der Festplatte „C:\“ haben wir standartmäßig folgende Ordner: Dokumente und Einstellungen, Programme und Windows. Sie können natürlich mehrere Ordner hier haben, aber diese sind wie schon erwähnt Standart. Sie sind in einer gelben farbe (bei normalem XP – Theme) dargestellt. In der Menüleiste ganz oben wählen wir nun „Extras“ aus und klicken auf die Option „Ordneroptionen“. Ein neues Fenster öffnet sich und wir haben nun 4 Rubriken, wie wählen die zweite mit der Überschrift „Ansicht“.


  1. Etappe


In dem Fenster gibt es nun eine Überschrift „Erweiterte Einstellungen“, dort müssen wir nun 3 Optionen ändern.


Bei „Einfache Dateifreigabe verwenden (empfohlen)“ und bei „Geschützte Systemdateien ausblenden (empfohlen)“ entfernen wir das Häckchen.


!!!Achutng: Bei „Geschützte Systemdateien ausblenden (empfohlen)“ wird eine Meldung angezeigt, bestätigen Sie diese mit „Ja“. !!!


Bei der Option „Versteckte Dateien und Ordner anzeigen“ wählen Sie die Option „Alle Dateien und Ordner anzeigen“.


Oben über der Überschrift „Erweitere Einstellungen“ ist ein Abschnitt mit der Überschrift „Ordneransicht“, hier klicken sie nun auf „Für alle übernehmen“. Es erscheint wiederum eine Meldung und Sie bestätigen diese wiederum mit „Ja“.


Anschließend klicken Sie unten links auf „Übernhemen“ und danach auf „OK“.


  1. Etappe



Nun sind auf der Festplatte „C:\“ neben den 3 Standartordnern noch andere Ordner sowie auch Dateien aufgetaucht. Wir intressieren uns aber nur für den „System Volume Information“ – Ordner.


!!!Achtung: Löschen, verschieben bzw? bearbeiten Sie keine Datein von alle diesen neu aufgetauchten Ordnern und Dateien, da dies zur kompletten „Zerstörung“ von Windows bzw. des kompletten Pc’s führen kann.!!!

Wenn Sie nun einen Doppemklick auf den „System Volume Information“ verüben bekommen Sie ein Fehlermeldung, in der Sie mitgeteilt bekommen, dass ihnen der „Zugriff verweigert“ wird. Damit wir nun Zugriff bekommen, geben wir uns für diese Ordner spezielle Rechte.


  1. Etappe


Wir verüben einen „Rechtsklick“ mit der Maus auf den Ordner „System Volume Information“ und klicken in den 4 obengennanten Rubriken die Rubrik „Sicherheit“ an. Dort klicken wir auf „Hinzufügen“ und in dem neu geöffneten Fenster geben wir unter dem Satz „Geben Sie die zu verwendenden Objektnamen ein (Beispiele):“ ihren Benutzernamen ihres Pc’s ein. Bei mir wäre es z.B.: Dusel. Danach bestätigen Sie mit „OK“.


Unten bei der Überschrift „Berechtigungen für Dusel“ (in meinem Fall) wählen Sie bei „Zulassen“ den „Vollzugriff“ aus. Danach klicken auf „Übernehemen“ und anschließend wie gewohnt auf „OK“.


!!!Achtung: Beachten Sie, dass ihr Benutzername (in meinem Fall Dusel) angeklickt ist und blau markiert ist.!!!




  1. Etappe


Öffnen Sie den „System Volume Information“ – Ordner und suchen Sie den Trojaner in dem genanneten Verzeichnis. Der Trojaner lässt sich dann wahrscheinlich nicht sofort löschen wenn Sie ihn gefunden haben, da er unter irgendeinem Prozess läuft. Natürlich gibt es für dieses Problem auch eine Lösung und diese heißt „Unlocker“. Dieses kleine „Freeware-Tool“ downloaden Sie sich hier und installieren es.


Nachdem dies erledigt ist verüben Sie ein Rechtsklick auf den Trojaner aus und klicken auf Unlocker. Nun können 3 verschiedene Fälle eintreten, entweder:


  1. Es geht ein neues Fenster auf und Sie klicken auf „Alle Freigeben“ und löschen dann den Trojaner.

  2. Es geht ein neues kleineres Fenster auf und Sie wählen die Aktion „Löschen“ aus und bestätigen mit „OK“.

  3. Oder es geht das gleiche kleine Fenster auf wie bei Punkt b) und sie wählen die Aktion „Löschen“ aus, jedoch wird die Datei (indem Fall der Trojaner erst nach einem Neustart gelöscht.


Nun dürfte der Trojaner in unserem Szenario gelöscht sein. Wir setzten alle veränderten Parameter wieder zurück auf ihren alte Werte.


  1. Etappe


Sie kehren ins Laufwerk „C:\“ zurück verüben wieder einen Rechtsklick auf den Ordner „System Volume Information“ aus und klicken auf „Eigenschaften“. In der Rubrik „Sicherheit“ klicken Sie ihren Benutzernamen an (in meinem Fall Dusel) und klicken anschließend auf entfernen. Danach bestätigen Sie mit „Übernehmen“ und „OK“.


Danach klicken Sie wiederum in der Menüleiste auf „Extras“ und danach auf „Ordneroptionen“. Hier wählen Sie die Rubrik „Ansicht“ und setzten ein Häckchen vor die Optionen „Einfache Dateifreigabe verwenden (empfohlen)“ und vor „Geschützte Systemdatein ausblenden (empfohlen)“. Bei der Überschrift „Alle Dateien und Ordner“ ein wenig drunter wählen Sie „Versteckte Dateien und Ordner ausblenden“.


Anschließend klicken Sie oben unter der Überschrift „Ordneransicht“ auf „Für alle übernhemen“. !!!Achtung: Es kommt wieder eine Meldung und Sie bestätigen Sie wiederrum mit der Antwort „Ja“.


Danach bestätigen Sie mit „Übernehmen“ und „OK“.


Schluss


Nun wissen Sie wie Sie Schadcode aus diesem Ordner entfernen können. Dies gillt jedoch nicht bloß für den „System Volume Information“ – Ordner sondern auch für andere in ähnlichen Fällen.


Ich hoffe mein Tutorial konnte ihnen weiterhelfen und wenn Sie Fragen, Anregungen oder Verbesserungsschläge haben können Sie diese gerne unter www.x303.cc in meinem Webblog über dieses Tutorial bzw. Sie können mir aber auch gerne eine E-Mail an folgende Adresse schreiben: prometheus@ethical-hacking.cc.

!!!Achtung: Es wäre von Vorteil wenn Sie im Betreff der E-Mail einen angepassten Titel aussuchen würden, wie z.B.: [Frage]System Volume Information . Dies dient alleine dazu damit ich die E-Mail nicht als Spam einstufe.!!!


Promtheus



dreamer
Expert
Beitrag vom:
08-08-2007, 09:56:47

Interessanter Artikel

Mir gefällt der Artikel. Das Thema spricht wohl viele Leute an. Jedoch sollte bei der Gestaltung noch etwas nachgebessert werden. Übrigens währen einige weiterführende Links nützlich, da man sich ja leicht den Computer kaputt machen könnte.

-----------------------------------------------------


[back to top]



Userdaten
User nicht eingeloggt

Gesamtranking
Werbung
Datenbankstand
Autoren:04508
Artikel:00815
Glossar:04116
News:13565
Userbeiträge:16552
Queueeinträge:06246
News Umfrage
Ihre Anforderungen an ein Online-Zeiterfassungs-Produkt?
Mobile Nutzung möglich (Ipone, Android)
Externe API Schnittstelle/Plugins dritter
Zeiterfassung meiner Mitarbeiter
Exportieren in CSV/XLS
Siehe Kommentar



[Results] | [Archiv] Votes: 1154
Comments: 0