Virus oder wirklich systemdatei?

[keters]

Hallo,

beim Fernzugriff sind mir unbekannte Dateien aufgefallen. Beim lokalen ZUgriff konnte man sie nicht sehen da sie als systemdateien "versteckt" waren.

Das ganze kommt mir ein bischen Spanisch vor. Ich habe mal einen screenshoot angehangen. Kann mir jemand sagen ob das normal ist?

Schonmal einen riesen Dank im Vorraus!!!

[Roland M.]

Hallo!

Ich nehme an Hand der restlichen Dateien an, daß das ein "normaler" Dokumentenordner ("Eigene Dateien" etc.) ist.
Dann vermute ich irgendwelche Leichen ...äh... nicht mehr gelöschte temporäre Dateien von nicht sauber programmierten Anwendungen wie PDF-Konvertierer o.ä.


Abhilfe:
Im Explorer die Option "Versteckte Dateien anzeigen" aktivieren (oder in der DOS-Box attrib verwenden) und die Dateien löschen. Dann weiter beobachten.

An einen Virus glaub ich vorerst nicht.


Roland

[keters]

Hallo,

schonmal Danke für die Antwort.

Das ist einer meiner freigegebenen Ordner auf meinem Server. Allerdings befindet sich dieses Gebilde in jedem der freigebenen Ordner. Aber nur in dem von mir erstellten. Die von WHS vorgebenen sind nicht betroffen. Die nutze ich allerdings auch nicht.

grüße

[Nobby1805]

Komisch ist, dass alle die Größe Null haben (oder zumindest vorspiegeln) und zu sehr unterschiedlichen Zeiten erzeugt worden sind ... kann es sein dass du eine Anwendung betreibst die solchen Dateien (z.B. als Zwischenspeicher) anlegt ?

[keters]

Hallo,

also eigentlich läuft auf dem WHS nix. Ich habe nur den Druckertreiber installiert und als addin Lights out. Ich hatte allerdings vor ein paar Monaten mal einen virus auf dem server, vieleicht ist das irgendein überrest.

Ich habe die dateien jetzt erstmal händisch gelöscht und werde das mal beobachten.

Danke für die Hinweise!

[keters]

Also es ist echt zum Mäusemelken. Ich hatte die Tage wieder in jedem von mir erstellten Freigabe Ordner eine .exe datei liege die definitiv ein Virus war. Dies habe ich dann überall gelöscht. Am nächsten Tag war sie wieder da in jedem Ordner. Habe sie natürlich wieder gelöscht. Dann war eine Zeitlang Ruhge und heute war wieder in jedem Ordner die "xerfoj6" Datei. Ich habe keine Ahnung wie zum Teufel ich mir diesen Virus eingefangen habe. Auf dem server wird nicht im Internet gesurft und es sind keinerlei programme installiert worden außer dem Druckertreiber und lights out. Alle Clients sind mit Avira Antivir Premium geschützt. Diese erkennen die .exe datei auch als Virus kann sie aber nicht entfernen da sie ja nur für lokale Benutzung sind.

Das einzige "ungewöhnliche" was ich mache ist das ich compact Flash Karten mit Fotodateien direkt via USB auf den Server ziehe.

Ich habe schon versucht mit Clam Av zu arbeiten, aber irgendwie komme ich nicht damit klar. Die "xerfoj" datei erkennt er nicht als Virus die .exe Datei sehr wohl. Aber irgendiwe gibts keine entfernen Funktion. Wie gesagt komme nicht wirklich damit klar. Es ist echt zum Reihern das es so recht scheinbar keine anständige Virensoftware für den WHS zu geben scheint.

Noch jemand Vorschläge?

[larry]

Wenn sich die Dateien ausschließlich in den Freigaben befinden, hätte ich eher einen verseuchten Client in Verdacht. Wenn da etwas auf dem Server aktiv ist, sollten sich die Dateien auch in den WHS eigenen Ordnern befinden.
Du könntest dies man testen, indem du den Clients die Schreibrechte entziehst. Wenn dann die Dateien immer noch angelegt werden, ist der Übeltäter auf dem WHS, ansonsten ist es ein Client.

Gruß
Larry

[keters]

Hallo,

da bin ich mal wieder. Also nachdem ich so einiges hier und da gewuselt habe. Habe ich hoffentlich gestern den Durchbruch gehabt. Offentsichtlich habe ich mir auf dem Server den W32/stanit eingefangen. Ich habe den server mit dem Antivir Removal Tool ( http://www.avira.com/de/support-downloa ... moval-tool ) gescannt und er hatte tatsächlich einen Treffer. Was mich allerdings stutzig macht ist das die entfernte Datei ja ganz sicher nur eine befallene Datei war und nicht der "Wirt" des Viruses. Was meint Ihr ist der Server wieder sicher oder lieber neu aufsetzen?

Habe mal die Log Datei angehängt!


[5/4/2011 17:50:4]
AntiVir Removal Tool 3.0 (c) 2009 Avira GmbH
Removal Tool für:
Sober.J/P/Y
TR/Agent.imh/its
TR/Drop.Agent.qna.2/Agent.qna.1
TR/PSW.Delf.AH/Kates.C.25
TR/Spy.Delf.tge/Banker.AATZ/Banker.AATZ.1/Banker.AATZ.2/Banker.AATZ.3
W32/Induc.A
W32/Stanit.A
Worm/NetSky.P

Version: 3.0.1.18, Aug 21 2009 19:13:47

Benutzen Sie /? um alle verfügbaren Befehlszeilenoptionen aufzulisten

- Ergebnisse in der Logdatei abspeichern "removaltool-win32-de.log".

- Host: "server", IP: 192.168.0.4

Scannen des Speichers... fertig

Keine Malware im Speicher gefunden


Laufwerk scannen C: ...
W32/Stanit wurde in der Datei C:\fs\4\DE\shares\Software\LightsOut\LightsOutClientInstall.exe gefunden!
versucht Programmdatei zu reparieren...Datei ist vermutlich von W32/Stanit zerstört und sollte von einem Backup zurückgespielt werden.
Viruskomponente wurde deaktiviert.

Laufwerk scannen D: ...
Scannergebnisse:

Durchsuchte Verzeichnisse: 11820
Durchsuchte Dateien : 493049
Durchsuchte Datenströme: 259355
Durchsuchte Prozesse: 67
Durchsuchte Module: 563

Infizierte Dateien: 1
Infizierte Prozesse: 0

Reparierte/entfernte Dateien: 0
Umbenennen der Dateien: 0
Beendete Prozesse: 0

Benötigte Zeit für Speicherscan: 17.48 Sekunden
Durchsatz des Speicherscanners: 15448.24 KB/s

Benötigte Zeit für Dateiscannen: 7308.03 Sekunden
Durchsatz des Dateiscanners: 526.70 KB/s


Vielen Dank für die Verwendung des AntiVir Removal Tools.



Wie immer ein großes Danke für die Hilfe!!!

[larry]

Kann mir jetzt nicht wirklich vorstellen, dass die LightsOutClientInstall.exe ein Virus darstellt.
Die Datei ist mal definitiv nach der Installation von LightsOut vorhanden. Diese müsste also ersetzt worden sein.

Wie man hier aber auch schön erkennen kann, ist der Scanner nicht für den WHS geeignet. Die Datei wurde unter C:\fs\4\DE gefunden. Wenn diese jetzt entfernt wird, gibt es automatisch einen Dateikonflikt, da der WHS ein Tombstone (Verknüpfung) auf d:\shares\ zu dieser Datei angelegt hat.

Gruß
Larry

[keters]

Hallo,

ich habe beim googlen rausegfunden das der W32/stanit alle .exe Dateien befällt. Somit wird die Ligthsout.exe eben von diesem Virus befallen worden sein. Das ist es ja genau was mich stutzig macht, denn demnach muss die eigentliche Problemdatei ja noch irgendwo rumgeistern.

Wie man hier aber auch schön erkennen kann, ist der Scanner nicht für den WHS geeignet. Die Datei wurde unter C:\fs\4\DE gefunden. Wenn diese jetzt entfernt wird, gibt es automatisch einen Dateikonflikt, da der WHS ein Tombstone (Verknüpfung) auf d:\shares\ zu dieser Datei angelegt hat.

Hier kann ich dir nur zum Teil folgen. Aber entfenrt habe ich die Datei händisch selbst, demnach dürfte ja eigentilch kein Problem enstanden sein, oder?

[larry]

Wenn du die Datei unter d:\Shares\Software oder über \\servername\Software gelöscht hast, gibt es keine Probleme.

Der Pfad c:\FS wird normaler weise nur vom WHS intern verwendet. Alle manuellen eingriffe in diesen Ordnern erzeugen Dateikonflikte, da der WHS die Datei dort sucht und nicht findet.

Gruß
Larry