Viren in C:\System Volume Information\

Viren können schon ziemlich nervig sein.
Wenn sie sich in Ordner verstecken, auf die man keinen Zugriff hat oder in Dateien einpflanzen, die vom System in Benutzung sind, kann es sogar richtig lästig werden.

Ich hatte heute wieder den Fall, aus dem Systemordner „C:\System Volume Information\“ wurde eine Malware gemeldet. Und da gerade wieder Meldungen von Conficker Updates durch die Gegend schwirren bin ich natürlich skeptisch, dass sich gerade heute ein Virus aus diesem Verzeichnis meldet, in dem direkt ja nicht gearbeitet wird.

System Volume Information beinhaltet Daten, die für die Systemwiederherstellung zu älteren Zeitpunkten nötig sind. Wenn nun also ein Virus im System liegt und dort in die Systemwiederherstellung eingebunden wird – weil er ja im Moment Teil des Systems ist – dann befindet er sich natürlich auch in diesem Rechner. Bei einer Systemwiederherstellung würde er dann auch mit wiederhergestellt werden, oder irre ich mich da?#

Da der Ordner sensible Datenbestände für die Funktion der Wiederherstellung beinhaltet, ist er normalerweise für den Benutzer nicht einzusehen.
Unter Windows XP könnt ihr das jedoch schnell ausser Kraft setzen:

  • Klicken Sie auf Start und anschließend auf Arbeitsplatz.
  • Klicken Sie im Menü Extras auf Ordneroptionen.
  • Klicken Sie auf der Registerkarte Ansicht auf Alle Dateien und Ordner anzeigen.
  • Deaktivieren Sie das Kontrollkästchen Geschützte Systemdateien ausblenden (empfohlen). Klicken Sie auf Ja, um die Änderung zu bestätigen.
  • Deaktivieren das Kontrollkästchen Einfache Dateifreigabe verwenden (empfohlen).
  • Klicken Sie auf OK.
  • Klicken Sie im Stammordner mit der rechten Maustaste auf den Ordner System Volume Information und anschließend auf Eigenschaften.
  • Klicken Sie auf die Registerkarte Sicherheit.
  • Klicken Sie auf Hinzufügen. Geben Sie dann den Namen des Benutzers ein, dem Sie Zugriff auf den Ordner gewähren möchten. Üblicherweise handelt es sich hierbei um das Konto, mit dem Sie sich angemeldet haben. Klicken Sie auf OK und anschließend erneut auf OK.
  • Doppelklicken Sie im Stammordner auf den Ordner System Volume Information, um ihn zu öffnen.

Weitere Beschreibungen und Hinweise im MSDN Artikel.

Nun könnt ihr den Ordner mit allen möglichen Tools und Antivirenprogrammen durchsuchen. Wenn es beim Löschen von Dateien zu Problemen kommt, dann probiert es im Abgesicherten Modus. In den gelangt ihr folgendermaßen:

  • Neustarten
  • F8 drücken
  • Abgesicherter Modus (ggf. mit Netzwerktreiber oder Eingabeaufforderung) starten

In diesem Modus solltet ihr volle Verfügung über die Dateien haben.

Ihr könnt die Systemwiederherstellung auch einfach deaktivieren, nach einem Neustart ist der Ordner System Volume Information dann auch gelöscht bzw. geleert.
Dazu einfach auf den Arbeitsplatz rechtsklicken, in den ‚Eigenschaften‘ unter dem Karteireiter ‚Systemwiederherstellung‘ einfach das Häkchen bei „Systemwiederherstellung auf allen Laufwerken deaktivieren“ anklicken und Neustarten.

Bei hartnäckigen Problemen diesbezüglich stehe ich euch auch gerne für Fragen zur Verfügung.

3 Kommentare

Schreibe einen Kommentar