Wo finde ich die 'HarddiskVolumeShadowCopy'

[fha 10]

Hi Zusammen!

 

Ich habe einen Win2003 DC auf dem ein Virenscanner läuft. Nun meldet mir der Virenscanner eine verdächtige Datei im Pfad:

\Device\HarddiskVolumeShadowCopy4\WINDOWS\system32\spool\drivers\w32x86\3\E_

FHBR9BE.DLLartup\wups2.dll\5.8.0.2469\wups2.dll.htmmmmration.htm

 

Lustigerweise meldet er es seitdem jeden Tag einmal und jedes Mal in einer anderen HarddiskVolumeShadowCopy.

 

Noch lustiger ist, dass der VSS deaktiviert ist und die Verwaltung der Schattenkopien (Eigenschaften von Freigegebenen Ordner in der Computerverwaltung) und auch der VSSadmin keinerlei Schattenkopien ausweisen.

 

Nachdem ich hier im Board ein bißchen gesucht habe, habe ich auch die 'System Volume Information'-Ordner auf den Laufwerken gecheckt, aber da liegt nur die 'MountPointManagerRemoteDatabase' mit 0KB Größe.

 

Kann mir jemand von euch noch eine Möglichkeit nennen?

[GuentherH 61]

Hi.

 

Lustigerweise meldet er es seitdem jeden Tag einmal

 

... und das wahrscheinlich zu der Zeit, wenn das Backup läuft.

 

Vermutlich nutzt du die Shadow Copy Funktion deines Backupprogramms, deshalb auch immer mit einer anderen Nummer.

 

LG Günther

[IThome 10]

Genau, lass mal das Backup laufen und schaue in System Volume Information, während es läuft. Nach dem Backup wird diese Datei wieder gelöscht ...

[fha 10]

Hi!

 

Vielen Dank für die Antworten!

 

Ja es stimmt, zu der Zeit läuft das NTBackup als geplanter task. Dem NTBackup wird kein /SNAP-Schalter übergeben, das heißt meines Wissens, dass mit ShadowCopies gesichert wird.

 

Dazu noch zwei Fragen:

 

1.) Ist es tatsächlich sinnvoll mit Shadowcopy zu sichern? Ich habe bisher nur auf 2000 NTBackup-Sicherungen Wiederherstellen müssen und da ging es auch ohne diesen Dienst.

 

2.) Kann mir jemand einen Tip geben, wo ich dann die Datei finde? Denn das Verzeichnis C:\WINDOWS\system32\spool\drivers\w32x86\3\E_FHBR9BE.DLLartup gibt es nicht. Ich habe auch schon den OnDemand-Scanner laufen lassen, der findet nichts.