[2000] Folder hidden from windows API

Een vriend van mij heeft een probleem met zijn win2k server. Naar alle waarschijnlijkheid is zijn FTP gehacked geweest, en is er een folder 'S-1-5-21-459051757-4106807949-3721724730-500' (je, recyclebin-achtig) aangemaakt die niet te verwijderen is. In de folder staan allerlei subfolders zoals temp\tools\#08 +-]-= Pr0n =-[-+\Tramps.In.Trouble.4.XXX.DVDrip.XviD-REDLiGHT\covers, etc.

Een probleem is dat hij geen routkitscanners kan gebruiken, omdat hij alleen remote access heeft naar de bak toe. Is er een manier waarop dit opgelost kan worden via VNC? De folder is verborgen voor de Windows API, vandaar dat het ook niet verwijderd kan worden. Foutmelding in cmd is 'file not found'.

Iemand een idee? Hijackthis liet niets verdachts zien, via cmd zijn eigenlijk alle mogelijkheden al geprobeerd, en de search leverde verder ook niets op. Jammer genoeg kan routkitrevealer ook niet gebruikt worden via VNC; dat zou ws. gewoon de oplossing zijn.

[ Voor 8% gewijzigd door Verwijderd op 02-05-2006 23:30 ]

The_Eagle schreef op dinsdag 02 mei 2006 @ 23:30:
Ik weet niet of ie remote explorer.exe om zeep kan helpen terwijl vnc wel gewoon doordraait (gok overigens van wel, maar da's een kwestie van testen denk ik ), maar anders zou ik taskmgr starten. explorer.exe ff killen. command-line openen, via cmdline de hele zut verwijderen, en dan explorer weer starten

Jep, is al geprobeerd.. Explorer.exe killen kan gewoon, verwijderen kan alleen ook dan niet. Maar ik neem aan dat dat komt omdat het verborgen is voor windows API. Het is op dit moment een beetje een circel waar we in zitten. Het komt elke keer op hetzelfde neer

[ Voor 15% gewijzigd door Verwijderd op 02-05-2006 23:34 ]

Brahiewahiewa schreef op woensdag 03 mei 2006 @ 01:14:
Als die folder verborgen is voor de Windows API, dan is die bak gerootkit.
Dus: belangrijke data d'r afhalen, formatteren, nu wel goed beveiligen en dan pas weer aan internet hangen

Tja, dat is inderdaad de harde weg. Alleen via VNC gaat dit ook lastig. Een rootkitscan en een clean zou genoeg moeten zijn, alleen dit kan ook niet via VNC

Alex schreef op woensdag 03 mei 2006 @ 01:21:
Probeer eens een dir /ah in de betreffende map?
En probeer vanuit de command prompt eens in die map te komen?
Tipje om te kijken of de cmd 'm wel kan vinden: typ in:
cd S-1-5 en druk op Tab, als de prompt 'm kan vinden zal hij 'm aanvullen, ook als de map verborgen is.

Het is geen probleem om de folder in te komen via CMD. Het is niet zo dat we types zijn die niets proberen en gelijk om hulp roepen. Via CMD is alles te benaderen, we hebben de accessrights veranderd van alle subfolders. Alleen de route is een probleem, die is namelijk hidden from Windows API en kunnen we dus op dit moment niets mee

Ik heb het idee dat er niets anders op zit dan naar die bak toe te rijden en het locally op te lossen. Beetje jammer dat bijna niets werkt via VNC op een win2k srv.

[ Voor 8% gewijzigd door Verwijderd op 03-05-2006 10:16 ]

Flyduck schreef op vrijdag 05 mei 2006 @ 09:13:
Zoals al eerder gemeld, opnieuw installeren en nu goed beveiligen. Je weet namelijk nooit wat voor backdoors er achter blijven.
Ik zou het sowieso geen prettig idee vinden om met een server te blijven werken die gehacked is geweest.

Ja, jullie hebben gelijk. Ik dacht een beetje te licht over rootkitjes en hun rottigheid Het wordt toch even rijden en die bak reinstallen, en inderdaad moet hij zijn server even goed beveiligen