Tipps & Tricks 03.05.2002, 12:00 Uhr

Finden der vom Klez-Virus versteckten Dateien?

Ich habe in den letzten Wochen in einigen Mails den Klez-Wurm in allen Variationen erhalten und dieser ist auch ausgebrochen. Dank einiger verschiedener Tools (Symantec, Bitdefender, ...) konnte ich den Virus mehr oder weniger entschärfen. Da ja der Wurm einige EXE-Dateien umbenennt und eine von ihm infizierte Datei in dieses Verzeichnis speichert, wurden diese infizierten EXE-Dateien (richtigerweise) gelöscht. Nun konnte ich die meisten EXE's wiederfinden, einzig die Extension dieser neuen Datei war immer verschieden, aber leider fand ich nicht alle! Ich habe bereits alles durchforstet, von Systemdateien bis «versteckte» Files: Nichts! Gibt es irgendwo ein Tool, welches diese Dateien findet oder weiss jemand, wo die Dateien evtl. hingekommen sind?
Welche Dateien der Klez-Virus attackiert hat, ist im Nachhinein schwierig zu sagen, wenn Sie sich die von Klez erstellten infizierten Dateien nicht notiert haben. Aber Sie haben eine Möglichkeit, eine Liste aller versteckten Dateien zu erstellen. Eine solche Liste könnte Ihnen Anhaltspunkte darüber liefern, welche Dateien betroffen sind bzw. welche Sie umbenennen müssen. Öffnen Sie ein DOS-Fenster, z.B. über "Start/Programme/Zubehör/MS-DOS Eingabeaufforderung". Um sicher zu stellen, dass Sie sich auf der hierarchisch obersten Ebene des Laufwerks C: befinden, geben Sie diese zwei Zeilen ein und bestätigen beide Eingaben mit der Enter-Taste:
c:
cd\Nun tippen Sie diesen Befehl ein (siehe Bild) und schliessen ihn mit Enter ab:
dir c: /A:H /S>liste.txt
Erklärung: Der Befehl "dir" listet Dateien auf. Der Schalter /A:H bewirkt, dass nur jene Dateien angezeigt werden, die mit dem Attribut "hidden" (also versteckt) versehen sind. Mit /S erreichen Sie, dass sich der Befehl auf alle Dateien und Ordner auswirkt, statt nur auf den aktuellen Ordner. Und ">liste.txt" leitet die gesamte Ausgabe in eine Datei namens liste.txt um, die im aktuellen Ordner (C:\) erstellt wird. Sie können diese Datei in Ruhe per Notepad anschauen und natürlich können Sie sie auch jederzeit wieder löschen.
Beachten Sie, dass es normal ist, dass viele System-Dateien das Hidden-Attribut tragen. Was Sie in der Liste finden, sind alle versteckten Dateien und nicht nur jene, die von Klez umbenannt bzw. auf hidden gesetzt wurden.



Kommentare
Es sind keine Kommentare vorhanden.