ComputerBase Menü
Aktuelles

Vollgemüllter Virtual Store nach Stinger-Scan

C

Col.Kurtz

Cadet 4th Year
Registriert
Nov. 2010
Beiträge
78
Hallo Leute,

letztens habe ich den aktuellen McAffee Stinger mit Standardeinstellungen mein Bootlaufwerk scannen lassen.

Nach ca. 4 Stunden Scannerei (merkwürdigerweise unterbrochen durch ca. 1 Stunde Suspend to Ram) fällt mir zufällig auf, daß auf der Platte 4 GB weniger Speicher zur Verfügung steht.

Der, in der Vergangenheit öfter schon unangenehm aufgefallene Virtual Store enthält nun tatsächlich sämtliche Programm- und System-Ordner mit Erstellungszeitpunkt ungefähr vom Start des Stinger-Scan :grr:

Was ist hier passiert, bzw. wer kann mir dieses Phänomen erklären ?

Nachträgliches löschen/deaktivieren im/des Virtual Store wird ja auch sehr kontrovers diskutiert. Wie ist der aktuelle Stand der Dinge dazu ?

Mein OS ist Windows 7 Prof./64

Gruß,
Col.Kurtz
 
Zuletzt bearbeitet:
also bei mir ist dieser Ordner komplett leer, höre auch heut zum ersten mal davon
Zum Vergrößern anklicken....
Da geht's mir genauso, ich mußte mich auch erstmal informieren. Das macht doch Sinn bei einem 64bit OS. Der Virtual Store ist für Programme die mit der Verzeichniststruktur nicht klar kommen, quasi als Abwärtskompatibilität.

Allerdings würden mich die 4 GB auch garnicht kümmern, verstehe auch nicht was der ganze Wind soll. Der Virtual Store gehört zu Windows und fertig. Solltest Du mit den Gedanken spielen diesen zu löschen, mach voher ein Backup von Deiner Primärpartition.
 
Big Ray schrieb:
Da geht's mir genauso, ich mußte mich auch erstmal informieren. Das macht doch Sinn bei einem 64bit OS. Der Virtual Store ist für Programme die mit der Verzeichniststruktur nicht klar kommen, quasi als Abwärtskompatibilität.
Zum Vergrößern anklicken....

Der Sinn, bzw. vielmehr der Zweck des Virtual Store ist mir durchaus bewusst. Allerdings war der Ordner bei mir auch leer, bis zu dem Zeitpunkt, da ich den McAffe Stinger auf mein System losgelassen habe.
Zwar ist mir das vor längerer Zeit auch schon mal aufgefallen, ich konnte es jedoch nicht mit dem Stinger in Verbindung bringen.

Allerdings würden mich die 4 GB auch garnicht kümmern, verstehe auch nicht was der ganze Wind soll. Der Virtual Store gehört zu Windows und fertig. Solltest Du mit den Gedanken spielen diesen zu löschen, mach voher ein Backup von Deiner Primärpartition.
Zum Vergrößern anklicken....

Sorry, als "Wind" würde ich meine ernstgemeinte Nachfrage ganz gerne nicht verstanden wissen. Immerhin sind die 4 GB im Virtual Store aufgrund einer offensichtlichen Software-Inkonsistenz (entweder Windows oder Stinger !?) doppelt vorhanden, was man bei (m)einer 120GB-SSD nicht einfach unter "shit happens" verbucht.

Jemand noch irgendwelche Ideen zu meiner ursprünglichen Frage ?

Gruß,
Col.Kurtz
 
Zuletzt bearbeitet:
es geht ja bei der ganzen virtual store geschichte um irgendwelche schreibrechte der programme was die ganze sache ja noch unverständlicher macht da ja der singer nur liest!

nen acronis image oda systemwidaherstellungspunkt von vor dem scan steht nicht zur verfügung?
 
Nein, ein Image habe ich leider nicht und die Systemwiederherstellung habe ich seit der SSD auch deaktiviert.
 
Was ich herausgefunden habe:

Der Virtualstore-Ordner wird immer erstellt, wenn ins Programm-Verzeichnis geschrieben wird, allerdings keine benötigten Rechte vorliegen.

Bestes Beispiel:

Mit FileZilla einfach mal ins Programmverzeichnis schreiben (Übersicht dankt eigenem Ordner). Dieser wird ohne Admin-Rechte dann im VirtualStore-Verzeichnis aufgelistet. Wenn nun Admin-Rechte vorliegen, wird ins Programmverzeichnis geschrieben und der VirtualStore-Ordner bleibt unberührt.

Vollkommener Mumpitz imo, weil entweder es geht oder es geht nicht, aber nicht es geht nicht und doch landen die Daten irgendwo auf der HDD, welche man sonst nirgends angezeigt bekommt, außer man kommt durch Zufall zu diesen Ordner (ich bin über Everything darauf gestoßen).
 
@Yuuri

Tja, über Sinn und Unsinn vom Virtual Store scheiden sich anscheinend die Geister.

Knackpunkt in meinem Fall ist aber, daß mein ursprünglich leerer Virtual Store durch den Einsatz eines Read-Only-Programms, in dem Fall McAffee Stinger, plötzlich mit Dubletten bereits bestehender Ordner und deren Inhalt gefüllt wird.

Was hat also Windows 7 während des Stinger-Virenscans dazu bewogen einen Schreibzugriff ohne Adminrechte durchzuführen :freak:

Als einzige Erklärung kommt mir nur der merkwürdige Standby (STR) in den Sinn, in den der PC während des Virenscan gegangen ist. Wobei beim STR ja eigentlich auch nix auf die Platte geschrieben werden sollte, oder !?
 
Kommt drauf an... Wenn du im BIOS den S1+S3 gewählt hast, sowie im Windows den hybriden Standby-Modus zugelassen hast, wird das hiberfil.sys auf C:\ geschrieben (Suspend to RAM + Suspend to Disk Mix). Das Programmverzeichnis sollte aber nicht angefasst werden.
 
@Yuuri

Mein System läuft über Bios-Einstellung im "S3-Only" und da ich eine SSD als Boot-LW betreibe auch ohne hybriden Modus, also mit gecancelter hiberfil.sys

Es bleibt rätselhaft...und solange das nicht geklärt ist wandert McAffee Stinger auf meine persönliche Malware-Blacklist.
 
Habe Stinger auch schon oft laufen lassen, weiß aber nicht ob folgendes davon kommt.
Oh Mann, mein VirtualStore ist auch zu ca. 4GB voll und zu allem Überfluss sehe ich gerade in "C:\Users\blabla\AppData\Local\VirtualStore\Windows\SysWOW64" eine Datei mit Namen "€". Wer denkt sich so bescheuerte Namen aus :lol:. Da ist man ja gezwungen nachzuhaken.
Ergänzung ()

Nur zur Info: habe etwas im Internet gefunden, aber nicht einfach deaktivieren, hat wohl seinen Sinn, oder vorher Image ziehen.

Unter "Lokale Sicherheitsrichtlinien -> Sicherheitseinstellungen (Überordner) -> Lokale Richtlinien -> Sicherheitsoptionen -> Benutzerkontensteuerung: Datei- und Registrierungsschreibfehler an Einzelbenutzerstandorte virtualisieren.":

"Benutzerkontensteuerung: Datei- und Registrierungsschreibfehler an Einzelbenutzerorte virtualisieren

Mit dieser Richtlinieneinstellung wird gesteuert, ob Schreibfehler in Anwendungen in definierte Orte in der Registrierung und im Dateisystem umgeleitet werden. Mit der Richtlinieneinstellung werden Anwendungen aufgefangen, die unter dem Administratorkonto ausgeführt werden, und von denen Laufzeitanwendungsdaten in "%Programme%, %Windir%, %Windir%\system32" oder "HKLM\Software\..." geschrieben werden.

Verfügbare Optionen:
• Aktiviert (Standardeinstellung): Schreibfehler in Anwendungen werden zur Laufzeit an definierte Benutzerorte für das Dateisystem und die Registrierung umgeleitet.
• Deaktiviert: Für Anwendungen, von denen Daten in geschützte Orte geschrieben werden, wird ein Fehler zurückgegeben."

Das Unterstrichene ist entscheidend, also nichts mit Stinger ist schuld.
 
langsam dämmert mir die ganze geschichte. v store is quasie nen temp verzeichnis in dem programme die in schreibgeschützte ordner schreiben wollen, allerdings wohl ohne admin berechtigung,umgeleitet werden und dann quasie dort ausgeführt werden bzw es wird geschrieben. im grunde ne nette geschichte!

ich würde mal über nen paar tage die änderungsdaten der ordner überwachen. falls sich über mehere tage datum der ordner nich ändert würd ich systemwiederherstellungspunkt erstellen und mal löschen. so wie ich das jtz verstanden hab sind die daten bzw ordner im VS nur temporär und dann also nur für den zeitpunkt des vlt nur einmaligen benutzen nötig! wenn stinger da durchfegt dann sicher ohne admin rechte weil wer startet das teil schon mit rechtsklick/kontex! kann also gut sein das er,warum und wie auch immer,was damit zu tun hatte.

wie gesagt wenn die ordner nichmehr verändert werden würd ich die wechhauen!
 
Das Unterstrichene ist entscheidend, also nichts mit Stinger ist schuld.
Zum Vergrößern anklicken....

Ich fürchte das kann man so nicht stehen lassen, denn die angelegten Ordner/Dateien im VS haben allesamt Erstellungstermine, die im rund vierstündigen Stinger-Scan-Zeitraum liegen...und zwar in der Reihenfolge, in der sich Stinger durch die Daten wühlt. Betroffen sind auch Ordner, in denen in dieser Zeit garantiert kein Schreibzugriff aufgrund irgendwelcher Programmnutzungen, Updates o.ä. stattgefunden haben kann.

so wie ich das jtz verstanden hab sind die daten bzw ordner im VS nur temporär und dann also nur für den zeitpunkt des vlt nur einmaligen benutzen nötig! wenn stinger da durchfegt dann sicher ohne admin rechte weil wer startet das teil schon mit rechtsklick/kontex! kann also gut sein das er,warum und wie auch immer,was damit zu tun hatte.
Zum Vergrößern anklicken....

Temporär wohl leider nicht, da wenn einmal im VS angelegt ein nur noch sehr schwer nachzuvollziehender Zugriff seitens Windows sowohl auf die original Ordner als auch auf die VS-Ordner stattfindet. Das "Weghauen" der VS-Ordner hat mal jemand als Operation am offenen Herzen beschrieben.. ;)

wenn stinger da durchfegt dann sicher ohne admin rechte weil wer startet das teil schon mit rechtsklick/kontex! kann also gut sein das er,warum und wie auch immer,was damit zu tun hatte.
Zum Vergrößern anklicken....

Darauf läufts wohl hinaus...habe Stinger auch ohne explizite Adminrecht gestartet. Aber was zum Teufel muss bei Scannen geschrieben werden ? Oder lädt Stinger die Daten zuerst in den RAM zum Scannen und schreibt dann zurück.. :confused_alt:
 
Zuletzt bearbeitet:
Ich starte den Stinger immer mit Admin-Berechtigung nachdem ich den MD5-Hash auf der Hersteller-Website geprüft habe. Der Scanner muss schon volle Leseberechtigung haben und da ich das schlecht abschätzen kann wann, starte ich mit Admin-Berechtigung.

Gescannt wird im RAM und zurückschreiben sollte der natürlich nichts. Ich kann dich zum Glück nicht bestätigen, aber wenn das wirklich so ist, dann schreibt Stinger ohne Admin-Berechtigung doch etwas in die genannten Ordner, das wäre ja fatal. :rolleyes:

Ich möchte es nicht testen. :D
 
Ich möchte es nicht testen.
Zum Vergrößern anklicken....

Musst Du nicht...ich habe mich ja quasi schon geopfert. Und es ist wohl wirklich so, daß Stinger im Virtual Store rumpfuscht sobald er nicht mit Admin-Rechten gestartet wird.

Komisch, daß das sonst noch niemandem aufgefallen ist...oder startet ihr grundsätzlich jeden Quatsch mit vollen Admin-Rechten !?
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz