|
System Volume Information Halli hallo. Kurz ein paar Sachen zur Vorgeschichte: Ich habe auf meinem PC vor ca. einem Jahr die Systemwiederherstellung komplett deaktiviert da sie a) nicht funktionierte und ich auch nicht rausfinden konnte warum. (sinngemäße Fehlermeldung als ich versucht habe einen Punkt zu laden: "System konnte nicht wiederhergestellt werden da zu wenig Änderungen am System vorgenommen wurden.. :confused: ) totaler Schwachsinn! b) hat es mich nicht sonderlich gestört da ich eh andauernd Backups mache.. Nun habe ich allerdings heute ziemlich verwundert festgestellt, dass Kav die Restore Ordner (die eigentlich garnicht da sein dürften!) untersucht..?!? Nochdazu scheinen die Ordner keinesfalls leer zu sein.. Hat jemand eine Idee was da los ist? |
Hi, der Ordner bleibt auch weiterhin vorhanden, ist auch nicht ganz leer, sollte aber fast leer sein. Du kannst aber mal reinschauen: Konto mit Administratorrechten, Eigenschaften des Ordners -> Register Sicherheit und dort dein Administratorkonto mit Vollzugriff hinzufügen. Später am besten wieder entfernen, auch wenn ich noch nicht erlebt habe, dass das System darüber stolpert. Gruß, Karl |
Vista? Dann mußt du zusätzlich noch den Besitz am Ordner übernehmen, was wiederum dazu führt, vorher noch den Besitz an der Partition zu übernehmen. Paar Palisadengänge braucht's schon beim sichersten Windows aller Zeiten :blabla: |
Zitat:
Der Ordner ist nicht sichtbar! Administrator Konto hat bei mir überall Vollzugriff. OS ist XP-Pro. Habe auch extra nochmal nachgeguckt. Das AdminKonto hat Vollzugriff auf Laufwerk D:\, es werden alle Ordner angezeigt (auch versteckte usw.) aber der SystemVolumeInformation ist trotzdem nicht da?? :lmaa: Kaspersky findet ihn aber.. MWAVE und SSW übrigens auch.. |
Etwas seltsam. Vielleicht erstmal die Systemwiederherstellung im Wechsel aktivieren und deaktivieren. Vielleicht hat Windows hat aus irgendeinem Grund bei der letzten Deaktivierung den Ordner nicht beräumt. Ich hab gerde mal auf einem System mit deaktivierter Systemwiederherstellung reingeschaut: Inhalt ist genau eine Datei tracking.log von 20 KByte. Ist die Anzeige von Systemdateien und Systemordnern ebenfalls aktiviert? Mein Standardtextbaustein dazu: Zitat:
|
Danke für die Hilfe Karl.. Den Ordner sehe ich jetzt.. (hatte was mit 'ner Einstellung in einem anderen Prog zu tun...) nur drauf zugreifen kann ich trotz Vollzugriff nicht... Der Zugriff wird verweigert.. Odner ist 0kb groß... und trotzdem finden Kaspersky und SSW jede Menge Dateien drinn wenn ich einen Vollscan mache.. Wähle ich allerdings mit Rechtsklick den Ordner an und ordne einen Scan an so wird nichts durchsucht.. ?? häää? |
Auf meinem XP klappt das ohne Probleme. Steht die Frage im Raum, was Du alles an Software am laufen hast. KIS z.B. baut das System ziemlich um. Hast Du den ProzessExplorer? Dort Strg-F, "System Volume Information" eingeben und geöffnete Handle suchen lassen. Vielleicht wird dann ersichtlich, wer dir den Zugriff verweigert. Ein Hijackthis vielleicht? Ansonsten würde ich an deiner Stelle jetzt eben mal Knoppix oder BartPE einlegen, starten und dann in den Ordner schauen. Wenn Du noch nicht haben solltest: Zumindest eins davon sollte man immer griffbereit haben. Hmm, ich will den Teufel ja nicht an die Wand malen, aber ich erinnere mich an einen Fall, bei dem ein Backdoorserver und ein FTP-Server von einem Rootkit in der Systemwiederherstellung versteckt wurde. Außerdem lagen dort viele GByte Filme und Warez, die via FTP ausgeliefert wurden. Aufgefallen sind an dem System ursprünglich nur, dass das Internet langsamer war als erwartet und dass der freie Platz auf der Platte zu klein war. |
Moin undoreal, das klingt bisher nur nach nem Rechteproblem. Bevor du Karls schweres Geschütz auffährst :D, poste vorher mal die Ausgabe von c:\>cacls "System Volume Information" Grüße edit: Ne gute Frage ist allerdings, warum Kaspersky beim manuellen scan überhaupt nichts scannt. IIRC läuft auch der manuelle scan mit Systemrechten. :confused: |
Halli hallo. Zitat:
so ein ganz kleines bischen mulmig ist mir jetzt allerdings schon.. ^^ Zitat:
PS zum edit: Der manuelle scan läuft auf jeden Fall mit Vollrechten.. Er startet den Scan auch nur durchsucht er halt 0 byte.. |
Was passiert bei cacls "System Volume Information" /e /t /g *DeinKontoname*:F |
Zitat:
|
Ich habe mir das mit Kaspersky noch mal angeschaut. Der scanner läuft auch beim manuellen scan mit Systemrechten (zu sehen über die handles im Process explorer), allerdings im Benutzerkontext, KAV nennt das "Impersonating". Das findest du bei den erweiterten Scaneinstellungen. D.h. grundsätzlich hängen die Zugriffsrechte beim scan von deinen Benutzerrechten ab. Mit dem Process Monitor schaut das so aus Zitat:
Zitat:
http://img527.imageshack.us/img527/9241/kavro2.jpg |
Müsste man auch wissen, was genau von Kaspersky installiert ist. In der letzten Zeit habe ich mit Kasperskys Internet Security einige wüste Sachen erlebt, z.B. dass sie nicht kompatibel mit Microsofts ProzessMonitor ist (bzw. den am laufen hindert), was einige Untersuchungen verhindert hat. Scheint das System mächtig umzubauen und nichts neben sich zu dulden. Hab zwar keinen Link zur Hand, aber für Kaspersky gibt es doch ein Supportforum, das einen guten Ruf hat. Will ja niemanden abschieben, aber ich denke, die Spezialisten für Kaspersky sind dort in größerer Zahl zu finden. Ich fühle mich bereits mit Antivir Classic überversorgt. |
Ich bin auch im Kaspersky Forum registriert aber ich habe dort noch nicht gepostet da ich das Problem eigentlich nicht wirklich auf Kis sonder auf eine defekte Systemwiederherstellung tippe da die Probleme mit den Wiederherstellungspunkten schon sehr viel länger besteht.. Zitat:
Zitat:
vielen Dank nochmal an alle.. |
Zitat:
XP unterscheidet zwischen Kontoname und "vollständiger Kontoname". Letzterer wird zB im Startmenü/Willkommensbildschirm angezeigt, der ist falsch. Du brauchst den NT-Namen, zu finden in der Computerverwaltung unter Benutzer bzw. wmic "useraccount" -> unter caption (mit "Administrator" biste auf der sicheren Seite :D) |
Zitat:
PS: Ich habe übrigens nur ein Einziges Konto. |
Zitat:
Wie auch immer, ich bin überfragt und verlasse das Spielfeld. Sofern du noch Licht ins Dunkel bringen solltest, wär's schön, wenn du des Rätsels Lösung posten würdest. Grüße ordell |
Zitat:
Ich habe bisher immer mein Benutzerkonto welches ein Admin Konto ist probiert.. Wenn ich es mit Administrator ausprobiere fängt der Rechner gut 2-3 Sekunden an zu rechnen.. Eine Ausgabe erscheint aber nicht.. :confused: verlasst mich nicht... ^^ Ich verstehe schonmal gearnicht, dass die Weiderherstellungspunkte nicht funktionieren... hat dazu evtl. jemand eine Idee? Vielleicht kommen wir ja in die Richtung weiter.. |
Keine Ahnung ob's was bringt: Wiederherstellungskonsole erweitern, starten und Zugriff auf alle Ordner und Dateien gewähren. Vllt lässt sich so auf System Volume Information zugreifen oder irgendwas näher ergründen. Von dort aus kannst Du ja auch noch mal die Systemwiederherstellung testen (%systemroot%\system32\restore\RSTRUI). Marc |
Auch keine Ahung, ob's was bringt: %systemroot%\system32\restore\srdiag.exe -> hoste mal die CAB-Datei, vllt. läßt sich was googlen Zugriff auf den Ordner: Hast du nun Zugriff mit dem Administratorkonto im abgesicherten Modus? Ne Alternative wäre noch psexec. (Voraussetzung ist, dass die administrativen Freigaben laufen -> "net share Admin$") Syntax: psexec -s cmd cd\ cd "System Volume Info" Hier solltest du nun löschen können, die von Karl genannten Standards würde ich lassen. edit: Zum einfacheren Arbeiten: attrib -s -h /s /d |
Halli hallo.. Die Wiederherstellungskonsole probiere ich nachher mal aus.. Zitat:
Mir ist grade was aufgefallen: Bisher habe ich immer versucht die Rechte für die ganze Platte zu ändern.. Wenn ich mir nur die Eigenschaften->Sicherheit des "SystemVI" Ordners angucke so steht dort ausschließlich "System". Und das hat Vollzugriff.. :rolleyes: |
Systemkto != Administratorkonto, deshalb ja der ganze Firlefanz mit calcs und die Alternative psexec. Dir fehlen die Rechte. cacls /? hilft weiter. Zitat:
|
Zitat:
|
Hast Du srdiag etwa über "Ausführen" gestartet? |
:) Nein.. führt aber zu genau dem gleichen Ergebnis.. :dummguck: Was ist denn hier bloß los?? |
Zitat:
Führe im Verzeichnis %systemroot%\system32\restore mal den dir-Befehl aus. Das sollte sich ein cab Computername-Datum-Uhrzeit finden lassen. Marc |
grummel.. das ist jetzt die sechste .cab.. :o hätte ja mal jemand sagen können, dass die ohne Kommentar gespeichert wird.. ^^ welche Datei wird benötigt? PS: Zitat:
|
Zitat:
Vllt die kleine nette SR-RP.LOG? Marc P.S.: ich muss wohl ein anderes XP als Du haben (Stichwort "Fenster" ;)) |
In der " SR-RP.LOG " findet sich folgendes: Code: Processing Mount Point [C:\]Ich habe grade mal einen Wiederherstellungspunkt erstellt. Der " System Volume Information " Ordner hat trotzdem nur eine größe von 0 bytes.. |
Vielleicht hilft dir das: Zuerst in den "Ordneroptionen" alles sichtbarmachen. Haken bei "Einfache Dateifreigabe" zusätzlich wegmachen in den "Ordneroptionen". Dann Rechtsklick auf den System Volume Informatin" Ordner, "Eigenschaften", Reiter "Sicherheit" auswählen, "Hinzufügen" --> Name des (Admin) Kontos unter dem du eingeloggt bist, alles mit "ok" bestätigen. Versuchen den System Volume Information" Ordner zu öffnen. Viel Glück listikus |
Huhu, danke für die Hilfe. Hat aber leider nicht zum gewünschten Ergebnis geführt. Der Zugriff wird weiterhin verweigert.. |
Ewig schade... ich hab noch eine Anleitung gefunden, die helfen könnte: h**p://www.windows-tweaks.info/html/freespace.html Wenns mit der nicht funktioniert, dann weiß ich auch nichts mehr :confused: Viel Glück ;) listikus |
Mal mit Linux versuchen? |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 16:07 Uhr. |
Copyright ©2000-2025, Trojaner-Board