Trojaner-Board - Virus auf Stick löscht Ordner und Dateien

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Virus auf Stick löscht Ordner und Dateien (https://www.trojaner-board.de/97540-virus-stick-loescht-ordner-dateien.html)

Virus auf Stick löscht Ordner und Dateien

Hallo,

ne Idee was das hier sein soll? Hat wohl ein Trojaner gemacht:

Zitat:

%windir%\system32\cmd.exe /c "start %cd%RECYCLER\39BA3EC0237BC1A42088361BE80AAE17.exe&&%windir%\explorer.exe F:\Datensicherung"

Ordner auf USB Stick sind weg. Beim Klicken auf den "Ordner" wird in Wirklichkeit die oben gezeigte Verknüpfung ausgeführt.

:hallo:

Anhand dieser Zeile kann ich jetzt nur vermuten.

%windir%\system32\cmd.exe /c
steht dafür, dass der Befehl via DOS Befehl ausgeführt wird.

"start %cd%RECYCLER\39BA3EC0237BC1A42088361BE80AAE17.exe&&%windir%\explorer.exe F:\Datensicherung"
startet die .exe. Die variable %cd% steht für das verzeichniss wo du gerade bist. Kwasi egal ob das D: F: oder C:\dokumente und Einstellungen ist.

Das && sagt aus, wenn die .exe gefunden und gestartet wurde, also kein Fehler auftritt, führe die Explorer.exe aus.

Was die seltsame .exe Datei da genau macht, kann ich dir nicht sagen :)

Aber sehen wir uns den USB Stick einmal genauer an.

Scan mit SystemLook

Lade SystemLook von jpshortstuff von einem der folgenden Spiegel herunter und speichere das Tool auf dem Desktop.

Download Mirror #1 - Download Mirror #2

Doppelklick auf die SystemLook.exe, um das Tool zu starten.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Kopiere den Inhalt der folgenden Codebox in das Textfeld des Tools:

Note: F: steht für den Laufwerksbuchstaben deines USB Sticks. Sollte dies nicht der richtige Buchstabe sein, bitte anpassen. ( zB C: )

Code:

:dir F: /n*autorun* F: /n*.exe /s F:\Recycler /s
Klicke nun auf den Button Look, um den Scan zu starten.
Wenn der Suchlauf beendet ist, wird sich Dein Editor mit den Ergebnissen öffnen, diese hier in den Thread posten.
Die Ergebnisse werden auf dem Desktop als SystemLook.txt gespeichert.

Vielen Dank für die schnelle Antwort!

Also es sieht so aus als wären neben den Verknüpfungen alle Ordner als schreibgeschützt und versteckt auf der Platte vorhanden!

Hier die Log Datei:
(Wegen Datenschutz entwas entschärft)

Code:

SystemLook 04.09.10 by jpshortstuff

Log created at 12:45 on 16/04/2011 by *

Administrator - Elevation successful
 

========== dir ==========
 

g: - Parameters: "/n*autorun*"
 

---Files---

None found.
 

---Folders---

Musik    d--hs--    [18:37 21/04/2008]

System Volume Information    d--hs--    [18:37 21/04/2008]

*    d--hs--    [18:38 21/04/2008]

Videos    d--hs--    [18:38 21/04/2008]

*d--hs--    [20:22 06/05/2008]

Recycled    d--hs--    [20:30 28/05/2008]

*d--hs--    [18:03 06/11/2008]

*1    d--hs--    [02:18 28/12/2010]

$RECYCLE.BIN    d--hs--    [21:05 07/02/2011]

RECYCLER    d--h---    [19:30 04/04/2011]
 

g: - Parameters: "/n*.exe /s"
 

---Files---

None found.
 

g:\M*   d--hs--    [18:37 21/04/2008]
 

g:\System Volume Information    d--hs--    [18:37 21/04/2008]
 

g:\System Volume Information\_restore{58C9A433-6640-4601-B9C6-4EEB662C1EDC}    d------    [08:06 08/11/2008]
 

g:\System Volume Information\_restore{58C9A433-6640-4601-B9C6-4EEB662C1EDC}\RP184    d------    [08:06 08/11/2008]

A0108473.exe    --a---- 46121008 bytes    [18:26 28/05/2008]    [11:32 26/03/2008]

A0108480.exe    --a---- 377608 bytes    [18:25 28/05/2008]    [02:11 22/03/2007]

A0108481.exe    --a---- 2045960 bytes    [18:25 28/05/2008]    [10:24 13/03/2008]

A0108482.exe    --a---- 2186744 bytes    [18:25 28/05/2008]    [10:24 13/03/2008]

A0108514.exe    --a---- 13385096 bytes    [18:25 28/05/2008]    [12:43 17/10/2007]

A0108515.exe    --a---- 522504 bytes    [18:25 28/05/2008]    [00:51 19/06/2007]

A0108516.exe    --a---- 73728 bytes    [18:25 28/05/2008]    [14:13 03/09/2007]

A0108517.exe    --a---- 188416 bytes    [18:25 28/05/2008]    [14:14 03/09/2007]

A0108518.exe    --a---- 196608 bytes    [18:25 28/05/2008]    [14:13 03/09/2007]

A0108531.exe    --a---- 762949 bytes    [18:25 28/05/2008]    [18:24 28/05/2008]
 

g:\System Volume Information\_restore{58C9A433-6640-4601-B9C6-4EEB662C1EDC}\RP229    d------    [09:47 04/08/2009]

A0271287.exe    --a---- 762949 bytes    [18:03 06/11/2008]    [14:22 28/10/2008]
 

g:\System Volume Information\_restore{58C9A433-6640-4601-B9C6-4EEB662C1EDC}\RP251    d------    [12:03 29/11/2009]
 

g:\System Volume Information\_restore{58C9A433-6640-4601-B9C6-4EEB662C1EDC}\RP298    d------    [18:36 04/10/2010]
 

g:\System Volume Information\_restore{58C9A433-6640-4601-B9C6-4EEB662C1EDC}\RP299    d------    [18:55 18/10/2010]
 

g:\System Volume Information\_restore{58C9A433-6640-4601-B9C6-4EEB662C1EDC}\RP300    d------    [18:56 18/10/2010]
 

g:\System Volume Information\_restore{58C9A433-6640-4601-B9C6-4EEB662C1EDC}\RP332    d------    [12:03 13/03/2011]
 

g:\System Volume Information\_restore{58C9A433-6640-4601-B9C6-4EEB662C1EDC}\RP341    d------    [20:01 04/04/2011]

A0801364.exe    --ah--- 108544 bytes    [19:30 04/04/2011]    [19:02 22/03/2011]
 

g:\System Volume Information\_restore{7592789A-CC23-4BD4-9F2C-1C98F352CE56}    d------    [02:17 28/12/2010]
 

g:\System Volume Information\_restore{7592789A-CC23-4BD4-9F2C-1C98F352CE56}\RP700    d------    [02:17 28/12/2010]
 

g:\System Volume Information\_restore{75CEBD06-C607-4F50-AA2D-823E4BF19722}    d------    [21:27 07/04/2011]
 

g:\System Volume Information\_restore{75CEBD06-C607-4F50-AA2D-823E4BF19722}\RP36    d------    [21:27 07/04/2011]
 

g:\System Volume Information\_restore{61C6C45D-3DF4-433F-B2D7-F6DBB75450EB}    d------    [07:40 16/04/2011]
 

g:\System Volume Information\_restore{61C6C45D-3DF4-433F-B2D7-F6DBB75450EB}\RP147    d------    [07:40 16/04/2011]
 

g:\System Volume Information\_restore{3A2857EE-AA6F-49DB-9BE6-96D62AE6BA4C}    d------    [10:44 16/04/2011]
 

g:\System Volume Information\_restore{3A2857EE-AA6F-49DB-9BE6-96D62AE6BA4C}\RP717    d------    [10:44 16/04/2011]
 

g:\Bilder    d--hs--    [18:38 21/04/2008]
 

g:\Bilder\2010    d------    [18:36 04/10/2010]
 

*
 

g:\Videos    d--hs--    [18:38 21/04/2008]

*

*
 
 
 
 
 

g:\$RECYCLE.BIN    d--hs--    [21:05 07/02/2011]
 

g:\RECYCLER    d--h---    [19:30 04/04/2011]
 

g:\Recycler - Parameters: "/s"
 

---Files---

None found.
 

No folders found.
 

-= EOF =-

Ist G dein USB Stick ?

Ja es handelt sich um eine ext. Festplatte.

Und warum sagst Du mir dann folgendes ?

Zitat:

Ordner auf USB Stick sind weg

Lösche bitte folgenden Ordner. g:\Recycler Ist dir das nicht möglich gib mir bitte bescheid.

ESET Online Scanner
Bitte während der Online-Scans evtl. vorhandene externe Festplatten einschalten! Bitte während der Scans alle Hintergrundwächter (Anti-Virus-Programm, Firewall, Skriptblocking und ähnliches) abstellen und nicht vergessen, alles hinterher wieder einzuschalten.

Anmerkung für Vista und Win7 User: Bitte den Browser unbedingt als Administrator starten.
Dein Anti-Virus-Programm während des Scans deaktivieren.

Button http://img695.imageshack.us/img695/1599/eset1l.jpg (<< klick) drücken.
- Firefox-User:
  Bitte esetsmartinstaller_enu.exe downloaden.Das Firefox-Addon auf dem Desktop speichern und dann installieren.
- IE-User:
  müssen das Installieren eines ActiveX Elements erlauben.
Setze den einen Hacken bei Yes, i accept the Terms of Use.
Drücke den http://img707.imageshack.us/img707/687/starteg.jpg Button.
Warte bis die Komponenten herunter geladen wurden.
Setze einen Haken bei "Scan archives".
Gehe sicher das bei Remove Found Threads kein Hacken gesetzt ist.
http://img707.imageshack.us/img707/687/starteg.jpg drücken.
Die Signaturen werden herunter geladen.Der Scan beginnt automatisch.

Wenn der Scan beendet wurde

Klicke Finish.
Browser schließen.
Explorer öffnen.
C:\Programme\Eset\EsetOnlineScanner\log.txt suchen und mit Deinem Editor öffnen.
Logfile hier posten.

Sorry dachte das macht keinen Unterschied ob Stick oder Festplatte...

Ich habe die Dateien auf die Platte kopiert und mit "attrib -H -S -R "Ordner" /S /D" wieder sichtbar gemacht. Scheint Ok zu sein. Der Scan mit GDATA läuft auf diesen Dateien.

Eset Scan der ext Platte läuft auch.

Hier das Ergebnis:

G:\System Volume Information\_restore{58C9A433-6640-4601-B9C6-4EEB662C1EDC}\RP341\A0801364.exe a variant of Win32/Injector.FOC trojan

Lösche bitte alle vorhandenen Systemwiederherstellungspunkte deines externen Laufwerkes nach folgender Anleitung.

Tipparchiv - Alle Systemwiederherstellungspunkte bis auf den Letzten löschen - WinTotal.de

Wenn sonst keine Probleme vorhanden sind, sind wir hier fertig.

Ok vielen Dank.

Das mit dem attrib Befehl war Ok oder gibt es da noch andere Lösungen?

Ansich scheints Du ja damit etwas vertraut darum habe ich eher keine bedenken, dass Du da Dateien löscht, die man nicht löschen sollte.
Stört es dich, dass Du nun wirklich alle Ordner und Dateien auf deiner externene Festplatte siehst ?

Also ich hab ja die versteckten Dateien vorher auf ne andere Platte gesichert (nur die wichtigen Ordner!) und dort mit dem genannten Befehl sichtbar gemacht. Die ext. Platte hab ich komplett geshreddert mit HardDriveEraser und dann die wichtigen Ordner zurückkopiert. Müsste so auch Ok sein?! Avira, GDATA und ESET finden keinen Virus mehr.

Danke nochmal für die Hilfe und die nützlichen Tools, werd ich vllt. mal wieder brauchen... ;)

Na dann :)

Froh das wir helfen konnten :abklatsch:

Dieses Thema scheint erledigt und wird aus meinen Abos gelöscht. Solltest Du das Thema erneut brauchen schicke mir bitte eine PM.

Jeder andere bitte hier klicken und einen eigenen Thread erstellen