Datei in Volume Systeminformation löschen?

[KD-one 10]

Hallo,

 

offensichtzlich ist bei der Installation des Rechners etwas schief gelaufen.

Da ich ein gebranntes Kind bin, habe ich bei der Installation darauf geachtet, den Virenscanner(KAV7) zu installieren, bevor das Netzwerk eingerichtet wurde.

Nun tauchten bei einem Scan im abgesicherten Modus in obigen Ordner dennoch zwei infizierte *.exe auf.

möglicherweise hat sich der Rechner das Netzwerk ohne mein Zutun vom Router geholt, das kann ich nun nicht mehr nachvollziehen.

Ausserhalb von _recent ist keine Datei befallen.

~~~~ Infected files

~~~~~~~~~~~

Datei C:\System Volume Information\_restore{AAAFE53A-3181-4F22-93E2-5F71F6E651ED}\RP24\A0001573.exe infiziert von "NULL.Corrupted" Virus.

Datei E:\System Volume Information\_restore{AAAFE53A-3181-4F22-93E2-5F71F6E651ED}\RP19\A0000572.exe infiziert von "NULL.Corrupted" Virus.

~~~~~~~~~~~

Mein Problem ist nun, daß ich auch im abgesicherten Modus keinen Zugriff auf diesen Pfad erhalte, Windows verweigert jegliche Aktion.

Wie kann ich die betroffenen Dateien löschen?

Sonst hab ich die, wenn mal eine Systemwiederherstellung fällig ist, plötzlich auf dem Rechner.

Zudem sind die Dateien dan auch in den Images von Acronis enthalten.

 

mfg

Kurt

 

mfg

Kurt

[Q -kju:- 10]

Hallo,

Sonst hab ich die, wenn mal eine Systemwiederherstellung fällig ist, plötzlich auf dem Rechner.

 

Was nicht verwunderlich ist, weil diese Dateien zur Systemwiederherstellung gehören. Sie werden normalerweise gelöscht, wenn du die Systemwiederherstellung deaktivierst (kannst sie anschließend gleich wieder aktivieren). Damit gehen aber sämtliche Wiederherstellungspunkte verloren.

[KD-one 10]

']Was nicht verwunderlich ist' date=' weil diese Dateien zur Systemwiederherstellung gehören. Sie werden normalerweise gelöscht, wenn du die Systemwiederherstellung deaktivierst (kannst sie anschließend gleich wieder aktivieren). Damit gehen aber sämtliche Wiederherstellungspunkte verloren.[/quote']

 

Ja, eben, und genau deshalb will ich die ja nicht deaktivieren. Es geht ja nur darum, bei den beiden Partitionen jeweils eine Datei zu löschen. gibt's da gar keine Chance?

Ev. mit irgendeinem Kommandozeilentool?

Oder gehören diese Dateien zur Systemwiederherstellung selbst und nicht zur Sicherung eines Wiederherstellungspunktes?

 

mfg

Kurt

[Q -kju:- 10]

Standardmäßig hat nur SYSTEM Zugriff auf diesen Ordner. Du kannst aber den Administrator unter Sicherheitseinstellungen hinzufügen und ihm Vollzugriff geben. Dann kannst du in dem Ordner nach Herzenslust rumlöschen. Würde ich aber nicht tun, da dort auch noch andere Sachen abgelegt sind. Alternativ lassen sich über die "Datenträgerbereinigung - Weitere Optionen" alle Wiederherstellungspunkte außer dem letzten löschen. Wenn das System momentan in brauchbarem Zustand ist, spricht eigentlich nichts dagegen.

[KD-one 10]

Hallo,

 

']Standardmäßig hat nur SYSTEM Zugriff auf diesen Ordner. Du kannst aber den Administrator unter Sicherheitseinstellungen hinzufügen und ihm Vollzugriff geben. Dann kannst du in dem Ordner nach Herzenslust rumlöschen. Würde ich aber nicht tun' date=' da dort auch noch andere Sachen abgelegt sind. [/quote']

Und wie bewerkstellige ich das?

Welche Sicherheitseinstellungen meinst du, und wie komm ich an die?

Könntest du das konkretisieren?

Schlimmstenfalls handelt es sich dabei höchstens um ein Programm, daß dann eben nicht funktioniert.

']Alternativ lassen sich über die "Datenträgerbereinigung - Weitere Optionen" alle Wiederherstellungspunkte außer dem letzten löschen. Wenn das System momentan in brauchbarem Zustand ist' date=' spricht eigentlich nichts dagegen.[/quote']

Möchte ich eigentlich nicht tun, da ich im Moment nicht beurteilen kann, ob es nicht nötig ist, bei einer Systemwiederherstellung weiter zurückzugreifen.

Speicherplatzprobleme hab ich zur Zeit ja keine. ;)

 

mfg

Kurt

[XP-Fan 215]

Hi Kurt,

 

welches Betriebssystem hast du ? XP Pro oder Home ?

[KD-one 10]

Hallo XP-Fan,

 

XP Media Center Edition 2005, also eigentlich XP Pro.

 

mfg

Kurt

[XP-Fan 215]

Hi,

 

deaktiviere die Einfache Dateifreigabe im Windows Explorer unter Extras Ordneroptionen Ansicht.

 

Bei der MCE 2005 bin ich mir nicht ganz sicher ob du danach die Berechtigungen ändern kannst,

teste es einfach einmal. Ansonsten im abgesicherten Modus starten ( F8 beim starten drücken ), da sollte es auf jeden Fall gehen.

 

BTW: Ich würde dem System nicht mehr trauen und es neu installieren !

[KD-one 10]

BTW: Ich würde dem System nicht mehr trauen und es neu installieren !

Js, diese Frage stellt sich für mich nun auch.

 

Beim Start des Windows Explores teilte mir nun KAV folgendes mit:

 

Prozess versucht, Zugriff zum Ändern auf die Parameter der Plug-Ins für den Browser Internet-Explorer zu erhalten.

Zugriff auf die Registrierung

HKEY_USERS\*****\Explorer

Prozess:

C:\Windows\Explorer.EXE

 

Eigentlich bereits ein deutlicher Hinweis, daß das System korrumpiert wurde.

Ich werde nun mal eine Datensicherung anlegen und anschließend, nachdem ich die betroffenen Dateien gelöscht habe, es mit der Systemwiederherstellung versuchen.

Sollte das dann noch nicht vorbei sein, bleibt mir eh nix anderes übrig, als platt machen....

*hmpf*

Das wäre das dritte mal innerhalb von einer Woche... *grrrrr*

 

BTW, wo werden die Berechtigungen geändert?

 

mfg

Kurt

[Q -kju:- 10]

Den Ordner rechtsklicken - Eigenschaften - Register "Sicherheit". Den Administrator (bzw. Benutzer) hinzufügen und das Häkchen bei Vollzugriff setzen. Wenn's die Registerkarte nicht gibt, dann im abgesicherten Modus starten, da sollte sie erscheinen.

 

BTW: Ich würde dem System nicht mehr trauen und es neu installieren !

 

Da stimme ich übrigens voll zu.

[KD-one 10]

Ok, habs selbst rausgefunden.

Bei den Dateien handelt es sich um 0Byte-Dateien, also steht zu befürchten, daß diese bereits Ihren Auftrag erfüllt haben.

Werde also die Systemwiederherstellung zu einem vorherigen Zeitpunkt versuchen.

mfg

Kurt

 

PS.: Natürlich werd ich die Berechtigung vorher wieder löschen... ;)

[KD-one 10]

Naja, da scheint sich ja jemand mächtig Mühe gegeben zu haben.

Soweit ich feststellen konnte, handelte es sich dabei um ein Befehlszeilenprogramm.

Liege ich da richtig?

Windows-PIF Einstellungen:
Autoexec Dateiname: %SystemRoot%\SYSTEM32\AUTOEXEC.NT
Config Dateiname: %SystemRoot%\SYSTEM32\CONFIG.NT

Zumindest wird unter Eigenschaften/Programm ein MS-DOS-Symbol gezeigt.

Was war das? Ein Keylogger?

 

mfg

Kurt

[Q -kju:- 10]

Nö, das sind Konfigurationsdateien für den Start von DOS-Programmen unter Windows (adäquat zu CONFIG.SYS und AUTOEXEC.BAT unter DOS). Der Inhalt dieser Dateien wäre höchstens interessant.

[KD-one 10]

Der Inhalt der AUTOEXEC.NT:

@echo off

 

REM C:\AUTOEXEC.BAT wird nicht zum Initialisieren der

REM MS-DOS-Umgebung verwendet.

REM Stattdessen wird die Datei AUTOEXEC.NT verwendet,

REM es denn eine andere Startdatei wird in einer PIF-

REM Datei angegeben.

 

REM Installieren der CD-ROM-Erweiterung

lh %SystemRoot%\system32\mscdexnt.exe

 

REM Installieren des Netzwerk-Redirectors (vor dosx.exe laden)

lh %SystemRoot%\system32\redir

 

REM Installieren der DPMI-Unterstützung

lh %SystemRoot%\system32\dosx

 

REM Die folgende Zeile aktiviert Sound Blaster 2.0-Unterstützung auf NTVDM.

REM Der Befehl zur Festlegung der BLASTER-Umgebung lautet wie folgt:

REM SET BLASTER=A220 I5 D1 P330

REM

REM A Gibt den Basis-E/A-Port für Sound Blaster an.

REM I Gibt die Unterbrechungsanforderungzeile an.

REM D Gibt den 8-Bit-DMA-Kanal an.

REM P Gibt den MPU-401 Basis-E/A-Port an.

REM T Gibt den Typ der Sound Blaster-Karte an:

REM 1 - Sound Blaster 1.5

REM 2 - Sound Blaster Pro I

REM 3 - Sound Blaster 2.0

REM 4 - Sound Blaster Pro II

REM 6 - SOund Blaster 16/AWE 32/32/64

REM

REM Die Standardwerte sind A220 I5 D1 T3 und P330. Wenn Optionen nicht an-

REM gegeben sind, werden die Standardwerte verwendet. (Hinweis: Da

REM alle Ports virtuell sind, müssen die hier angegebenen Informationen

REM nicht mit den realen Einstellungen übereinstimmen.) NTVDM unterstützt

REM nur Sound Blaster 2.0. Die Option T muss den Wert 3 haben, falls

REM angegeben.

SET BLASTER=A220 I5 D1 P330 T3

 

REM Geben Sie eine ungültige Sound Blaster Basis-E/A-Portadresse an, um den

REM Support für Sound Blaster 2.0 auf NTVDM zu deaktivieren. Zum Beispiel:

REM SET BLASTER=A0

 

 

Ich hab doch gar keine Soundblaster???

Sound ist on Board... ???

 

mfg

Kurt

[KD-one 10]

Und hier die CONFIG.NT:

REM MS-DOS-Initialisierungsdatei für Windows

REM

REM CONFIG.SYS versus CONFIG.NT

REM CONFIG.SYS wird nicht verwendet, um die MS-DOS-Umgebung zu

REM initialisieren. Statt dessen wird die Datei CONFIG.NT verwendet,

REM es sei denn, in der PIF-Datei einer Anwendung wird eine andere

REM Initialisierungsdatei angegeben.

REM

REM ECHOCONFIG

REM Standardmäßig ist die Informationsanzeige während der

REM Initialisierung der MS-DOS-Umgebung deaktiviert. Um

REM CONFIG.NT-/AUTOEXEC.NT-Informationen anzuzeigen, müssen Sie

REM den Befehl "EchoConfig" zu der Datei CONFIG.NT oder einer

REM anderen Initialisierungsdatei hinzufügen.

REM

REM NTCMDPROMPT

REM Wenn Sie von einem TSR-Programm oder einer MS-DOS-Anwendung aus

REM zur Eingabeaufforderung zurückzukehren, führt Windows

REM COMMAND.COM aus. Dadurch bleibt das TSR-Programm aktiv. Um den

REM Windows-Befehlsinterpreter CMD.EXE (statt COMMAND.COM) auszu-

REM führen, müssen Sie den Befehl "NTCmdPrompt" zu der Datei

REM CONFIG.NT oder einer anderen Initialisierungsdatei hinzufügen.

REM

REM DOSONLY

REM Standardmäßig kann jede Anwendung gestartet werden, wenn

REM COMMAND.COM ausgeführt wird. Wenn Sie eine Nicht-MS-DOS-Anwendung

REM aufrufen, werden TSR-Programme möglicherweise unterbrochen.

REM Um sicherzustellen, dass nur MS-DOS-Anwendungen gestartet werden,

REM müssen Sie den Befehl "DosOnly" zu der Datei CONFIG.NT oder

REM einer anderen Initialisierungsdatei hinzufügen.

REM

REM EMM

REM Verwenden Sie eine EMM-Befehlszeile, um den EMM (Expanded Memory

REM Manager) zu konfigurieren.

REM Die Syntax lautet:

REM

REM EMM = [A=AltRegSets] [b=BaseSegment] [RAM]

REM

REM AltRegSets

REM gibt die gesamten Alternative Mapping Register Sets an, die

REM das System unterstützen soll. 1 <= AltRegSets <= 255. Der

REM Standardwert ist 8.

REM BaseSegment

REM gibt die Anfangs-Segmentadresse im konventionellen DOS-Speicher

REM an, den das System für die EMM-Seitenrahmen reservieren soll.

REM Der Wert muss als Hexadezimalzahl angegeben werden.

REM 0x1000 <= BaseSegment <= 0x4000. Der Wert wird auf die nächste

REM 16 KB-Grenze abgerundet. Der Standardwert ist 0x4000.

REM RAM

REM gibt an, dass das System nur 64 KB Adressraum im oberen Speicher

REM (Upper Memory Block; UMB) für die EMM-Seitenrahmen reservieren

REM soll. Der Rest (falls verfügbar) wird von DOS für die

REM Unterstützung der Befehle "loadhigh" und "devicehigh" verwendet.

REM Standardmäßig reserviert das System den gesamten verfügbaren

REM UMB für Seitenrahmen.

REM

REM Die EMM-Größe wird in der PIF-Datei (entweder die Datei _DEFAULT.PIF

REM oder die PIF-Datei, die mit der Anwendung verknüpft ist) bestimmt.

REM Wenn die in der PIF-Datei angegebene Größe Null ist, wird EMM

REM deaktiviert und die EMM-Zeile nicht berücksichtigt.

REM

dos=high, umb

device=%SystemRoot%\system32\himem.sys

files=20

 

mfg

Kurt