hermes
Goto Top

Systemordner u. versteckte Ordner sichtbar machen geht nicht

Wie kann man die versteckten Ordner eines Benutzerprofils sichtbar machen ?

Hallo Fachleute,

auch wenn der Titel nicht daraufhinweist, ich suche jetzt schon mehrere Tage, nicht nur in diesem Forum, nach einer Lösung für folgendes Problem :

Habe hier ein Win XPP Laptop eines Bekannten, der mir das mit dem Hinweis gab "Wir haben irgendwie einen Virus drauf den bekomme ich nicht weg, kannst Du mal ? ..."

Der Virus entpuppte sich schnell als eine Software, die eigentlich nichts macht, sondern sich nur in den Vordergrund drängelt, und dann immer feststellt es sei ein Virus auf dem System, und man solle jetzt eine XP-Recovery Tool kaufen, um den zu entfernen.

Glückllicherweise hat mein Bekannter nicht als Admin an der Kiste gesessen, sondern nur als normaler Benutzer, so dass der Fehler auch nur unter dem Account auftritt.

Als Admin habe ich jetzt einen Wiederherstellungspunkt von vor einigen Tagen genommen, und erstmal ist alles wieder ok, jedenfalls scheinbar.

Jetzt wollte ich im Benutzerprofil mir mal anschauen, ob dort evtl. noch ein paar versteckte Dateien liegen, die später nochmal Ärger machen könnten.

Unter Dokumente und Einstellungen war aber der Profilordner für den Arbeitsaccount nicht mehr sichtbar.

Gut, in den Ordneroptionen habe ich dann versucht alles sichtbar zu machen, Systemdateien, versteckte Dateien etc...

Hat aber nichts gebracht. Der Punkt "Versteckte Dateien und Ordner anzeigen" kann zwar von mir in den Ordneroptionen gesetzt werden, wird aber anschliessend sofort zurückgesetzt, so dass man eben das Profil nicht durchsuchen kann, weil alle versteckten Dateien nicht angezeigt werden.

Kennt jemand einen Regsitry Eintrag oder eine Richtlinie, die dieses Verhalten bewirkt ?

Oder gibt es ein Tool, welches wieder den alten Zustand an dieser Stelle herstellt ?

Eine ähnliche Software hat mich vor zwei Jahren schonmal gequält, damals waren im Autostart und in den lokalen Profilordnern überall .exe Dateien, die bei jedem Start des Rechners aufgerufen wurden, und sich immer wieder neu in diesen Bereichen verbreitet haben. Nicht wirklich gefährlich, aber lästig und zeitraubend. Ich vermute hier haben wir ein ähnliches Ding.

Bin für jeden Tip dankbar !!

Content-ID: 167738

Url: https://administrator.de/forum/systemordner-u-versteckte-ordner-sichtbar-machen-geht-nicht-167738.html

Ausgedruckt am: 23.12.2024 um 06:12 Uhr

H41mSh1C0R
H41mSh1C0R 09.06.2011 um 07:55:08 Uhr
Goto Top
Deinem Text nach handel es sich hierbei um Scareware.

1. msconfig prüfen was beim Start so alles ausgeführt wird. Alternativ auch CCCleaner oder direkt in der Registry nach RUN Ordner suchen und da Einträge die zu irgend einer obskuren .exe führen löschen.
2. sollte das bereinigen der RUN Ordner nichts bringen starte unter dem betroffenen Acc mal den Filemon oder den Processexplorer von Sysinternals.

Hatte sowas ähnliches da konnte die Scareware immer meine Processe beenden nach einigen Sekunden weil sie sich als Parent des Explorer.exe Prozesses eingeklinkt hatte. Das ist zwar etwas aufwändiger aber dadurch konnte die Scareware immer fleissig
die Kindprozesse killen. Die Scareware war aber zu meinem Glück schlecht programmiert und mit ein paar kniffen konnte ich den Prozess killen.

vg
Skyemugen
Skyemugen 09.06.2011, aktualisiert am 18.10.2012 um 18:47:09 Uhr
Goto Top
Aloha,

sollte es sich in der Tat (wovon ich auch zu 95% ausgehe) um Scareware handeln, hilft dir dieser Thread (link) womöglich ebenso.

greetz André

P.S.: Oft genügt es, das Benutzerprofil zu wechseln, um dann Datei für Datei der Scareware zu entfernen (und scans durchzuführen) aber das ist abhängig von der Scareware, die sich auf dem Rechner befindet.

EDIT Ich sollte vor dem Frühstück nicht posten, du hast ja bereits einen Systemwiederherstellungspunkt genutzt, jedoch glaube ich nicht, dass dadurch sämtliche Einstellungen / Manipulationen entfernt sind - evtl. mal HiJackThis durchlaufen lassen und SUPERantispyware (im abgesicherten Modus, versteht sich), um zu sehen, ob diese Programme Einstellungen auf dem System finden, die so nicht sein sollten.
cardisch
cardisch 09.06.2011 um 08:06:42 Uhr
Goto Top
Hallo,

auch ein Bekannter wurde mal von sowas befallen, ich hatte da mit einer Desinfec´t und einer Avira Boot-CD (letztere kann man sich kostenlos herunterladen, für erstere brauchst du die passende C´t) zuerst einmal "erkannt" und dann ergoogelt, wie man die händisch (hatte ich damals glaube ich mit einem Live-Linux gemacht) entfernt.
MSconfig (vom Vorredner erwähnt) ist leider nur die halbe Miete, lad dir mal das Programm autoruns von Sysinternals herunter, das durchsucht die gesamte Registry (ist etwas genauer).

VIel Glück

Carsten
Lochkartenstanzer
Lochkartenstanzer 09.06.2011 um 08:19:39 Uhr
Goto Top
Zitat von @hermes:

Bin für jeden Tip dankbar !!

Suche nach unhide.exe das macht die Dateien wieder sichbar. Allerdings aufpassen. Es verbergen sich auch viele Trojaner unter diesem Namen.

Besser wäre es einfach eine datensicherung zu machen und anschließend die Kiste neu aufzusetzen. Die dateien selbst kannst Du z.B. mit einer live-CD anschauen/sichern. Ich empfehle da meist knoppix als live-CD, weil ich damit die besten erfahrungen gemacht habe. Aber ein WinPE (BartePE oder Win7PE) geht auch.
Starmanager
Starmanager 09.06.2011 um 08:42:43 Uhr
Goto Top
Hallo,

ich hatte auch mal so ein Fall. Das einzigste was wirklich half war die infizierte Platte an einen anderen Rechner anhaengen, alle Dateien sichtbar mache, absichern was der Kollege nocht braucht und dann eine schoene neue Installation machen. Alles andere ist so viel Probieren und testen und am Schluss ist da immer noch was was die Trojanertools nicht finden und es geht von neuem los.

MFG

Starmanager
hermes
hermes 10.06.2011 um 13:01:28 Uhr
Goto Top
Hallo,

erstmal vielen Dank für die vielen Antworten.

1. msconfig habe ich gecheckt, keine Software, die mitläuft und dubios erscheint
2. autoruns ist ein guter Tipp, werde ich am Wochenende nochmal checken
3. im Taskmanager sind auch keine Auffälligkeiten laufender Prozesse zu sein, wundert auch nicht, denn die Registry - Run und RunOnce Bereiche hatte ich bereits abgeklappert, dort war auch nichts zu finden
3. momentan glaube ich nicht dass noch eine Software bzw ein Prozess parallel läuft, denn das würde eigentlich voraussetzen, dass die scarware in der Lage gewesen sein müsste sich als Admin einzunisten, aber erstens trat der Fehler nur bei einem (!) von drei normalen Benutzerkonten auf, und nicht beim Admin, zweitens hätte ich bei einem laufenden Prozess sicher an viel mehr Stellen Probleme
4. die AVIRA CD hatte ich auch schon probiert, ist in vielen Fällen sicher eine gute Wahl, hat hier aber nicht geholfen weil nichts gefunden wurde. Die Scarware selber wurde übrigens auch nicht gefunden, auf dem system läuft ein Avira prof., der müsste eigentlich alles an Änderungen im Autostartbereich erkennen.

Ich bin derzeit immer noch der Ansicht, dass entweder die Scarware oder ein anderes Programm einen registry Eintrag so geändert hat, dass die Systemdateien, bzw. die versteckten Dateien nie angezeigt werden.

Natürlich könnte ich auch die Platte an einen anderen Rechner hängen und von dort aus alles sichtbar machen, ich befürchte aber, dass dies später haufenweise Probleme macht, wenn der "normale" USer mit einmal auch alles an versteckten Ordnern sieht.... Ist also eher eine Lösung wen gar nichts mehr geht, genauso wie die Neuinstallation, was ich auch als die allerbeste Lösung ansehe, aber die Folgearbeiten schrecken mich derzeit noch ab.

Knoppix habe ich noch nicht getestet, werde ich aber wohl auch am Wochenende probieren.

Erst mal Danke für Eure Tipps
Lochkartenstanzer
Lochkartenstanzer 10.06.2011 um 15:45:38 Uhr
Goto Top
Zitat von @hermes:
3. momentan glaube ich nicht dass noch eine Software bzw ein Prozess parallel läuft, denn das würde eigentlich
voraussetzen, dass die scarware in der Lage gewesen sein müsste sich als Admin einzunisten, aber erstens trat der Fehler nur
bei einem (!) von drei normalen Benutzerkonten auf, und nicht beim Admin, zweitens hätte ich bei einem laufenden Prozess
sicher an viel mehr Stellen Probleme

Sofware die es schafft unter einem lokalen Benutzeraccount zu laufen, hat i.d.R. auch kein Problem damit, druch privilege escalation auch an Adminrechte zu kommen. Es sind in allen gebräuchlichen Betriebssystemn genügen Lücken vorhanden, um sich nach und nach zu Adminrechten "hochzuarbeiten". Bei einem Schädlingsbefall kann man daher nie sicher sein, ob nicht irgendwo noch etwas schlummert. Meine Erfahrung ist, daß man, wenn man es wirklich gründlich macht wie z.B. alle Virenscanner von knoppicillin, Alle Virenscanner von Win7PE, Malwarebytes, Hijackthis, Threadfire, Spybot u.v.a. mehrlaufen zu lassen, sowohl offlien, wie auch online. Man mehrere Tage Aufwand hat. Gut das meiste ist eh blauen, grünen und roten balken beim wachsen von links nach rechts zuschauen, aber sei's drum.

Vereinzelt mache ich das noch, aber nur dann, wenn das System so historisch gewachsen ist, daß zu den Anwendungen keine Medien mehr existieren und die Kunden nicht darauf verzichten wollen. Allerdings mit deutlich Warnung vor möglichen Folgen. Ansonsten rate ich den Kunden gleich zu eine rNeuinstallation ach Sicherung der Daten, Ist meist relativ schnell erledigt (Sofern alle Medien/Lizenznummern vorhanden sind).


Ich bin derzeit immer noch der Ansicht, dass entweder die Scarware oder ein anderes Programm einen registry Eintrag so
geändert hat, dass die Systemdateien, bzw. die versteckten Dateien nie angezeigt werden.

Ganz sicher hat sie das.


Natürlich könnte ich auch die Platte an einen anderen Rechner hängen und von dort aus alles sichtbar machen, ich
befürchte aber, dass dies später haufenweise Probleme macht, wenn der "normale" USer mit einmal auch alles an
versteckten Ordnern sieht.... Ist also eher eine Lösung wen gar nichts mehr geht, genauso wie die Neuinstallation, was ich
auch als die allerbeste Lösung ansehe, aber die Folgearbeiten schrecken mich derzeit noch ab.

Dann mach es anders:

  • Daten sichern, z.B. unter Knoppix oder WinPE
  • Betroffenen Benutzer löschen
  • Profil des Benutzers löschen (reicht es woanders als Dokumente und Ordner hinzuverschieben)
  • Neuen Benutzer anlegen
  • Diesem Benutzer wieder die Dateien zurücksichern.

So habe ich es jedenfalls bei einem Kunden mal gemacht.

lks
hermes
hermes 22.06.2011 um 18:31:45 Uhr
Goto Top
Hallo,

erstmal vielen Dank an alle, die sich Gedanken gemacht haben, wie man das Ding wegbekommt. Leider hat alles nichts genützt. Ich habe nicht herausbekommen, wie das Teil funktioniert, aber von Anfang an :

Es läuft offenbar wirklich kein Prozess, o.ä. nachdem das Teil aktiv wurde, in der Registry war in den Einträgen für den Systemstart nichts zu finden, Autoruns von den Sysinternals Leuten hat nichts gefunden, und letztlich habe ich nach und nach alles an Software deinstalliert was auf dem Rechner war, es hat nichts geholfen, versteckte Dateien konnten einfach nicht sichtbar gemacht werden.

Also habe ich XPP neu installiert. Vorher habe ich mit Knoppix noch alle Daten der User auf eine externe Festplatte retten können.

Also Rechner neu installiert, alle Updates von MS gezogen, das aktuelle Avira draufgespielt, und jetzt wollte ich eigentlich mit dem Zurückspielen der DAten beginnen, habe aber vorher nochmal Avira explizit auf die externe Festplatten mit den DAtenbeständen geschickt. Platte wurde als sauber gemeldet, also habe ich mir gedacht, alles ist gut, und habe die Daten zurückgespielt. Alles als Admin Benutzer.

Ich habe (wohl glücklicherweise ) keine Daten aufgerufen. Nach zwei Std war der Rechner fertig, alles an Daten übertragen, Rechner arbeitete normal, mehrfach Neustart, keine auffälligen Prozesse, --alles gut - dachte ich !

Dann habe ich mich als User angemeldet, nur eingeschränkter Benutzer, nicht mal Gruppe der Hauptbenutzer. Zuerst auch noch alles gut, aber dann habe ich den Fehler gemacht stichprobenartig ein paar der Bilder und Word Dateien zu öffnen, um zu kontrollieren, ob die Datensicherung auch wirklich funktioniert hat, und schwupp - da war mein Freund wieder ! Wieder die Meldung von der Vireninfektion, wieder konnten unsichtbare Dateien nicht sichtbar gemacht werden usw., es war kein laufender Prozess auszumachen, aber das kann auch sein, weil ich nur mit eingeschränkten Rechten gearbeitet habe.

Nach Neustart waren die Benutzerdateien wieder weg, also versteckt.

Als Admin konnte ich sie auch nicht wieder sichtbar machen, also habe ich jetzt mit Knoppix auf der Festplatte mal manuell alles durchgesucht, und ich habe auf dem Desktop einen (versteckten) Link gefunden, der auf eine Datei im Userprofil unter /Benutzer/AppData/Roaming mit Namen Defender.exe zeigte

Der Link war nicht im Autostart etc eingetragen, sondern einfach nur im Ordner Desktop des Userprofils vorhanden.

Ich habe also Windows neu installiert, wie beim letzten Mal, nur habe ich diesmal dem User einen anderen NAmen gegeben. Anschliessend habe ich wieder alle Daten von der externen festplatte geholt und in dieses Userprofil kopiert, und siehe da, kein Virus mehr, der Rechner startete normal, keine Fenster des Schadprogramms, die Sichtbarmachung der versteckten Dateien funktionierte wunderbar, alles gut.

Nachdem ich die Festplatte einmal in diesem Zustand kopiert habe, habe ich jetzt die Defender.exe Datei manuell gestartet, und schon war der Virus wieder da. Den Übeltäter habe ich also gefunden, ich verstehe nur nicht, warum die Datei überhaupt gestartet wurde. Mit dem veränderten Benutzernamen habe ich die gleichen Dateien aus dem alten Profil geöffnet, nichts passierte, also glaube ich, dass der Link auf dem Defender, der sich Desktop Bereich versteckte, der Auslöser sein muss, denn hier war noch der Pfad auf den alten Userbereich eingetragen.

Aus Interesse habe ich dann die defender.exe in eine nachgebildete Ordnerstruktur verschoben, so dass der Link sie finden sollte, und tatsächlich. Nach drei Anmeldungen war mit einmal der Virus wieder da.

Meine größte Frage ist jetzt eigentlich, ob jemand schonmal davon gehört hat, dass eine Datei auf dem Desktop nach der Anmeldung gestartet werden kann, obwohl scheinbar kein Eintrag in der Registry bzw im Autostart vorgenommen wurde, jedenfalls hat RegMon von sysinternals nichts gezeigt.

Zwischendurch habe ich die externe Festplatte, wo das ursprüngliche Userprofil abgelegt war durch verschiedene Virenscanner untersuchen lassen, Avira, Kaspersky, McAffee, Bitdefender haben nichts gefunden, selbst wenn man sie direkt auf die beiden Dateien, also den Link und defender.exe gestossen hat, wurde kein Virus erkannt !

Mittlerweile ist der Rechner neu installiert, der Dreck wurde von mir manuell entfernt, und seit drei Tagen läuft die Kiste wieder anstandslos !!

Danke für Eure Tipps
Lochkartenstanzer
Lochkartenstanzer 22.06.2011 um 18:51:08 Uhr
Goto Top
Lade mal die defender.exe auf virustotal hoch. Dann siehjst Du, ob die wirklich von keinem gefunden wird, oder ob Virenscanner vorhanden sind, die diese Datei finden.