nicht angemeldet
Hunderte von Dateien. Was haltet Ihr davon?
Hi :-),
ich säubere gerade einen Rechner und bin auf folgendes gestoßen (hier screenshot):
Was könnten diese Dateien sein? Viren? Spam?
Alle sind 5kb groß.
Sollte man die löschen oder doch lieber die Finger davon lassen?
Danke
Gruß
SeKo
-
Hi,
ich säubere gerade einen Rechner und bin auf folgendes gestoßen (hier screenshot):
Was könnten diese Dateien sein? Viren? Spam?
Sollte man die löschen oder doch lieber die Finger davon lassen?Es wäre interessant zu wissen, wo sich diese Dateien befinden.
cu,
Andreas--
Warum nennt sich Andreas hier MudGuard?
Fachfragen per E-Mail halte ich für unverschämt und werde entsprechende E-Mails nicht beantworten. Für Fachfragen ist das Forum da.-
Hallo,
Es wäre interessant zu wissen, wo sich diese Dateien befinden.
System 32, steht oben
MfG, sommech
--
You can bomb the world into pieces, but you can't bomb the world into peace.
Wir würden die Welt ja gerne verändern, aber Gott gibt uns den Quelltext nicht.
- von der Linux Gemeinschaft?
Selfcode: sh: ( fo: ) ch: ? rl: ° br: > n4: & ie: % mo: } va: ) de: ] zu: } flash: | ss: | ls: & js: |
-
-
Hallo,
Sollte man die löschen oder doch lieber die Finger davon lassen?
Also, bei mir sind die Dateien nicht.
MfG, sommech
--
You can bomb the world into pieces, but you can't bomb the world into peace.
Wir würden die Welt ja gerne verändern, aber Gott gibt uns den Quelltext nicht.
- von der Linux Gemeinschaft?
Selfcode: sh: ( fo: ) ch: ? rl: ° br: > n4: & ie: % mo: } va: ) de: ] zu: }
flash: | ss: | ls: & js: | -
Hi,
poste mal folgendes:
- In den Dateieigenschaften ist manchmal eine Seite mit weiteren Informationen, die der Programmierer angegeben hat
- Laufen die Prozesse gerade?
- Schau mal mit NotePad rein und poste die lesbaren Inhalte
- Durchsuch die Registry etc., ob die Dateien mit Windows geladen werdenIch würde sie übrigens löschen, wenn's ein Virus wäre/ist, tauchen die von selbst wieder auf ;)
E7
-
Hallo,
Ich würde sie übrigens löschen, wenn's ein Virus wäre/ist, tauchen die von selbst wieder auf ;)
Und wenns keiner ist? ;-)
MfG, sommech
--
You can bomb the world into pieces, but you can't bomb the world into peace.
Wir würden die Welt ja gerne verändern, aber Gott gibt uns den Quelltext nicht.
- von der Linux Gemeinschaft?
Selfcode: sh: ( fo: ) ch: ? rl: ° br: > n4: & ie: % mo: } va: ) de: ] zu: }
flash: | ss: | ls: & js: |-
Hi,
Und wenns keiner ist? ;-)
Dann gibt's da noch die nette Funktion von WinXP, Systemwiederherstellung oder wie auch immer das heißt ;)
E7
-
-
Hi,
poste mal folgendes:
- In den Dateieigenschaften ist manchmal eine Seite mit weiteren Informationen, die der Programmierer angegeben hat
leider nichts
- Laufen die Prozesse gerade?
Nein, tuen die nicht.
- Schau mal mit NotePad rein und poste die lesbaren Inhalte
[... binaere Inhalte mussten geloescht werden, Anm. d. Red. ...]
- Durchsuch die Registry etc., ob die Dateien mit Windows geladen werden
werden die nicht. auch über msconfig sind die nicht im Autostart, oder so.
Ich würde sie übrigens löschen, wenn's ein Virus wäre/ist, tauchen die von selbst wieder auf ;)
und falls das System mir abkaxxt? :-).
es scheint so, als wären die Dateien automatsch erzeugt, von einem Programm. Die Bezeichnungen sind fortlaufend: Aaa, Aab, Aac ...
und das bis Xaa :-(Gruß
Seko-
hallo,
- Laufen die Prozesse gerade?
Nein, tuen die nicht.
Prozesse müssen nicht so heißen wie diese "Dateien".
- Schau mal mit NotePad rein und poste die lesbaren Inhalte
[... binaere Inhalte mussten geloescht werden, Anm. d. Red. ...]
Hm. Es ging um die _lesbaren_ Inhalte. Und müßte dich nicht stutzig machen, daß die Bibliotheken und Dienste, die diese "Dinger" ansprechen, ausgerechnet die sind, die für die Internetverbindung sorgen?
Ich würde sie übrigens löschen, wenn's ein Virus wäre/ist, tauchen die von selbst wieder auf ;)
und falls das System mir abkaxxt? :-)Unbedingt rauswerfen. Aber nicht aus dem laufenden System heraus, sondern den Rechner mit Startdiskette hochfahren und dann auf DOS-Ebene rauswerfen.
es scheint so, als wären die Dateien automatsch erzeugt, von einem Programm.
Brav. Ja, so sieht das aus, und es muß auch kein Virus sein - aber Dialer hinterlassen solche Spuren. Also raus mit dem Krempel.
Grüße aus Berlin
Christoph S.
--
mailto:christoph.schnauss@berlin.de
http://www.christoph-schnauss.de
ss:| zu:) ls:& fo:) va:) sh:| rl:| - Laufen die Prozesse gerade?
-
gudn tach!
Ich würde sie übrigens löschen, wenn's ein Virus wäre/ist, tauchen die von selbst wieder auf ;)
lol! tjaja, die gute alte methode der hexen-validierung hat ja auch schon ganz frueher geholfen. (oder kennt noch jemand irgendwelche hexen?) ;-)
nun, aber in dem zusammenhang faellt mir gerade mal wieder eine frage ein. wenn ich auf fremden windows-rechnern nach dem rechten sehen soll und suspekte dateien finde, die vom virenscanner nicht als boese eingestuft werden, zippe ich die dateien in eine passwort-geschuetzte datei.
zippen, statt komplett loeschen, damit ich die dateien, falls sie doch wichtig waren, wieder entpacken kann.
passwort-geschuetzt, damit der user sie nicht versehentlich wieder entpackt.allerdings tue ich das immer auf kommandozeilenenebene, weil mir der windows-explorer nicht ganz geheuer ist, was mich zu meinen fragen fuehrt:
was passiert denn so alles, wenn man im windows-explorer einfach (also nicht doppelt) auf eine datei (z.b. .pif, .vbs oder .exe) klickt? ist das verhalten intern das gleiche, wenn die webansicht fuer ordner deaktiviert ist?
in der registry steht zwar so einiges zur dateiendung, aber auch vieles verstreut an anderen stellen.
weiss da jemand genaueres zu?prost
seth-
Hallo seth,
was passiert denn so alles, wenn man im windows-explorer einfach (also nicht doppelt) auf eine datei (z.b. .pif, .vbs oder .exe) klickt? ist das verhalten intern das gleiche, wenn die webansicht fuer ordner deaktiviert ist?
in der registry steht zwar so einiges zur dateiendung, aber auch vieles verstreut an anderen stellen.
weiss da jemand genaueres zu?Ich kann Dir aus eigener praktischer Erfahrung sagen, dass es nicht das gleiche ist, wenn Du ein Word-Dokument per Doppelklick im Explorer öffnest oder das gleiche Dokument aus Word heraus über Datei->Öffnen. Die Unterschiede betreffen den Seriendruck.
Zum Unterschied zwischen Webansicht für Ordner aktiviert/deaktiviert weiß ich leider nichts, auf allen Rechnern, mit denen ich zu tun hatte, war diese Ansicht deaktiviert (oft von mir).
Freundliche Grüsse,
Vinzenz
-
Hi,
was passiert denn so alles, wenn man im windows-explorer einfach (also nicht doppelt) auf eine datei (z.b. .pif, .vbs oder .exe) klickt?
Wenn du den Ordner öffnest, werden erst mal alle Icons ausgelesen. Normalerweise geht das nach Dateiendungen, unter bestimmten Umständen wird der Inhalt durchsucht - beispielsweise für Bitmaps gab's da irgendwo mal einen Vorschautrick, der AdobeIllustrator macht das glaube ich auch. DLL's und EXE-Dateien enthalten ihre eigenen Icons, die auch ausgelesen werden - bis jetzt ist imho noch kein Virus aufgetaucht, ich könnte mir aber vorstellen, dass man hier einen Buffer Overflow wie bei den JPG's vor einigen Monaten/Jahren (Für den Begriff "Jahre" siehe hier: http://derstandard.at/?url=/?id=1799460) einbauen könnte...
ist das verhalten intern das gleiche, wenn die webansicht fuer ordner deaktiviert ist?
Nein, wenn die Webansicht aktiviert ist, und du markierst eine HTML-Datei, wird davon (mittels IE) eine Vorschau gerendert - wenn da eine JPG-Datei mit bösartigen Code drin ist - Pech für dich, dann ist es zu spät... Folgerung: Auch wenn man nicht mit dem IE surft, kann man von dessen Sicherheitslücken betroffen sein...
in der registry steht zwar so einiges zur dateiendung, aber auch vieles verstreut an anderen stellen.
Nein, die Informationen befinden sich alle in HKEY_CLASSES_ROOT, und ab und zu stehen da dann so lange Nummern dabei, die du auch mit der Regedit-Suche auffinden kannst
E7
-
gudn tach!
ist das verhalten intern das gleiche, wenn die webansicht fuer ordner deaktiviert ist?
Nein, wenn die Webansicht aktiviert ist, und du markierst eine HTML-Datei, wird davon (mittels IE) eine Vorschau gerendert - wenn da eine JPG-Datei mit bösartigen Code drin ist - Pech für dich, dann ist es zu spät...
ist es sicher so, dass bei deaktivierter webansicht, die vorschau nicht trotzdem erstellt (bloss nicht angezeigt) wird?
und mal von den jpegs abgesehen wird da ja nicht der komplette html,js...-code geparst/ausgefuehrt, oder? denn in der vorschau wird nicht alles so angezeigt, wie es spaeter der ie tun wuerde. z.b. werden manche javascript-sachen nicht geladen.
in der registry steht zwar so einiges zur dateiendung, aber auch vieles verstreut an anderen stellen.
Nein, die Informationen befinden sich alle in HKEY_CLASSES_ROOT, und ab und zu stehen da dann so lange Nummern dabei
ok, ich merke gerade, das war missverstaendlich von mir formuliert. ich meinte, dass in der registry sowohl direkt zu/bei den dateiendungen etwas stehe, als auch vieles verstreut an anderen stellen der registry (und damit meinte ich vor allem die CLSIDs).
was gibt dir die sicherheit, dass HKCR die einzige stelle ist, an denen sowas steht?, die du auch mit der Regedit-Suche auffinden kannst
naja, das ist haeufig sehr muehselig, da sich viele CLSIDs mehrfach gegenseitig verlinken... (zumindest glaube ich, dass es so ist. genau verstanden habe ich das noch nie.) oder gibt's da ein einfaches schnell ausfuehrbares rezept, nach dem man vorgehen kann?
prost
seth-
Hi,
ist es sicher so, dass bei deaktivierter webansicht, die vorschau nicht trotzdem erstellt (bloss nicht angezeigt) wird?
Höchst wahrscheinlich wird die Vorschau NICHT erstellt, da die Vorschau/Webansicht etc. eine Art HTML-Datei ist, welche die Vorschau sowie die Icons der Dateien als ActiveX-Controls einbindet (womit wir evtl. wieder eine Sicherheitslücke hätte, ActiveX-Controls in einem Verezichnis auf CD/Diskette). Wird die "normale" Ansicht verwendet, fällt diese Vorlage weg, es wird kein ActiveX eingebunden (außer das ListView vom Explorer direkt), und logischerweise auch keine Vorschau erstellt. Denke ich zumindest.
und mal von den jpegs abgesehen
Das reicht bereits...
denn in der vorschau wird nicht alles so angezeigt, wie es spaeter der ie tun wuerde. z.b. werden manche javascript-sachen nicht geladen.
Aber sämtliche restlichen Sicherheitslücken, die durch das simple Parsen von HTML-Dateien bereits auftreten können. Beispiel:
<html>
<form>
<input type crash>
</form>
</html>was gibt dir die sicherheit, dass HKCR die einzige stelle ist, an denen sowas steht?
Ob das die einzige Stelle ist, weiß ich nicht sicher, allerdings hab ich solche Informationen noch nie an anderer Stelle in gehäufter Form angetroffen, außerdem stehen da sämtliche Dateiendungen ohne Ausnahme.
naja, das ist haeufig sehr muehselig, da sich viele CLSIDs mehrfach gegenseitig verlinken...
Stimmt, das ist wieder ein anderes Argument, die CLSIDs werden relativ durcheinander vergeben, was einem Computerprogramm allerdings relativ wurscht ist - es hangelt sich halt von CLSID zu CLSID durch, der Mensch muss sich halt entsprechend konzentrieren.
E7
-
-
-
-
-
Hi nochmal :-)
Ich habe es einfach verpasst, mich für die Mühe zu bedanken. Das Forum war auf einmal tot.
Vielleicht liest das ja noch jemand. Auf jeden Fall - so viel Zeit muss sein. Denn ich will ja auch nicht, dass die Nachwelt beim Lesen des Archivs mich als einen undankbaren Forumler abstempelt oder so, gelle :-)
Übrigens als Info für die Problemlösung:
Das war ein Trojaner. Insgesamt waren von einem Programm über 10000 Dateien generiert. Dabei waren nur 2, die wirklich aktiv waren. Ich verstehe es so, dass die restlichen Dateien nur zur Verwirrung erstellt wurden, damit die Schädlinge nicht gefunden werden.
Tatsächlich habe ich alle 5kb Dateien ohne Probleme entfernen können.
Vielen Dank für die Hilfe.
Gruß aus Hamburg
SeKo