Hoisn,

kennt jemand den Trojaner TR/Pac?
Hab ihn mir bei Kaazaa eingefangen. Er legt ein Verzeichnis /windows/user32 an, in dem er diverse selbstentpackende .rar-Archive erstellt ( z.B. ACDSee 5.5.exe, Ad-aware 6.5.exe, BabeFest 2003 ScreenSaver 1.5.exe usw.).
Mein Virenprogramm (Antivir XP Personal Edition) hat diese Dateien als Trojaner identifiziert und auch gelöscht, trotzdem erhalte ich ständig Fehlermeldunden wie:

" C:\SYSTEM VOLUME INFORMATION\_RESTORE{F46281DD-8EA4-4ECC-BE7B-60F8962ED634}\RP189\A0020315.EXE
[WARNUNG] Ist das Trojanische Pferd TR/Pac! "

Dieser Systemordner lässt sich aber nicht öffnen bzw. behauptet das Virusprg. beim expliziten Scan dieses Ordners, daß er keine Dateien enthält....

Habe den Trojaner schon in diversen Trojaner-Bibliotheken vergeblich gesucht, d.h. daß er zumindest unter diesem Namen nicht bekannt zu sein scheint.

Ich wäre sehr froh wenn mir jemand weiterhelfen könnte.

Gruß

Tom

Hallo .tom.,

die Datei sitzt jetzt in der Systemwiederherstellung von XP. Dort kannst Du sie mit keinem Virenscanner löschen. Du musst die Systemwiederherstellung vorübergehend deaktivieren und anschließend wieder aktivieren (die Daten darin gehen dabei allerdings verloren), wenn Du die Meldung loswerden willst.

Wenn Du nicht weißt, wie das geht: Ich habe mal eine Anleitung für ME geschrieben (s. u.), die man einigermaßen analog auf XP übertragen kann. Die DOS-Methode würde ich dann allerdings nicht empfehlen, bei einem NTFS-Dateisystem wird sie auch nicht funktionieren.

Frage: In meinem Windows-ME-System wurde ein Virus in den Dateien der Systemwiederherstellung gefunden ( x:\_restore\..., x=Laufwerksbuchstabe, i. d. R. c: ). AntiVir PE kann es nicht löschen. Was kann ich tun?

Antwort: Hier gibt es in jedem Fall mehrere Möglichkeiten.

Zunächst ist es unwahrscheinlich bis ausgeschlossen, dass ein Virus ausschließlich in den Dateien der Systemwiederherstellung sitzt, ohne jemals an anderer Stelle im Windows-System aufgetaucht zu sein (z. B. in einer E-Mail oder einem "Temporary Internet File"). In so einem Fall spricht einiges für einen Fehlalarm. Um diesen auszuschließen kann man einen zweiten Virenscanner benutzen oder die Datei zur Analyse an H+BEDV einschicken.

Wenn man aber vermutet, dass es sich nicht um einen Fehlalarm handelt, sondern um ein echtes Virus handelt, sollte man dieses löschen. Damit verhindert man die versehentliche Wiederherstellung des Virus aus x:\_restore\...

WICHTIGER HINWEIS: Das Manipulieren der Systemwiederherstellungsdateien führt in der Regel zum Verlust von Wiederherstellungspunkten. Es kann daher nur bei einem stabil laufenden System empfohlen werden. Bei einem instabilen System besteht auch die Möglichkeit, das Virus zunächst einfach zu belassen. Es kann erst bei einer Systemwiederherstellung wieder aktiv werden. Wenn man also eine solche durchführen muss, während sich ein Virus in x:\_restore\... befindet, sollte man hinterher das System besonders gründlich auf Viren prüfen.

Es gibt prinzipiell zwei verschiedene Wege, die infizierte Datei zu löschen: über DOS oder Windows. In jedem Fall sollte man sich aus dem AntiVir-PE-Report den genauen Pfad und Namen der Datei notieren, um diese später auffinden zu können. Die DOS-Methode geht i. d. R. schneller und einfacher, wenn man eine Startdiskette hat oder schnell erstellen kann und über einige DOS-Grundkenntnisse verfügt. Nun die beiden Wege im Detail:

1. DOS:
Den Computer mit der Startdiskette in DOS booten. Das betroffene Verzeichnis (s. Report) mit Hilfe der Befehle x:, cd _restore, cd ... usw. aufsuchen. Mit dem Befehl del dateiname.erweiterung die betroffene(n) Datei(en) löschen. Die Diskette aus dem Laufwerk nehmen und den Computer mit Strg+Alt+Entf wieder mit Windows hochfahren. Einen neuen Wiederherstellungspunkt unter Start -> Programme -> Zubehör -> Systemprogramme -> Systemwiederherstellung erzeugen. Manchmal muss man die Systemwiederherstellung erst wieder aktivieren (Start -> Einstellungen -> Systemsteuerung -> System -> Leistungsmerkmale -> Dateisystem -> Problembehandlung -> Häkchen vor "Systemwiederherstellung deaktivieren" entfernen). In diesem Fall wird man aber beim Versuch, den Wiederherstellungspunkt zu erzeugen, darauf hingewiesen.

2. Windows:
Hierzu muss man zunächst die Systemwiederherstellung vorübergehend deaktivieren. Dies geschieht unter Start -> Einstellungen -> Systemsteuerung -> System -> Leistungsmerkmale -> Dateisystem -> Problembehandlung -> Häkchen vor "Systemwiederherstellung deaktivieren" setzen. Dann muss der Computer neu gestartet werden. Im Normalfall genügt es nun, die Systemwiederherstellung wieder auf dem gleichen Wege zu aktivieren (Häkchen entfernen) und den Computer wieder neu zu starten. Durch einen erneuten Virus-Scandurchgang kann man nun prüfen, ob die Viren vollständig entfernt wurden.
In einigen Spezialfällen muss man nach dem Deaktivieren der Systemwiederherstellung die betroffene(n) Datei(en) im Windows Explorer aufsuchen und gezielt löschen. Die Verzeichnisse der Systemwiederherstellung sind versteckt, daher muss man unter Extras -> Ordneroptionen -> Ansicht das Häkchen vor "Geschützte Systemdateien ausblenden" entfernen und unter "Versteckte Dateien und Ordner anzeigen" die Option "Alle Dateien und Ordner anzeigen" wählen. Bei dieser Gelegenheit kann man gleich das Häkchen vor "Dateinamenerweiterung bei bekannten Dateitypen ausblenden" entfernen, da diese Option ein Sicherheitsrisiko darstellt (Verkennen von Dateinamen mit doppelter Erweiterung). Dann kann man durch Klick auf "Wie aktueller Ordner" diese Ansicht für alle Ordner aktivieren. Nun die Datei(en) über den Explorer löschen und den Papierkorb leeren. Anschließend auf umgekehrten Wege die Systemwiederherstellung wieder aktivieren (Häkchen entfernen) und den Rechner neu starten.
Eine bebilderte Anleitung zum Deaktivieren der Systemwiederherstellung gibt es hier:
http://www.free-av.de/merestore.htm
Sollte dieses Verfahren nicht funktionieren, kann dies daran liegen, dass die betreffenden Dateien auch von der PCHealth oder dem StateMgr benutzt werden. Man kann die genannte Vorgehensweise dann noch folgendermaßen erweitern (nur für erfahrene Anwender empfohlen): Nach dem Deaktivieren der Systemwiederherstellung über Start -> Ausführen msconfig aufrufen. Unter "Autostart" PCHealth und *StateMgr deaktivieren. Den Rechner neu starten und wie oben beschrieben weiter vorgehen. Dann auf gleichem Wege alle drei Funktionen (PCHealth, StateMgr und Systemwiederherstellung) wieder aktivieren, neu starten und einen Wiederherstellungspunkt erzeugen.

Vielen Dank für die schnelle Hilfe. Hab die beschriebenen Schritte durchgeführt und bis jetzt keine erneute Fehlermeldung bekommen *freu*
Auf daß es so bleibe,

Gruß

Tom