auf Verborgene Verzeichnisse zugreifen

[klein-odd]

Hallo !
Ich habe ein ernstes Problem mit Malware.

Es erscheint immer wieder im Werzeichnis WINDOWS/System32 eine Datei, die keinen
Inhalt hat (laut Explorer) und keine Namenserweiterung, Mein Virenscanner meldet mir sofort, dass es sine Spyware entdeckt hat.

Im Prinzip gibt es den Verdacht, dass die Datei immer wieder von einem verborgenen "Virusgenerator" erneut erzeugt
und in das Verzeichnis System32 platziert wird trotz Zugriffsblockade, etc.

Nach ein paar Versuchen, den Computer unter anderen Systemen als Windows XP zu starten,
habe ich festgestellt, dass WIndows nicht alles anzeigt, was auf der Festplatte geschrieben ist.

Nämlich Linux zeigt, dass es auf dem Laufwerk C (Standardopfer der Virusattacken)
Verzeichnisse gibt, die verschiedene Dateien beinhalten,
die Namen mit den typischen Dokmuentenerweiterungen haben, wie gif oder bmp und dazu das Attribut "ausführbar" gesetzt bekommen haben.
Ich beschuldige solche Dateien mit der Funktion der Virusgenerierung.
Sie lassen sich aus verschiedenen Gründen nicht als Dokumente öffnen.
Es gibt Systemfehler.
Windows zeigt diese Inhalte der Verzeichnisse und die Verzeichnisse selbst nicht.
Auch dann, wenn ich unter Ordnerioptionen das Anzeigen aller versteckten Dateien markiere,
erscheinen die Verzeichnisse nicht. Nicht im Explorerfenster und nicht im Konsolenfenster.

Linux weigert sich, die Dateien zu bearbeiten, geschweige zu löschen. Nicht jedenfalls mit Systemwerkzeugen,
wie Konqueror oder bash-Terminal.
So kann man (Windows XP Profi) keineswegs das Verzeichnis System Volume Information ansehen,
in dem sich oft verschiedene parasitären Datein einnisten.
Nicht mal im Consolen Fenster ("cmd.exe") kann man den Ordner sehen,
unter Linux schon.

Gibt es "harte" Werkzeuge oder Methoden ?
Ich meine Software, die man zum Start des Computers und zum Löschen der Dateien vverwenden kann,
ohne irgendwelche Berechtigungen der Systembenutzer zu beachten ? Nachdem ein System, wie Windows, Linux oder auch Knoppix
gestartet hat, kann man solchen Dateien nichts antun. Die sind offensichtlich
durch Virendesigner schon als schreibgeschützt erzeugt.

Oder gibt es zumindest Software, die solche verborgenen dateien ud Ordner im Laufe von Windows anzeigt z.B. zwecks Bearbeitung ?

Ich kann es schon verstehen, was die meisten Computerbetreiber gegen Auftauchen solcher Mittel hätten.
Nur ich bin volljährig, es ist mein Computer und ich möchte alles andere als Formatierung der Festplatte (Ratschlag von einem Microsoft-Berater)
durchführen.:suspekt:

 

[chmee]

Schon versucht, sie unter DOS6.22 zu finden und zu löschen ?
Der erste wichtige Punkt ist, den Speicherort und den Namen aufzuschreiben, damit hat man schon einen Anhaltspunkt, im Netz danach zu suchen oder auch hier zu nennen. Weiterhin könnte man mit HiJackThis schauen, ob verdächtige laufende Prozesse zu finden und zu beenden sind, die das Verschleiern verursachen. Zu guter Letzt könnte man mit Killbox genau jenen Prozess, bevor er gestartet wird, löschen lassen. Ach ja, der Dateiname darf auch in der Registry gesucht werden, damit man erkennt, wie tief sich die Schadsoftware eingenistet hat.

mfg chmee

 

[zerix]

Hallo,

ich finde es seltsam, dass Linux die Datei nicht löscht.
Welche Distribution nutzt du denn um die Datei zu löschen?

Gruß

Sascha

 

[Bratkartoffel]

Hallo !
Im Prinzip gibt es den Verdacht, dass die Datei immer wieder von einem verborgenen "Virusgenerator" erneut erzeugt
und in das Verzeichnis System32 platziert wird trotz Zugriffsblockade, etc.

Das Verzeichnis hat unter windows keinen Zugriffsschutz, theoretisch könnte also jedes Programm da was rein legen.

Nach ein paar Versuchen, den Computer unter anderen Systemen als Windows XP zu starten,
habe ich festgestellt, dass WIndows nicht alles anzeigt, was auf der Festplatte geschrieben ist.

Dies sieht dann nach einem Rootkit aus. (Wikipedia)

Nämlich Linux zeigt, dass es auf dem Laufwerk C (Standardopfer der Virusattacken)
Verzeichnisse gibt, die verschiedene Dateien beinhalten,
die Namen mit den typischen Dokmuentenerweiterungen haben, wie gif oder bmp und dazu das Attribut "ausführbar" gesetzt bekommen haben.

Manche NTFS-Treiber unter Linux zeigen für alle Dateien die Rechte 777 an (Lesen, Schreiben, Ausführen), was in deinem Fall also leider nicht viel aussagt.

Ich beschuldige solche Dateien mit der Funktion der Virusgenerierung.
Sie lassen sich aus verschiedenen Gründen nicht als Dokumente öffnen.
Es gibt Systemfehler.

Wie? Unter Linux? Wenns Fehler gibt, bitte die Fehlermeldungen hier posten.

Windows zeigt diese Inhalte der Verzeichnisse und die Verzeichnisse selbst nicht.
Auch dann, wenn ich unter Ordnerioptionen das Anzeigen aller versteckten Dateien markiere,
erscheinen die Verzeichnisse nicht. Nicht im Explorerfenster und nicht im Konsolenfenster.

Wie oben schon gesagt, ich tippe auf Rootkit.

Linux weigert sich, die Dateien zu bearbeiten, geschweige zu löschen. Nicht jedenfalls mit Systemwerkzeugen,
wie Konqueror oder bash-Terminal.

Da du den Konqueror erwähnt hast, tippe ich darauf, dass du das mit einem Kubuntu probiert hast. Welche Version der LiveCD hattest du denn drinnnen? Bei älteren Versionen (kann nicht genau sagen bis zu welcher) wird noch der alte Treiber (ntfs) mitgeliefert, welcher Dateien nur Lesen kann. Der neuere Treiber (ntfs-3g) kann Dateien auch bearbeiten / löschen.

So kann man (Windows XP Profi) keineswegs das Verzeichnis System Volume Information ansehen,
in dem sich oft verschiedene parasitären Datein einnisten.
Nicht mal im Consolen Fenster ("cmd.exe") kann man den Ordner sehen,
unter Linux schon.

Wenns dich interessiert, es gäbe einen Tip, wie man das auch unter Windows ansehen kann. Dir fehlen lediglich die Rechte dazu Im Prinzip ist es also kein Problem, da drin Malware zu verstecken.

Gibt es "harte" Werkzeuge oder Methoden ?
Ich meine Software, die man zum Start des Computers und zum Löschen der Dateien vverwenden kann,
ohne irgendwelche Berechtigungen der Systembenutzer zu beachten ? Nachdem ein System, wie Windows, Linux oder auch Knoppix
gestartet hat, kann man solchen Dateien nichts antun. Die sind offensichtlich
durch Virendesigner schon als schreibgeschützt erzeugt.

Umgangssprachlich ausgedrückt: Mit dem richtigen Treiber sch....t dein Linux auf die Dateirechte wenn du root bist. Root darf alles, ein Grundprinzip von Linux. Wie schon oben angedeutet, versuche mal eine neuere Version (z.B. die neue 9er Version).

Oder gibt es zumindest Software, die solche verborgenen dateien ud Ordner im Laufe von Windows anzeigt z.B. zwecks Bearbeitung ?

Wenn du ein Rootkit drauf hast, dann wirds schwer, da diese normalerweise die API-Aufrufe manipuliert und die Dateien somit nirgends auftauchen was die WindowsAPI verwendet (Taskmanager, Explorer, cmd, notepad).

Ich kann es schon verstehen, was die meisten Computerbetreiber gegen Auftauchen solcher Mittel hätten.
Nur ich bin volljährig, es ist mein Computer und ich möchte alles andere als Formatierung der Festplatte (Ratschlag von einem Microsoft-Berater)
durchführen.:suspekt:

Typisch M$ Sobald was nicht mehr geht, gleich neu einrichten weils ja eh so schnell geht
Naja, das ist aber nicht das Thema des Threads.

So, nochmal kurz zusammenfassend.
Dass du die Dateien unter Linux nicht löschen kannst, liegt entweder an einem alten FS-Treiber oder an einem Fehler mit der HDD. Eventuell neuere LiveCD herunterladen (oder wenn die LiveCD gestartet ist:

apt-get update
apt-get install ntfs-3g
mount /dev/sdX1 /mnt -t ntfs-3g

Somit solltest du Schreibrechte auf die Platte haben)

Dass du unter Linux Dateien / Ordner sieht, welche Windows verbirgt deutet auf ein Rootkit hin. Die entsprechenden Dateien suchen und löschen. Es gibt auch noch Windows-Virenscanner für Linux, einfach mal googeln. (glaube ClamAV oder so)

Wenn du trotz dem anderen FS-Treiber keine Schreibrechte hast, dann würde ich mal vor dem Windowstart den chkdsk durchlaufen lassen, eventuell sind die Bereiche welche Windows nicht zeigen will einfach nur Fehler in der HDD (könnte u.U. auch sein)

Falls ncoh Fragen bestehen, einfach stellen

Gruß
BK

 

[klein-odd]

Danke chmee, und Co.

Ich werde zuerst chkdsk durchführen.
Die Platte ist als Hardware eher in Ordnung,
das Verhalten der Systeme verstehe ich nicht ganz.
Es kann sein, dass Euere Vermutungen zum Lauf der Software richtig sind.
Ob das nur am Treiber liegt, ist mir zu schwer zu vermuten.

Dabei meine ich SuSE als Linux.
Unter Linux versuche ich nur die Ordner von Windows zu bearbeiten
und zu beobachten. Hier habe ich keine Hinweise auf Viren et Co.
Und as Grundlegende habe ich selbst in der Hand:
Ich bin root.
Der primitive Trick, einen Benutzer namens Administrator anzulegen,
um mich beim Linux als "Eigentümer" von Windows anzumelden habe ich noch nicht probiert,
obwohl ich wenig hoffe, dass das etwas bringt.
Ich meine es auch, root muss ales dürfen.

Gut, Windows zeigt mir nicht alle Verzeichnisse und Dateien an.
Linux (und Knoppix) zeigt sie an aber weigert sich sie zu löschen,
weil es die Zugriffrechrte nicht findet.
Wo sind die berechtigungen denn geschrieben ?
im Header einer Datei ?
Programmieren von Löschprogramnmen (momentan Perl und Java)
bringt nur theoretische Werte.
Ich denke, dass ich jetzt weiter googeln muss,
die beiden Progamme habe ich gefunden, jetzt muss ich sie nur einsetzen.

Gibt es DOS auf CD ?
Kann man eine Boot-CD erstellen ?
Mein Floppycontroller ist mittlerweile kaputt.

Ich müsste den Computer starten und das DOS allein booten.
Start von DOS unter Windows kann ich vergessen,
eben Windows verhält sich so, dass ich die Verzeichnisse nicht sehen kann.

Offensichtlich müsste ich den Rechner mit einem anderen
START_UP-system booten als Linux oder Windows.

Jedenfalls danke.

Klein-odd

 

[zerix]

Die Zugriffsrechte verwaltet das FS.

Wie Bratkartoffel schon sagte, kann es daran liegen, dass der Treiber der bei dir installiert ist, noch kein schreiben auf NTFS unterstützt.
Dafür müsstest du nur den richtigen Treiber installieren und dann müsstest du die Datei löschen können. Bratkartoffel hat gezeigt wie du den Treiber Bei Debian, Knoppix, Ubuntu usw installierst.

Normal solltest du kein Dos brauchen, da es eigentlich mit Linux funktionieren sollte.

Gruß

Sascha

 

[klein-odd]

Hallo !

Es geht nicht ganz so gut,
wie Bratkartoffel geschrieben hat.

Irgendwann startet das Knoppix (hier : Version 5,1)
un din der Kontole sieht der Prompt folgendermaßen aus:
knoppix@knoppix :>

Mittlerweile habe ich herausgefunden,
dass das Laufwerk C: von Windows unter Knoppix als Verzeichnis hda1 registriert ist.

(C:\Windows heisst jetzt /media/hda1/Windows, u.sw.)

Das erste, was ich unternommen habe, war mich als der root anzumelden :

Eingabe 1 :
knoppix@knoppix :>su

der neue Prompt :
root@knoppix:/ramdisk/home/knopix:>

Eingabe 2:
root@knoppix:/ramdisk/home/knopix:>apt-update

Worauf mir das System eine Menge Kommmentare über "nicht verbinden können" schreibt:
KNOPPIX_RESPONSE :>
Konnte http://ftp.de.debian,..... nicht holen
Temporärer Fehlschlag beim Auflösen von >>ftp.de.debian.org

Konnte http://wine.sourceforge.net..... nicht holen
Temporärer Fehlschlag beim Auflösen von >>wine.sourceforge.net
Konnte http://sidux.com/debian/dists,..... nicht holen
Temporärer Fehlschlag beim Auflösen von >>sidux.com/debian/dists
Konnte http://ftp.uni-kl.de.debian,..... nicht holen
Temporärer Fehlschlag beim Auflösen von >>ftp.uni-kl.de.debian

Paketlisten werden gelesen... Fertig
E: Einige Indexdateien konnten nicht heruntergeladen werden, sie wurden ignoriert oder alte an ihrer Stelle benutzt.

Eingabe 3:
root@knoppix:/ramdisk/home/knopix:>apt-get install ntfs-3g
KNOPPIX_RESPONSE :>
Paketlisten werden gelesen<... Fertig
Abhängigkeiten werden aufgebaut... Fertig
ntfs-3g ist schon die neueste version.
0 aktualisiert, 0 neu installiert, 0 zu entfernen und 1 nicht aktualisiert

Eingabe 4:
root@knoppix:/ramdisk/home/knopix:>mount /media/hda1 /mnt -t ntfs-3g
KNOPPIX_RESPONSE :>
Error opening partition device : Ist ein Verzeichnis
Failed to startup volume: Ist ein Verzeichnis
Failed to mount '/media/hda1' : Ist ein Verzeichnis

Das Laufwerk C: (also hier : /media/hda1 war schon früher angebunden)
und ich wollte mich nur zu seinem Inhalt überzeugen,
ggf. den Pfad zu den verdächtigen Dateuien konstruieren, so tippte ich ls

Eingabe 5:
root@knoppix:/ramdisk/home/knopix:>ls /media/hda1/dings_bums1,...
KNOPPIX_RESPONSE :>irgendetwas_0

Eingabe 6:
root@knoppix:/ramdisk/home/knopix:>ls /media/hda1/dings_bums2,...
KNOPPIX_RESPONSE :>irgendetwas_1

Ich wollte dabei die Zugriffberechtigungen kennen

Eingabe 7:
root@knoppix:/ramdisk/home/knopix:>ls -l /media/hda1/dings_bums2,...
KNOPPIX_RESPONSE :>drwxrwxrwx ..........

Nachdem ich den Ort lokalisiert habe, den ich ausräumen will,
haeb ich ihn folglich auch analysiert :

(herum reingeschaut, nicht wchtig, was noch)

Eingabe 17:
root@knoppix:/ramdisk/home/knopix:>ls

/media/hda1/dings_bums1/VerdachtsOrdner/VerdachtsUnterOrdner_1
KNOPPIX_RESPONSE :>irgendetwas_3

Schliesslich habe ich die Dateien lokalisiert,
die ich löschen will:

Eingabe 18:
root@knoppix:/ramdisk/home/knopix:>ls

/media/hda1/dings_bums1/VerdachtsOrdner/VerdachtsUnterOrdner_2
KNOPPIX_RESPONSE :>
Datei_1.gif
Datei_2.gif
Datei_3.bmp

Am Einfachsten wäre es, den Ordner mitsamt seinem Inhalt wegzuschaffen :

Eingabe 19:

root@knoppix:/ramdisk/home/knopix:>rmdir
/media/hda1/dings_bums1/VerdachtsOrdner/VerdachtsUnterOrdner_2

(KNOPPIX wehrt scih dagegen)
KNOPPIX_RESPONSE :> Das Dateisystem ist nur lesbar

Die Dateien einzeln zu löschen wäre auch eine Lösung :

Eingabe 20:

root@knoppix:/ramdisk/home/knopix:>rm
/media/hda1/dings_bums1/VerdachtsOrdner/VerdachtsUnterOrdner_2/Datei_1.gif

(Auch diesmal hat KNOPPIX etwas dagegen)

KNOPPIX_RESPONSE :>reguläre Datei (absoluter Pfad)/Datei_1.gif entfernen ?
ICH_USER : ja
KNOPPIX_RESPONSE :>Entfernen von (absoluter Pfad)/Datei_1.gif nicht möglich:
Das DateiSystem ist nur lesbar

Das Ändern der Attribute fand ich unnötig,
wenn jedes Verzeichnis und jede Datei auch das
Attribut w hat und so kann man sie löschen,
wenn man sie schreiben/verändern kann.
Ausserdem taugte in diesem Moment das chmod - c nichts,
KNOPPIX antwortete immer,
es ist alles nur lesbar.

Ich werde mir noch die Version 6.1. von KNOPPIX herunterladen und brennen,
es gibt auch noch UBUNTU.
Ich sehe es nur noch als reine Unterhaltung,
vermutlich haben die Virendesigner vorausgesehen
und ich habe etwas "up to date" bekommen.

Oder mache ich etwas zu wenig,
um das KNOPPIX für diese Aufgabe zu richten ?

Bemerkenswert ist es,
dass ich im Lufwwerk C: viele Einträge mehr habe,
die für Windows selbst unsichtbar sind.
Unter anderem :


Verzeichnis > System Volume Information
Datei > AUTOEXEC.BAT
Datei > CONFIG.SYS
Datei > IO.SYS
Datei > MSDOS.SYS
Datei > NTDETECT.COM
Datei > ntldr

Sieht das indentisch aus bei allen anderen XP_Benutzern ?
Ich betreibe XP auch einen anderen Rechner,
der XP auf der Platte hat und die Einheiten sind auch nur unter Linux sichtbar.
Nun jetzt möchte ich das Thema nicht in ein anderes umwandeln
und weiter nach Werkzeugen suchen, die es vielleicht schaffen.

 

[klein-odd]

Schluss

EUREKA !

Ich beende das Thema.
Mir ist dabei egal, ob es noch etwas zu besprechen wäre,
mein Anliegen habe ich erledigt.

Und zwar mit einer kommerziellen Software namens
"PARAGON Festplatten Tools".

Firma Paragon, ansässig in Freiburg (Breisgau, Baden Württemberg),
hat eine Software herausgebracht,
die neben einer Installation unter Windows
auch selbst bootet mit einer grafischen Oberfläche
und erlaubt die Partitionen zu berabeiten.

Das Program kann viel mehr,
wie
auf die schnelle eine IP Adresse zuzuwewisen und
das Netzwerk nach aktuell angeschlossenen Computern durchzusuchen.

Mit dem Tool der Festplattenverwaltung konnte ich alles sehen und löschen,
was mir bislang KNOPPIX und SuSE, geschweige Windows verweigert haben.

Momentan kann ich nur das eine hinzufügen,
dass das Programm beim BOOT typische Merkmale und Verhalten
von Unix/Linux verrät
und neben der Arbeit mit Maus auch einen
Eingabekonsolenmodus ermöglicht.

Momentan ist es leicht erschwinglich.
Nur ich will das Forum nicht zu Werbung nutzen.
Ich möchte den Rahmen nicht sprengen und
ich lade jeden ein, der Frage hätte,
mir die Frage zu stellen.

Ich wünsche allen ein schönes Wochenende.

 

[chmee]

..Bemerkenswert ist es,
dass ich im Lufwwerk C: viele Einträge mehr habe,
die für Windows selbst unsichtbar sind.
Unter anderem :


Verzeichnis > System Volume Information
Datei > AUTOEXEC.BAT
Datei > CONFIG.SYS
Datei > IO.SYS
Datei > MSDOS.SYS
Datei > NTDETECT.COM
Datei > ntldr

Also inzwischen bin ich einfach der Meinung, Du hast in den Explorer-Ordner-Optionen einfach vergessen, das Häkchen für "geschützte Systemdateien" wegzuklicken.


mfg chmee