Backtracking von automatisch angelegten Ordnern möglich? [win10]

[kafuka]

Auf meinen externen Platten werden, nachdem andocken hin und wieder, automatisch Ordner erstellt!?. Ich möchte gerne wissen warum und welcher Prozess der Ursacher ist. Die Ordner werden auf Root abgelegt.

[src=über linux angeschaut]Root/
|_Folder (152 bytes)/
|_Folder2 (152 bytes)/
|_Folder3 (size 152 bytes/
|_Folder4 (size 256 bytes)/
|_ Folder5 (size 0 bytes)/desktop.ini 190bytes
|_ Folder6 (size 152 bytes)
|_ Folder7 (size 0 bytes)/desktop.ini 190bytes
[/src]
Über Linux


Inhalt der beiden desktop.ini files

[.ShellClassInfo] LocalizedResourceName=@%SystemRoot%\system32\windows.storage.dll,-34583

[.ShellClassInfo]LocalizedResourceName=@%SystemRoot%\system32\windows.storage.dll,-21824

Ich bin mir leider nicht sicher. Ob die Ordner mit sämtlichen Inhalt von meinem Handy aus auf die externe kopiert wurden oder über eine VM. Vielleicht auch über ein externes Windows OS. Wegen Verdacht auf Benutzer Schreib- und Leserechte Problematik, habe ich bereits unlocker benutzt. Seltsamerweise gab es keine Probleme den Ordner zu löschen auch ohne unlocker. Laufwerk-Scan über Win10 weist keine Fehler auf. Fremdgeräte wurden nicht benutzt. Bitdefender findet nichts verdächtiges. Merkwürdigerweise lassen sich die Ordner umbenennen und behalten den Namen. Ich vermute nicht, dass es sich hierbei um ein Virus/Trojaner handelt. Ausschließen kann ich es natürlich nicht.

 

[Metal_Warrior]

@kafuka: Wenn wir nun auch noch wüssten, wie die Ordner heißen, würden wir dir vielleicht sogar helfen können.

 

[drfuture]

Sonst hilft dir Procmon von sysinternals definitiv, könnte nur etwas zeit brauchen die angefallenen Daten geschickt zu filtern

 

[Metal_Warrior]

@drfuture: Ich vermute, es sind die kryptischen Ordner vom Backup-System, die er da findet. Aber gut, wenn er natürlich keine Infos rausrückt, kann man ihm nicht helfen.

 

[kafuka]

Das war nicht beabsichtigt. Es handelt sich hierbei um völlig normale Ordner. Soeben habe ich festgestellt, dass die Ordner nur erstellt werden, wenn ich mir meine Reisefotos anschaue. Die Bilder stammen von meinem Smartphone. Beim kopieren auf die externe HDD ist wohl irgendetwas unauffällig missglückt. Ich hatte die ganzen Ordner auf root kopiert und erst später sortiert und verschoben.

[src=]

Microsoft.Photos.exe 8280 Load Image C:\Windows\System32\Windows.ApplicationModel.dll SUCCESS Image Base: 0x7ffb4ec30000, Image Size: 0x89000


RuntimeBroker.exe 7672 CloseFile C:\Users\WinUser\Pictures\desktop.ini SUCCESS


RuntimeBroker.exe 7672 CreateFile E:\backup\Reisebericht-17A11\VK\Schottland\Gruppenfoto PATH NOT FOUND
Desired Access: Read Data/List Directory, Synchronize, Disposition: Create, Options:
Directory, Synchronous IO Non-Alert, Open Reparse Point, Attributes: N, ShareMode: Read, Write, AllocationSize: 0

RuntimeBroker.exe 7672 CreateFile E:\backup SUCCESS
Desired Access: Read Data/List Directory, Synchronize, Disposition: Create, Options:
Directory, Synchronous IO Non-Alert, Open Reparse Point, Attributes: N, ShareMode: Read, Write, AllocationSize: 0,
OpenResult: Created


Microsoft.Photos.exe 8280 CloseFile C:\Windows\System32\Windows.ApplicationModel.dll SUCCESS


RuntimeBroker.exe 7672 CloseFile E:\backup
[/src]

Danke!

case closed