Sign in to follow this  
Oli

System Volume Information und Trojaner

Recommended Posts

Hi all,

mir ist es jetzt schon ein paar mal passiert, dass ich am Notebook saß und Avira AntiVir Free Alarm schlug weil sich ein Trojaner in den "System Volume Information"-Ordner (nachfolgend nur noch SVI-Ordner genannt) einnisten wollte, was er schließlich auch tat.

Avira zeigt zwar "Zugriff verweigern" an, aber die Datei befindet sich dann am Ende trotzdem in dem SVI-Ordner. :huh:

Dabei ist dieser Trojaner - weiß nicht ob immer derselbe - nicht nur auf den SVI-Ordner auf der Systempartition "scharf", sondern nistet sich auch gern einmal auf einer anderen Partition - z.B. meiner USB-Festplatte - ein. :huh:

Bisher hatte ich es aber noch nicht, dass dieser sich 2 mal auf meiner Platte befand.

Möchte nämlich nicht wissen wie oft das vor kommt und ich nicht gerade vor dem Desktop sitze. :rolleyes:

Wie man im SVI-Ordner Schädlinge beseitigen kann - ohne die Wiederherstellungkonsole deaktivieren zu müssen und somit seine Systemwiederherstellungspunkte verliert - weiß ich, das ist nicht das Thema auf das ich hinaus will und auch will ich dies hier nicht vertiefen. ;)

Nur Emsisoft Anti-Malware schläg kein einziges mal Alarm wenn sich diese Datei bemerkbar macht. :blink:

Ich war mal wieder vor ein paar Tagen zu schnell und hab die Datei vorzeitig gelöscht :rolleyes: ...... hätte sie mal bei VT.com hochladen und checken lassen sollen.

Mir wäre es schon wichtig, dass Emsisoft Anti-Malware hier Alarm gibt, die Datei automatisch blockt und ggf. in Charantäne verschiebt odergleich löscht. :)

Ebenso wäre es schön, wenn man dann eine Nachricht auf dem Desktop sehen könnte in der eben steht, das Schädling XY versucht hat sich in Ordner-XY einzunisten und dieses Fenster (so ein Fenster wie das nach einem Update der Signaturen) sich nicht automnatisch schließt (nach einem Update schließt es sich ja nach einer gewissen Zeit), man es also wegdrücken muss, auch wenn es z.B. einmal 15 Minuten "offen" wäre.

Share this post


Link to post
Share on other sites

Nur Emsisoft Anti-Malware schläg kein einziges mal Alarm wenn sich diese Datei bemerkbar macht. :blink:

Welche Datei genau und hab ich das korrekt verstanden, dass Du EAM und AntiVir gleichzeitig laufen hast?

Share this post


Link to post
Share on other sites

Wie die Datei genau heißt kann ich dir nicht sagen :( , sie beginnt mit A.... und endet mit Nummern. :huh:

EAM läuft nicht im Scann-Modus, also ich prüfe währenddessen die Partitionen nicht per EAM.

Avira meldet sich automatisch, auch Avira ist nicht im Scann-Modus, es erkennt aber das die Datei sich einnisten möchte.

Beides, EAM und Avira, laufen normal im Hintergrund.

Quasi Notebook gestartet und ich arbeite ganz normal daran ohne die beiden zum Scannen einzuschalten.

Share this post


Link to post
Share on other sites

Aha, aber warum findet Avira diese schon vorher? :blink:

Avira blockiert sie ja trotzdem nicht, denn sie nistet sich ja in den genannten Ordner ein. :rolleyes:

Muss ja an der Signatur liegen, dass Avira diese erkennt.

Share this post


Link to post
Share on other sites

Aha, aber warum findet Avira diese schon vorher? :blink:

Das liegt an der zu Grunde liegenden Technik wie Hintergrundwaechter implementiert sind. Microsoft legt ueber sogenannte Altitudes fest in welcher Reihenfolge Antivirus Filter Treiber Zugriffe verarbeiten. Avira ist von Microsoft dabei vor uns angesiedelt worden, weshalb sie die Zugriffe vor uns sehen und wir sie im Normalfall dann nicht mal mehr zu Gesicht bekommen, wenn sie geblockt werden.

Share this post


Link to post
Share on other sites

Hmm, ist natürlich mist weil wenn der Trojaner oder generell der Schädling sich im SVI-Ordner einnistet man ihn ja nicht per EAM entdeckt (Avira gibt ja nur für 10 Sekunden Alarm).

Beispiel:

Man sitzt nicht vor dem Desktop, Avira meldet 10 Sekunden lang, dass derTrojaner XY gefunden wurde und beendet sich dann wieder, der Trojaner ist jetzt aber im SVI-Ordner.

Man kommt dann irgendwan wiederund setzt sich vor dem Desktop - bemerkt aber nicht, dass ein Schädling (eigentlich) gefunden wurde.

Jetzt startet man evtl. igrendwann mal )(1 mal im Monat vll.) EAM und scannt seine Partitionen, aber selbst als Admn scannt EAM ja nicht den SVI-Ordner da nur das System darauf Zugriff hat was ja ok ist.

Also wird man den Trojaner nie finden! :blink:

Das Unheil nimmt seinen Lauf....

Hier muss sich was ändern! ;)

Der Witz bei der ganzen Sache ist:

Schädlinge sind ja meist so programmiert dass sie nach C:\ als Systempartiion suchen um sich dort einzunisten.

Meine Systempartition ist aber nicht C:\ ;) und dieser Trojaner ist sogar trotzdem in der Lage auf anderen Partitionen sich einzunisten.

Wie gut nur, dass ich die Systemwiederherstellung nur für die Systempartition nutze und für die restlichen Partitionen deaktiviert ist.

Share this post


Link to post
Share on other sites

wer hatt dir denn erzehlt das schädlinge nur auf c:

laufen...?

außerdem woher willst du überhaupt wissen das avira hier keinen fehlalarm hatt?

zeig doch mal die avira meldungen, zu finden unter ereignisse.

avira hatt nen bug, auch wenn zugriff verweigern gewählt wird, steht im bericht erlauben, also schaue unter verwaltung, quarantäne, ob dort dateien zu finden sind aus der swh.

Share this post


Link to post
Share on other sites

Die Schädlinge die es zu Anfangszeiten gab waren so programmiert!

Ich weiß, dass diese Zeiten zwar vorbei sind, aber dennoch gibts bestimmt mehr davon. ;)

Ich gehe nämlich stark davon aus, dass 99% der Privatuser C:\ als Systempartition haben.

Sogar Firmen haben meist noch C:\ als Systempartition.

Avira kann mir, nachdem ich den SVI-Ordner manuell gescannt und die Datei gelöscht hatte, wohl keine Infos dazu mehr zeigen.

Share this post


Link to post
Share on other sites

Ahja. :)

A0092225.exe

Enthält Erkennungsmuster der Adware ADWARE/Agent.418498

A0098390.exe

Ist das Trojanische Pferd TR/Crypt.XPACK.Gen

Share this post


Link to post
Share on other sites

Befinden sich eben nicht mehr dort weil ich die manuell längst aus der Quarantäne gelöscht hatte. :rolleyes:

Sollte ich wieder einmal "Besuch" von diesen Dateien bekommen, dann heb ich sie mal auf. ;)

War in letzter Zeit ja desöfteren der Fall.

Share this post


Link to post
Share on other sites

du kannst ja mal n hijackthis log erstellen.

download hijackthis:

www.hijackthis.de

instalieren, falls du vista oder win7 nutzt, rechtsklick, als admin starten, scan and safe log, log posten

Share this post


Link to post
Share on other sites

hijackthis kenne ich! ;)

Im Moment brauche ich das aber doch nicht, mein System ist ja clean.

Denke, dass ich mich soweit mit Computer auskenne als das ich das behaupten kann. B)

Share this post


Link to post
Share on other sites

Ich hab nun mal nichts mit AV-Software am Hut! <_<

Diese nutzt man einfach nur, ohne großartig zu wissen was dahintersteckt bzw. wie diese ganz genau funktionieren. :P

Will jetzt nicht allzu OffTopic werden... ;)

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

  • Recently Browsing   0 members

    No registered users viewing this page.