Systeme Volumen Information und AntiVir

Andreas_S. · 29.11.2008

Servus

scheinbar erkennt AntiVir (egal ob free oder wie bei mir die Premiumsuite) im Systeme Volumen Information Verzeichnis häufig einige der A*******.exe
Dateien als Trojaner!

Wenn man aber in das Systemwiederherstellungsverzeichnis schaut wird man dort viele solcher Dateien finden, es scheint sich dabei um Wiederherstellungspunkte zu handeln.

Auch auf neuinstallierten Systemen wird man nach einiger Zeit diese Dateien in der Systemwiederherstellung finden.

Warum gerade Aviras AntiVir da immer Alarm schlägt?

Ich hatte häufiger solche Meldungen, aber gründliche Scans mit verschiedenen Progs (Norton,Malwarebytes,Adaware/Spybot/HijackThis ect.) ergaben keine Funde, auch arbeite ich immer unter eingeschränkten Rechten.

Ich denke das AntiVir da ein Problem hat ???

PCDpan_fee · 29.11.2008

Systemwiederherstellung mal deaktivieren, dann werden alle Systemwiederherstellungspunkte gelöscht. Danach wieder anschalten und neuen Systemwiederherstellungspunkt anlegen.
http://www.wintotal.de/Tipps/?id=170

Du kannst aber auch alle Systemwiederherstellungspunkte bis auf den letzten Punkt löschen.
http://www.wintotal.de/Tipps/index.php?id=869

Dann lass noch mal AntiVir laufen.

pan_fee

Andreas_S. · 29.11.2008

Hallo pan_fee

schon klar, hab ich auch gemacht.

Aber ich denke daß das kein Schlimmling ist, denn nach einiger Zeit sind wieder einige A*******.exe drinn!

Der AntiVir meldet meist nur eine A*******.exe, obwohl viele da sind.

Diese Meldungen kenn ich seit ich AntiVirus habe, vorher mit Norton gabs die nicht.

Gruß

Andreas

schrauber · 29.11.2008

alle wiederherstellungsdateien heißen A********.exe

und sind trotzdem ganz andere sachen enthalten, deshalb kann ein schädling dort drin stecken, wenn du die swh richtig löschst und antivir immer noch meckert, merk dir den pfad der datei und lass diese bei www.virustotal.com/de scannen, wenn dort auch was gefunden wird hast du ein problem

Andreas_S. · 29.11.2008

Hallo schrauber

mach ich wenn ich wieder mal so ne Meldung bekomme!

Mein Beitrag bezog sich auf viele Beiträge hier (und auch auf anderen Foren) wo sehr häufig diese A*******.exe Meldungen mit AntiVir vorkommen, aktuell hab ich da keine!

AntiVir ist ja wegen diverser Fehlermeldungen nicht ganz unbekannt, Mozilla empfiehlt sogar den Thunderbirdordner im Benuzterverzeichnis bei AntiVir zu den Ausnahmen zuzufügen weil es sonst passieren kann daß alle Mails weg sind!

http://www.thunderbird-mail.de/forum/viewtopic.php?f=22&t=37608

http://www.trojaner-board.de/12255-antivir-loescht-inbox-von-thunderbird.html

Hab auch ganz seriöse Programminstalls in einem Verzeichnis auf einer 2. Platte wo bei einigen AntiVir Trojaalarm ausgelöst wird

schrauber · 29.11.2008

klar gibt es fehlmeldungen, di egibt es überall. diese av-tools finden eh nur 20% der malware, die auf dem markt ist.

Andreas_S. · 29.11.2008

Ich denke das die AntiVir A*******.exe Meldungen wenn sonst nix auf dem System zu finden ist und es keine verdächtigen Aktivitäten gibt einfach Fehlermeldungen sind!

schrauber · 29.11.2008

muss ich dir leider widersprechen. aber das siehst du selbst, wenn du so eine datei mal bei virustotal scannen lässt, und 34 von 36 scannern dir einen backdoor um die ohren hauen

.

Andreas_S. · 29.11.2008

Dann versteh ich nicht daß wenn ich schon seit ewiger Zeit kein Mail mit Anhang mehr bekommen habe (wenn ich würde klicke ich nicht drauf), keine dubiosen Progs installiert hab, immer als Benutzer mit eingeschränkten Rechten arbeite, den Zugriff auf den IE in der Systemsteuerung deaktiviert und das gesamte MSOffice samt Outlook deinstalliert hab (Openpffice ist angesagt) und mit Mozilla FF ins Netz geh wo es kein AktiveX gibt und Script/Javascript per default deaktiviert ist, sämtliche Viren/Malwarescans nix melden sich dann in die Systemwiederherstellung unter eingeschränkten Benutzerrechten was einnisten kann

Da frag ich mich ob vielleicht ganz seriöse Programme wie Photoshop doch nicht so seriös sind? :

:

schrauber · 29.11.2008

ich sag ja nur dass nicht jede virenmeldung in der swh ein false positive ist.

und wenn du dir schon malware einfangen kannst, weil du die hp eines bekannten tv-senders besuchst, ist für mich persönlich alles möglich

Andreas_S. · 29.11.2008

schrauber schrieb:
ich sag ja nur dass nicht jede virenmeldung in der swh ein false positive ist.

und wenn du dir schon malware einfangen kannst, weil du die hp eines bekannten tv-senders besuchst, ist für mich persönlich alles möglich

Ohne Script und mit eingeschränkten Rechten sollte sowas aber nicht passieren, ist das auch kein Schutz mehr?

schrauber · 29.11.2008

mit eingeschränkten rechten hat die malware nicht soviele möglichkeiten auf deinem rechner, da sie, wie du auch, nur eingeschränkte rechte hat. aber das lässt sich mittlerweile auch umgehen.

und thema scripte. stell dir vor du klickst hier auf den button antworten, landest aber im hintergrund auf nem malwareserver.... nur als beispiel

Andreas_S. · 29.11.2008

ja schon, nur wie geht's auf dem Malwareserver weiter?
Irgendwie muss ja der Schädling auf den Rechner, ohne AktiveX und Scripts kann er das doch nur über den Browser Cache Ordner?
Für aufwendigere Funktionen bräuchte er doch auch Adminrechte?
Ist es möglich dass er im Browsercache des Benutzers wartet bis sich mal ein Admin am System anmeldet und dann schwirrt er aus?
Also mein FF leert seinen Cache beim schliessen!
Oder kann sich über einen Webbrowser was ich den Windows bzw. System Tempordner schleichen?

Sind die Programmierer von solchen Schlimmlingen so viel besser als die Redmonder? Ach ja ... das sind sie ... :2funny: :2funny:

Im Heise Forum würden sie sagen mit Linux wär das nicht passiert .... ;D ;D

Spass beiseite, mich würde schon der Weg der Infektionen interessieren gerade auf einem System mit eingeschränkten Rechten und einen Browser mit deaktivierten Scriptfunktionen.

schrauber · 29.11.2008

wie das genau von statten geht, müsste ich mal raussuchen, hab in der ausbildung irgendwann mal so einen text gelesen....

aber in der regel geht das über die temp-ordner.

Andreas_S. · 29.11.2008

Hab alle Tempordner auf ne Ramdisk gelegt so hat sich das Problem spätestens beim Runterfahren b.z.w. Neustarten wohl erledigt!

schrauber · 29.11.2008

liegt da auch der prefetch-ordner? dort spiegeln die sich gerne hin, nachdem sie in den temp-ordnern waren

Andreas_S. · 29.11.2008

auf den prefetch-Ordner hab ich aber keinen Zugriff, wollt ich grad anklicken, wird aber verweigert!

schrauber · 29.11.2008

frag den malware-schreiber, der kann dir da bestimmt ein paar rechte hinschreiben

Andreas_S. · 29.11.2008

Meinst daß das so einfach geht? :-? :-?

Für was ist der Ordner eigentlich da?

prefetch kenn ich nur als Fehlermeldungen in der Ereignisanzeige meines Win2K Domaincontrollers (den ich nicht mehr habe)

schrauber · 29.11.2008

dort werden ( zumindest bei xp) die häufig gestarteten anwendungen zum schnelleren starten gespeichert.

Systeme Volumen Information und AntiVir

Andreas_S.

PCDpan_fee

Andreas_S.

schrauber

Andreas_S.

schrauber

Andreas_S.

schrauber

Andreas_S.

schrauber

Andreas_S.

schrauber

Andreas_S.

schrauber

Andreas_S.

schrauber

Andreas_S.

schrauber

Andreas_S.

schrauber

Systeme Volumen Information und AntiVir

ANGEBOTE & SPONSOREN

Neueste Themen

Statistik des Forums