Systemordner u. versteckte Ordner sichtbar machen geht nicht
Wie kann man die versteckten Ordner eines Benutzerprofils sichtbar machen ?
Hallo Fachleute,
auch wenn der Titel nicht daraufhinweist, ich suche jetzt schon mehrere Tage, nicht nur in diesem Forum, nach einer Lösung für folgendes Problem :
Habe hier ein Win XPP Laptop eines Bekannten, der mir das mit dem Hinweis gab "Wir haben irgendwie einen Virus drauf den bekomme ich nicht weg, kannst Du mal ? ..."
Der Virus entpuppte sich schnell als eine Software, die eigentlich nichts macht, sondern sich nur in den Vordergrund drängelt, und dann immer feststellt es sei ein Virus auf dem System, und man solle jetzt eine XP-Recovery Tool kaufen, um den zu entfernen.
Glückllicherweise hat mein Bekannter nicht als Admin an der Kiste gesessen, sondern nur als normaler Benutzer, so dass der Fehler auch nur unter dem Account auftritt.
Als Admin habe ich jetzt einen Wiederherstellungspunkt von vor einigen Tagen genommen, und erstmal ist alles wieder ok, jedenfalls scheinbar.
Jetzt wollte ich im Benutzerprofil mir mal anschauen, ob dort evtl. noch ein paar versteckte Dateien liegen, die später nochmal Ärger machen könnten.
Unter Dokumente und Einstellungen war aber der Profilordner für den Arbeitsaccount nicht mehr sichtbar.
Gut, in den Ordneroptionen habe ich dann versucht alles sichtbar zu machen, Systemdateien, versteckte Dateien etc...
Hat aber nichts gebracht. Der Punkt "Versteckte Dateien und Ordner anzeigen" kann zwar von mir in den Ordneroptionen gesetzt werden, wird aber anschliessend sofort zurückgesetzt, so dass man eben das Profil nicht durchsuchen kann, weil alle versteckten Dateien nicht angezeigt werden.
Kennt jemand einen Regsitry Eintrag oder eine Richtlinie, die dieses Verhalten bewirkt ?
Oder gibt es ein Tool, welches wieder den alten Zustand an dieser Stelle herstellt ?
Eine ähnliche Software hat mich vor zwei Jahren schonmal gequält, damals waren im Autostart und in den lokalen Profilordnern überall .exe Dateien, die bei jedem Start des Rechners aufgerufen wurden, und sich immer wieder neu in diesen Bereichen verbreitet haben. Nicht wirklich gefährlich, aber lästig und zeitraubend. Ich vermute hier haben wir ein ähnliches Ding.
Bin für jeden Tip dankbar !!
Hallo Fachleute,
auch wenn der Titel nicht daraufhinweist, ich suche jetzt schon mehrere Tage, nicht nur in diesem Forum, nach einer Lösung für folgendes Problem :
Habe hier ein Win XPP Laptop eines Bekannten, der mir das mit dem Hinweis gab "Wir haben irgendwie einen Virus drauf den bekomme ich nicht weg, kannst Du mal ? ..."
Der Virus entpuppte sich schnell als eine Software, die eigentlich nichts macht, sondern sich nur in den Vordergrund drängelt, und dann immer feststellt es sei ein Virus auf dem System, und man solle jetzt eine XP-Recovery Tool kaufen, um den zu entfernen.
Glückllicherweise hat mein Bekannter nicht als Admin an der Kiste gesessen, sondern nur als normaler Benutzer, so dass der Fehler auch nur unter dem Account auftritt.
Als Admin habe ich jetzt einen Wiederherstellungspunkt von vor einigen Tagen genommen, und erstmal ist alles wieder ok, jedenfalls scheinbar.
Jetzt wollte ich im Benutzerprofil mir mal anschauen, ob dort evtl. noch ein paar versteckte Dateien liegen, die später nochmal Ärger machen könnten.
Unter Dokumente und Einstellungen war aber der Profilordner für den Arbeitsaccount nicht mehr sichtbar.
Gut, in den Ordneroptionen habe ich dann versucht alles sichtbar zu machen, Systemdateien, versteckte Dateien etc...
Hat aber nichts gebracht. Der Punkt "Versteckte Dateien und Ordner anzeigen" kann zwar von mir in den Ordneroptionen gesetzt werden, wird aber anschliessend sofort zurückgesetzt, so dass man eben das Profil nicht durchsuchen kann, weil alle versteckten Dateien nicht angezeigt werden.
Kennt jemand einen Regsitry Eintrag oder eine Richtlinie, die dieses Verhalten bewirkt ?
Oder gibt es ein Tool, welches wieder den alten Zustand an dieser Stelle herstellt ?
Eine ähnliche Software hat mich vor zwei Jahren schonmal gequält, damals waren im Autostart und in den lokalen Profilordnern überall .exe Dateien, die bei jedem Start des Rechners aufgerufen wurden, und sich immer wieder neu in diesen Bereichen verbreitet haben. Nicht wirklich gefährlich, aber lästig und zeitraubend. Ich vermute hier haben wir ein ähnliches Ding.
Bin für jeden Tip dankbar !!
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 167738
Url: https://administrator.de/forum/systemordner-u-versteckte-ordner-sichtbar-machen-geht-nicht-167738.html
Ausgedruckt am: 23.12.2024 um 06:12 Uhr
9 Kommentare
Neuester Kommentar
Deinem Text nach handel es sich hierbei um Scareware.
1. msconfig prüfen was beim Start so alles ausgeführt wird. Alternativ auch CCCleaner oder direkt in der Registry nach RUN Ordner suchen und da Einträge die zu irgend einer obskuren .exe führen löschen.
2. sollte das bereinigen der RUN Ordner nichts bringen starte unter dem betroffenen Acc mal den Filemon oder den Processexplorer von Sysinternals.
Hatte sowas ähnliches da konnte die Scareware immer meine Processe beenden nach einigen Sekunden weil sie sich als Parent des Explorer.exe Prozesses eingeklinkt hatte. Das ist zwar etwas aufwändiger aber dadurch konnte die Scareware immer fleissig
die Kindprozesse killen. Die Scareware war aber zu meinem Glück schlecht programmiert und mit ein paar kniffen konnte ich den Prozess killen.
vg
1. msconfig prüfen was beim Start so alles ausgeführt wird. Alternativ auch CCCleaner oder direkt in der Registry nach RUN Ordner suchen und da Einträge die zu irgend einer obskuren .exe führen löschen.
2. sollte das bereinigen der RUN Ordner nichts bringen starte unter dem betroffenen Acc mal den Filemon oder den Processexplorer von Sysinternals.
Hatte sowas ähnliches da konnte die Scareware immer meine Processe beenden nach einigen Sekunden weil sie sich als Parent des Explorer.exe Prozesses eingeklinkt hatte. Das ist zwar etwas aufwändiger aber dadurch konnte die Scareware immer fleissig
die Kindprozesse killen. Die Scareware war aber zu meinem Glück schlecht programmiert und mit ein paar kniffen konnte ich den Prozess killen.
vg
Aloha,
sollte es sich in der Tat (wovon ich auch zu 95% ausgehe) um Scareware handeln, hilft dir dieser Thread (link) womöglich ebenso.
greetz André
P.S.: Oft genügt es, das Benutzerprofil zu wechseln, um dann Datei für Datei der Scareware zu entfernen (und scans durchzuführen) aber das ist abhängig von der Scareware, die sich auf dem Rechner befindet.
EDIT Ich sollte vor dem Frühstück nicht posten, du hast ja bereits einen Systemwiederherstellungspunkt genutzt, jedoch glaube ich nicht, dass dadurch sämtliche Einstellungen / Manipulationen entfernt sind - evtl. mal HiJackThis durchlaufen lassen und SUPERantispyware (im abgesicherten Modus, versteht sich), um zu sehen, ob diese Programme Einstellungen auf dem System finden, die so nicht sein sollten.
sollte es sich in der Tat (wovon ich auch zu 95% ausgehe) um Scareware handeln, hilft dir dieser Thread (link) womöglich ebenso.
greetz André
P.S.: Oft genügt es, das Benutzerprofil zu wechseln, um dann Datei für Datei der Scareware zu entfernen (und scans durchzuführen) aber das ist abhängig von der Scareware, die sich auf dem Rechner befindet.
EDIT Ich sollte vor dem Frühstück nicht posten, du hast ja bereits einen Systemwiederherstellungspunkt genutzt, jedoch glaube ich nicht, dass dadurch sämtliche Einstellungen / Manipulationen entfernt sind - evtl. mal HiJackThis durchlaufen lassen und SUPERantispyware (im abgesicherten Modus, versteht sich), um zu sehen, ob diese Programme Einstellungen auf dem System finden, die so nicht sein sollten.
Hallo,
auch ein Bekannter wurde mal von sowas befallen, ich hatte da mit einer Desinfec´t und einer Avira Boot-CD (letztere kann man sich kostenlos herunterladen, für erstere brauchst du die passende C´t) zuerst einmal "erkannt" und dann ergoogelt, wie man die händisch (hatte ich damals glaube ich mit einem Live-Linux gemacht) entfernt.
MSconfig (vom Vorredner erwähnt) ist leider nur die halbe Miete, lad dir mal das Programm autoruns von Sysinternals herunter, das durchsucht die gesamte Registry (ist etwas genauer).
VIel Glück
Carsten
auch ein Bekannter wurde mal von sowas befallen, ich hatte da mit einer Desinfec´t und einer Avira Boot-CD (letztere kann man sich kostenlos herunterladen, für erstere brauchst du die passende C´t) zuerst einmal "erkannt" und dann ergoogelt, wie man die händisch (hatte ich damals glaube ich mit einem Live-Linux gemacht) entfernt.
MSconfig (vom Vorredner erwähnt) ist leider nur die halbe Miete, lad dir mal das Programm autoruns von Sysinternals herunter, das durchsucht die gesamte Registry (ist etwas genauer).
VIel Glück
Carsten
Bin für jeden Tip dankbar !!
Suche nach unhide.exe das macht die Dateien wieder sichbar. Allerdings aufpassen. Es verbergen sich auch viele Trojaner unter diesem Namen.
Besser wäre es einfach eine datensicherung zu machen und anschließend die Kiste neu aufzusetzen. Die dateien selbst kannst Du z.B. mit einer live-CD anschauen/sichern. Ich empfehle da meist knoppix als live-CD, weil ich damit die besten erfahrungen gemacht habe. Aber ein WinPE (BartePE oder Win7PE) geht auch.
Hallo,
ich hatte auch mal so ein Fall. Das einzigste was wirklich half war die infizierte Platte an einen anderen Rechner anhaengen, alle Dateien sichtbar mache, absichern was der Kollege nocht braucht und dann eine schoene neue Installation machen. Alles andere ist so viel Probieren und testen und am Schluss ist da immer noch was was die Trojanertools nicht finden und es geht von neuem los.
MFG
Starmanager
ich hatte auch mal so ein Fall. Das einzigste was wirklich half war die infizierte Platte an einen anderen Rechner anhaengen, alle Dateien sichtbar mache, absichern was der Kollege nocht braucht und dann eine schoene neue Installation machen. Alles andere ist so viel Probieren und testen und am Schluss ist da immer noch was was die Trojanertools nicht finden und es geht von neuem los.
MFG
Starmanager
Zitat von @hermes:
3. momentan glaube ich nicht dass noch eine Software bzw ein Prozess parallel läuft, denn das würde eigentlich
voraussetzen, dass die scarware in der Lage gewesen sein müsste sich als Admin einzunisten, aber erstens trat der Fehler nur
bei einem (!) von drei normalen Benutzerkonten auf, und nicht beim Admin, zweitens hätte ich bei einem laufenden Prozess
sicher an viel mehr Stellen Probleme
3. momentan glaube ich nicht dass noch eine Software bzw ein Prozess parallel läuft, denn das würde eigentlich
voraussetzen, dass die scarware in der Lage gewesen sein müsste sich als Admin einzunisten, aber erstens trat der Fehler nur
bei einem (!) von drei normalen Benutzerkonten auf, und nicht beim Admin, zweitens hätte ich bei einem laufenden Prozess
sicher an viel mehr Stellen Probleme
Sofware die es schafft unter einem lokalen Benutzeraccount zu laufen, hat i.d.R. auch kein Problem damit, druch privilege escalation auch an Adminrechte zu kommen. Es sind in allen gebräuchlichen Betriebssystemn genügen Lücken vorhanden, um sich nach und nach zu Adminrechten "hochzuarbeiten". Bei einem Schädlingsbefall kann man daher nie sicher sein, ob nicht irgendwo noch etwas schlummert. Meine Erfahrung ist, daß man, wenn man es wirklich gründlich macht wie z.B. alle Virenscanner von knoppicillin, Alle Virenscanner von Win7PE, Malwarebytes, Hijackthis, Threadfire, Spybot u.v.a. mehrlaufen zu lassen, sowohl offlien, wie auch online. Man mehrere Tage Aufwand hat. Gut das meiste ist eh blauen, grünen und roten balken beim wachsen von links nach rechts zuschauen, aber sei's drum.
Vereinzelt mache ich das noch, aber nur dann, wenn das System so historisch gewachsen ist, daß zu den Anwendungen keine Medien mehr existieren und die Kunden nicht darauf verzichten wollen. Allerdings mit deutlich Warnung vor möglichen Folgen. Ansonsten rate ich den Kunden gleich zu eine rNeuinstallation ach Sicherung der Daten, Ist meist relativ schnell erledigt (Sofern alle Medien/Lizenznummern vorhanden sind).
Ich bin derzeit immer noch der Ansicht, dass entweder die Scarware oder ein anderes Programm einen registry Eintrag so
geändert hat, dass die Systemdateien, bzw. die versteckten Dateien nie angezeigt werden.
geändert hat, dass die Systemdateien, bzw. die versteckten Dateien nie angezeigt werden.
Ganz sicher hat sie das.
Natürlich könnte ich auch die Platte an einen anderen Rechner hängen und von dort aus alles sichtbar machen, ich
befürchte aber, dass dies später haufenweise Probleme macht, wenn der "normale" USer mit einmal auch alles an
versteckten Ordnern sieht.... Ist also eher eine Lösung wen gar nichts mehr geht, genauso wie die Neuinstallation, was ich
auch als die allerbeste Lösung ansehe, aber die Folgearbeiten schrecken mich derzeit noch ab.
Dann mach es anders:
- Daten sichern, z.B. unter Knoppix oder WinPE
- Betroffenen Benutzer löschen
- Profil des Benutzers löschen (reicht es woanders als Dokumente und Ordner hinzuverschieben)
- Neuen Benutzer anlegen
- Diesem Benutzer wieder die Dateien zurücksichern.
So habe ich es jedenfalls bei einem Kunden mal gemacht.
lks