Das mysteriöse Erscheinen von SYSTEM_DRV

[david_thinks]

Servus,

ich habe (bzw. hatte) zwei Festplatten und zwei entsprechende Partitionen auf dem Rechner: C: (Windows7_OS) und D: (Daten).

Ich erinnere mich dunkel, nach Einrichtung des neuen Thinkpads eine Recovery-Partition Q: gelöscht und einen Recovery-USB-Stick (?) erstellt zu haben.

Seit heute taucht in meinem Explorer auf einmal eine Partition E: (SYSTEM_DRV) auf, die sich 1,22GB (883MB frei) von der Festplatte genehmigt, auf der auch C: weilt. Auf dem Laufwerk liegen zwei Ordner "MFGSTAT" mit Gedöns und "Recovery" mit Nichts.

Fragen:

- Ich bin mir keiner aktiven Handlung bewusst: Wo kommt das her?
- Und weiter: Ist das Kunst oder kann das weg?

Die Computerverwaltung sagt bei Status, E: sei "System, Aktiv, Primäre Partition".
Startpartition ist weiter C:.

 

[Mornsgrans]

http://support.lenovo.com/en_US/detail.page?LegacyDocID=MIGR-70829

 

[david_thinks]

Habe alles aufmerksam gelesen - abgesehen davon, dass dort von System_DRV keine Rede ist:

Q: hatte ich ja getötet und über eine Sartition verfügte das x230 nach meiner Erinnerung nie.

[edit] Ich will nicht ausschließen, das System_DRV bereits vorher existierte. Was mich aber wohl irritiert ist, dass der Partition auf einmal ein Laufwerksbuchstabe zugewiesen wird und diese dadurch im Explorer auftaucht - kann ich den Laufwerksbuchstaben einfach entfernen?

 

[Mornsgrans]

Deine E: - Partition ist die, welche als S: im Artikel beschrieben ist.
Siehe auch:
http://thinkwiki.de/ThinkVantage_Tools#H.C3.A4ufige_Probleme

 

[david_thinks]

In der Zwischenzeit hat sich der Laufwerksbuchstabe wie durch Geisterhand von E: nach F: geändert.

Mit der Hilfe hier (http://support.lenovo.com/us/en/documents/ht003874) bin ich leider überfordert.

Das "Verstecken" funktioniert nicht, weil die Partition nicht S: ist, sondern jetzt F:. Das Ausführen von "Lenovo_Hide_Drive_S.exe" führt also zu nix.

Die darauf folgende Beschreibung, wie man S: (was ich ja nicht habe) einen anderen Laufwerksbuchstaben zuweist, beginnt mit

"First, clear the registry mount points.

1. Run the Lenovo_Hide_Drive_S.exe Now unhide and assign a new drive letter"

Da bin ich allerdings schon überfordert.

Kann ich nicht einfach über die Computerverwaltung F: den Buchstaben S: zuweisen und dann das ganze "Hide_Drive_S"-Spiel beginnen?

 

[think_pad]

Was mich aber wohl irritiert ist, dass der Partition auf einmal ein Laufwerksbuchstabe zugewiesen wird und diese dadurch im Explorer auftaucht - kann ich den Laufwerksbuchstaben einfach entfernen?

Machen wir es kurz und knackig:

1. Die Partition D: ist die Datenpartition und spielt daher keine Rolle -> Problem entfällt
2. Die Partition Q: ist weg und das System lief weiter-> Problem entfällt
3. USB-Sticks sind lausige Startmedien und meistens nicht zu gebrauchen -> Problem entfällt
4. Die Partition C: ist die Startpartition, auf der sich WINDOWS befindet, aber nicht die Systempartition, die den Bootloader enthält. -> Problem entfällt
5. Irgendwann hat sich eine Software vom System entschlossen, etwas auf die ehemalige Partition Q: zu schreiben, die aber nun weg war, und dafür eine Partition system_drv eingerichtet.
6. Irgendwann hat sich eine weitere Software vom System gedacht, das system_drv einen Laufwerksbuchstaben braucht, um dort etwas zu erledigen, und hat den Buchstaben E: gegeben.
7. Bevor jetzt irgendetwas weiteres geschieht, müsste ein Dateisystemabbild auf eine externe USB-Platte geschrieben werden. Es enthält system_drv und WINDOWS-Drive und kann per gebooteter Installations- oder Sicherungs-DVD zurückgeschrieben werden.
8. Danach kann man versuchen, system_drv den Laufwerksbuchstaben zu entziehen und neu zu booten, bei Fehlschlag wird das alte Image wieder eingespielt.
9. Irgendwann muss aber mal geklärt werden, welche Software system_drv so nutzt, dass es ihm einen Laufwerksbuchstaben zuweisen möchte, denn das Problem wird wiederkommen.

---

---

​

In der Zwischenzeit hat sich der Laufwerksbuchstabe wie durch Geisterhand von E: nach F: geändert.

So etwas machen nur Viren. Da trägt sich jemand Unbefugtes in den Bootloader ein, deswegen braucht er auch einen Laufwerksbuchstaben... :thumbsup:

 

[david_thinks]

Großartig. Ich lasse mal Avira Professional und Malewarebytes laufen.

Was ist darüber hinaus denn zu tun? Ich bin tatsächlich nur Enduser, nicht Systemadministrator.

 

[think_pad]

Was ist darüber hinaus denn zu tun? Ich bin tatsächlich nur Enduser, nicht Systemadministrator.

Nichts mehr, es sei denn, Du bist masochistisch veranlagt...

1. Daten retten
2. Installations-DVD gründlich putzen
3. Neuinstallation

 

[david_thinks]

1. Daten retten

Das meiste Zeug liegt in der Cloud. Restbestände jetzt auf einer externen Festplatte zu sichern, stellt kein Risiko da?

2. Installations-DVD gründlich putzen

So etwas habe ich nicht. Win7 kam preinstalled. Ich habe aber, wie gesagt, so einen Recovery-USB-Stick anfertigen lassen. Dessen Benutzung ratsam?

3. Neuinstallation

Wie ist da am klügsten vorzugehen?

 

[think_pad]

1. Das meiste Zeug liegt in der Cloud. Restbestände jetzt auf einer externen Festplatte zu sichern, stellt kein Risiko da?
2. So etwas habe ich nicht. Win7 kam preinstalled.
3. Ich habe aber, wie gesagt, so einen Recovery-USB-Stick anfertigen lassen. Dessen Benutzung ratsam?
4. Wie ist da am klügsten vorzugehen?

1. Solange ein Virenscanner mitläuft, kann man auch auch auf verseuchten Rechnern Daten hin- und herschieben.
2. So etwas sollte man aber haben: http://www.heidoc.net/joomla/technology-science/microsoft/14-windows-7-direct-download-links
3. Auf dem Stick kann nichts sein, was wertvoll ist. Einen Versuch ist es wert...
4. Am klügsten ist immer, der Wahrheit brutal in das Auge zu sehen und sich einzugestehen, dass man ein neues System braucht.

WIN 7 Prof. 64 Bit SP 1 German: http://msft.digitalrivercontent.net/win/X17-59885.iso

 

[Mornsgrans]

Nichts überstürzen.

Erst einmal die Ergebnisse abwarten.

Du musst auch nicht die im von mir verlinkten Artikel beschriebenen Tools ausführen. Je weniger Software Du an Deinen Rechner lässt, desto besser ist es.

Start - Systemsteuerung - Verwaltung -Computerverwaltung - Datenträgerverwaltung
Dort wird Dir die Aufteilung der Festplatte und die vergebenen Laufwerkbuchstaben angezeigt.
System_DRV sollte ganz links die kleinste der Partitionen mit ca. 1,5 GB Größe sein.
Rechtsklick auf diese Partition - "Laufwerkbuchstaben und -pfade ändern" - "Entfernen" - OK

Fertig

 

[david_thinks]

Image downloaden und dann auf einen Stick?

Auf dem Stick müsste der "Lenovo Datenträger zur werkseitigen Wiederherstellung" sein - also das, was früher mal auf Q: war. Das bringt mir nix?


- - - Beitrag zusammengeführt - - -

.
Start - Systemsteuerung - Verwaltung -Computerverwaltung - Datenträgerverwaltung
Dort wird Dir die Aufteilung der Festplatte und die vergebenen Laufwerkbuchstaben angezeigt.
System_DRV sollte ganz links die kleinste der Partitionen mit ca. 1,5 GB Größe sein.
Rechtsklick auf diese Partition - "Laufwerkbuchstaben und -pfade ändern" - "Entfernen" - OK

Das hat geklappt. Avira läuft.

Ergebnis: Avira findet nix.

Jetzt Malewarebytes. Ergebnis: Alles clean.

Scan Date: 14.12.2014
Scan Time: 20:38:48
Logfile:
Administrator: Yes

Version: 2.00.4.1028
Malware Database: v2014.12.14.06
Rootkit Database: v2014.12.08.03
License: Free
Malware Protection: Disabled
Malicious Website Protection: Disabled
Self-protection: Disabled


OS: Windows 7 Service Pack 1
CPU: x64
File System: NTFS
User: div

Scan Type: Threat Scan
Result: Completed
Objects Scanned: 351661
Time Elapsed: 6 min, 46 sec

Memory: Enabled
Startup: Enabled
Filesystem: Enabled
Archives: Enabled
Rootkits: Disabled
Heuristics: Enabled
PUP: Enabled
PUM: Enabled

Processes: 0
(No malicious items detected)

Modules: 0
(No malicious items detected)

Registry Keys: 0
(No malicious items detected)

Registry Values: 0
(No malicious items detected)

Registry Data: 0
(No malicious items detected)

Folders: 0
(No malicious items detected)

Files: 0
(No malicious items detected)

Physical Sectors: 0
(No malicious items detected)

(end)

- - - Beitrag zusammengeführt - - -

Hm, Reboot verlief auch normal.

SYSTEM_DRV taucht (wie gewünscht) nicht im Explorer auf, sondern ist als Partition auf Datenträger 0 nebst C: (Windows7_OS) in der Datenträgerverwaltung einsehbar.

Entwarnung?

 

[think_pad]

Rechtsklick auf diese Partition - "Laufwerkbuchstaben und -pfade ändern" - "Entfernen" - OK - Fertig

Der Buchstabe kommt aber wieder: Irgendwer greift so auf die Systempartition so zu, dass sogar eine Laufwerksbezeichnung vergeben wird, was nicht in Ordnung ist.

Das hat geklappt. Avira läuft. - Ergebnis: Avira findet nix. - Jetzt Malewarebytes. Ergebnis: Alles clean.

Wer greift dann auf die Systempartition zu, und vergibt sogar Laufwerksbuchstaben?

 

[Mornsgrans]

Wer greift dann auf die Systempartition zu, und vergibt sogar Laufwerksbuchstaben?

Vielleicht steht's in der Ereignisanzeige.

 

[david_thinks]

Wo muss ich da denn gezielt Ausschau halten? Da werden ja recht viele Ereignisse protokolliert.

 

[Mornsgrans]

Gehe noch einmal in die Datenträgerverwaltung und weise SYSTEM_DRV noch einmal einen Laufwerksbuchstaben zu und entferne ihn wieder.
Gehe in die Ereignisanzeige - Windows-Protokolle System und schaue nach, ob beides protokolliert wurde.
Anschließend kannst Du versuchen, nach der Ereignis-ID zu filtern (Auswahlpunkt am rechten Rand).

 

[david_thinks]

Wenn ich den Buchstabe ändere, erscheint in der Ergebnisanzeige ein "Virtual Disk Service" und ein "Service Control Manager", wird gestartet, ausgeführt, beendet.

Wenn ich den Buchstaben entferne, passiert das gleiche. Ich sehe da jetzt nichts Ungewöhnliches.

Unter Benutzerdefinierte Ansichten / Administrative Ereignisse sind jedoch einige Warnungen und Fehler aufgeführt, falls das von Relevanz sein sollte.

Falls das zur Beunruhigung und Demonstration meiner Dummheit beitragen sollte: Ich wollte heute Treiber für ein Colorimeter herunterladen (https://www.google.de/interstitial?url=http://spyder.datacolor.com/de/), das ich neu gekauft hatte. Google hat mir die Website als attackierend gemeldet und ich habe natürlich den Warnhinweis ignoriert, weil die Website gestern noch ohne Hinweis erreichbar war und sie ja von einem seriösen Hersteller stammt. Vielleicht habe ich mir da etwas eingefangen... Vielleicht gibt es hier ja Wagemutige, mit virtuellen Maschinen, die sich das mal ansehen wollen...:thumbup:

PS. Sollte der Rechner tatsächlich "infiziert" sein - was kann und sollte ich damit (nicht) anstellen? Word-Dokumente bearbeiten, im Web surfen, Online-Banking?

PPS. Während der Epsiode mit dem als attackierend gemeldeten Website lief jedoch die ganze Zeit der Echtzeit-Scanner von Avira und machte keinen Mucks. Wahrscheinlich werde ich aber wohl bereits wegen meiner jetzigen Paranoia mal alles platt machen...

- - - Beitrag zusammengeführt - - -

Werde heute noch ein Rescue System von USB laufen lassen und von dort scannen. Ohne zu wissen, ob das dann der Weisheit letzter Schluss ist. Rechner verhält sich weiter normal.

- - - Beitrag zusammengeführt - - -

So, jetzt ist 2 Stunden das Avira Rescue System über den USB-Stick gelaufen: Keine Funde.

Meine Informartikstudifreunde meinen, das müsste es "eigentlich" gewesen sein und das System sei in Ordnung.

Zweitmeinungen?

 

[maatik]

Das System_DRV habe ich bei meinem T530 auch von Anfang an.



Am Anfang habe ich es auch ständig im Explorer gesehen mit Laufwerksbuchstaben S:
Ich meine mich zu erinnern das nachdem ich erstmals ein Wiedeherstellungsmedium auf USB-Stick erstellt habe der Laufwerksbuchstabe dann weg war und das Laufwerk nur noch in der Datenträgerverwaltung zu sehen ist.
Da ist nix mit Virus etc, das LW ist outofthebox drauf, zumal diese Partition ja physisch VOR C: liegt. Das ist im Nachhinein nicht ohne große Auffälligkeiten mal eben zu verschieben.

 

[gerli09]

Kann ich nicht einfach über die Computerverwaltung F: den Buchstaben S: zuweisen und dann das ganze "Hide_Drive_S"-Spiel beginnen?

Entferne in der Datenträgerverwaltung einfach den derzeitigen Laufwerksbuchstaben F: und beobachte das ganze, ob es dabei bleibt. Irgendwelche Malware sehe ich als höchst unwahrscheinlich an.

 

[ggrohmann]

Entferne in der Datenträgerverwaltung einfach den derzeitigen Laufwerksbuchstaben F: und beobachte das ganze, ob es dabei bleibt. Irgendwelche Malware sehe ich als höchst unwahrscheinlich an.

Das wird nur die übliche Laufwerksbuchstabenwürfelei sein, die Windows seit der Erfindung von USB-Sticks gelegentlich an den Tag legt.