9
Ordner in Windows Server vestecken sich von selbst
Hallo an die Community.
Ich habe folgende Frage:
Seit einiger Zeit fällt mir auf, dass bei unserem Fileserver sich 2-3 Ordner immer von selbst verstecken.
Wenn ich per rechtsklick das Atribut "versteckt" wieder entferne funktioniert das wieder einige Tage und dann gehts von vorne los.
Des weiteren legt das System für jeden versteckten Ordner eine...nunja...."exe"? Datei an, durch die man in den betroffenen Ordner kommt.
Ich versuche das darzustellen:
Angenommen der Ordner "Zeug" auf dem Laufwerk D versteckt sich von selbst.
Dann erscheint ein Symbol mit Namen "Zeug.exe" auf D. Dadurch kommt man in den Ordner zwar hinein, jedoch kommt mir das höchstverdächtig vor.
Virenscans haben bis dato nichts ergeben. Haben wir uns trotzdem was eingefangen?
Oder was kann das sonst sein?
Dankeschön.
mfg
LordVader
Ich habe folgende Frage:
Seit einiger Zeit fällt mir auf, dass bei unserem Fileserver sich 2-3 Ordner immer von selbst verstecken.
Wenn ich per rechtsklick das Atribut "versteckt" wieder entferne funktioniert das wieder einige Tage und dann gehts von vorne los.
Des weiteren legt das System für jeden versteckten Ordner eine...nunja...."exe"? Datei an, durch die man in den betroffenen Ordner kommt.
Ich versuche das darzustellen:
Angenommen der Ordner "Zeug" auf dem Laufwerk D versteckt sich von selbst.
Dann erscheint ein Symbol mit Namen "Zeug.exe" auf D. Dadurch kommt man in den Ordner zwar hinein, jedoch kommt mir das höchstverdächtig vor.
Virenscans haben bis dato nichts ergeben. Haben wir uns trotzdem was eingefangen?
Oder was kann das sonst sein?
Dankeschön.
mfg
LordVader
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 140016
Url: https://administrator.de/contentid/140016
Ausgedruckt am: 26.11.2024 um 00:11 Uhr
9 Kommentare
Neuester Kommentar
Hallo LordVader,
das hört sich sehr suspekt an!
Welches Betriebssystem, welche Dienste?
Wer kommt an den Fileserver? (Internet, Intranet, Mitarbeiter, Besucher) Ich hoffe, du hast ihn direkt vom Netz genommen, nachdem dir die Unregelmäßigkeit aufgefallen ist?
Wer hat Berechtigungen, den Ordner (bzw. den übergeordneten Ordner) zu verändern?
Wer ist Besitzer/Ersteller der Datei Zeug.exe?
Sende mal die Zeug.exe an Online Virenscanner wie z.B.
http://www.kaspersky.com/de/virusscanner
http://www.virustotal.com/de/
Welchen Virenscanner hast du installiert?
Mal versucht mit einer Virenscanner-Live-CD (sowas wie Knoppicillin) zu booten und auf Viren zu testen?
Lg
Matze
das hört sich sehr suspekt an!
Welches Betriebssystem, welche Dienste?
Wer kommt an den Fileserver? (Internet, Intranet, Mitarbeiter, Besucher) Ich hoffe, du hast ihn direkt vom Netz genommen, nachdem dir die Unregelmäßigkeit aufgefallen ist?
Wer hat Berechtigungen, den Ordner (bzw. den übergeordneten Ordner) zu verändern?
Wer ist Besitzer/Ersteller der Datei Zeug.exe?
Sende mal die Zeug.exe an Online Virenscanner wie z.B.
http://www.kaspersky.com/de/virusscanner
http://www.virustotal.com/de/
Welchen Virenscanner hast du installiert?
Mal versucht mit einer Virenscanner-Live-CD (sowas wie Knoppicillin) zu booten und auf Viren zu testen?
Lg
Matze
Servus,
Und was genau ist "Zeug.exe" ?
- Ein Ordner mit diesem merkwürdigen Namen?
- Eine wirkliche Programmdatei?
- Ein gepackter Ordner? (zip o.ä. selbstextrahierend)?
- .....?
Das würde ja schonmal weiterhelfen...
Welches OS läuft auf dem Server?
Wer hat Zugriffs- / Änderungsrechte?
Sind die Clients, die drauf zugreifen auch Virenüberprüft?
...
Gruß
Jürgen
Zitat von @LordVader:
Dann erscheint ein Symbol mit Namen "Zeug.exe" auf D. Dadurch kommt man in den Ordner zwar hinein, jedoch kommt mir das
höchstverdächtig vor.
Dann erscheint ein Symbol mit Namen "Zeug.exe" auf D. Dadurch kommt man in den Ordner zwar hinein, jedoch kommt mir das
höchstverdächtig vor.
Und was genau ist "Zeug.exe" ?
- Ein Ordner mit diesem merkwürdigen Namen?
- Eine wirkliche Programmdatei?
- Ein gepackter Ordner? (zip o.ä. selbstextrahierend)?
- .....?
Das würde ja schonmal weiterhelfen...
Welches OS läuft auf dem Server?
Wer hat Zugriffs- / Änderungsrechte?
Sind die Clients, die drauf zugreifen auch Virenüberprüft?
...
Gruß
Jürgen
Hallo.
Also:
OS ist Windows Server 2003 R2 Standard.
Zugriffs und Änderungsrechte haben sehr viele User, da es sich um freigegebene Netzlaufwerke handelt die CAD Zeichnungen beinhalten, und die muss logischerweise jeder Konstrukteur überschreiben dürfen.
Die Clients sollten auch Virenüberprüft sein. Wir haben Trend Micro Worry Free Business-Security im Einsatz, und bis auf harmlose Adware ist noch nie etwas durchgekommen.
Was ist die Datei? eine gute Frage...
Es wird als "Anwendung" angezeigt. Jedoch öffnet sich nur der Ordner bei Klick darauf. Sollte der Fall nochmals auftreten (wovon ich leider ausgehe...) werde ich einen Screenshot machen und mal uploaden. Es ist sehr schwer dies zu beschreiben. Besser man sieht es selbst.
mfg
PS: Hier ein Screenshot. Trat eben wieder auf...
http://img169.imageshack.us/img169/2694/ordner.jpg
Also:
OS ist Windows Server 2003 R2 Standard.
Zugriffs und Änderungsrechte haben sehr viele User, da es sich um freigegebene Netzlaufwerke handelt die CAD Zeichnungen beinhalten, und die muss logischerweise jeder Konstrukteur überschreiben dürfen.
Die Clients sollten auch Virenüberprüft sein. Wir haben Trend Micro Worry Free Business-Security im Einsatz, und bis auf harmlose Adware ist noch nie etwas durchgekommen.
Was ist die Datei? eine gute Frage...
Es wird als "Anwendung" angezeigt. Jedoch öffnet sich nur der Ordner bei Klick darauf. Sollte der Fall nochmals auftreten (wovon ich leider ausgehe...) werde ich einen Screenshot machen und mal uploaden. Es ist sehr schwer dies zu beschreiben. Besser man sieht es selbst.
mfg
PS: Hier ein Screenshot. Trat eben wieder auf...
http://img169.imageshack.us/img169/2694/ordner.jpg
Hi again,
Wenn ich den Screenshot richtig interpretiere, wird es keineswegs als Anwendung angezeigt sondern als Ordner (Symbol).
Wäre es nur umbenannt, würde keine Dateigröße oder der Typ "Anwendung" dastehen.
Es könnten im Prinzip auch gepackte Dateien/Ordner sein.
Wie sieht das denn in der Baumstruktur aus?
Versuchs doch mal mit einem Analysetool - z.B. http://www.heaventools.com/download.htm
Oder machs im Hexeditor auf oder in einem normalen Editor oder oder oder... da muss doch mehr zu erfahren sein drüber.
Als Schnell-Lösung - quick and dirty - würde ich die Ordner wiederherstellen und dann einfach leere exe-Files mit diesen Namen anlegen. Diese Exe-Files dann schreibschützen, bzw. komplett zugriffsschützen. Wenn irgendwas die benutzen will, wirds zu einem Fehler kommen - das wäre am einfachsten. Wenn etwas die Ordner umpfriemeln will, wird es auch zu einem Fehler kommen.
Wenn nichts mehr passiert..... naja...
Irgendwie sieht mir das schon nach einem Virus aus oder einer kaputten Software die da nicht richtig speichern kann...
EDIT:
Habe nochmal recherchiert, es könnte sich um diesen Wurm handeln:
WORM/VB.CB.28 (Avira)
http://threatinfo.trendmicro.com/vinfo/virusencyclo/default5.asp?vname= ...
Der legt jedenfalls exe-files von vorhandenen Ordnern an.
Könnte natürlich auch eine Abart davon sein.
Also nochmal - alle Clients auf Viren checken - dazu gehören auch alle mobilen Laufwerke, USB-Sticks, etc...
Die Ordner-Exe-Dateien genauestens prüfen und evtl. bei online-Scannern hochladen wie schon empfohlen.
Gruß
Jürgen
Zitat von @LordVader:
Was ist die Datei? eine gute Frage...
Es wird als "Anwendung" angezeigt.
PS: Hier ein Screenshot. Trat eben wieder auf...
http://img169.imageshack.us/img169/2694/ordner.jpg
Was ist die Datei? eine gute Frage...
Es wird als "Anwendung" angezeigt.
PS: Hier ein Screenshot. Trat eben wieder auf...
http://img169.imageshack.us/img169/2694/ordner.jpg
Wenn ich den Screenshot richtig interpretiere, wird es keineswegs als Anwendung angezeigt sondern als Ordner (Symbol).
Wäre es nur umbenannt, würde keine Dateigröße oder der Typ "Anwendung" dastehen.
Es könnten im Prinzip auch gepackte Dateien/Ordner sein.
Wie sieht das denn in der Baumstruktur aus?
Versuchs doch mal mit einem Analysetool - z.B. http://www.heaventools.com/download.htm
Oder machs im Hexeditor auf oder in einem normalen Editor oder oder oder... da muss doch mehr zu erfahren sein drüber.
Als Schnell-Lösung - quick and dirty - würde ich die Ordner wiederherstellen und dann einfach leere exe-Files mit diesen Namen anlegen. Diese Exe-Files dann schreibschützen, bzw. komplett zugriffsschützen. Wenn irgendwas die benutzen will, wirds zu einem Fehler kommen - das wäre am einfachsten. Wenn etwas die Ordner umpfriemeln will, wird es auch zu einem Fehler kommen.
Wenn nichts mehr passiert..... naja...
Irgendwie sieht mir das schon nach einem Virus aus oder einer kaputten Software die da nicht richtig speichern kann...
EDIT:
Habe nochmal recherchiert, es könnte sich um diesen Wurm handeln:
WORM/VB.CB.28 (Avira)
http://threatinfo.trendmicro.com/vinfo/virusencyclo/default5.asp?vname= ...
Der legt jedenfalls exe-files von vorhandenen Ordnern an.
Könnte natürlich auch eine Abart davon sein.
Also nochmal - alle Clients auf Viren checken - dazu gehören auch alle mobilen Laufwerke, USB-Sticks, etc...
Die Ordner-Exe-Dateien genauestens prüfen und evtl. bei online-Scannern hochladen wie schon empfohlen.
Gruß
Jürgen
Zitat von @Driver401:
Wenn ich den Screenshot richtig interpretiere, wird es keineswegs als Anwendung angezeigt sondern als Ordner (Symbol).
Wäre es nur umbenannt, würde keine Dateigröße oder der Typ "Anwendung" dastehen.
Es könnten im Prinzip auch gepackte Dateien/Ordner sein.
Wie sieht das denn in der Baumstruktur aus?
Wie du schon selbst sagst kann es kein Ordner sein, da eine Dateigröße dasteht.Wenn ich den Screenshot richtig interpretiere, wird es keineswegs als Anwendung angezeigt sondern als Ordner (Symbol).
Wäre es nur umbenannt, würde keine Dateigröße oder der Typ "Anwendung" dastehen.
Es könnten im Prinzip auch gepackte Dateien/Ordner sein.
Wie sieht das denn in der Baumstruktur aus?
Versuchs doch mal mit einem Analysetool - z.B. http://www.heaventools.com/download.htm
Oder machs im Hexeditor auf oder in einem normalen Editor oder oder oder... da muss doch mehr zu erfahren sein drüber.
Vermutlich kommt heraus, es ist eine Anwendung.Oder machs im Hexeditor auf oder in einem normalen Editor oder oder oder... da muss doch mehr zu erfahren sein drüber.
Als Schnell-Lösung - quick and dirty - würde ich die Ordner wiederherstellen und dann einfach leere exe-Files mit
diesen Namen anlegen. Diese Exe-Files dann schreibschützen, bzw. komplett zugriffsschützen. Wenn irgendwas die benutzen
will, wirds zu einem Fehler kommen - das wäre am einfachsten. Wenn etwas die Ordner umpfriemeln will, wird es auch zu einem
Fehler kommen.
Wenn nichts mehr passiert..... naja...
diesen Namen anlegen. Diese Exe-Files dann schreibschützen, bzw. komplett zugriffsschützen. Wenn irgendwas die benutzen
will, wirds zu einem Fehler kommen - das wäre am einfachsten. Wenn etwas die Ordner umpfriemeln will, wird es auch zu einem
Fehler kommen.
Wenn nichts mehr passiert..... naja...
Zunächst gilt hier jedoch: Alle noch vorhandenen Zeichnungen sichern, die Ingenieure würden sich freuen... Und die Kiste vom Netz! Alle Mitarbeiter informieren und ein AV-Tool suchen, welches den Virus finden und entfernen kann.
Damit dann zu den Mitarbeiterrechnern (am besten für die gesamte Zeit vom Netz nehmen) und diese checken und säubern. Dann die gesicherten Zeichnungen prüfen! Und dann nochmal an die Mitarbeiter appellieren, keine fremde Software zu starten.
Lg
Matze
Danke für die Antworten.
Auf Virustotal hab ich sogar was gefunden. Nur scheinbar erkennt gerade Trend Micro (der den wir einsetzen) diesen Virus nicht.
Die Kiste vom Netz nehmen ist unmöglich da ca. 50 Konstrukteure drauf arbeiten. Auch "mal eben" die Zeichnungen Sichern ist utopisch. Handelt es sich doch um ca. 600GB an CAD Daten.
Ich versuche nun div. freie Virenscanner etc. und hoffe das Problem zu lösen. Und das dann wohl auch bei 50 Clients...
Weiß leider nicht wie ich das sonst anstellen soll...
Auf Virustotal hab ich sogar was gefunden. Nur scheinbar erkennt gerade Trend Micro (der den wir einsetzen) diesen Virus nicht.
Die Kiste vom Netz nehmen ist unmöglich da ca. 50 Konstrukteure drauf arbeiten. Auch "mal eben" die Zeichnungen Sichern ist utopisch. Handelt es sich doch um ca. 600GB an CAD Daten.
Ich versuche nun div. freie Virenscanner etc. und hoffe das Problem zu lösen. Und das dann wohl auch bei 50 Clients...
Weiß leider nicht wie ich das sonst anstellen soll...
Zitat von @LordVader:
Die Kiste vom Netz nehmen ist unmöglich da ca. 50 Konstrukteure drauf arbeiten.
Die Kiste vom Netz nehmen ist unmöglich da ca. 50 Konstrukteure drauf arbeiten.
Aber nur solange sie läuft.... wenn Du verstehst was ich meine.
Zitat von @LordVader:
Danke für die Antworten.
Auf Virustotal hab ich sogar was gefunden. Nur scheinbar erkennt gerade Trend Micro (der den wir einsetzen) diesen Virus nicht.
Deshalb am besten auf verschiedenen Rechnern in einem Net zverschiedene Produkte einsetzen (hierfür eignen sich z.B. Virtuelle Maschinen ganz gut als Honeypots)Danke für die Antworten.
Auf Virustotal hab ich sogar was gefunden. Nur scheinbar erkennt gerade Trend Micro (der den wir einsetzen) diesen Virus nicht.
Die Kiste vom Netz nehmen ist unmöglich da ca. 50 Konstrukteure drauf arbeiten. Auch "mal eben" die Zeichnungen
Sichern ist utopisch. Handelt es sich doch um ca. 600GB an CAD Daten.
Sichern ist utopisch. Handelt es sich doch um ca. 600GB an CAD Daten.
In dem Fall darf es nicht unmöglich geben! Unmöglich ist es, sie weiterhin im Netz zu lassen. Was, wenn die Zeichnungen alle an die Konkurrenzfirma versendet werden? Weißt du, was der Virus im Zweifel anstellt? Vielleicht sogar schon am 9.4.2010?
600GB an CAD Daten ist ein Klacks! Dann gehst du im Zweifel zu deinem Chef, laierst ihm 100€ aus der Tasche und kauft eine externe 1TB Festplatte. Diese dann nur noch mit einem Linuxsystem booten (Knoppizillin oder so) und in aller Ruhe scannen lassen.
Diese 100€ im Vergleich zu einem möglichen Totalschaden sollte es deinem Chef wert sein.
Ich versuche nun div. freie Virenscanner etc. und hoffe das Problem zu lösen. Und das dann wohl auch bei 50 Clients...
Und kostenpflichtige. Möglichst viele verschiedene, bis du einen findest, welcher den Virus entfernt. Diesen dann auf allen Clients (50 Stück ist auch hier nicht die Menge...)Weiß leider nicht wie ich das sonst anstellen soll...
Spuck in die Hände und Pack es an!Viel Erfolg!
Lg
Matze
Hallo,
folgendes ich habe diesen Wurm auch. Das Problem ist, dass ich auf einer Festplatte habe, auf der ich sehr wichtige Dateien habe. Diese Daten möchte bzw. muss ich retten. Da ich aber nicht weiß, ob nur die "umgewandelten Exe-Dateien" oder auch der Inhalt in den Ordner gelöscht wird, habe ich noch nicht ein Antiviren Programm die Virenbeseitigung starten lassen.
Folgendes passiert nämlich, sobald ein Antivirenprogramm den Wurm erkannt hat. Die Ordner werden als Anwendungsdateien angezeigt (mit dazugehörigen Icon) und lassen sich nicht mehr öffnen. Da ich nicht weiß, ob nach der Beseitigung auch alle mir wichtigen Dateien gelöscht werden und somit verloren sind, wollte ich hier mal nachfragen, ob mir jd. von Euch weiterhelfen kann.
Vielen Dank
René
folgendes ich habe diesen Wurm auch. Das Problem ist, dass ich auf einer Festplatte habe, auf der ich sehr wichtige Dateien habe. Diese Daten möchte bzw. muss ich retten. Da ich aber nicht weiß, ob nur die "umgewandelten Exe-Dateien" oder auch der Inhalt in den Ordner gelöscht wird, habe ich noch nicht ein Antiviren Programm die Virenbeseitigung starten lassen.
Folgendes passiert nämlich, sobald ein Antivirenprogramm den Wurm erkannt hat. Die Ordner werden als Anwendungsdateien angezeigt (mit dazugehörigen Icon) und lassen sich nicht mehr öffnen. Da ich nicht weiß, ob nach der Beseitigung auch alle mir wichtigen Dateien gelöscht werden und somit verloren sind, wollte ich hier mal nachfragen, ob mir jd. von Euch weiterhelfen kann.
Vielen Dank
René
