Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Ordner in Windows Server vestecken sich von selbst

Frage Microsoft Windows Server

Mitglied: LordVader

LordVader (Level 1) - Jetzt verbinden

07.04.2010, aktualisiert 19.04.2010, 4492 Aufrufe, 9 Kommentare

Hallo an die Community.

Ich habe folgende Frage:

Seit einiger Zeit fällt mir auf, dass bei unserem Fileserver sich 2-3 Ordner immer von selbst verstecken.
Wenn ich per rechtsklick das Atribut "versteckt" wieder entferne funktioniert das wieder einige Tage und dann gehts von vorne los.

Des weiteren legt das System für jeden versteckten Ordner eine...nunja...."exe"? Datei an, durch die man in den betroffenen Ordner kommt.

Ich versuche das darzustellen:

Angenommen der Ordner "Zeug" auf dem Laufwerk D versteckt sich von selbst.

Dann erscheint ein Symbol mit Namen "Zeug.exe" auf D. Dadurch kommt man in den Ordner zwar hinein, jedoch kommt mir das höchstverdächtig vor.

Virenscans haben bis dato nichts ergeben. Haben wir uns trotzdem was eingefangen?
Oder was kann das sonst sein?

Dankeschön.

mfg
LordVader
Mitglied: matze2010
07.04.2010 um 15:32 Uhr
Hallo LordVader,

das hört sich sehr suspekt an!

Welches Betriebssystem, welche Dienste?

Wer kommt an den Fileserver? (Internet, Intranet, Mitarbeiter, Besucher) Ich hoffe, du hast ihn direkt vom Netz genommen, nachdem dir die Unregelmäßigkeit aufgefallen ist?

Wer hat Berechtigungen, den Ordner (bzw. den übergeordneten Ordner) zu verändern?

Wer ist Besitzer/Ersteller der Datei Zeug.exe?

Sende mal die Zeug.exe an Online Virenscanner wie z.B.
http://www.kaspersky.com/de/virusscanner
http://www.virustotal.com/de/

Welchen Virenscanner hast du installiert?

Mal versucht mit einer Virenscanner-Live-CD (sowas wie Knoppicillin) zu booten und auf Viren zu testen?

Lg
Matze
Bitte warten ..
Mitglied: Driver401
07.04.2010 um 15:48 Uhr
Servus,

Zitat von LordVader:
Dann erscheint ein Symbol mit Namen "Zeug.exe" auf D. Dadurch kommt man in den Ordner zwar hinein, jedoch kommt mir das
höchstverdächtig vor.

Und was genau ist "Zeug.exe" ?

- Ein Ordner mit diesem merkwürdigen Namen?
- Eine wirkliche Programmdatei?
- Ein gepackter Ordner? (zip o.ä. selbstextrahierend)?
- .....?

Das würde ja schonmal weiterhelfen...

Welches OS läuft auf dem Server?
Wer hat Zugriffs- / Änderungsrechte?
Sind die Clients, die drauf zugreifen auch Virenüberprüft?
...

Gruß
Jürgen
Bitte warten ..
Mitglied: LordVader
08.04.2010 um 09:30 Uhr
Hallo.

Also:

OS ist Windows Server 2003 R2 Standard.

Zugriffs und Änderungsrechte haben sehr viele User, da es sich um freigegebene Netzlaufwerke handelt die CAD Zeichnungen beinhalten, und die muss logischerweise jeder Konstrukteur überschreiben dürfen.

Die Clients sollten auch Virenüberprüft sein. Wir haben Trend Micro Worry Free Business-Security im Einsatz, und bis auf harmlose Adware ist noch nie etwas durchgekommen.

Was ist die Datei? eine gute Frage...

Es wird als "Anwendung" angezeigt. Jedoch öffnet sich nur der Ordner bei Klick darauf. Sollte der Fall nochmals auftreten (wovon ich leider ausgehe...) werde ich einen Screenshot machen und mal uploaden. Es ist sehr schwer dies zu beschreiben. Besser man sieht es selbst.

mfg


PS: Hier ein Screenshot. Trat eben wieder auf...
http://img169.imageshack.us/img169/2694/ordner.jpg
Bitte warten ..
Mitglied: Driver401
08.04.2010 um 11:48 Uhr
Hi again,

Zitat von LordVader:
Was ist die Datei? eine gute Frage...

Es wird als "Anwendung" angezeigt.
PS: Hier ein Screenshot. Trat eben wieder auf...
http://img169.imageshack.us/img169/2694/ordner.jpg

Wenn ich den Screenshot richtig interpretiere, wird es keineswegs als Anwendung angezeigt sondern als Ordner (Symbol).
Wäre es nur umbenannt, würde keine Dateigröße oder der Typ "Anwendung" dastehen.
Es könnten im Prinzip auch gepackte Dateien/Ordner sein.
Wie sieht das denn in der Baumstruktur aus?

Versuchs doch mal mit einem Analysetool - z.B. http://www.heaventools.com/download.htm
Oder machs im Hexeditor auf oder in einem normalen Editor oder oder oder... da muss doch mehr zu erfahren sein drüber.


Als Schnell-Lösung - quick and dirty - würde ich die Ordner wiederherstellen und dann einfach leere exe-Files mit diesen Namen anlegen. Diese Exe-Files dann schreibschützen, bzw. komplett zugriffsschützen. Wenn irgendwas die benutzen will, wirds zu einem Fehler kommen - das wäre am einfachsten. Wenn etwas die Ordner umpfriemeln will, wird es auch zu einem Fehler kommen.
Wenn nichts mehr passiert..... naja...

Irgendwie sieht mir das schon nach einem Virus aus oder einer kaputten Software die da nicht richtig speichern kann...


EDIT:
Habe nochmal recherchiert, es könnte sich um diesen Wurm handeln:
WORM/VB.CB.28 (Avira)
http://threatinfo.trendmicro.com/vinfo/virusencyclo/default5.asp?vname= ...
Der legt jedenfalls exe-files von vorhandenen Ordnern an.
Könnte natürlich auch eine Abart davon sein.
Also nochmal - alle Clients auf Viren checken - dazu gehören auch alle mobilen Laufwerke, USB-Sticks, etc...
Die Ordner-Exe-Dateien genauestens prüfen und evtl. bei online-Scannern hochladen wie schon empfohlen.

Gruß
Jürgen
Bitte warten ..
Mitglied: matze2010
08.04.2010 um 12:54 Uhr
Zitat von Driver401:
Wenn ich den Screenshot richtig interpretiere, wird es keineswegs als Anwendung angezeigt sondern als Ordner (Symbol).
Wäre es nur umbenannt, würde keine Dateigröße oder der Typ "Anwendung" dastehen.
Es könnten im Prinzip auch gepackte Dateien/Ordner sein.
Wie sieht das denn in der Baumstruktur aus?
Wie du schon selbst sagst kann es kein Ordner sein, da eine Dateigröße dasteht.

Versuchs doch mal mit einem Analysetool - z.B. http://www.heaventools.com/download.htm
Oder machs im Hexeditor auf oder in einem normalen Editor oder oder oder... da muss doch mehr zu erfahren sein drüber.
Vermutlich kommt heraus, es ist eine Anwendung.

Als Schnell-Lösung - quick and dirty - würde ich die Ordner wiederherstellen und dann einfach leere exe-Files mit
diesen Namen anlegen. Diese Exe-Files dann schreibschützen, bzw. komplett zugriffsschützen. Wenn irgendwas die benutzen
will, wirds zu einem Fehler kommen - das wäre am einfachsten. Wenn etwas die Ordner umpfriemeln will, wird es auch zu einem
Fehler kommen.
Wenn nichts mehr passiert..... naja...

Zunächst gilt hier jedoch: Alle noch vorhandenen Zeichnungen sichern, die Ingenieure würden sich freuen... Und die Kiste vom Netz! Alle Mitarbeiter informieren und ein AV-Tool suchen, welches den Virus finden und entfernen kann.

Damit dann zu den Mitarbeiterrechnern (am besten für die gesamte Zeit vom Netz nehmen) und diese checken und säubern. Dann die gesicherten Zeichnungen prüfen! Und dann nochmal an die Mitarbeiter appellieren, keine fremde Software zu starten.

Lg
Matze
Bitte warten ..
Mitglied: LordVader
08.04.2010 um 13:53 Uhr
Danke für die Antworten.

Auf Virustotal hab ich sogar was gefunden. Nur scheinbar erkennt gerade Trend Micro (der den wir einsetzen) diesen Virus nicht.

Die Kiste vom Netz nehmen ist unmöglich da ca. 50 Konstrukteure drauf arbeiten. Auch "mal eben" die Zeichnungen Sichern ist utopisch. Handelt es sich doch um ca. 600GB an CAD Daten.

Ich versuche nun div. freie Virenscanner etc. und hoffe das Problem zu lösen. Und das dann wohl auch bei 50 Clients...

Weiß leider nicht wie ich das sonst anstellen soll...
Bitte warten ..
Mitglied: Driver401
08.04.2010 um 14:00 Uhr
Zitat von LordVader:
Die Kiste vom Netz nehmen ist unmöglich da ca. 50 Konstrukteure drauf arbeiten.

Aber nur solange sie läuft.... wenn Du verstehst was ich meine.
Bitte warten ..
Mitglied: matze2010
08.04.2010 um 14:38 Uhr
Zitat von LordVader:
Danke für die Antworten.

Auf Virustotal hab ich sogar was gefunden. Nur scheinbar erkennt gerade Trend Micro (der den wir einsetzen) diesen Virus nicht.
Deshalb am besten auf verschiedenen Rechnern in einem Net zverschiedene Produkte einsetzen (hierfür eignen sich z.B. Virtuelle Maschinen ganz gut als Honeypots)

Die Kiste vom Netz nehmen ist unmöglich da ca. 50 Konstrukteure drauf arbeiten. Auch "mal eben" die Zeichnungen
Sichern ist utopisch. Handelt es sich doch um ca. 600GB an CAD Daten.

In dem Fall darf es nicht unmöglich geben! Unmöglich ist es, sie weiterhin im Netz zu lassen. Was, wenn die Zeichnungen alle an die Konkurrenzfirma versendet werden? Weißt du, was der Virus im Zweifel anstellt? Vielleicht sogar schon am 9.4.2010?

600GB an CAD Daten ist ein Klacks! Dann gehst du im Zweifel zu deinem Chef, laierst ihm 100€ aus der Tasche und kauft eine externe 1TB Festplatte. Diese dann nur noch mit einem Linuxsystem booten (Knoppizillin oder so) und in aller Ruhe scannen lassen.

Diese 100€ im Vergleich zu einem möglichen Totalschaden sollte es deinem Chef wert sein.

Ich versuche nun div. freie Virenscanner etc. und hoffe das Problem zu lösen. Und das dann wohl auch bei 50 Clients...
Und kostenpflichtige. Möglichst viele verschiedene, bis du einen findest, welcher den Virus entfernt. Diesen dann auf allen Clients (50 Stück ist auch hier nicht die Menge...)

Weiß leider nicht wie ich das sonst anstellen soll...
Spuck in die Hände und Pack es an!

Viel Erfolg!
Lg
Matze
Bitte warten ..
Mitglied: golanos
17.02.2011 um 02:14 Uhr
Hallo,

folgendes ich habe diesen Wurm auch. Das Problem ist, dass ich auf einer Festplatte habe, auf der ich sehr wichtige Dateien habe. Diese Daten möchte bzw. muss ich retten. Da ich aber nicht weiß, ob nur die "umgewandelten Exe-Dateien" oder auch der Inhalt in den Ordner gelöscht wird, habe ich noch nicht ein Antiviren Programm die Virenbeseitigung starten lassen.

Folgendes passiert nämlich, sobald ein Antivirenprogramm den Wurm erkannt hat. Die Ordner werden als Anwendungsdateien angezeigt (mit dazugehörigen Icon) und lassen sich nicht mehr öffnen. Da ich nicht weiß, ob nach der Beseitigung auch alle mir wichtigen Dateien gelöscht werden und somit verloren sind, wollte ich hier mal nachfragen, ob mir jd. von Euch weiterhelfen kann.

Vielen Dank

René
Bitte warten ..
Ähnliche Inhalte
Neue Wissensbeiträge
Tipps & Tricks

Wie Hackt man sich am besten in ein Computernetzwerk ein

(29)

Erfahrungsbericht von Herbrich19 zum Thema Tipps & Tricks ...

Humor (lol)

Bester Vorschlag eines Supporttechnikers ever: APC

(15)

Erfahrungsbericht von DerWoWusste zum Thema Humor (lol) ...

Windows Server

Exchange 2010 Active Directory und Windows Server 2016

(4)

Erfahrungsbericht von Herbrich19 zum Thema Windows Server ...

Heiß diskutierte Inhalte
Internet
gelöst Mitarbeiter surft auf unerwünschter Seite - Wie damit umgehen? (52)

Frage von sabines zum Thema Internet ...

Netzwerke
LAN2LAN Verbindung sehr langsam flaschenhals gesucht (27)

Frage von PixL86 zum Thema Netzwerke ...

Router & Routing
PFsense - Netzverbindung steht, aber kein Internet vorhanden (24)

Frage von aschmid zum Thema Router & Routing ...

Windows Server
gelöst Windows 2016 Hyper-V und VHDS (19)

Frage von emeriks zum Thema Windows Server ...