Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Ordner auf USB-Sticks werden nur als Verknüpfung dargestellt

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 05.10.2011, 22:25   #1
löschel
 
Ordner auf USB-Sticks werden nur als Verknüpfung dargestellt - Standard

Ordner auf USB-Sticks werden nur als Verknüpfung dargestellt



Hallo

zu diesem Problem gibt es bereits einige Beiträge, allerdings gelingt es mir nicht, die dort empfohlenen Maßnahmen bzw. vorbereitenden Scans vollständig durchzuführen, so dass ich um Hilfe bitten muss.
Generell erscheinen die Ordner auf zwei Sticks nur noch als Verknüfung und lassen sich nicht mehr öffnen. Das Problem tauchte erstmals auf, als die Sticks beim Hochfahren des Rechners noch am Rechner steckten.
Zu den Problemen bei der Umsetzung der Hinweise aus dem Forum:
1. Zunächst gelingt nicht die Durchführung von Defogger, die defogger_disable Datei poste ich.
2. Dann wird der OTL-Scan nicht zu Ende geführt, er hängt bei "Manual File Scan - Getting folder structure ...", schließlich erscheint beim klicken aufs OTL-Fenster "Out of Memory".
3. Schließlich versuchte ich den ESET Online Scanner anzuwenden, leider meldet er einen Fehler mit den Proxy-Einstellungen, den ich nicht beheben kann. Als Administrator bin ich angemeldet, daran sollte es nicht liegen. Proxy-Einstellungsfelder gibt es allerdings meines Erachtens generell bei meinem Rechner (Antivir kann z. B. nicht mehr updaten).

Der Scan mit Malwarebytes förderte etliche Probleme zu Tage, er zeigt nun keine weiteren infizierten Objekte.

Ich hoffe, dass ihr mir helfen könnt, und bedanke mir im Voraus für die Hilfe

Viele Grüße Löschel

Die Scans ergaben:
Malwarebytes Rechner:
Zitat:
Malwarebytes' Anti-Malware 1.51.2.1300
www.malwarebytes.org

Datenbank Version: 7796

Windows 6.1.7601 Service Pack 1
Internet Explorer 8.0.7601.17514

25.09.2011 20:23:20
mbam-log-2011-09-25 (20-23-20).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 171185
Laufzeit: 4 Minute(n), 35 Sekunde(n)

Infizierte Speicherprozesse: 1
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 3
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 4

Infizierte Speicherprozesse:
c:\Users\Dabu\m-1-52-5782-8752-5245\winsvc.exe (Trojan.FakeAlert) -> 3696 -> Unloaded process successfully.

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Microsoft® Windows Update (Trojan.FakeAlert) -> Value: Microsoft® Windows Update -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Load (Trojan.Agent) -> Value: Load -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Hijack.Shell.Gen) -> Value: Shell -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\Users\Dabu\m-1-52-5782-8752-5245\winsvc.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
c:\Users\Dabu\AppData\Local\Temp\8343496.exe (Spyware.Agent) -> Quarantined and deleted successfully.
c:\Users\Dabu\downloads\flvplayersetup.exe (Adware.Agent) -> Quarantined and deleted successfully.
c:\Users\Dabu\downloads\installer_wavelab_6_1_1_353_deutsch.exe (PUP.SmsPay.PGen) -> Quarantined and deleted successfully.
Zum Stick 1:
Zitat:
Malwarebytes' Anti-Malware 1.51.2.1300
www.malwarebytes.org

Datenbank Version: 7796

Windows 6.1.7601 Service Pack 1
Internet Explorer 8.0.7601.17514

25.09.2011 20:31:18
mbam-log-2011-09-25 (20-31-18).txt

Art des Suchlaufs: Vollständiger Suchlauf (I:\|J:\|)
Durchsuchte Objekte: 168973
Laufzeit: 3 Minute(n), 28 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 13

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
j:\84612795\Physik.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
j:\84612795\energie wettbewerb.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
j:\84612795\zeugnisse.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
j:\84612795\braunscheroehre.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
j:\84612795\piko.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
j:\84612795\Schule.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
j:\84612795\portable apps.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
j:\84612795\applets.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
j:\84612795\2011_02_pec.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
j:\84612795\fortbildungbeschlbew9.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
j:\84612795\caspar.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
j:\84612795\2007_08_hohe tauern.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
j:\84612795\2008_08_maria_lasörling.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
Und zum Stick 2:
Zitat:
Malwarebytes' Anti-Malware 1.51.2.1300
www.malwarebytes.org

Datenbank Version: 7796

Windows 6.1.7601 Service Pack 1
Internet Explorer 8.0.7601.17514

25.09.2011 20:37:11
mbam-log-2011-09-25 (20-37-11).txt

Art des Suchlaufs: Vollständiger Suchlauf (F:\|)
Durchsuchte Objekte: 162141
Laufzeit: 1 Minute(n), 50 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 35

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
f:\84612795\.trashes.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
f:\84612795\Tutorium.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
f:\84612795\physlet.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
f:\84612795\schulrechner_mai09.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
f:\84612795\runder tisch.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
f:\84612795\milllikan versuch (sv).exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
f:\84612795\doku_mechanik_einheit.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
f:\84612795\zeugnisse9-3_ende9.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
f:\84612795\Tutor.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
f:\84612795\Fliegen.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
f:\84612795\Physik.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
f:\84612795\zeugnisse10_3_sj08_09_hj1.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
f:\84612795\batteriebauprojekt.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
f:\84612795\piko_geschwindigkeit.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
f:\84612795\fotos_ludwig.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
f:\84612795\piko_kontexttag_03_2010_geschw_aufgabenkultur.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
f:\84612795\friedrich der große.key.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
f:\84612795\5 jahre unilab.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
f:\84612795\entdeckungen_br.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
f:\84612795\a_s_verhalten07.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
f:\84612795\zeugnisformulare.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
f:\84612795\wärmetransport_expl.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
f:\84612795\piko speicherkraftwerke.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
f:\84612795\zeugnisse10-3_ende.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
f:\84612795\regelbeurteilung.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
f:\84612795\briefe_von_tutoren_an_die_elte.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
f:\84612795\jahrgangsleitung.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
f:\84612795\musik_transfer.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
f:\84612795\rixdorf-ralley.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
f:\84612795\konferenzvorlage 8_3.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
f:\84612795\mails.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
f:\84612795\Piko.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
f:\84612795\mittelstufe.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
f:\84612795\zeugnisse9_3_sj07_08-1.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
f:\84612795\fortb_ludwigsl_feb08_laptop.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
Der defogger_disable Log lautet:
Zitat:
defogger_disable by jpshortstuff (23.02.10.1)
Log created at 19:55 on 05/10/2011 (Dabu)

Checking for autostart values...
HKCU\~\Run values retrieved.
HKLM\~\Run values retrieved.

Checking for services/drivers...


-=E.O.F=-
Die Gmer-Datei lautet:
GMER Logfile:
Code:
ATTFilter
GMER 1.0.15.15641 - hxxp://www.gmer.net
Rootkit scan 2011-10-05 21:19:26
Windows 6.1.7601 Service Pack 1 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP2T0L0-4 WDC_WD5000AACS-00ZUB0 rev.01.01B01
Running: mlqynm12.exe; Driver: C:\Users\Dabu\AppData\Local\Temp\fxdoapoc.sys


---- System - GMER 1.0.15 ----

SSDT            8FA632B6                                ZwCreateSection
SSDT            8FA632BB                                ZwSetContextThread
SSDT            8FA63257                                ZwTerminateProcess

---- Kernel code sections - GMER 1.0.15 ----

.text           ntkrnlpa.exe!ZwSaveKey + 13D1           82A87349 1 Byte  [06]
.text           ntkrnlpa.exe!KiDispatchInterrupt + 5A2  82AC0D52 19 Bytes  [E0, 0F, BA, F0, 07, 73, 09, ...] {LOOPNZ 0x11; MOV EDX, 0x97307f0; MOV CR4, EAX; OR AL, 0x80; MOV CR4, EAX; RET ; MOV ECX, CR3}
.text           ntkrnlpa.exe!KeRemoveQueueEx + 11F7     82AC7EAC 4 Bytes  [B6, 32, A6, 8F]
.text           ntkrnlpa.exe!KeRemoveQueueEx + 1597     82AC824C 4 Bytes  [BB, 32, A6, 8F]
.text           ntkrnlpa.exe!KeRemoveQueueEx + 166F     82AC8324 4 Bytes  [57, 32, A6, 8F]

---- Devices - GMER 1.0.15 ----

Device          \Driver\ACPI_HAL \Device\00000047       halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation)

AttachedDevice  \Driver\volmgr \Device\HarddiskVolume1  fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice  \Driver\volmgr \Device\HarddiskVolume2  fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice  \Driver\volmgr \Device\HarddiskVolume3  fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice  \Driver\volmgr \Device\HarddiskVolume4  fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice  \Driver\volmgr \Device\HarddiskVolume5  fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice  \FileSystem\fastfat \Fat                fltmgr.sys (Microsoft Dateisystem-Filter-Manager/Microsoft Corporation)

---- EOF - GMER 1.0.15 ----
         
--- --- ---

Geändert von löschel (05.10.2011 um 22:41 Uhr)

Alt 05.10.2011, 23:19   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Ordner auf USB-Sticks werden nur als Verknüpfung dargestellt - Standard

Ordner auf USB-Sticks werden nur als Verknüpfung dargestellt



Malwarebytes bitte aktualisieren und einen Vollscan von jedem Datenträger machen (außer CD oder DVD)

Zitat:
Als Administrator bin ich angemeldet, daran sollte es nicht liegen. Proxy-Einstellungsfelder gibt es allerdings meines Erachtens generell bei meinem Rechner (Antivir kann z. B. nicht mehr updaten).
In jeder ESET-Anleitung hier steht, dass man den Browser per Rechtsklick als Administrator ausführen musst, einfach nur als Admin angemeldet sein reicht nicht aus!
__________________

__________________

Alt 06.10.2011, 10:47   #3
löschel
 
Ordner auf USB-Sticks werden nur als Verknüpfung dargestellt - Standard

Ordner auf USB-Sticks werden nur als Verknüpfung dargestellt



Hallo Arne,

danke für die Antwort, aber das habe ich schon verstanden, mich aber nicht eindeutig ausgedrückt. Auch per Ausführung als Administrator klappt es nicht, da er nicht updaten kann, er fragt dann ob proxy konfiguriert ist. Updates gelingen generell nicht (auch Windows Update, dort kommt es zum Fehler Code8002EFD, wie ich gerade festegestellt habe).

Gruß Löschel
__________________

Alt 06.10.2011, 14:41   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Ordner auf USB-Sticks werden nur als Verknüpfung dargestellt - Standard

Ordner auf USB-Sticks werden nur als Verknüpfung dargestellt



Prüfen => http://www.trojaner-board.de/94344-p...n-pruefen.html
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 06.10.2011, 15:14   #5
löschel
 
Ordner auf USB-Sticks werden nur als Verknüpfung dargestellt - Standard

Ordner auf USB-Sticks werden nur als Verknüpfung dargestellt



Hallo Arne,

danke für den Hinweis, ich habe tatsächlich mit HijackThis eine entsprechende Zeile gefunden
Zitat:
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:49293
Bei den Browsern kann ich die Einstellung auf "automatisch erkennen" auch vornehmen, so kann ich mit Firefox oder dem IE ins Internet. Beim Internetexplorer kann ich die Proxy-Umstellung allerdings nicht bei "Einstellungen" vornehmen, der Button ist nicht aktiv (wohl weil auch keine Verbindung im nebenstehenden Fenster steht, siehe screenshot) [IMG]C:\Users\Dabu\Desktop\IE_Internetoptionen[/IMG] .
Das hilft aber nicht bei dem Problem, dass das Updaten von anderen Programmen (Windows Update, Avira oder eben ESET) nicht funktioniert.

Gruß Uli

Miniaturansicht angehängter Grafiken
-ie_internetoptionen.jpg  

Alt 06.10.2011, 15:26   #6
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Ordner auf USB-Sticks werden nur als Verknüpfung dargestellt - Standard

Ordner auf USB-Sticks werden nur als Verknüpfung dargestellt



Malwarebytes lässt sich auch nciht updaten? Prüf mal in den Einstellungen von Malwarebytes, ob da auch ein Proxy eingetragen ist.
__________________
--> Ordner auf USB-Sticks werden nur als Verknüpfung dargestellt

Alt 06.10.2011, 20:04   #7
löschel
 
Ordner auf USB-Sticks werden nur als Verknüpfung dargestellt - Standard

Ordner auf USB-Sticks werden nur als Verknüpfung dargestellt



Hallo Arne,

der Malwarebytes-Update hat immer funktioniert. Inzwischen bin ich auch soweit, dass die Updates funktionieren, ging mit dem Fix von HijackThis.
So hat inzwischen der Eset-Scan funktioniert, deshalb hat das bei mir auch so lange gedauert mit der Antwort. Leider besteht das oben geschilderte Problem mit OTL weiterhin. Vielleicht reichen aber die geposteten logs um weiter zu kommen.
Vielen Dank noch einmal und Gruß
Uli
Angehängte Dateien
Dateityp: txt log.txt (8,6 KB, 168x aufgerufen)

Alt 06.10.2011, 21:47   #8
löschel
 
Ordner auf USB-Sticks werden nur als Verknüpfung dargestellt - Standard

Ordner auf USB-Sticks werden nur als Verknüpfung dargestellt



Sorry, ich habe noch die aktualisierten Malware-Scans vergessen:
Für die Laufwerke D, C sowie die beiden usb-Sticks
Gruß Löschel
Angehängte Dateien
Dateityp: txt mbam-log-2011-10-06 (21-40-20).txt (1,0 KB, 190x aufgerufen)
Dateityp: txt mbam-log-2011-10-06 (21-33-36).txt (1,2 KB, 161x aufgerufen)
Dateityp: txt mbam-log-2011-10-06 (20-23-53).txt (1,0 KB, 202x aufgerufen)
Dateityp: txt mbam-log-2011-10-06 (20-18-34).txt (1,0 KB, 156x aufgerufen)

Alt 07.10.2011, 15:45   #9
löschel
 
Ordner auf USB-Sticks werden nur als Verknüpfung dargestellt - Standard

Ordner auf USB-Sticks werden nur als Verknüpfung dargestellt



Hallo Arne,

Beim erneuten Hochfahren (wegen eines automatischen Windows-Updates) bei dem die beiden Sticks noch am Rechner hingen, haben sich merkwürdige Dateien auf dem Desktop ergeben (siehe Bild). Ich habe dann noch einmal Eset-Scann darüber laufen lassen, er hat leider auch noch mehr gefunden, d.h. beim Booten mit den Sticks dran, hat sich der Rechner erneut etwas eingefangen. Die aktualisierte log-Datei habe ich angehangen. Ich würde mich sehr freuen, wenn du dich noch einmal in mein Problem reinhängen könntest.


Danke und Gruß Löschel
Miniaturansicht angehängter Grafiken
-desktop_dateien.jpg  
Angehängte Dateien
Dateityp: txt log.txt (10,9 KB, 162x aufgerufen)

Alt 07.10.2011, 17:07   #10
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Ordner auf USB-Sticks werden nur als Verknüpfung dargestellt - Standard

Ordner auf USB-Sticks werden nur als Verknüpfung dargestellt



CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
  • Starte bitte die OTL.exe.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Kopiere nun den kompletten Inhalt aus der untenstehenden Codebox in die Textbox von OTL - wenn OTL auf deutsch ist wird sie mit beschriftet
Code:
ATTFilter
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
wininit.exe
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT
         
  • Schliesse bitte nun alle Programme. (Wichtig)
  • Klicke nun bitte auf den Quick Scan Button.
  • Klick auf .
  • Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 07.10.2011, 17:32   #11
löschel
 
Ordner auf USB-Sticks werden nur als Verknüpfung dargestellt - Standard

Ordner auf USB-Sticks werden nur als Verknüpfung dargestellt



Hallo Arne,

es ist leider wie gehabt, bei "Manuel File Scan - Getting folder structure" hängt OTL und es geht nicht weiter ... schließlich kommt wieder "Out of Memory".
Ach so, dass hatte ich vergessen, auf dem Desktop befindet sich nun auch eine blasse Datei "~WRL3995.tmp"

Gruß Löschel

Alt 07.10.2011, 17:39   #12
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Ordner auf USB-Sticks werden nur als Verknüpfung dargestellt - Standard

Ordner auf USB-Sticks werden nur als Verknüpfung dargestellt



Geht es so?

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
  • Doppelklick auf die OTL.exe
  • Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
  • Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
  • Unter Extra Registry, wähle bitte Use SafeList
  • Klicke nun auf Run Scan links oben
  • Wenn der Scan beendet wurde werden 2 Logfiles erstellt
  • Poste die Logfiles hier in den Thread.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 07.10.2011, 18:22   #13
löschel
 
Ordner auf USB-Sticks werden nur als Verknüpfung dargestellt - Standard

Ordner auf USB-Sticks werden nur als Verknüpfung dargestellt



Mit oder ohne die Eintragung bei benutzerdefinierte Scans?
Ohne diese Eintragung kommt auf jeden Fall das heraus:


Gruß Löschel
Angehängte Dateien
Dateityp: txt OTL.Txt (73,9 KB, 136x aufgerufen)
Dateityp: txt Extras.Txt (46,6 KB, 147x aufgerufen)

Geändert von löschel (07.10.2011 um 18:51 Uhr)

Alt 07.10.2011, 22:32   #14
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Ordner auf USB-Sticks werden nur als Verknüpfung dargestellt - Standard

Ordner auf USB-Sticks werden nur als Verknüpfung dargestellt



Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code:
ATTFilter
:OTL
PRC - C:\Programme\BabylonToolbar\BabylonToolbar\1.4.19.14\BabylonToolbarsrv.exe (Babylon Ltd.)
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.com/
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = http://de.msn.com/?ocid=iehp
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache AcceptLangs = de
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache_TIMESTAMP = B0 5D 42 CD 83 69 CB 01  [binary data]
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = http=127.0.0.1:49293
FF - prefs.js..browser.search.suggest.enabled: false
FF - prefs.js..browser.search.update: false
FF - prefs.js..browser.startup.homepage: "http://www.gmx.de/"
FF - prefs.js..extensions.enabledItems: smartwebprinting@hp.com:4.51
FF - prefs.js..extensions.enabledItems: {b9db16a4-6edc-47ec-a1f4-b86292ed211d}:4.8.1
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA}:6.0.24
FF - prefs.js..keyword.URL: "http://search.babylon.com/?babsrc=SP_ss&mntrId=2a21be620000000000000015af5cee88&tlver=1.4.19.14&instlRef=&affID=17163&q="
FF - prefs.js..network.proxy.ftp: "proxy_server"
FF - prefs.js..network.proxy.ftp_port: 8080
FF - prefs.js..network.proxy.http: "proxy_server"
FF - prefs.js..network.proxy.http_port: 8080
FF - prefs.js..network.proxy.no_proxies_on: "localhost, proxy_server"
FF - prefs.js..network.proxy.socks: "proxy_server"
FF - prefs.js..network.proxy.socks_port: 8080
FF - prefs.js..network.proxy.ssl: "proxy_server"
FF - prefs.js..network.proxy.ssl_port: 8080
FF - prefs.js..network.proxy.type: 4
[2010.10.11 23:08:50 | 000,000,000 | ---D | M] (softonic-de3 Toolbar) -- C:\Users\Dabu\AppData\Roaming\mozilla\Firefox\Profiles\ixbr23yw.default\extensions\{cc05a3e3-64c3-4af2-bfc1-af0d66b69065}
[2011.02.14 09:25:38 | 000,002,423 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml
O2 - BHO: (CescrtHlpr Object) - {2EECD738-5844-4a99-B4B6-146BF802613B} - C:\Programme\BabylonToolbar\BabylonToolbar\1.4.19.14\bh\BabylonToolbar.dll (Babylon BHO)
O3 - HKLM\..\Toolbar: (Babylon Toolbar) - {98889811-442D-49dd-99D7-DC866BE87DBC} - C:\Programme\BabylonToolbar\BabylonToolbar\1.4.19.14\BabylonToolbarTlbr.dll (Babylon Ltd.)
O4 - HKLM..\Run: [BabylonToolbar] C:\Program Files\BabylonToolbar\BabylonToolbar\1.4.19.14\BabylonToolbarsrv.exe (Babylon Ltd.)
O4 - HKLM..\Run: [NPSStartup]  File not found
O4 - HKLM..\Run: [NWEReboot]  File not found
O4 - HKCU..\Run: [conhost] C:\Users\Dabu\AppData\Roaming\Microsoft\conhost.exe File not found
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2009.06.10 23:42:20 | 000,000,024 | ---- | M] () - C:\autoexec.bat -- [ NTFS ]
O32 - Unable to obtain root file information for disk F:\
O32 - AutoRun File - [2009.12.14 10:00:22 | 000,008,192 | ---- | M] (Microsoft) - J:\AutoOff.exe -- [ FAT32 ]
[2011.09.15 21:58:34 | 000,000,000 | RHSD | C] -- C:\Users\Dabu\M-1-52-5782-8752-5245
:Files
C:\Programme\BabylonToolbar
C:\Users\Dabu\M-1-52-5782-8752-5245
:Commands
[emptytemp]
[resethosts]
         
Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 07.10.2011, 22:56   #15
löschel
 
Ordner auf USB-Sticks werden nur als Verknüpfung dargestellt - Standard

Ordner auf USB-Sticks werden nur als Verknüpfung dargestellt



Hallo Arne,

der Fix ist scheinbar problemlos (mit Neustart) durchgelaufen. Das Logfile lautet wie folgt:
Zitat:
All processes killed
========== OTL ==========
No active process named BabylonToolbarsrv.exe was found!
HKCU\SOFTWARE\Microsoft\Internet Explorer\Main\\Start Page| /E : value set successfully!
HKCU\SOFTWARE\Microsoft\Internet Explorer\Main\\Start Page Redirect Cache| /E : value set successfully!
HKCU\SOFTWARE\Microsoft\Internet Explorer\Main\\Start Page Redirect Cache AcceptLangs| /E : value set successfully!
HKCU\SOFTWARE\Microsoft\Internet Explorer\Main\\Start Page Redirect Cache_TIMESTAMP| /E : value set successfully!
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyEnable|dword:0 /E : value set successfully!
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyServer| /E : value set successfully!
Prefs.js: false removed from browser.search.suggest.enabled
Prefs.js: false removed from browser.search.update
Prefs.js: "hxxp://www.gmx.de/" removed from browser.startup.homepage
Prefs.js: smartwebprinting@hp.com:4.51 removed from extensions.enabledItems
Prefs.js: {b9db16a4-6edc-47ec-a1f4-b86292ed211d}:4.8.1 removed from extensions.enabledItems
Prefs.js: {CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA}:6.0.24 removed from extensions.enabledItems
Prefs.js: "hxxp://search.babylon.com/?babsrc=SP_ss&mntrId=2a21be620000000000000015af5cee88&tlver=1.4.19.14&instlRef=&affID=17163&q=" removed from keyword.URL
Prefs.js: "proxy_server" removed from network.proxy.ftp
Prefs.js: 8080 removed from network.proxy.ftp_port
Prefs.js: "proxy_server" removed from network.proxy.http
Prefs.js: 8080 removed from network.proxy.http_port
Prefs.js: "localhost, proxy_server" removed from network.proxy.no_proxies_on
Prefs.js: "proxy_server" removed from network.proxy.socks
Prefs.js: 8080 removed from network.proxy.socks_port
Prefs.js: "proxy_server" removed from network.proxy.ssl
Prefs.js: 8080 removed from network.proxy.ssl_port
Prefs.js: 4 removed from network.proxy.type
C:\Users\Dabu\AppData\Roaming\mozilla\Firefox\Profiles\ixbr23yw.default\extensions\{cc05a3e3-64c3-4af2-bfc1-af0d66b69065}\searchplugin folder moved successfully.
C:\Users\Dabu\AppData\Roaming\mozilla\Firefox\Profiles\ixbr23yw.default\extensions\{cc05a3e3-64c3-4af2-bfc1-af0d66b69065}\META-INF folder moved successfully.
C:\Users\Dabu\AppData\Roaming\mozilla\Firefox\Profiles\ixbr23yw.default\extensions\{cc05a3e3-64c3-4af2-bfc1-af0d66b69065}\lib folder moved successfully.
C:\Users\Dabu\AppData\Roaming\mozilla\Firefox\Profiles\ixbr23yw.default\extensions\{cc05a3e3-64c3-4af2-bfc1-af0d66b69065}\defaults folder moved successfully.
C:\Users\Dabu\AppData\Roaming\mozilla\Firefox\Profiles\ixbr23yw.default\extensions\{cc05a3e3-64c3-4af2-bfc1-af0d66b69065}\components folder moved successfully.
C:\Users\Dabu\AppData\Roaming\mozilla\Firefox\Profiles\ixbr23yw.default\extensions\{cc05a3e3-64c3-4af2-bfc1-af0d66b69065}\chrome folder moved successfully.
C:\Users\Dabu\AppData\Roaming\mozilla\Firefox\Profiles\ixbr23yw.default\extensions\{cc05a3e3-64c3-4af2-bfc1-af0d66b69065} folder moved successfully.
C:\Programme\Mozilla Firefox\searchplugins\babylon.xml moved successfully.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{2EECD738-5844-4a99-B4B6-146BF802613B}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2EECD738-5844-4a99-B4B6-146BF802613B}\ deleted successfully.
C:\Programme\BabylonToolbar\BabylonToolbar\1.4.19.14\bh\BabylonToolbar.dll moved successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\{98889811-442D-49dd-99D7-DC866BE87DBC} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{98889811-442D-49dd-99D7-DC866BE87DBC}\ deleted successfully.
C:\Programme\BabylonToolbar\BabylonToolbar\1.4.19.14\BabylonToolbarTlbr.dll moved successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\BabylonToolbar deleted successfully.
C:\Programme\BabylonToolbar\BabylonToolbar\1.4.19.14\BabylonToolbarsrv.exe moved successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\NPSStartup deleted successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\NWEReboot deleted successfully.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\conhost deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom\\AutoRun|DWORD:1 /E : value set successfully!
C:\autoexec.bat moved successfully.
File not found.
J:\AutoOff.exe moved successfully.
C:\Users\Dabu\M-1-52-5782-8752-5245 folder moved successfully.
========== FILES ==========
File\Folder C:\Programme\BabylonToolbar not found.
File\Folder C:\Users\Dabu\M-1-52-5782-8752-5245 not found.
========== COMMANDS ==========

[EMPTYTEMP]

User: All Users

User: Dabu
->Temp folder emptied: 3191778350 bytes
->Temporary Internet Files folder emptied: 65107939 bytes
->Java cache emptied: 14161271 bytes
->FireFox cache emptied: 923745296 bytes
->Flash cache emptied: 198316 bytes

User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: Public

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 140408179 bytes
RecycleBin emptied: 122116 bytes

Total Files Cleaned = 4.135,00 mb

C:\Windows\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully

OTL by OldTimer - Version 3.2.29.1 log created on 10072011_224237

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...
Vielen Dank schon einmal soweit und Gruß
Löschel

Antwort

Themen zu Ordner auf USB-Sticks werden nur als Verknüpfung dargestellt
administrator, angemeldet, antivir, beiträge, datei, defogger_disable log, eset, fehler, file, gen, hängt, infizierte, klicke, klicken, locker, malwarebytes, maßnahme, meldet, nicht mehr, online, ordner, problem, probleme, pup.smspay.pgen, rechner, scanner, spyware.agent, stick, update, updaten, verknüpfungen, wärme



Ähnliche Themen: Ordner auf USB-Sticks werden nur als Verknüpfung dargestellt


  1. Windows 8: Ordner werden als shortcut angezeigt, tlw. auch USB-Sticks
    Log-Analyse und Auswertung - 30.05.2015 (21)
  2. Auf dem USB Stick werden Ordner nur als Verknüpfungen dargestellt
    Log-Analyse und Auswertung - 12.04.2015 (7)
  3. Ordner auf Wechselmedien werden als Verknüpfung angezeigt
    Log-Analyse und Auswertung - 30.01.2015 (16)
  4. Trojaner - Ordner werden zu Verknüpfung - Recycled (Verknüpfung) Recycler -system32
    Log-Analyse und Auswertung - 13.04.2014 (33)
  5. Auf USB Sticks werden Ordner+Dateien nur als Verknüpfungen angezeigt
    Log-Analyse und Auswertung - 06.01.2014 (13)
  6. Ordner auf externer Festplatte und USB-Sticks als Verknüpfung angezeigt
    Plagegeister aller Art und deren Bekämpfung - 02.02.2013 (3)
  7. Ordner auf Wechselmedien werden als Verknüpfung angezeigt
    Log-Analyse und Auswertung - 18.01.2013 (28)
  8. Ordner werden auf dem Stick als Verknüpfung angezeigt
    Log-Analyse und Auswertung - 29.02.2012 (1)
  9. Ordner auf Wechselmedien werden als Verknüpfung angezeigt
    Log-Analyse und Auswertung - 09.01.2012 (24)
  10. Ordner im USB Stick oder Handy werden als Verknüpfung angezeigt
    Log-Analyse und Auswertung - 04.12.2011 (1)
  11. Ordner auf Wechselmedien werden als Verknüpfung angezeigt
    Log-Analyse und Auswertung - 04.12.2011 (1)
  12. 2. Fall - Ordner auf USB-Stick werden nur noch als Verknüpfung angezeigt
    Plagegeister aller Art und deren Bekämpfung - 02.12.2011 (1)
  13. Ordner auf USB-Stick werden nur noch als Verknüpfung angezeigt
    Plagegeister aller Art und deren Bekämpfung - 01.11.2011 (5)
  14. Trojaner von Facebook geladen - Ordner werden als Verknüpfung angezeigt
    Plagegeister aller Art und deren Bekämpfung - 28.10.2011 (19)
  15. Ordner auf SD bzw. CF Card werden nur noch als Verknüpfung dargestellt.
    Log-Analyse und Auswertung - 22.10.2011 (19)
  16. USB Ordner werden nur mehr als Verknüpfung angezeigt
    Plagegeister aller Art und deren Bekämpfung - 21.10.2011 (11)
  17. Ordner auf der Festplatte werden nur noch als Verknüpfungen dargestellt
    Mülltonne - 02.05.2011 (2)

Zum Thema Ordner auf USB-Sticks werden nur als Verknüpfung dargestellt - Hallo zu diesem Problem gibt es bereits einige Beiträge, allerdings gelingt es mir nicht, die dort empfohlenen Maßnahmen bzw. vorbereitenden Scans vollständig durchzuführen, so dass ich um Hilfe bitten muss. - Ordner auf USB-Sticks werden nur als Verknüpfung dargestellt...
Archiv
Du betrachtest: Ordner auf USB-Sticks werden nur als Verknüpfung dargestellt auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.