Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Ordner in Windows Server vestecken sich von selbst

Frage Microsoft Windows Server

Mitglied: LordVader

LordVader (Level 1) - Jetzt verbinden

07.04.2010, aktualisiert 19.04.2010, 4453 Aufrufe, 9 Kommentare

Hallo an die Community.

Ich habe folgende Frage:

Seit einiger Zeit fällt mir auf, dass bei unserem Fileserver sich 2-3 Ordner immer von selbst verstecken.
Wenn ich per rechtsklick das Atribut "versteckt" wieder entferne funktioniert das wieder einige Tage und dann gehts von vorne los.

Des weiteren legt das System für jeden versteckten Ordner eine...nunja...."exe"? Datei an, durch die man in den betroffenen Ordner kommt.

Ich versuche das darzustellen:

Angenommen der Ordner "Zeug" auf dem Laufwerk D versteckt sich von selbst.

Dann erscheint ein Symbol mit Namen "Zeug.exe" auf D. Dadurch kommt man in den Ordner zwar hinein, jedoch kommt mir das höchstverdächtig vor.

Virenscans haben bis dato nichts ergeben. Haben wir uns trotzdem was eingefangen?
Oder was kann das sonst sein?

Dankeschön.

Mit freundlichen Grüßen
LordVader
Mitglied: matze2010
07.04.2010 um 15:32 Uhr
Hallo LordVader,

das hört sich sehr suspekt an!

Welches Betriebssystem, welche Dienste?

Wer kommt an den Fileserver? (Internet, Intranet, Mitarbeiter, Besucher) Ich hoffe, du hast ihn direkt vom Netz genommen, nachdem dir die Unregelmäßigkeit aufgefallen ist?

Wer hat Berechtigungen, den Ordner (bzw. den übergeordneten Ordner) zu verändern?

Wer ist Besitzer/Ersteller der Datei Zeug.exe?

Sende mal die Zeug.exe an Online Virenscanner wie z.B.
http://www.kaspersky.com/de/virusscanner
http://www.virustotal.com/de/

Welchen Virenscanner hast du installiert?

Mal versucht mit einer Virenscanner-Live-CD (sowas wie Knoppicillin) zu booten und auf Viren zu testen?

Lg
Matze
Bitte warten ..
Mitglied: Driver401
07.04.2010 um 15:48 Uhr
Servus,

Zitat von LordVader:
Dann erscheint ein Symbol mit Namen "Zeug.exe" auf D. Dadurch kommt man in den Ordner zwar hinein, jedoch kommt mir das
höchstverdächtig vor.

Und was genau ist "Zeug.exe" ?

- Ein Ordner mit diesem merkwürdigen Namen?
- Eine wirkliche Programmdatei?
- Ein gepackter Ordner? (zip o.ä. selbstextrahierend)?
- .....?

Das würde ja schonmal weiterhelfen...

Welches OS läuft auf dem Server?
Wer hat Zugriffs- / Änderungsrechte?
Sind die Clients, die drauf zugreifen auch Virenüberprüft?
...

Gruß
Jürgen
Bitte warten ..
Mitglied: LordVader
08.04.2010 um 09:30 Uhr
Hallo.

Also:

OS ist Windows Server 2003 R2 Standard.

Zugriffs und Änderungsrechte haben sehr viele User, da es sich um freigegebene Netzlaufwerke handelt die CAD Zeichnungen beinhalten, und die muss logischerweise jeder Konstrukteur überschreiben dürfen.

Die Clients sollten auch Virenüberprüft sein. Wir haben Trend Micro Worry Free Business-Security im Einsatz, und bis auf harmlose Adware ist noch nie etwas durchgekommen.

Was ist die Datei? eine gute Frage...

Es wird als "Anwendung" angezeigt. Jedoch öffnet sich nur der Ordner bei Klick darauf. Sollte der Fall nochmals auftreten (wovon ich leider ausgehe...) werde ich einen Screenshot machen und mal uploaden. Es ist sehr schwer dies zu beschreiben. Besser man sieht es selbst.

Mit freundlichen Grüßen


PS: Hier ein Screenshot. Trat eben wieder auf...
http://img169.imageshack.us/img169/2694/ordner.jpg
Bitte warten ..
Mitglied: Driver401
08.04.2010 um 11:48 Uhr
Hi again,

Zitat von LordVader:
Was ist die Datei? eine gute Frage...

Es wird als "Anwendung" angezeigt.
PS: Hier ein Screenshot. Trat eben wieder auf...
http://img169.imageshack.us/img169/2694/ordner.jpg

Wenn ich den Screenshot richtig interpretiere, wird es keineswegs als Anwendung angezeigt sondern als Ordner (Symbol).
Wäre es nur umbenannt, würde keine Dateigröße oder der Typ "Anwendung" dastehen.
Es könnten im Prinzip auch gepackte Dateien/Ordner sein.
Wie sieht das denn in der Baumstruktur aus?

Versuchs doch mal mit einem Analysetool - z.B. http://www.heaventools.com/download.htm
Oder machs im Hexeditor auf oder in einem normalen Editor oder oder oder... da muss doch mehr zu erfahren sein drüber.


Als Schnell-Lösung - quick and dirty - würde ich die Ordner wiederherstellen und dann einfach leere exe-Files mit diesen Namen anlegen. Diese Exe-Files dann schreibschützen, bzw. komplett zugriffsschützen. Wenn irgendwas die benutzen will, wirds zu einem Fehler kommen - das wäre am einfachsten. Wenn etwas die Ordner umpfriemeln will, wird es auch zu einem Fehler kommen.
Wenn nichts mehr passiert..... naja...

Irgendwie sieht mir das schon nach einem Virus aus oder einer kaputten Software die da nicht richtig speichern kann...


EDIT:
Habe nochmal recherchiert, es könnte sich um diesen Wurm handeln:
WORM/VB.CB.28 (Avira)
http://threatinfo.trendmicro.com/vinfo/virusencyclo/default5.asp?vname= ...
Der legt jedenfalls exe-files von vorhandenen Ordnern an.
Könnte natürlich auch eine Abart davon sein.
Also nochmal - alle Clients auf Viren checken - dazu gehören auch alle mobilen Laufwerke, USB-Sticks, etc...
Die Ordner-Exe-Dateien genauestens prüfen und evtl. bei online-Scannern hochladen wie schon empfohlen.

Gruß
Jürgen
Bitte warten ..
Mitglied: matze2010
08.04.2010 um 12:54 Uhr
Zitat von Driver401:
Wenn ich den Screenshot richtig interpretiere, wird es keineswegs als Anwendung angezeigt sondern als Ordner (Symbol).
Wäre es nur umbenannt, würde keine Dateigröße oder der Typ "Anwendung" dastehen.
Es könnten im Prinzip auch gepackte Dateien/Ordner sein.
Wie sieht das denn in der Baumstruktur aus?
Wie du schon selbst sagst kann es kein Ordner sein, da eine Dateigröße dasteht.

Versuchs doch mal mit einem Analysetool - z.B. http://www.heaventools.com/download.htm
Oder machs im Hexeditor auf oder in einem normalen Editor oder oder oder... da muss doch mehr zu erfahren sein drüber.
Vermutlich kommt heraus, es ist eine Anwendung.

Als Schnell-Lösung - quick and dirty - würde ich die Ordner wiederherstellen und dann einfach leere exe-Files mit
diesen Namen anlegen. Diese Exe-Files dann schreibschützen, bzw. komplett zugriffsschützen. Wenn irgendwas die benutzen
will, wirds zu einem Fehler kommen - das wäre am einfachsten. Wenn etwas die Ordner umpfriemeln will, wird es auch zu einem
Fehler kommen.
Wenn nichts mehr passiert..... naja...

Zunächst gilt hier jedoch: Alle noch vorhandenen Zeichnungen sichern, die Ingenieure würden sich freuen... Und die Kiste vom Netz! Alle Mitarbeiter informieren und ein AV-Tool suchen, welches den Virus finden und entfernen kann.

Damit dann zu den Mitarbeiterrechnern (am besten für die gesamte Zeit vom Netz nehmen) und diese checken und säubern. Dann die gesicherten Zeichnungen prüfen! Und dann nochmal an die Mitarbeiter appellieren, keine fremde Software zu starten.

Lg
Matze
Bitte warten ..
Mitglied: LordVader
08.04.2010 um 13:53 Uhr
Danke für die Antworten.

Auf Virustotal hab ich sogar was gefunden. Nur scheinbar erkennt gerade Trend Micro (der den wir einsetzen) diesen Virus nicht.

Die Kiste vom Netz nehmen ist unmöglich da ca. 50 Konstrukteure drauf arbeiten. Auch "mal eben" die Zeichnungen Sichern ist utopisch. Handelt es sich doch um ca. 600GB an CAD Daten.

Ich versuche nun div. freie Virenscanner etc. und hoffe das Problem zu lösen. Und das dann wohl auch bei 50 Clients...

Weiß leider nicht wie ich das sonst anstellen soll...
Bitte warten ..
Mitglied: Driver401
08.04.2010 um 14:00 Uhr
Zitat von LordVader:
Die Kiste vom Netz nehmen ist unmöglich da ca. 50 Konstrukteure drauf arbeiten.

Aber nur solange sie läuft.... wenn Du verstehst was ich meine.
Bitte warten ..
Mitglied: matze2010
08.04.2010 um 14:38 Uhr
Zitat von LordVader:
Danke für die Antworten.

Auf Virustotal hab ich sogar was gefunden. Nur scheinbar erkennt gerade Trend Micro (der den wir einsetzen) diesen Virus nicht.
Deshalb am besten auf verschiedenen Rechnern in einem Net zverschiedene Produkte einsetzen (hierfür eignen sich z.B. Virtuelle Maschinen ganz gut als Honeypots)

Die Kiste vom Netz nehmen ist unmöglich da ca. 50 Konstrukteure drauf arbeiten. Auch "mal eben" die Zeichnungen
Sichern ist utopisch. Handelt es sich doch um ca. 600GB an CAD Daten.

In dem Fall darf es nicht unmöglich geben! Unmöglich ist es, sie weiterhin im Netz zu lassen. Was, wenn die Zeichnungen alle an die Konkurrenzfirma versendet werden? Weißt du, was der Virus im Zweifel anstellt? Vielleicht sogar schon am 9.4.2010?

600GB an CAD Daten ist ein Klacks! Dann gehst du im Zweifel zu deinem Chef, laierst ihm 100€ aus der Tasche und kauft eine externe 1TB Festplatte. Diese dann nur noch mit einem Linuxsystem booten (Knoppizillin oder so) und in aller Ruhe scannen lassen.

Diese 100€ im Vergleich zu einem möglichen Totalschaden sollte es deinem Chef wert sein.

Ich versuche nun div. freie Virenscanner etc. und hoffe das Problem zu lösen. Und das dann wohl auch bei 50 Clients...
Und kostenpflichtige. Möglichst viele verschiedene, bis du einen findest, welcher den Virus entfernt. Diesen dann auf allen Clients (50 Stück ist auch hier nicht die Menge...)

Weiß leider nicht wie ich das sonst anstellen soll...
Spuck in die Hände und Pack es an!

Viel Erfolg!
Lg
Matze
Bitte warten ..
Mitglied: golanos
17.02.2011 um 02:14 Uhr
Hallo,

folgendes ich habe diesen Wurm auch. Das Problem ist, dass ich auf einer Festplatte habe, auf der ich sehr wichtige Dateien habe. Diese Daten möchte bzw. muss ich retten. Da ich aber nicht weiß, ob nur die "umgewandelten Exe-Dateien" oder auch der Inhalt in den Ordner gelöscht wird, habe ich noch nicht ein Antiviren Programm die Virenbeseitigung starten lassen.

Folgendes passiert nämlich, sobald ein Antivirenprogramm den Wurm erkannt hat. Die Ordner werden als Anwendungsdateien angezeigt (mit dazugehörigen Icon) und lassen sich nicht mehr öffnen. Da ich nicht weiß, ob nach der Beseitigung auch alle mir wichtigen Dateien gelöscht werden und somit verloren sind, wollte ich hier mal nachfragen, ob mir jd. von Euch weiterhelfen kann.

Vielen Dank

René
Bitte warten ..
Neuester Wissensbeitrag
CPU, RAM, Mainboards

Angetestet: PC Engines APU 3a2 im Rack-Gehäuse

(1)

Erfahrungsbericht von ashnod zum Thema CPU, RAM, Mainboards ...

Ähnliche Inhalte
Windows Server
Windows Server 2008 ungültige Dateinamen sowie Ordner finden (2)

Frage von iceget zum Thema Windows Server ...

Windows Server
Mailserver auf Windows Server 2012 (9)

Frage von StefanT81 zum Thema Windows Server ...

Windows Netzwerk
Windows Server 2003 SBS Netzwerk durch neuen Server Ersetzen (9)

Frage von MultiStorm zum Thema Windows Netzwerk ...

Windows Server
Windows Server 2016 VPN richtig konfigurieren (1)

Frage von junior zum Thema Windows Server ...

Heiß diskutierte Inhalte
Switche und Hubs
Trunk für 2xCisco Switch. Wo liegt der Fehler? (14)

Frage von JayyyH zum Thema Switche und Hubs ...

DSL, VDSL
DSL-Signal bewerten (13)

Frage von SarekHL zum Thema DSL, VDSL ...

Windows Server
Mailserver auf Windows Server 2012 (9)

Frage von StefanT81 zum Thema Windows Server ...