Ordner auf Wechseldatenträger sind nur noch Verknüpfungen
 

Hallo Trojaner-Board-Team,

seitdem ich vor einigen Tagen meinen USB-Stick auf einem fremden Rechner verwendet habe, funktioniert dieser nicht mehr normal. Alle Ordner werden nur noch als Verknüpfung angezeigt, einige davon sowie die meisten Daten lassen sich dabei gar nicht mehr öffnen.
Als Zielort der Verknüpfungen wird immer "system32" bzw. für z.B. den Ordner "EWL" das Ziel: %windir%\system32\cmd.exe /c "start %cd%RECYCLER\e621ca05.exe &&%windir%\explorer.exe %cd%EWL angegeben.

Als Antivirus-Software verwende ich die kostenlose Version von Avira AntiVir Personal. Ein Scan des kompletten PCs, sowie des betroffenen Wechseldatenträger führte allerdings zu keinem Ergebnis.
Ich habe in diesem Forum bereits einige Themen zu diesem Problem gefunden und wollte dementsprechen auch Malewarebytes mit dem entsprechenden Link von euch installieren, allerdings funktioniert der Download nicht. Ich werde immer auf eine Seite mit folgender Fehlermeldung weitergeleitet:

"Die Seite store.malwarebytes.org wurde nicht gefunden.
Möglicherweise ist die Internet-Adresse (URL) nicht korrekt."

Ich hoffe ihr könnt mir helfen, leider habe ich einige wirklich wichtige Daten auf dem USB-Stick und wäre sehr froh, wenn diese nicht vollständig weg sind.
Vielen Dank für eure Hilfe, Grüße Nicole

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Setze oben mittig den Haken bei Scanne alle Benutzer
• Kopiere nun den kompletten Inhalt aus der untenstehenden Codebox in die http://billy-oneal.com/Canned%20Spee.../customFix.png Textbox von OTL - wenn OTL auf deutsch ist wird sie mit http://larusso.trojaner-board.de/Images/otlfix.jpg beschriftet

• Schliesse bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Quick Scan Button.
• Klick auf http://billy-oneal.com/Canned%20Spee.../OTL/btnOK.png.
• Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread

Hallo Cosinus,

danke für die schnelle Antwort, habe den Scan durchlaufen lassen (der betroffene USB-Stick war dabei angeschlossen) und folgende log-Datei erhalten:

OTL.Txt
Hoffe das hilft weiter, vielen Dank schonmal für deine Hilfe!! : )
Grüße Nicole

Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

Hallo Cosinus,

ich habe den OTL-Fix wie beschrieben ausgeführt.

Folgendes Logfile habe ich daraufhin erhalten:

Vielen Dank weiterhin für deine Hilfe! Kannst du denn ev. schon sagen, ob ich wieder an die Daten auf dem USB-Stick komme oder siehts schlecht aus?

Grüße Nicole

Bitte nun (im normalen Windows-Modus) dieses Tool von Kaspersky (TDSS-Killer) ausführen und das Log posten => http://www.trojaner-board.de/82358-t...entfernen.html

Hinweis: Bitte den Virenscanner abstellen bevor du den TDSS-Killer ausführst, denn v.a. Avira meldet im TDSS-Tool oft einen Fehalalrm!

Das Tool so einstellen wie unten im Bild angegeben - klick auf change parameters und setze die Haken wie im folgenden Screenshot abgebildet,
Dann auf Start Scan klicken und wenn es durch ist auf den Button Report klicken um das Log anzuzeigen. Dieses bitte komplett posten.
Wenn du das Log nicht findest oder den Inhalt kopieren und in dein Posting übertragen kannst, dann schau bitte direkt auf deiner Windows-Systempartition (meistens Laufwerk C:) nach, da speichert der TDSS-Killer seine Logs.

Hinweis: Bitte nichts voreilig mit dem TDSS-Killer löschen! Falls Objekte vom TDSS-Killer bemängelt werden, alle mit der Aktion "skip" behandeln und hier nur das Log posten!

http://saved.im/mtkwmtcxexhp/setting...8_16-25-18.jpg

Hatte leider wieder Probleme mit dem Download m.H. des Links. Habe mir den TDSSKiller daher über eine andere Seite runtergeladen. Daran liegt es wahrscheinlich auch, dass ich nirgendwo auf "chanche parameters" klicken konnte (Scrennshot hab ich angehängt).

Folgenden Log habe ich nach dem Scannen erhalten, das gefundene Objekt wurde wie beschrieben "geskippt" ; )

Danke für die schnelle Hilfe & Grüße Nicole

Hoffentlich hast du den NICHT von Softonic runtergeladen! :balla:

...ähm, doch :wtf:

Finger weg von Softonic!!

Softonic ist eine Toolbar- und Adwareschleuder! Finger weg! Software lädt man sich mit oberster Priorität direkt vom Hersteller und nicht von solchen Toolbarklitschen wie Softonic! Im Notfall würde natürlich chip.de gehen


Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop.

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!

Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Solltest du nach der Ausführung von Combofix Probleme beim Starten von Anwendungen haben und Meldungen erhalten wie

startest du Windows dann manuell neu und die Fehlermeldungen sollten nicht mehr auftauchen.

sorry, wird sofort durchgeführt... :heulen:

Habe ComboFix erfolgreich ausgeführt. Allerdings hat es erst beim zweiten Anlauf funktioniert, weil ich beim ersten Mal anscheinend noch einen Windows Schutz an hatte.
Beim zweiten Mal hat es dann geklappt und nach einem manuellen Neustart hatte ich auch keine Fehlermeldung mehr. Folgenden Log habe ich erhalten:

Was installiert denn Softronic auf dem Rechner, wenn man etwas runterläd? Schönen Abend noch, Grüße Nicole

Ich hab doch oben erwähnt was da drin ist! Adware/Toolbars! Zeug das kein Mensch eigentlich haben will!

Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.

Hinweis: Zum Entpacken von OSAM bitte WinRAR oder 7zip verwenden! Stell auch unbedingt den Virenscanner ab, besonders der Scanner von McAfee meldet oft einen Fehalarm in OSAM!

Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.

• Starte die aswMBR.exe - (aswMBR.exe Anleitung)
  Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten".
• Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. (Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen )
  Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
  
• Klicke auf Scan.
• Warte bitte bis Scan finished successfully im DOS-Fenster steht.
• Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort.

Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung

Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte der Scan abbrechen und das Programm abstürzen, dann teile mir das mit und wähle unter AV Scan die Einstellung (none).

Hallo Cosinus,
nach dem Fehler mit softronic gehe ich jetzt doch nochmal auf Nummer Sicher.

Habe GMER problemlos ausgeführt und das Log gespeichert.
Dann habe ich auch OSAM ausgeführt und mich dabei an deine verlinkte Anleitung vom Board gehalten.
Da dort nicht stand, dass ich die Online-Abfrage überspringen soll, habe ich dies auch nicht gemacht. Nicht falsch verstehen, war natürlich mein Fehler.

Ist das jetzt ein Problem?
...danke für deine Geduld... : )

Ja weil es zu diversen Nachfragen immer geführt hat wenn die Onlineabfrage nicht klappte! Also halte dich bitte auch an die Hinweise die ich poste!

Ok, hab es verstanden...

Habe alles Weitere so ausgeführt, wie du es beschrieben hast und folgenden aswMBR.txt erhalten:

:daumenhoc & Grüße Nicole

Und warum postest du die anderen Logs nicht

Ich mach das nicht absichtlich....

GMER-Log:

OSAM-Log:

Wir sollten den MBR fixen, sichere für den Fall der Fälle ALLE wichtigen Daten, auch wenn meistens alles glatt geht.

Hinweis: Mach bitte NICHT den MBR-Fix, wenn du noch andere Betriebssysteme wie zB Ubuntu installiert hast, ein MBR-Fix mit Windows-Tools macht ein parallel installiertes (Dualboot) Linux unbootbar.
Mach den Fix auch dann nicht, wenn du zB mit TrueCrypt oder anderen Verschlüsselungsprogrammen eine Vollverschlüsselung der Windowspartition bzw. gesamten Festplatte hast

Starte nach der Datensicherung aswmbr erneut und klick auf den Button FIXMBR.

Hinweis: Bitte den Virenscanner abstellen bevor du aswMBR ausführst, denn v.a. Avira meldet darin oft einen Fehalalrm!

Anschließend Windows neu starten und ein neues Log mit aswMBR machen.

Kann ich die Daten etwa auch auf einem infizierten USB-Stick speichern? Da das Problem weiterhin besteht, möchte ich nicht meine externe Festplatte anschließen auf der ich normalerweise speichere.
Grüße Nicole

Wieso infizierter USB-Stick?
Deaktivier die automatische Wiedergabe auf allen Laufwerken! Dann kannst du das auch auf der ext. Platte speichern

Automatische Wiedergabe deaktivieren

Windows XP: Zur Vereinfachung hab ich mal die noautoplay.reg hochgeladen. Lad das auf dem Desktop herunter, führ die Datei aus und bestätige mit ja. Nach einem Neustart des Rechners ist die automatische Wiedergabe (von Datenträgern) auf allen Laufwerken deaktiviert, d.h. keine CD, kein Stick oder sonstwas startet nach dem Einstecken mehr automatisch.

Windows Vista/7: In der Systemsteuerung unter automatische Wiedergabe von CDs und anderen Medien alles deaktivieren. => siehe auch Einstellungen für automatische Wiedergabe ändern

Hallo,
habe den MBR Fix gemacht, ging sehr schnell & problemlos.

Der neue Log:
Und ich habe von einem "infizierten USB-Stick" geschrieben, weil das Problem doch von dem USB-Stick ausgeht (Ordner sind nur noch Verknüpfungen und Dateien lassen sich nicht öffnen).
Die automatische Wiedergabe hatte ich auch schon deaktiviert und es hat sich dennoch ein weiterer USB-Stick infiziert, als ich ihn angeschlossen habe. Das ist aber nicht weiter schlimm, weil er sowieso leer war.
Grüße und danke für die geduldige Hilfe, Nicole : )

Das ist nicht das Log was ich sehen wollte! Nach dem Fix solltest du ein neues mit aswMBR machen!

Ich habe mich genau an deine Anleitung gehalten... wahrscheinlich meintest du mit einem neuen Log aber wohl auch einen neuen Scan?

Dann gibts folgenden Log:
Danke für deine geduldige Hilfe, Greetz Nicole

Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!


Anschließend über den OnlineScanner von ESET eine zusätzliche Meinung zu holen ist auch nicht verkehrt:


ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Guten Morgen,

gestern habe ich erfolgreich den Vollscan mit SuperAntiSpyware durchgeführt. Als ich heute allerdings den Scan mit ESET durchführen wollte, habe ich wieder die gleiche Fehlermeldung von Web.de erhalten, wie zuvor schon bei Malewarebytes. Habe den Screenshot mal angehängt, vielleicht weißt du ja woran das liegt?

Hier also daher nur der Vollscan von SASW, der einiges gefunden hat...

Grüße, Nicole

Das sind nur Cookies bei den Funden von SASW das harmlos.

Wegen MBAM Und ESET hast du das schon geprüft?


Falsche Proxy Einstellungen entfernen

• Klicke im Start-Menü unter "Einstellungen" auf "Systemsteuerung" -> "Internetoptionen".
• Wähle die Karteikarte "Verbindungen->Lan-Einstellungen“ und überprüfe ob bei Proxyserver ein Häkchen steht,
  wenn ja -> Entfernen, dann -> OK (sofern nicht richtige Eintragung)

Also bei den Proxy Einstellungen habe ich keinen Haken an der entsprechenden Stelle. Auch die offiziellen Seiten von Malewarebytes und ESET funktionieren nicht.
Habe beide Programme aber auch bei CHIP gefunden:
hxxp://www.chip.de/downloads/Malwarebytes-Anti-Malware_27322637.html
und
hxxp://www.chip.de/downloads/Eset-Smart-Security-32-Bit_49139264.html

Passt das auch?

Nur Malwarebytes. ESET ist ein OnlineScanner, den kann man so nicht über Chip ausführen
Mach erstmal nur Malwarebytes

Hier der Log von Malewarebytes, die gefundenen Viren habe ich noch nicht entfernt.

Grüße Nicole : )

Das ist ok. In C:\Qoobox bzw. C:\_OTL (Q-Ordner von CF und OTL) sind die Schädlinge isoliert und gut aufgehoben.

Probier ESET nochmal aus

Mit derm InternetExplorer hat ESET jetzt doch noch gekalppt. Hier der Log:

Grüße, Nicole

Wie gesagt, Finger weg von dem Softonic-Müll! Der Rest ist die Q von OTL und Combofix

Rechner soweit wieder ohne Probleme?

Hmm, also das Problem war ja eigentlich der USB-Stick und das ich keinen Zugriff mehr auf die Daten habe. Es geht eigentlich nur um einige Pdf-Dateien, die sich nach wie vor nicht öffnen lassen bzw. als Fehlermeldung erhalte ich, dass der Dateityp nicht unterstützt wird oder die Datei beschädigt ist.

Die Dateien sind gescannte Buchkapitel, die das Kopiergerät automatisch auf meinem USB-Stick als .pdf gespeichert hat. Einige wenige lassen sich auch noch ganz normal öffnen.

Ebenso sind die Ordner auf meine USB-Stick nach wie vor Verknüpfungen mit dem Ziel "system32"...

Meinst du denn, dass da überhaupt noch eine Chance besteht die Datein zu retten/reparieren ?

Grüße, Nicole

Lass dir zuerst mal alle Dateien anzeigen => http://www.trojaner-board.de/59624-a...-sichtbar.html
Danach sollte auch alle Ordner wieder angezeigt werden - halbtransparent, da sie noch die Atrribute "versteckt" und "system" tragen

Starte anschließend die Eingabeaufforderung über Start, Alle Programme, Zubehör

Musst in der Eingabeauforderung jeweils für jeden versteckten Ordner diesen Befehl ausführen:

x: => Muss angepasst werden, den passenden Buchstaben verwenden
"ordner" muss dann der jew. richtige Ordnername sein

Vgl. diesen Strang => http://www.trojaner-board.de/102950-...traeger-2.html

Hallo Cosinus,

das hat super geklappt und alle Ordner sind wieder da. Allerdings kann ich immer noch nicht auf alle Dateien in den Ordnern zugreifen. Es kommt die gleiche Fehlermeldung wie vorher.
Als das Problem aufgetreten ist, habe ich erstmal alle Dateien aus den Ordnern, die ich noch öffnen konnte aus den Ordnern raus kopiert,sowie teilweise umbenannt (nach funktioniert/funktioniert nicht). Hängt das vielleicht damit zusammen?

Danke weiterhin für deine Hilfe!! Grüße, Nicole

Die Fake-Verknüpfungen musst du ja auch löschen! Die restlichen Ordner sind dann "deine"

Habe die Fake-Verknüpfungen gelöscht, aber das Problem bleibt das gleiche : (

Was für ein Problem bleibt das gleiche?! Bitte genauer beschreiben!!
ich hab hier auch noch andere Leute die Hilfe wollen und ich kann nicht bei jedem Strang erstmal wieder alle Antworten durchlesen um zu wissen was für ein Problem du noch haben könntest :(

Hallo Cosinus,

"Adobe Reader konnte "Titel des Textes.pdf" nicht öffnen, da der Dateityp nicht unterstützt wird oder die Datei beschädigt ist (z.B. wenn sie als E-Mail-Anhang geschickt und nicht korrekt dekodiert wurde)."

Auch mit einem weiteren pdf-Reader kann ich die Dateien nicht öffnen.

Ich hoffe jetzt hast du alle Infos, die du brauchst! Grüße, Nicole

Du hast natürlich keine Backups (Sicherheitskopien) dieser PDFs, stimmts :pfeiff:
Wenn die PDFs vorher zu öffnen waren, dann sind die Dateien wohl jetzt korrupt
Man darf halt eben wichtiges Zeug nicht ständig nur auf einem Stick gespeichert lassen, v.a. wenn da nur FAT32 als Dateisystem verwendet wird. Dieses FAT-Dateisystem stammt aus längst vergangenen DOS-Zeiten und wird sehr schnell inkonsistent was zu Datenverlusten führt
Wichtige Dateien lässt man NIEMALS nur auf einen Datenträger, es ist viel zu unsicher die wichtigsten Daten von einem einzigen Datenträger abhängig zu machen!!:kloppen:

Mit Glück hilft noch eine Überprüfung des Sticks mit chkdsk

1. Klick mit rechts auf einen freien Bereich auf dem Desktop und sag "Neu, Verknüpfung erstellen"
2. Tipp als Ziel cmd.exe ein und bestätige mit OK, eine neue Verknüpfung zur Konsole auf dem Desktop müsste sich nun befinden
3. Falls dem so ist, diese neue Verknüpfung rechtsklicken => Als Administrator ausführen => Sicherheitsabfrage von Vista Benutzerkontensteuerung ggf. bestätigen => schwarze Eingabeaufforderung öffnet sich
4. Tipp dort ein: chkdsk x: /f /r /v und bestätige mit enter. => statt x tippst du den Laufwerksbuchstaben deines Sticks ein!
5. Die folgende Abfrage mit j bestätigen und enter drücken.
6. Abwarten bis der Vorgang abgeschlossen ist. Bei großen Partitionen kann es u.U. recht lange dauern. Windows bootet automatisch neu.

Hallo Cosinus,
also die Überprüfung hat leider nichts ergeben. Schade, das heißt dann wohl dass die Dateien weg sind. :heulen:

Und übrigends mache ich regelmäßig Sicherungen meiner Daten, auch von diesem USB-Stick. Die Daten, die mir fehlen habe ich nur einige Tage vor dem Virus auf dem USB-Stick bekommen...

Naja, so ist das eben. Vielen Dank trotzdem für deine Hilfe und weiterhin viel Erfolg mit dem Board. MfG Nicole

Naja abgesehen davon wären wir durch. Was deine PDFs zerstört hat werden wir wohl nicht mehr erfahren

Welche anderen PDF-Reader hast du denn probiert? Da gibt es außer Adobe noch: Sumatra, PDF-X-Change, FoxitReader, auch IrfanView kann PDF lesen

Auch ein Versuch wert: Lad dir mal PDFsam (PDF Split & Merge) von hier => http://www.chip.de/downloads/PDF-Spl..._29495960.html

Vllt kannst du damit zwei kaputte PDF in eine funktionierende wieder gießen (Funktion "merge", mit split kannst du aus einer PDF zB seitenweise mehrere PDF-Dateien wieder machen)

Arbeite bei PDFsam unbedingt mit Sicherheitskopien falls was schiefgeht!