Hallo,

ich habe hier ein Problem zu dem es schon ein paar Threads aber keine echte Lösung gibt. Auf meinen beiden externen Platten finden sich nur noch Verknüpfungen statt der Ordner. Klicke ich diese Verknüpfungen an, komme ich aber zu den Ordner. In den Verknüpfungen steht als Pfad etwas von "Recycling", hoffe es wurde nichts gelöscht.

Ich habe mal einen Komplett-Scan mit AntiVir (free) gemacht und alles gefundenen löschen lassen, ohne Ergebnis. Ein weiteren Vollscan mit Malwarebytes fand jedoch weiterhin Sachen, auch diese wurden gelöscht. Weiterhin habe ich 2 Durchläufe mit OTR gemacht, die Logs habe ich beigelegt.

Merkwürdig fand ich folgendes: Komplettscan mit Malwarebytes, alles gelöscht. Dann noch ein Scan und wieder was gefunden. Wieder gelöscht. Dann Internetverbindung getrennt und noch ein Komplettscan, jetzt nichts mehr gefunden. Die Verknüpfungen sind aber weiterhin da. Auch hab ich jetzt nur noch Verknüpfungen, wenn ich vom Laptop aus mit Windows XP zugreife. Ich habe sonst Windows 7 x64.

edit
Den Flash Disinfector habe ich versucht, es passiert aber nichts, d.h. gar nichts. Keine Meldungen über Start oder Ende des Vorgangs. Auch wenn ich es mit Admin-Rechten ausführe.

Zitat:

========== OTL ==========
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom\\AutoRun|DWORD:1 /E : value set successfully!
File not found.
Unable to delete ADS C:\ProgramData\Temp:93DE1838 .
Unable to delete ADS C:\ProgramData\Temp:ABE89FFE .
Unable to delete ADS C:\ProgramData\Temp:0B9176C0 .
Unable to delete ADS C:\ProgramData\Temp:4CF61E54 .
========== COMMANDS ==========
C:\Windows\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully

OTL by OldTimer - Version 3.2.26.5 log created on 08202011_232358

Zitat:

Malwarebytes' Anti-Malware 1.51.1.1800
www.malwarebytes.org

Datenbank Version: 7520

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

20.08.2011 22:07:49
mbam-log-2011-08-20 (22-07-49).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|F:\|G:\|H:\|I:\|J:\|L:\|N:\|)
Durchsuchte Objekte: 449863
Laufzeit: 40 Minute(n), 58 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 1
Infizierte Registrierungsschlüssel: 6
Infizierte Registrierungswerte: 6
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 7

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
c:\program files (x86)\pdfforge toolbar\IE\4.5\pdfforgetoolbarie.dll (PUP.Dealio.TB) -> Delete on reboot.

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\CLSID\{B922D405-6D13-4A2B-AE89-08A030DA4402} (PUP.Dealio.TB) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{B922D405-6D13-4A2B-AE89-08A030DA4402} (PUP.Dealio.TB) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{B922D405-6D13-4A2B-AE89-08A030DA4402} (PUP.Dealio.TB) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{B922D405-6D13-4A2B-AE89-08A030DA4402} (PUP.Dealio.TB) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{MQ5I1YAW-3L4G-N10E-2EU0-LX44AJHAX552} (Backdoor.SpyNet) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{MQ5I1YAW-3L4G-N10E-2EU0-LX44AJHAX552} (Backdoor.SpyNet) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks\{B922D405-6D13-4A2B-AE89-08A030DA4402} (PUP.Dealio.TB) -> Value: {B922D405-6D13-4A2B-AE89-08A030DA4402} -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{B922D405-6D13-4A2B-AE89-08A030DA4402} (PUP.Dealio.TB) -> Value: {B922D405-6D13-4A2B-AE89-08A030DA4402} -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\HKLM (Backdoor.SpyNet) -> Value: HKLM -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\Policies (Backdoor.SpyNet) -> Value: Policies -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\HKCU (Backdoor.SpyNet) -> Value: HKCU -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\Policies (Backdoor.SpyNet) -> Value: Policies -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\program files (x86)\pdfforge toolbar\IE\4.5\pdfforgetoolbarie.dll (PUP.Dealio.TB) -> Quarantined and deleted successfully.
e:\program files (x86)\autostartadministrator\lothargeisinger.de.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
e:\program files (x86)\autostartadministrator\uninstall.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
c:\Users\desktop-win7\AppData\Roaming\cglogs.dat (Malware.Trace) -> Quarantined and deleted successfully.
c:\Users\desktop-win7\AppData\Local\Temp\UuU.uUu (Malware.Trace) -> Quarantined and deleted successfully.
c:\Windows\install\server.exe (Backdoor.SpyNet) -> Quarantined and deleted successfully.

Nachtrag:
Ich habe jetzt unter Windows 7 mit dem Tool Autorunsettings alle Autorun-Einstellungen deaktiviert. Frage wäre nun noch, ob das Anzeigen der Ordner als Verknüpfung eine Folge sind wenn ein Schädlich auf dem System ist oder ob dies die "Folge seines Handelns" ist und demnach auch noch bleibt, wenn ich den Schädling entfernt habe. Ich habe im Moment keine ausreichend große externe Festplatte um über eine Linux-Live-CD die Daten zu retten.

Nachtrag1:
Da auch von meinem Laptop aus die Ordner als Verknüpfung angezeigt wurden, habe ich auch hier Malwarebytes installiert, aktualisiert, Netzwerkverbindung getrennt und einen Komplettscan machen lassen. Funde wurden alle gelöscht. Dann Neustart, 2 USB-Stick auf denen das Verknüpfungsproblem auftritt angeschlossen und nochmal ein Komplettscan, diesmal ohne Funde. Dann Sticks formatiert (Schnellformatierung unter XP), ein paar Ordner zu Testzwecken draufkopiert und Neustart. Jetzt sind die Ordner wieder zu Verknüpfungen geworden.

Hallo,

ich hab hier noch die Defogger-Logs. Nach dem Neustart wurde mir eine Meldung angezeigt, dass ein Profil nicht geladen werden konnte.

Zitat:

defogger_disable by jpshortstuff (23.02.10.1)
Log created at 11:33 on 22/08/2011 (desktop-win7)

Checking for autostart values...
HKCU\~\Run values retrieved.
HKLM\~\Run values retrieved.

Checking for services/drivers...
SPTD -> Disabled (Service running -> reboot required)


-=E.O.F=-

Zitat:

defogger_enable by jpshortstuff (23.02.10.1)
Log created at 11:29 on 22/08/2011 (desktop-win7)

Parsing file...
SPTD -> Enabled (0)


-=E.O.F=-