HDD sauber - aber eine Datei lässt sich ums Verrecken nicht löschen

Troja007

Hallo, ich habe die letzten 3 Nächte damit verbracht, eine ausgebaute Notebookplatte (Windows XP prof. 32bit NTFS) nach Virenbefall zu säubern. Habe die Platte in ein externes (SATA-) Gehäuse gesteckt und via USB an meinen "Werkstatt-PC" gehängt.

Auf der Platte waren eine ganze Reihe von Trojanern, Rootkits u.ä. drauf (BOO/TDss.D, W32/PatchLoad.A, TR/Crypt.XPACK.Gen, TR/ATRAPS.Gen2, TR/Spy.53472.4, TR/FakeSysdef.A.2966, RKIT/ZeroAccess.H).

Von da aus habe ich wie hier beschrieben, mittels diverser Such- und Säuberungsprogramme (aswMBR, MBRCheck, Combofix, Dr.Web, FixTDSS, TDSSKiller, Norton PE, Avira Antivir PE) die Übeltäter verbannen können.

Ergebnis: Alles chic - bis auf eine Datei auf der extern angeschlossenen Platte: c:\windows\$NTUninstallKB16527$

Die hatte sich also als Windows-Update "verkleidet", ließ sich aber im Gegensatz zu ihren echten "Verwandten" nicht löschen. Weder aus der Wiederherstellungskonsole der Windows XP CD, noch im abgesicherten Modus noch von einer Linux Boot-CD (dabei steckte die Platte wieder im Notebook). Zumindest konnte ich die Datei unter Linux umbenennen und verschieben nach c:\xyz.

Aber auch danach waren alle Löschversuche erfolglos. Nicht einmal mit einem so coolen Linux Befehl von der Seite hxxp://wiki.magenbrot.net/linux/dateien_loeschen_anhand_der_inode-nummer_-_datei_laesst_sich_nicht_loeschen :
[root@bash]# find . -inum 2479591 -exec rm -f {} \;

Entweder war Linux der Meinung "directory not empty" oder mit [root@bash]# find . -inum 2479591 -exec rmdir -f {} \; "is no directory" zumindest sinngemäß - wörtlich weiß ichs nicht mehr 100%ig.

Interessant war aber der Zusatz hinter der Datei in der Auflistung mittels "ls -ali" da stand schön in rot "unexpected reparse point" wobei ich mir bei "unexpected" nicht ganz sicher bin, sinngemäß trifft es aber zu.

Das ist also so eine Art Hardlink, der egal wo er steht und wie er heißt immer auf die richtige Datei zeigt. So hab ich es zumindest verstanden. Blöd nur, wenn es sich um einen Virus dabei handelt. Die Datei selbst bzw. der Hardlink wurde von keinem Scanner bemängelt.

Ich hatte nach der Umbenennung mal versucht wieder richtig von der Platte zu booten. Aber gleich kamen wieder Virenmeldungen hoch. Also alles noch mal von vorn, bis zum Stand: Platte sauber bis auf eine Datei c:\xyz und die lässt sich nicht löschen.

Daher nun meine Fragen:
A: Gibt es irgendeine Möglichkeit, diese Datei doch noch los zu werden?
B: Oder muss ich die Platte platt machen und alles neu installieren?

Danke schon mal im Voraus für eine positive Antwort zu Variante A!

PS: Ich bin davon ausgegangen, dass keine Logfiles benötigt werden. Falls doch, muss ich die erst anfertigen. Dazu gleich 2 Fragen: Platte wieder extern anschließen und Scanner vom Werkstatt-PC aus laufen lassen? Oder Platte in Notebook zurück und damit wieder der Geister von der Leine lassen und dann erst scannen?