Trojaner in der 'System Volume Information'?

Internet Internet Sicherheit
#1

Hallo,

mein Virenscanner zeigte mir die folgenden drei Warnungen an:

C:\System Volume Information_restore{66262987-7E1D-452F-86E1-1E031F3F9393}\RP22\A0011899.exe
[WARNUNG] Die Datei ist kennwortgeschützt
C:\System Volume Information_restore{66262987-7E1D-452F-86E1-1E031F3F9393}\RP27\A0013274.exe
[WARNUNG] Die Datei ist kennwortgeschützt
C:\System Volume Information_restore{66262987-7E1D-452F-86E1-1E031F3F9393}\RP6\A0009185.exe
[WARNUNG] Die Datei ist kennwortgeschützt

Habe mir die Dateien im „System Volume Information“-Ordner angesehen. Sie sind alle mit dem Icon meines Virenscanners versehen und können bei einem Direktscan nicht vollständig geprüft werden, da sie kennwortgeschützt sind.

Über Google habe ich herausgefunden, dass Trojaner mit den Namen A0013274.exe, A0009185.exe und A0011899.exe unterwegs sind.

Nun meine Fragen:

  1. Kann es sich meiner Beschreibung nach hier nur um Trjoaner handeln (da Icon des Virenscanners, Name bekannter Trojaner, Ablageort „System Volume Information“ und kennwortgeschützt)? Wäre es ratsam, die Dinger zu löschen?

  2. Können Dritte diese Anwendungen online über die Eingabe eines Kennwortes starten oder haben sie keinen Zugriff auf die Dateien in meiner „System Volume Information“?

  3. Mein System war vor einiger Zeit mit einigen Trojanern infiziert Kann es sein, dass es sich bei den o. g. Funden lediglich um ein Abbild des PCs zum Zeitpunkt der Infizierung im Rahmen der Speicherung von Wiederherstellungspunkten handelt, sodass die Dateien an den aktuellen Orten in der System Volume Information inaktiv sind und auch bleiben, solnga der PC nicht auf den infizierten Zeitpunkt zurückgesetzt wird?

Danke voranb für eure Hilfe!

Gruß

Martin

#2

Hallo,
du siehst das völlig richtig, dass erst nach einer Wiederherstellung es möglich ist, Viren zu aktivieren die in der Systemwiederherstellung schlummern. Wenn dein System zur Zeit ordentlich läuft, kannst du einen neuen Wiederherstellungspunkt anlegen und über die Bereinigungsfunktion des Explorers alle Wiederherstellungspunkte bis auf den letzten entfernen. Dann sind dies Spuren endgültig weg:

  • Klicke mit der rechten Maustaste auf dein Systemlaufwerk.
  • Klicke auf den Button „bereinigen“.
  • Wähle „Daten aller Benutzer“
  • Klicke auf die Registerkarte „weitere Option“.
  • Klicke dort im Feld „Systemwiederherstellung und Schattenkopien“ auf den Button „Bereinigen …“.
  • Bestätige die Scherheitsabfrage.

Diese Schritt-für-Schrittanweisung habe ich gerade auf einem Vista-Rechner nachvollzogen, sie dürfte für Windows 7 ähnlich sein.

LG Culles

#3

Hallo und danke für die hilfreichen Infos!

Kann mir etwas passieren, wenn ich diese Einträge manuell aus der jetzigen Wiederherstellungsablage entferne? Was wäre, wenn ich mich bei einer Wiederherstellung des Systems für einen Wiederherstellungspunkt entscheiden würde, in dem diese Datein zur Zeit noch liegen, wenn sie dann nicht mehr drin sind?

Deutet meine Beschreibung denn überhaupt darauf hin, dass es sich um Schadware handelt? Wozu dient der Kennwortschutz?

#4

Hallo,
eine manuelles Löschen der Wiederherstellungspunkte wird Windows durcheianderbringen, also nicht empfehlenswert. Wenn du dich für einen Wiederherstellungspunkt entscheidest, der von deinem Virenscanner bereinigt wurde, wird die Wiederherstellung vielleicht nicht mehr richtig funktionieren, also auch nicht gerade empfehlenswert.
Die Dateinamen deuten in der Tat darauf hin, dass es sich um Viren handelt. Wieso die Meldung „kennwortgeschützt“ generiert wurde, weiß ich leider nicht.

LG Culles

#5

Hallo Culles,

dann mal vielen Dank für deine Hilfe!

Eine letzte Frage noch:

Werden die alten Systemwiederherstellungspunkte irgendwann überschrieben, sodass auch die Viren darin automatisch irgendwann gelöscht werden?

Schöne Grüße

Martin

#6

Hallo,

die alten Wiederherstellungspunkte werden automatisch gelöscht. Dein Betriebssystem reserviert automatisch maximal 15 % des verfügbaren Festplattenspeichers für die Systemwiederherstellung und löscht bei Erreichen dieser Grenze den ältesten Wiederherstellungspunkt.

LG Culles

#7

Vielen Dank!!!