Archiv Windows XP 25.916 Themen, 128.567 Beiträge

Verfolgung starten Optionen

Explorer zeigt merkwuerdiges Verhalten beis USB Sticks

neanderix / 13 Antworten / Baumansicht Nickles

folgendes merkwuerdiges verhalten eines USB-Stick, kann ich mich nicht 
erklären - vorgeschichte:

meine ältere Schwester hatte inen USB-Stick mit Fotos in einen Fotoladen 
gebracht, wo an einigen bildern auch Bearbeitungen stattfinden sollten.
Die Fotos befanden sich in einem Ordner auf dem Stick, der Ordner war der 
einzige Ordner auf dem Stick.

Nachdem der Stick aus dem Laden zurückkam, zeigte der windows Explore das 
folgende Verhalten:

1. Explorer geöffnet und in der Symbolleiste auf "Ordner" geklickt - zeigt 
   sich der Ordner im linken Teil des Fensters - im Hauptfenster jedoch
   ist der nicht zu sehen; dort zeigt sich der Ordner, allerdings mit einem 
Pfeil unten links -- also nur als Verknüpfung! what the hell?!

2. Kopiere ich den Ordner auf meine Platte, dann ist mein windows-Explorer 
nicht in der Lage, den Ordner anzuzeigen -- auch "Versteckte Ordner und 
dateien anzeigen" aus "Extras Ordneroptionen" ändert daran exakt nichts.

3. Free commander zeigt den Ordner an, ich kann mir auch die Attribute 
anzeigen lassen - aber diese nicht ändern!

4. Diesen Stick abgeklemmt, beliebigen anderen Stick dran -- zeigt jetzt 
ebenfalls dieses Verhalten, alle Ordner auf einem beliebigen Stick 
erscheinen jetzt als Verknüpfungen, nicht mehr als anständige ordner.

Was genau ist da los?
und wie versetze ich mein XP home (und das meiner Schwester) wieder in den 
Originalzustand?

wir wollen ORDNER sehen, keine Verknüpfungen.

Volker

Screenshots:

http://home.telebel.de/voneura/fotos/stick_1.jpg
http://home.telebel.de/voneura/fotos/stick_2.jpg

Gerade getestet: via FreeCommander war der Stick "normal" sicht- und bearbeitbar. ich habe die *.lnk Dateien gelöscht -- jetzt ist es im Explorer, als wären gar keine Ordner auf dem Stick; in Freecommander sind diese saichtbar.
Wer oder was schirmt die warum vor mir ab?
Das "hidden" Attribut ist aktiviert - ich kann es aber auch im Freecommander nicht deaktivieren.

Und: "Extras - Ordneroptionen - ansicht Versteckte Dateien und Ornder" => kann ich zwar umstellen auf "Alle Dateien und Ordner anzeigen" - schaue ich dann aber nach, ist es wieder auf "Versteckte ordner und Dateien ausblenden" und das SYSTEMWEIT!
Nach Umstellen wird also zwangsweise zurückgestellt.

Mir deucht mittlerweile, der PC des Fotoladens ist Virusverseucht und den haben wir uns auch eingefangen!

WAS GEHT DA VOR?!

Maybe neanderix „Explorer zeigt merkwuerdiges Verhalten beis USB Sticks“
Optionen

Moin,

einen Virus kann man natürlich generell nicht ausschließen, aber ich tippe eher auf ein defektes Dateisystem, auf dem Stick, oder er wurde auf einem Linux System bespielt.

Überprüfe mal den Datenträger auf Fehler!

Alternativ kannst Du mal hiermit versuchen, die Dateiattribute zu ändern:
http://www.heise.de/software/download/attribute_changer/2725

Viel Erfolg
Maybe

neanderix Maybe „Moin, einen Virus kann man natürlich generell nicht ausschließen, aber ich...“
Optionen
einen Virus kann man natürlich generell nicht ausschließen, aber ich tippe eher auf ein defektes Dateisystem, auf dem Stick, oder er wurde auf einem Linux System bespielt.

Ok, defektes Dateisystem kann man nicht ausschliessen, aber: warum zeigt der Stick dieses Verhalten erst, seit der Stick meiner Schwester in meinem Laptop war?
Und dass das an Linux liegen soll, halte ich für völlig abwegig - ich benutze den Stick seit 2 Jahren wechselseitig unter Linux und XP und ich hatte nie Problme, schon gleich gar nicht ein derartiges.

Momentan läuft hier ein virus-Check via Desinfec't aus C't 8/11.
Mal sehen, was die Logs sagen.

Volker
Maybe neanderix „ Ok, defektes Dateisystem kann man nicht ausschliessen, aber: warum zeigt der...“
Optionen
Und dass das an Linux liegen soll, halte ich für völlig abwegig - ich benutze den Stick seit 2 Jahren wechselseitig unter Linux und XP und ich hatte nie Problme, schon gleich gar nicht ein derartiges.

Nicht negativ auf Linux bezogen, sondern eine evtl. unsachgemäße Behandlung, z.B. einfach rausgezogen!? Sowas in der Art habe ich gemeint.

Den Effekt habe ich nämlich auch schon einige Male gehabt- unter Ubuntu mal schnell rausgezogen (ich weiß, doof) und Windows meldete dann "Der Datenträger muss repariert werden" , oder so ähnlich.

Daher meine Idee.

Gruß
Maybe
neanderix Maybe „ Nicht negativ auf Linux bezogen, sondern eine evtl. unsachgemäße Behandlung,...“
Optionen
Nicht negativ auf Linux bezogen, sondern eine evtl. unsachgemäße Behandlung, z.B. einfach rausgezogen!? Sowas in der Art habe ich gemeint.

nope, sowas mache ich *nie*.
Wenn sich, was bisher nur unter windoiws passierte, ein Stick mal nicht "Auswerfen" (oder via "hardware entfernen) lässt, dann wird der Stick eben erst nach dem Herunterfahren des Systems abgezogen - ist ja nicht so, als müsste alles sofort passieren ;-)

Schan mittels Desinfec't DVD läuft immernoch - jetzt seit knapp 6:30h.
Kaspersky brauchte bisher am längsten, er ist der, der noch "rennt" - seit nunmehr fast 4h

Volker
winnigorny1 neanderix „ nope, sowas mache ich nie . Wenn sich, was bisher nur unter windoiws passierte,...“
Optionen

Könnte doch sein, dass so eine unsachgemäße Behandlung im Fotoladen stattfand, oder?

Auf der anderen Seite stinkt das natürlich auch, wenn beide Rechner, nachdem der Stick drin war, dasselbe merkwürdige Verhalten anzeigen!

Aber das hieße auch, das dein Windows nicht auf dem aktuellen Stand ist, denn schon vor längerer Zeit kam ein MS-Patch, der verhindert, dass Programme auf einemem Stick, die einen autorun-Eintrag haben, ausgeführt werden können (m. E. ein Patch, der schon im 1. SP hätte sein müssen).....

Desinfec't kenne ich nicht, aber das ist gut, so etwas mit ner Boot-CD zu machen (Definitions-Update übers I-Net hat geklappt?) und ich bin auf das Ergebnis gespannt.

neanderix winnigorny1 „Könnte doch sein, dass so eine unsachgemäße Behandlung im Fotoladen...“
Optionen
Aber das hieße auch, das dein Windows nicht auf dem aktuellen Stand ist, denn schon vor längerer Zeit kam ein MS-Patch, der verhindert, dass Programme auf einemem Stick, die einen autorun-Eintrag haben, ausgeführt werden können (m. E. ein Patch, der schon im 1. SP hätte sein müssen)....

Ich spiele regelmäßig die aktuellen Patches via WSUS-Offline.
Das sind zwar nicht alle Patches aber alle sicherheitsrelevanten Patches.
Vom Windows autoUpdate halte ich nur eines: Abstand. (weil es intransparent ist, d.h. es zeigt mir nicht, was es einspielt - und es setzt zwingend das vorhandensein der Lizenzprüfung voraus)

Desinfec't kenne ich nicht, aber das ist gut, so etwas mit ner Boot-CD zu machen (Definitions-Update übers I-Net hat geklappt?) und ich bin auf das Ergebnis gespannt.

Update hat geklappt - Desinfec't DVD ist eine Boot-DVD mit einem Notfall-Ubuntu. Außerdem 4 Virenscanner:

- Antivir
- bitdefender
- kaspersky
- ClamAV

die über ein Script nacheinander gestartet werden und den PC durchsuchen.
Antivir glaubte, den Trojaner Dropper.gen gefunden zu haben.
Bitdefender "hing" (zumindest glaubte ich das, hätte besser mal vorher die Anleitung auf Heise.de gelesen ,) ) und hab ihn abgeschossen - ebenso den Kaspersky, den ich vor einer Stunde nach fast 4h Laufzeit abschoss - dauerte einfach zu lange 8mal sehen, vielleicht stell ich das Laptop nachher in den Keller, da kanner die Nacht durchrennen)

Was mir aber die Schweissperlen auf die Strin treibt und den Malware-Verdacht verstärkt, ist folgendes:

wenn dieses Bootsystem läuft, kann ich mit dem dort integrierten Firefox auf ausnahmslos alle internetseiten zugreifen.
Starte ich aber mit dem Windiows und surfe dann, kann ich NICHT mehr zugreifen auf:
- alle Seiten aller Anti-Viren-software hersteller
- alle Online-Virenscanner

also: trendmicro.com, virustotal.com, avira.de, kaspersky.com => nicht möglich.
Der Browser meldet dann lapidar "Seitenladefehler".

Volker

Volker
winnigorny1 neanderix „ Ich spiele regelmäßig die aktuellen Patches via WSUS-Offline. Das sind zwar...“
Optionen

... Das klingt jetzt nicht so gut...

neanderix winnigorny1 „... Das klingt jetzt nicht so gut...“
Optionen

Antivir hatte, wie gesagt "Dropper.gen" gefunden; ebenso drei versteckte Registry-Einträge, die, sogar für einen diesbezüglichen Laien wie mich, einwandfrei als zu der als befallen gehörenden Datei zu identifizieren waren.
Ich hab Google nach dem Namen der Datei (Kgqvga.exe) befragt - hat nichts, aber auch gar nichts dazu ausgeworfen. also hab ich mister Gnadenlos gespielt und Datei mitsamt Registry-Schlüsseln entsorgt.

Ergebnis: ich kann jetzt auch wieder auf die Seiten von anti-Malware-herstellern zugreifen.

"Luke filewalker" macht gerade einen Full-System-check (muss ich aber wahrscheinlich abbrechenläuft seit 41min und hat ganze 9,7% durchsucht ...mein Tag endet um 21:00, da die Nacht um 4:45 endet ...)

Am Verhalten des Explorer auf meinem USB-Stick hat die Aktion allerdings nichts geändert - alle Verzeichnisse sind nach wie vor versteckt.

Muss ich wahrscheinlich eh manuell ändern ...

Volker

winnigorny1 neanderix „Antivir hatte, wie gesagt Dropper.gen gefunden ebenso drei versteckte...“
Optionen

Der gefundene "Dropper.gen" kann ein Fehlalarm sein (das .gen - für "generic" weist auf einen Fund mit heuristischer Erkennungsmethode hin). Ich würde die Datei mal bei Avira einschicken.

Kg qvga hat eigentlich was mit Beamern zu tun - haste da irgenwie eine Software für einen Beamer installiert? - Dann würde die Wahrscheinlichkeit eines Fehlalarms steigen, wenn der "Dropper.gen" in so einer Datei gefunden wurde.....

Ich selbst wäre bei so etwas, fürchte ich, dennoch sehr nervös sein.

Wie gesagt: Schicke die Datei bei Avira ein.

neanderix winnigorny1 „Der gefundene Dropper.gen kann ein Fehlalarm sein das .gen - für generic weist...“
Optionen

Also - für Projektoren hatte ich bisher nichts installiert.
einschicken kann ich die Datei nicht mehr, die hat Antivir gefrühstückt ,-)

Allerdings hat all das nichts an meinem Problem mit Sticks geändert;
bisher kann ich immernoch nicht sauber auf meinen Stick zugreifen; mit Freecommander kann ich alle Verzeichnisse sehen, mit dem Explorer nicht.
Mit Freecommander kann ich auch erkennen, dass das "Hidden" Attribut aktiv ist, allerdings kann ich das nicht deaktivieren, da ausgegraut.

Mal sehen, es stehen noch weitere Tests aus - allerdings hab ich das Gefühl, dass Plätten und Neuaufsetzen zumindest nicht länger gedauert hätte ...

Volker

winnigorny1 neanderix „Also - für Projektoren hatte ich bisher nichts installiert. einschicken kann...“
Optionen
allerdings hab ich das Gefühl, dass Plätten und Neuaufsetzen zumindest nicht länger gedauert hätte ...

So ist es....

Also, rein gefühlsmäßig würde ich an deiner Stelle das System neu aufsetzen und den Stick mit nem Linux von einer LiveCD aus formatieren.....
Hardy© winnigorny1 „ So ist es.... Also, rein gefühlsmäßig würde ich an deiner Stelle das System...“
Optionen

ich würde einfach die wichtigen Daten vom Stick wegsichern und das Teil dann neu formatieren. Wenn das nicht hilft, mit einem Partitions-manager auch die vorhandene Partition auf den Stick entsorgen und danach alles neu partitionieren und formatieren.
Evtl. ist es ein Boot-Sektor Virus...

Maybe Hardy© „ich würde einfach die wichtigen Daten vom Stick wegsichern und das Teil dann...“
Optionen
ich würde einfach die wichtigen Daten vom Stick wegsichern und das Teil dann neu formatieren. Wenn das nicht hilft, mit einem Partitions-manager auch die vorhandene Partition auf den Stick entsorgen und danach alles neu partitionieren und formatieren.

Wohin sichern, über was sichern, wenn evtl. Dateien infiziert sind? Die einzige, sinnvolle Lösung ist eine Live-CD!

Gruß
Maybe