HDD sauber - aber eine Datei lässt sich ums Verrecken nicht löschen
 

Hallo, ich habe die letzten 3 Nächte damit verbracht, eine ausgebaute Notebookplatte (Windows XP prof. 32bit NTFS) nach Virenbefall zu säubern. Habe die Platte in ein externes (SATA-) Gehäuse gesteckt und via USB an meinen "Werkstatt-PC" gehängt.

Auf der Platte waren eine ganze Reihe von Trojanern, Rootkits u.ä. drauf (BOO/TDss.D, W32/PatchLoad.A, TR/Crypt.XPACK.Gen, TR/ATRAPS.Gen2, TR/Spy.53472.4, TR/FakeSysdef.A.2966, RKIT/ZeroAccess.H). :pfeiff:

Von da aus habe ich wie hier beschrieben, mittels diverser Such- und Säuberungsprogramme (aswMBR, MBRCheck, Combofix, Dr.Web, FixTDSS, TDSSKiller, Norton PE, Avira Antivir PE) die Übeltäter verbannen können.

Ergebnis: Alles chic - bis auf eine Datei auf der extern angeschlossenen Platte: c:\windows\$NTUninstallKB16527$ :nono:

Die hatte sich also als Windows-Update "verkleidet", ließ sich aber im Gegensatz zu ihren echten "Verwandten" nicht löschen. Weder aus der Wiederherstellungskonsole der Windows XP CD, noch im abgesicherten Modus noch von einer Linux Boot-CD (dabei steckte die Platte wieder im Notebook). Zumindest konnte ich die Datei unter Linux umbenennen und verschieben nach c:\xyz.

Aber auch danach waren alle Löschversuche erfolglos. Nicht einmal mit einem so coolen Linux Befehl von der Seite hxxp://wiki.magenbrot.net/linux/dateien_loeschen_anhand_der_inode-nummer_-_datei_laesst_sich_nicht_loeschen :
[root@bash]# find . -inum 2479591 -exec rm -f {} \; :balla:

Entweder war Linux der Meinung "directory not empty" oder mit [root@bash]# find . -inum 2479591 -exec rmdir -f {} \; "is no directory" zumindest sinngemäß - wörtlich weiß ichs nicht mehr 100%ig.

Interessant war aber der Zusatz hinter der Datei in der Auflistung mittels "ls -ali" da stand schön in rot "unexpected reparse point" wobei ich mir bei "unexpected" nicht ganz sicher bin, sinngemäß trifft es aber zu.

Das ist also so eine Art Hardlink, der egal wo er steht und wie er heißt immer auf die richtige Datei zeigt. So hab ich es zumindest verstanden. Blöd nur, wenn es sich um einen Virus dabei handelt. Die Datei selbst bzw. der Hardlink wurde von keinem Scanner bemängelt.

Ich hatte nach der Umbenennung mal versucht wieder richtig von der Platte zu booten. Aber gleich kamen wieder Virenmeldungen hoch. Also alles noch mal von vorn, bis zum Stand: Platte sauber bis auf eine Datei c:\xyz und die lässt sich nicht löschen. :killpc:

Daher nun meine Fragen:
A: Gibt es irgendeine Möglichkeit, diese Datei doch noch los zu werden? :Boogie:
B: Oder muss ich die Platte platt machen und alles neu installieren? :daumenrunter:

Danke schon mal im Voraus für eine positive Antwort zu Variante A! :applaus:

PS: Ich bin davon ausgegangen, dass keine Logfiles benötigt werden. Falls doch, muss ich die erst anfertigen. Dazu gleich 2 Fragen: Platte wieder extern anschließen und Scanner vom Werkstatt-PC aus laufen lassen? Oder Platte in Notebook zurück und damit wieder der Geister von der Leine lassen und dann erst scannen?

Hallo, ich hab nun doch noch eine Scan mit OTL gemacht, bei dem befallenen Platte aber nur extern via USB angeschlossen war. War aber sinnfrei, da scheinbar nur die lokale Platte C:\ gescannt wurde und demzufolge auch keine Fehlermeldung auftauchte.

Daher nochmal meine Fragen:

Muss doch die Platte ins Notebook zurück und damit der Virus wieder aktiviert werden, um dann mit OTL zu scannen?

Oder gibt es irgendeine Lösung zum Löschen der widerspenstigen Datei?

Danke und Grüße,
Troja007

Bei dem Teil ist eine Bereinigung echt nicht mehr gutzuheißen. :balla:

Von einem Live-Linux aus braucht man nicht solche Befehle anwenden, erst recht sollte man keine verwenden, die auf einem Windows-Dateisystem sinnfrei sind.
Mit einem einfachen

wärs auch erledigt. http://www.trojaner-board.de/images/icons/icon32.gif

Was das für ein Ordner ist, ist dir sicherlich auch völlig klar? Was könnte "NTUninstall" wohl bedeuten?


Ich wär erstmal dafür, du postest ALLE vorhandenen Logs.

Hallo cosinus,

erst einmal Danke dafür, dass du dich des Problem annimmst!

Zum Löschen unter Linux:
Die einfachen Löschbefehle bzw. Löschen über Linux Dateimanager hatte ich vorher natürlich schon durchprobiert - ohne Erfolg. Dann erst bin ich auf die mögliche Problemlösung mittels der inode-Nr. gestoßen

Zu c:\windows\$NTUninstallKB16527$:
Dass sich die Uninstall-Ordner von Windows Updates so benennen ist mir klar. Die lassen sich ja auch einfach löschen. Nur der Virus (oder Rootkit oder was es denn nun ist) hat sich hinter einem solchen Namen nur versteckt. Denn diese Datei (bzw. eigentlich ist es ja ein Verzeichnis) lässt sich eben nicht öffnen oder löschen.

Die Datei ließ sich unter Linux zumindest umbenennen und verschieben (wie oben beschrieben). Und sie ließ sich auch mittels Dateimanager "löschen" - also in den "Papierkorb" verschieben. Interessanter Weise hat die dann im Papierkorb Unterverzeichnisse mit Dateien. Wie das genau aussieht muss ich noch nachliefern. Komm da jetzt nicht ran.

Vorhandene Logs:
Komm ich jetzt auch nicht ran. Aber die bezogen sich nur auf LW C:\ meines Werkstatt-PCs, der ja nicht befallen ist. Über die via USB angeschlossene Platte schwiegen die sich entweder ganz aus oder es gab keine Funde. Die "Problemdatei" wurde nie angemeckert.

Neue Los kommen:
Da ich inzwischen ein Image des aktuellen Zustand der Platte mit Acronis gemacht habe. Werde ich nun die Platte wieder ins Notebook einbauen, von ihr booten und dann alle Logs posten.

Bis denne!

Hier erst mal die Korrektur einiger aus dem Gedächtnis zitierter Begriffe und Meldungen:

Die nicht löschbare Datei wir unter Linux mit dem Hinweis versehen:
unsupported reparse point

Konkret sieht das so aus:

root@lesslinux:/media/sda1
# ls -ali
...
65326 lrwxrwxrwx 1 surfer surfer 26 Jan 30 2007 xyz -> unsupported reparse point

Der Löschbefehl mit Bezug zur inum bringt diese Meldung::
# find . -inum 65326 -exec rm -f {} \;
rm: can't remove './xyz': Directory not empty


Der Löschbefehl für nicht leere Verzeichnisse mit Bezug zur inum führt auch zu nix:
# find . -inum 65326 -exec rm -f -ignore-fail-on-non-empty {} \;
invalid option oder unrecognized option


Das mehr so zur Info. Ich werd jetzt doch wieder Windows XP von der Platte booten und dann nach Anleitung die Logs posten.

Bis denne.

Hier nun das GMER Log:

GMER Logfile:
--- --- ---


Und die Logs von OTL im Anhang.

Grüße, Troja007

Kurzer Nachtrag:

Zur Zeit verhält sich der Virus ruhig. Nachdem ich noch mal unter Linux die widerspenstige Datei verschoben, umbenannt und wieder zurück nach c:\xyz verschoben habe, tut sich virusmäßig nix auf dem Notebook. :confused:

Bisher war immer nach dem Windows-Neustart mit Dr.Web CureIt! Virenbefall an folgenden Orten zu verzeichnen

c:\windows\system32\drivers
c:\system volume information
c:\windows\assembly

Aber zur Zeit ist da nix. Er findet auf der ganzen Platte nix. Hab aber auch die Internetverbing unter Windows gekappt. Auch im Taskmanager finde ich keine verdächtigen Prozesse. Hm? :confused:

Trotzdem will ich natürlich immer noch c:\xyz loswerden. :aufsmaul:

'xyz' ist das umbenannte '$NTUninstallKB16527$'?
Das kleine L bei Berechtigungsinfos weist auf einen symbolischen Link hin. Mit was das da aber verknüpft ist sieht man nicht. (unsupported reparse point)

Zum Löschen von nicht leeren Verzeichnissen wendet man rm -rf an. Ich versteh immer noch nicht, was du da mit der inode-Nummer rumfummeln musstest...aber gut, es sollte sich ja erst durchs Umbenennen löschen lassen - kann ich so nicht nachvollziehen :confused:

Du hast ja ne ganze Palette an Tools ausgeführt, das kann ja wohl schlecht alles an Logs sein. Poste alle Logs wenn du dir weiterhin Hilfe benötigst.

Das hab ich ganz am Anfang geschrieben, dass ich schon alles versucht hatte, das Ding zu löschen, unter Windows und von 'ner Linux-CD aus. Natürlich erst mal alle 08/15-Befehle und weil's alles nichts brachte, hab ich halt im Web gesucht, was noch so geht. Daher der Versuch mittels inode-Nr. gefunden. Ich hatte und hab’s auf deine Empfehlung auch noch mal mit rm -rf probiert, ohne Erfolg.

Na ja, es gibt doch infizierte Dateien, die sich auch nicht unter Windows löschen oder umbenennen lassen. Wenn man die aber umbenennt (z.B. wenn die Platte extern an einem anderen PC hängt und also nicht von ihr gebootet wurde) kann man sie nach dem nächsten Systemstart löschen. Hab ich sonst bei ähnlichen Problemen immer erfolgreich anwenden können. Aber die Nuss hier ist härter ... :wtf:

Nun ja, die Logs hab ich nicht mehr alle. Aber vor allem haben die letzten Scans gar nix mehr gefunden. In meinem Verständnis konnte mit den vorangegangenen Säuberungsaktionen die aktuell infizierten Dateien repariert bzw. gelöscht werden. Ich befürchte aber nach wie vor, dass die Quelle allen Unheils hier hinter c:\xyz lauert. Daher will ich die loswerden.

Ist denn aus den bisher glieferten Logs nix erkennnbar?

Das hat aber einen anderen Grund. Unter Windows kann man in Gebrauch befindliche Dateien bekanntlich nicht löschen und wenn noch Schädlinge aktiv sind, so lassen sich diese Dateien vom Schädling auch nicht löschen.
Wenn du von einem Live-Linux aus startest ist die Windows-Partition für Linux aber nichts weiter als eine nackte "Datenplatte" und hat so nichts mit dem Betriebssystem zu tun. Daher sollte auch eigentlich ein Löschen ohne Probleme möglich sein. Aber ok, der besagte Ordner war ein Symlink mit unter Linux nicht unterstütztem "Ziel", vllt lag es daran.

Poste bitte alle noch vorhandenen Logs.

zumindest kommen mir diese Zeilen aus dem GMER-Log recht "interessant" vor:
GMER ist auch das einzige Tool, was mal das Verzeichnis C:\xyz\ angemeckert hat.

Ich hab noch drei alte Logs gefunden und erstelle grad noch mal neue mit jedem Tool. Kann aber noch bissl dauern ...

Hier nun die Logs von TDSSKIller, aswMBR, Defogger und MBRCheck.
GMER und Dr.Web CureIT! kommen später.

Bitte nun routinemäßig einen Vollscan mit malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!



ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Auf dem Rechner läuft noch Dr.Web. Dauert also noch etwas. :kaffee:

Was ist denn aus den bisher glieferten Logs ersichtlich?

Hab außerdem weiter nach remove reparse points und remove junction points gegooglt. U.a. hab ich das gefunden: hxxp://www.microsoft.com/resources/documentation/windows/xp/all/proddocs/en-us/fsutil.mspx?mfr=true

Ich würde mal fsutil reparsepoint delete C:\xyz probieren. Was meinst du?

Nein lass das erstmal. Ich will erst die Ergebnisse von MBAM/ESET sehen