Ich habe seit 3 Tagen einen Virus auf meinem PC, der erst meinen mp3 player (creative muvo) angegriffen hat, dann auf die externe Festplatte und nun auf den gesamten PC übergegriffen ist. Die Ordner werden alle nur noch als Verknüpfung zu: %windir%\system32\cmd.exe /c "start %cd%RECYCLER\40109cb.exe &&%windir%\explorer.exe %cd%Admin angezeigt, wenn ich sie öffnen will kommt folgende Fehlermeldung: G:\RECYCLER\40109cb.exe konnte nicht gefunden werden.
Daraufhin habe ich die Malware heruntergeladen und einige Viren entfernt bzw. in die Quarantäne gestellt und meinen mp3 player formatiert, der geht nun wieder. Aber bei den anderen Laufwerken sind die Verknüpfungen noch da. Was kann ich tun? Ich möchte die Daten nicht verlieren. Bei einem vollständigem Scan werden keine weiteren infizierten Dateien gefunden. Was mache ich mit denen in der Quarantäne?

Ohne die Logs von Malwarebytes und Co wird das hier nichts.
Alles von Malwarebytes (und evtl. anderen Scannern) muss hier gepostet werden.

Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code: Alles auswählenAufklappen

ATTFilter

 hier steht das Log
         

Code: Alles auswählenAufklappen

ATTFilter

 Malwarebytes Anti-Malware  (Test) 1.62.0.1300
www.malwarebytes.org

Datenbank Version: v2012.07.23.10

Windows 7 Service Pack 1 x86 NTFS
Internet Explorer 9.0.8112.16421
Daniela :: DANIELA-PC [Administrator]

Schutz: Aktiviert

23.07.2012 20:15:00
mbam-log-2012-07-23 (20-15-00).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 182456
Laufzeit: 8 Minute(n), 52 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|Cgbkbm (Trojan.VUPX.PSG1) -> Daten: C:\Users\Daniela\AppData\Roaming\Cgbkbm.exe -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 1
C:\Users\Daniela\AppData\Roaming\Cgbkbm.exe (Trojan.VUPX.PSG1) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)
         

es sind mehrere log dateien. reicht die eine erst einmal?

Wenn es zuviele sind, dann wenigstens alle wo Funde sind, aber am besten alle!

Code: Alles auswählenAufklappen

ATTFilter

 Malwarebytes Anti-Malware  (Test) 1.62.0.1300
www.malwarebytes.org

Datenbank Version: v2012.07.23.10

Windows 7 Service Pack 1 x86 NTFS
Internet Explorer 9.0.8112.16421
Daniela :: DANIELA-PC [Administrator]

Schutz: Aktiviert

23.07.2012 20:33:15
mbam-log-2012-07-23 (20-33-15).txt

Art des Suchlaufs: Benutzerdefinierter Suchlauf (E:\|)
Aktivierte Suchlaufeinstellungen: Dateisystem | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Heuristiks/Extra | P2P
Durchsuchte Objekte: 25
Laufzeit: 22 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 1
E:\RECYCLER\40109cb.exe (Trojan.VUPX.PSG1) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)
         

Code: Alles auswählenAufklappen

ATTFilter

 Malwarebytes Anti-Malware  (Test) 1.62.0.1300
www.malwarebytes.org

Datenbank Version: v2012.07.23.10

Windows 7 Service Pack 1 x86 NTFS
Internet Explorer 9.0.8112.16421
Daniela :: DANIELA-PC [Administrator]

Schutz: Aktiviert

23.07.2012 21:38:30
mbam-log-2012-07-23 (21-38-30).txt

Art des Suchlaufs: Benutzerdefinierter Suchlauf (G:\|)
Aktivierte Suchlaufeinstellungen: Dateisystem | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Heuristiks/Extra | P2P
Durchsuchte Objekte: 17869
Laufzeit: 14 Minute(n), 40 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 1
G:\RECYCLER\40109cb.exe (Trojan.VUPX.PSG1) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)
         

Das sind alle Log Dateien, bei denen infizierte Dateien gefunden wurden.

Bitte erstmal routinemäßig einen Vollscan mit Malwarebytes machen und Log posten. =>ALLE lokalen Datenträger (außer CD/DVD) überprüfen lassen!
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Die Funde mit Malwarebytes bitte alle entfernen, sodass sie in der Quarantäne von Malwarebytes aufgehoben werden! NICHTS voreilig aus der Quarantäne entfernen!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!



ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code: Alles auswählenAufklappen

ATTFilter

 hier steht das Log
         

hier schon mal der malware log nach dem vollscan:

Code: Alles auswählenAufklappen

ATTFilter

 Malwarebytes Anti-Malware  (Test) 1.62.0.1300
www.malwarebytes.org

Datenbank Version: v2012.08.04.04

Windows 7 Service Pack 1 x86 NTFS
Internet Explorer 9.0.8112.16421
Daniela :: DANIELA-PC [Administrator]

Schutz: Aktiviert

04.08.2012 16:35:56
mbam-log-2012-08-04 (16-35-56).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|G:\|Q:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 292703
Laufzeit: 1 Stunde(n), 14 Minute(n), 39 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)
         

Und hier das Eset Scan, Es wurden 13 threats gefunden. sind diese nun gelöscht nachdem ich finish gedrückt habe?

Code: Alles auswählenAufklappen

ATTFilter

 ESETSmartInstaller@High as downloader log:
all ok
ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=257332464338fd47b64559a6aa7c37bf
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-08-04 07:09:48
# local_time=2012-08-04 09:09:48 (+0100, Mitteleuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=6.1.7601 NT Service Pack 1
# compatibility_mode=512 16777215 100 0 38857792 38857792 0 0
# compatibility_mode=5893 16776573 100 94 1061 95727730 0 0
# compatibility_mode=8192 67108863 100 0 245943 245943 0 0
# scanned=117259
# found=13
# cleaned=0
# scan_time=10849
G:\Admin.lnk	Win32/Dorkbot.D worm (unable to clean)	00000000000000000000000000000000	I
G:\Eigene Videos.lnk	Win32/Dorkbot.D worm (unable to clean)	00000000000000000000000000000000	I
G:\Fotos.lnk	Win32/Dorkbot.D worm (unable to clean)	00000000000000000000000000000000	I
G:\Geschichte.lnk	Win32/Dorkbot.D worm (unable to clean)	00000000000000000000000000000000	I
G:\Hörspiele.lnk	Win32/Dorkbot.D worm (unable to clean)	00000000000000000000000000000000	I
G:\Job.lnk	Win32/Dorkbot.D worm (unable to clean)	00000000000000000000000000000000	I
G:\Movies.lnk	Win32/Dorkbot.D worm (unable to clean)	00000000000000000000000000000000	I
G:\Musik.lnk	Win32/Dorkbot.D worm (unable to clean)	00000000000000000000000000000000	I
G:\Seagate.lnk	Win32/Dorkbot.D worm (unable to clean)	00000000000000000000000000000000	I
G:\Serien.lnk	Win32/Dorkbot.D worm (unable to clean)	00000000000000000000000000000000	I
G:\Steuer.lnk	Win32/Dorkbot.D worm (unable to clean)	00000000000000000000000000000000	I
G:\$RECYCLE.BIN\S-1-5-21-968984175-4078172518-2025159450-1000\$RNO3QB2.lnk	Win32/Dorkbot.D worm (unable to clean)	00000000000000000000000000000000	I
G:\$RECYCLE.BIN\S-1-5-21-968984175-4078172518-2025159450-1000\$RVDWBU8.lnk	Win32/Dorkbot.D worm (unable to clean)	00000000000000000000000000000000	I
         

Downloade dir bitte unhide.exe und speichere diese Datei auf deinem Desktop.
Starte das Tool und es sollten alle Dateien und Ordner wieder sichtbar sein. ( Könnte eine Weile dauern )
Vista und 7 User müssen das Tool per Rechtsklick als Administrator ausführen!

Danke für Deine Antwort, leider sind die Dateien auf meiner externen Festplatte immernoch als Verknüpfung angezeigt und ich kann nicht arauf zugreifen. Trotz Neustart. Was kann ich tun?

Lass dir zuerst mal alle Dateien anzeigen => http://www.trojaner-board.de/59624-a...-sichtbar.html
Danach sollte auch alle Ordner wieder angezeigt werden - halbtransparent, da sie noch die Atrribute "versteckt" und "system" tragen

Starte anschließend die Eingabeaufforderung über Start, Alle Programme, Zubehör

Musst in der Eingabeauforderung jeweils für jeden versteckten Ordner diesen Befehl ausführen:

Code: Alles auswählenAufklappen

ATTFilter

attrib -s -h "x:\ordner" /s /d
         

x: => Muss angepasst werden, den passenden Buchstaben verwenden
"ordner" muss dann der jew. richtige Ordnername sein

Vgl. diesen Strang => http://www.trojaner-board.de/102950-...traeger-2.html

Wenn ich in der Eingabeaufforderung nach c:\Users\Daniela> Folgendes eingebe:
attrib -s -h "G:\Admin" /s /d

passiert nichts. Was mache ich falsch?

Die Dateien muss ich nicht sichtbar machen, ich sehe die Ordner, aber sie liegen immernoch unter C:\Windows\System32

Was heißt es passiert nichts?!
In der Konsole gibt es auch nichts, da kommt keine Meldung oder so
Der Befehl ändert einfach nur die Attribute
Dein G:\Admin sollte nun sichtbar sein und auch nicht mehr halbtransparent!

Der Ordner ist immernoch als Verknüpfung angezeigt und lässt sich nicht öffnen. Folgende Fehlermeldung erfolgt (siehe anhang).

Dann machst du etwas falsch
Zudem muss ich noch erwähnen, dass du die Verküpfungen löschen musst mit

del G:\*.lnk

dann sollten nur noch die Ordner zu sehen sein

Super nun hat es geklappt! Tausend Dank!