Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Ordner auf USB-Stick nur noch Verknüpfungen! (https://www.trojaner-board.de/129921-ordner-usb-stick-nur-noch-verknuepfungen.html)

NellB 22.01.2013 13:34
Ordner auf USB-Stick nur noch Verknüpfungen!
 
erstamal ein hallo an das board team :-)
folgendes anliegen:
Auf meinem USB stick kann ich nicht mehr auf die Ordner, welche jetzt als Verknüpfung dargestellt sind zugreifen. Den Eigenschaften des Speichersticks kann ich entnehmen das die Dateien eigentlich vorhanden sind

Das Problem besteht seit heute morgen, jedoch kann ich mir nicht erklären woher ich mir nen virus etc. eingefangen haben könnte... Vor mir war an dem gleichen Rechner meine Schwester dran deren Ordner auf ihrem Stick sich damals noch öffnen ließen, nach dem ich an dem pc war jedoch nicht mehr.....am eigenen laptop besteht das selbe problem :(
Es sind sehr wichtige Daten auf dem Stick und ich hoffe ihr könnt mir helfen.

Ich habe bereits antivir und malwarebytes über den stick laufen lassen ohne resultate. Jetzt bin ich gerade dabei an beiden Rechnern (rechner und laptop besser gesagt) einen vollständigen malwarebytes scan durchzuführen.

Da ich annehme das auf beiden rechnern das gleiche problem besteht bleibt bei mir noch die frage ob ich bei einem Thread bleiben kann oder muss ich für den Laptop ein neues Thema öffnen?

Logfiles folgen wenn sie fertig sind....
Was muss ich noch tun?

cosinus 22.01.2013 15:17
:hallo:

Zitat:
Jetzt bin ich gerade dabei an beiden Rechnern (rechner und laptop besser gesagt) einen vollständigen Malwarebytes scan durchzuführen.
Der Übersicht wegen bitte nur Logs von einem Rechner hier posten!
Es ist das reinste Chaos wenn man anfängt mehr als einen Rechner in einem Strang zu analysieren/bereinigen


Zitat:
Ordner auf USB-Stick nur noch Verknüpfungen!
Lass dir zuerst mal alle Dateien anzeigen => http://www.trojaner-board.de/59624-a...-sichtbar.html
Danach sollte auch alle Ordner wieder angezeigt werden - halbtransparent, da sie noch die Atrribute "versteckt" und "system" tragen

Starte anschließend die Eingabeaufforderung über Start, Alle Programme, Zubehör

Musst in der Eingabeauforderung jeweils für jeden versteckten Ordner diesen Befehl ausführen:

Code:
attrib -s -h "x:\ordner" /s /d
x: => Muss angepasst werden, den passenden Buchstaben verwenden
"ordner" muss dann der jew. richtige Ordnername sein

Melde dich wenn du Probleme hast oder du es geschafft hast, dann gehts weiter ;)

NellB 22.01.2013 18:13
Hi, vielen lieben Dank für die Antwort und unterstützung:

anbei folgt der mbam-log (für den Rechner)

Code:
Malwarebytes Anti-Malware 1.70.0.1100
www.malwarebytes.org

Datenbank Version: v2012.12.14.11

Windows Vista Service Pack 2 x64 NTFS
Internet Explorer 8.0.6001.19393
Allgemein :: ALLGEMEIN-PC [Administrator]

22.01.2013 14:26:43
mbam-log-2013-01-22 (14-26-43).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|H:\|I:\|J:\|K:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 909997
Laufzeit: 1 Stunde(n), 43 Minute(n), 8 Sekunde(n)

Infizierte Speicherprozesse: 2
C:\Users\Allgemein\75439967573920484\winsvr.exe (Trojan.Agent) -> 1936 -> Löschen bei Neustart.
C:\Users\Allgemein\7647362256787697709645\winsvc.exe (Trojan.MWF.Gen) -> 3276 -> Löschen bei Neustart.

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 2
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|Windows Service (Trojan.Agent) -> Daten: C:\Users\Allgemein\75439967573920484\winsvr.exe -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|Microsoft Windows Manager (Trojan.MWF.Gen) -> Daten: C:\Users\Allgemein\7647362256787697709645\winsvc.exe -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 2
C:\Users\Allgemein\75439967573920484\winsvr.exe (Trojan.Agent) -> Löschen bei Neustart.
C:\Users\Allgemein\7647362256787697709645\winsvc.exe (Trojan.MWF.Gen) -> Löschen bei Neustart.

(Ende)
die von dir beschriebenen Schritte (eigabeaufforderung usw.) hab ich erfolgreich durchführen und deswegen Gott sei Dank auch auf meine Dokumente zugreifen können. Diese sind jetzt zwischengespeichert.

mir fällt grad auf das ich durch das sichtbar machen aller Dateien eine seltsame .exe datei auf dem Stick hab. Als Symbol kann man ein Bild mit 2 Frauen erkennen, die Datei heißt:

843921.exe
avir und mbam erkennen das ding nicht als Schädling.....ist es denn einer?

cosinus 23.01.2013 11:02
Zitat:
843921.exe
avir und mbam erkennen das ding nicht als Schädling.....ist es denn einer?
Bitte bei uns hochladen => http://www.trojaner-board.de/54791-a...tml#post349565

NellB 23.01.2013 12:22
upload getätigt.
viele grüße

cosinus 23.01.2013 15:57
Ok, beide Dateien bitte umgehend vom Stick löschen!!


Bevor wir uns an die weitere Arbeit machen, möchte ich dich bitten, folgende Punkte vollständig und aufmerksam zu lesen.
  • Lies dir meine Anleitungen, die ich im Laufe dieses Strangs hier posten werde, aufmerksam durch. Frag umgehend nach, wenn dir irgendetwas unklar sein sollte, bevor du anfängst meine Anleitungen umzusetzen.

  • Solltest du bei einem Schritt Probleme haben, stoppe dort und beschreib mir das Problem so gut du kannst. Manchmal erfordert ein Schritt den vorhergehenden.

  • Bitte nur Scans durchführen zu denen du von einem Helfer aufgefordert wurdest! Installiere / Deinstalliere keine Software ohne Aufforderung!

  • Poste die Logfiles direkt in deinen Thread (bitte in CODE-Tags) und nicht als Anhang, ausser du wurdest dazu aufgefordert. Logs in Anhängen erschweren mir das Auswerten!

  • Beachte bitte auch => Löschen von Logfiles und andere Anfragen

Note:
Sollte ich drei Tage nichts von mir hören lassen, so melde dich bitte in diesem Strang => Erinnerung an meinem Thread.
Nervige "Wann geht es weiter" Nachrichten enden mit Schließung deines Themas. Auch ich habe ein Leben abseits des Trojaner-Boards.


Malwarebytes Anti-Rootkit http://img.trojaner-board.de/malware...otkit/logo.png

Downloade dir bitte Malwarebytes Anti-Rootkit und speichere es auf deinem Desktop.
  • Entpacke das Archiv auf deinem Desktop.
  • Im neu erstellten Ordner starte bitte die mbar.exe.
  • Folge den Anweisungen auf deinem Bildschirm und erlaube dem Tool, dein System zu scannen.
  • Klicke auf den CleanUp Button und erlaube den Neustart.
  • Während dem Neustart wird MBAR die gefundenen Objekte entfernen, also bleib geduldig.
  • Nach dem Neustart starte die mbar.exe erneut.
  • Sollte nochmal was gefunden werden, wiederhole den CleanUp Prozess.
Das Tool wird im erstellten Ordner eine Logfile ( mbar-log-<Jahr-Monat-Tag>.txt ) erzeugen. Bitte poste diese hier.

Starte keine andere Datei in diesem Ordner ohne Anweisung eines Helfers

NellB 23.01.2013 21:24
Hi, keine Sorge ich werd euch schon keinen druck machen, im gegenteil, ich respektiere eure arbeit hier auf dem trojaner board total und finde die hilfe hier einfach nur super!

Ok und los gehts mit dem ersten mbar log:

Code:
Malwarebytes Anti-Rootkit BETA 1.01.0.1016
www.malwarebytes.org

Database version: v2013.01.23.08

Windows Vista Service Pack 2 x64 NTFS
Internet Explorer 8.0.6001.19393
Allgemein :: ALLGEMEIN-PC [administrator]

23.01.2013 16:59:04
mbar-log-2013-01-23 (16-59-04).txt

Scan type: Quick scan
Scan options enabled: Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken | PUP | PUM | P2P
Scan options disabled:
Objects scanned: 33380
Time elapsed: 29 minute(s), 43 second(s)

Memory Processes Detected: 0
(No malicious items detected)

Memory Modules Detected: 0
(No malicious items detected)

Registry Keys Detected: 0
(No malicious items detected)

Registry Values Detected: 0
(No malicious items detected)

Registry Data Items Detected: 0
(No malicious items detected)

Folders Detected: 0
(No malicious items detected)

Files Detected: 6
c:\Users\Allgemein\AppData\Local\Temp\390151.exe (Trojan.Agent) -> Delete on reboot.
c:\Users\Allgemein\AppData\Local\Temp\3600000291.exe (Trojan.Agent) -> Delete on reboot.
c:\Users\Allgemein\AppData\Local\Temp\3749900095.exe (Trojan.Agent) -> Delete on reboot.
c:\Users\Allgemein\AppData\Local\Temp\1674634691.exe (Trojan.0Access) -> Delete on reboot.
c:\Users\Allgemein\AppData\Local\Temp\218497.exe (Trojan.Agent) -> Delete on reboot.
c:\Users\Allgemein\Downloads\IMG04024020-JPG.scr (Trojan.Agent) -> Delete on reboot.

(end)
ich bin nen wenig schockiert das noch 6 mal schädliche software gefunden wurde Oo
zum glück sieht der 2. durchlauf schon besser aus:

Code:
Malwarebytes Anti-Rootkit BETA 1.01.0.1016
www.malwarebytes.org

Database version: v2013.01.23.08

Windows Vista Service Pack 2 x64 NTFS
Internet Explorer 8.0.6001.19393
Allgemein :: ALLGEMEIN-PC [administrator]

23.01.2013 17:39:45
mbar-log-2013-01-23 (17-39-45).txt

Scan type: Quick scan
Scan options enabled: Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken | PUP | PUM | P2P
Scan options disabled:
Objects scanned: 33371
Time elapsed: 32 minute(s), 18 second(s)

Memory Processes Detected: 0
(No malicious items detected)

Memory Modules Detected: 0
(No malicious items detected)

Registry Keys Detected: 0
(No malicious items detected)

Registry Values Detected: 0
(No malicious items detected)

Registry Data Items Detected: 0
(No malicious items detected)

Folders Detected: 0
(No malicious items detected)

Files Detected: 0
(No malicious items detected)

(end)

cosinus 23.01.2013 23:02
Du hast ZeroAccess!! Machst Du OnlineBanking?

NellB 24.01.2013 11:07
......lang her, ich weiss nicht wann ich das letzte mal an diesem rechner online banking gemacht hab (anfang oder mitte letzten jahres schätze ich), aber ja, ich nutze ab und an online banking der deutschen bank, da ich viel unterwegs bin und nicht in jedem pampdorf zugang zum konto habe....jetzt hab ich angst.....

cosinus 24.01.2013 11:12
Also, dann solltest du eine komplette Neuinstallation in Erwägung ziehen. Ist einfach sicherer.
Oder willst du unbedingt reinigen? :)

NellB 24.01.2013 11:16
ich lese grad das man sich ZeroAccess gerne als mitbringsel zu gecrackter software holt, und möchte an dieser stelle betonen das ich keine illegale software auf dem rechner habe !
:(

neee, ich setze neu auf ..... ist einfach sicherer! das gleiche mach ich dann auch mit meinem laptop und dann hat sich die sache damit gegessen.
Hast du noch irgendwelche tipps wie man sich in zukunft schützen soll? immer die neusten updates und avir scheinen ja nicht ganz auszureichen.

vielen dank für die hilfe und einen gruß an die trojaner board community

cosinus 24.01.2013 11:44
Zitat:
ich lese grad das man sich ZeroAccess gerne als mitbringsel zu gecrackter software holt
Das ist möglich, den kann man sich aber auch über andere Wege "installieren"
Es muss also nicht gecrackte Software gewesen sein


Alle Zeitangaben in WEZ +1. Es ist jetzt 00:40 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131