Worm/Agend: Ordner als Verknüpfungen angezeigt
 

Liebe Helfer,

habe jetzt seit zwei Wochen folgende Probleme: die Ordnern auf meiner externen Festplatte und USB sehen aus wie Verknüpfungen, manchmal habe ich Zugang auf den Ordnern, machmal nicht. Der Komputer ist viel langsamer geworden, schreit viel, außerdem werden die Fenstern von Mozilla manchmal schwarz oder blockiert und der Computer muss zwangsneugestartet werden. Ich weiss nicht, ob diese unterschiedliche Themen sind.

Ich habe Gegoogled und u.a. folgende Beiträge gefunden:

Alle Ordner sind nur noch Verknüpfungen (Externe Festplatte, USB_Sticks....) - SysProfile Forum (hxxp://forum.sysprofile.de/computerfragen/99049-alle-ordner-sind-nur-noch-verknuepfungen-externe-festplatte-usb_sticks.html)
Das hat mir viel Panik verursacht und deswegen beschränke ich mich jetzt auf das Problem.

Auf Trojaner-Board gibt es schon einige Threats für dieses Problem, aber genau das verwirrt mich! Soll ich eine folgen? Ich trau mich nicht, falls folgendes passiert: http://www.trojaner-board.de/98820-o...angezeigt.html

Nach dieser Post hab ich die Logs erstellt:
http://www.trojaner-board.de/85104-o...-oldtimer.html

Ich gehe davon aus, dass es die gleiche CustomScan ist wie hier geschildert: http://www.trojaner-board.de/100276-...angezeigt.html

Was hab ich denn sonst noch gemacht:

Ich habe Avira Security Suite laufen lassen (auf externe und interne Festplatte und USB), heute wurden 6 Viruse gefunden und Malwarebytes ebenso auf externe und interne Festplatte. Anbei Log für die externe Festplatte ("mbam..."). Dabei kam aber nichts raus. Auch für die interne Festplatte kam nichts raus, der Log ist auch verschwunden gerade :confused:

Ich habe auch die Avira Berichte (mit Befunde) angehängt. Alle hatten den gleichen Wurm WORM/Agent.62976.3 , den ich versucht habe zu Googlen, ohne Erfolg.

Hier noch genauer:

----Bericht: AVSCAN-20110803-160317-E81A68A3 (Ext. Festplatte)----

Beginne mit der Suche in 'G:\' <Elements>
G:\AdobeReader\DSCI5271.jpg
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Agent.62976.3

Beginne mit der Desinfektion:
G:\AdobeReader\DSCI5271.jpg
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Agent.62976.3
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b1cf786.qua' verschoben!

----Bericht: AVSCAN-20110803-171814-3D20015F (USB-Gerät) ----

Beginne mit der Suche in 'D:\AdobeReader\DSCI5271.jpg'
D:\AdobeReader\DSCI5271.jpg
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Agent.62976.3
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b68ca31.qua' verschoben!

Diese AdobeReader...-Meldung kam, wenn ich nicht auf die Ordnern zugreifen konnte.

Hier noch die Abschnitte von der C:-Festplatten-Würmer:

----Bericht: AVSCAN-20110803-152154-2CAFC0EE-----

Beginne mit der Suche in 'C:\Users\Johnu_2\AppData\Roaming\yrryzvz.exe'
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA
C:\Users\Johnu_2\AppData\Roaming\yrryzvz.exe
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Agent.62976.3
[HINWEIS] Der Registrierungseintrag <HKEY_USERS\S-1-5-21-3052508133-2178901067-3068330049-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Adobe Reader Speed Launcher> wurde erfolgreich repariert.
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b71e7fb.qua' verschoben!

-----Bericht: AVSCAN-20110803-234426-5DF53D72-----

Beginne mit der Suche in 'C:\Users\Johnu_2\AppData\Roaming\nrsqwwu.exe'
C:\Users\Johnu_2\AppData\Roaming\nrsqwwu.exe
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Agent.62976.3
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b8b6d76.qua' verschoben!

----Bericht: AVSCAN-20110803-235055-7B469DA0----

Beginne mit der Suche in 'C:\Users\Opiskelu\AppData\Roaming\nrsqwwu.exe'
C:\Users\Opiskelu\AppData\Roaming\nrsqwwu.exe
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Agent.62976.3
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b676d4d.qua' verschoben!
Beginne mit der Suche in 'C:\Users\Opiskelu\AppData\Roaming\yrryzvz.exe'
C:\Users\Opiskelu\AppData\Roaming\yrryzvz.exe
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Agent.62976.3
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '53f742ea.qua' verschoben!

Diese yrryzvz.exe war sehr aktiv die ganze letzte Woche, also die wurde vom Malwarebytes immer blockiert.


Problem: Nach all dem, sind die Ordner aber IMMER NOCH nur als Verknüpfungen zu sehen.


Ich hoffe aus meinem Herzen, dass mir jemand helfen kann oder auf einer Post hinweisen kann, wo ich Hilfe bekomme. Außerdem hoffe ich, das der Post etwa die Regeln des Forums erfüllt hat. Tut mir leid, dass es so lang geworden ist.

Vielen Dank im Vorraus, the humble Jo

PS. Sorry für die nervige Links, kriegs grad nicht hin die anders zu zeigen.

Gibt es noch weitere Logs von Malwarebytes? Wenn ja bitte alle posten, die in Malwarebytes im Reiter Logdateien sichtbar sind.

Hallo,

Danke für die Antwort, da ist noch ein Logdatei von Gestern nach einem Kompletten Scan für die Festplatte C, dabei war aber kein Fund, daher denke ich, dass es kaum Ihnen interessiert. Dummerweise hatte ich das Programm zwischendurch gelöscht (da ich dachte, dass es nicht funktioniert, war vor ich hier reingeschaut hatte).

Hoffentlich geht da doch noch was.

Gruß, jo

Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Hallo Cosinus, vielen Dank!

Hier der Log:

========== OTL ==========
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom\\AutoRun|DWORD:1 /E : value set successfully!
File not found.
ADS C:\ProgramData\Temp:93DE1838 deleted successfully.
ADS C:\ProgramData\Temp:ABE89FFE deleted successfully.
ADS C:\ProgramData\Temp:0B9176C0 deleted successfully.
ADS C:\ProgramData\Temp:4CF61E54 deleted successfully.
========== COMMANDS ==========
C:\Windows\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully

OTL by OldTimer - Version 3.2.26.1 log created on 08052011_020616

weiss nicht was ich da gerade gemacht habe, aber OK :confused:
Gruß, jo

Bitte nun dieses Tool von Kaspersky ausführen und das Log posten => http://www.trojaner-board.de/82358-t...entfernen.html

Das Tool so einstellen wie unten im Bild angegeben - also beide Haken setzen, auf Start scan klicken und wenn es durch ist auf den Button Report klicken um das Log anzuzeigen. Dieses bitte komplett posten.

http://www.trojaner-board.de/attachm...rnen-start.png


Falls du durch die Infektion auf deine Dokumente/Eigenen Dateien nicht zugreifen kannst, Verknüpfungen auf dem Desktop oder im Startmenü unter "alle Programme" fehlen, bitte unhide ausführen:
Downloade dir bitte unhide.exe und speichere diese Datei auf deinem Desktop.
Starte das Tool und es sollten alle Dateien und Ordner wieder sichtbar sein. ( Könnte eine Weile dauern )
http://www.trojaner-board.de/images/icons/icon4.gif Windows-Vista und Windows-7-User müssen das Tool per Rechtsklick als Administrator ausführen! http://www.trojaner-board.de/images/icons/icon4.gif

Hallo Cosinus,

danke. Bei dem Scan kam nichts raus. Anbei die Datei.

Habe auch "unihide.exe" durchgeführt (auf C: und G: [extern]) und das hat nichts geändert.

Gruß, Johanna

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

http://saved.im/mtm0nzyzmzd5/cofi.jpg

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hallo Cosinus,

vielen Dank. Hab jetzt CCleaner und ComboFix durchgeführt.

Anbei der Log vom ComboFix.

Gruß, Jo

Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.

• Starte die aswMBR.exe - (aswMBR.exe Anleitung) Vista und Win7 User mit Rechtsklick "als Admininstartor starten"
• Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. (Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen) Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
• Klicke auf Scan.
• Warte bitte bis Scan finished successfully im DOS Fenster steht.
• Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort. Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte es erneut nicht klappen teile mir das bitte mit.

Hallo Cosinus,

danke wieder. Anbei der Log. Habe natürlich keine von den Fix-Buttons gedrückt.

Gruß, Jo

Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!


Anschließend über den OnlineScanner von ESET eine zusätzliche Meinung zu holen ist auch nicht verkehrt:


ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Hallo Cosinus,

vielen Dank für die Hinweise. Ich hab jetzt Malwarebytes durchgeführt, dabei wurde nichts gefunden.

SuperAntiSpyware hat aber vieles gefunden. Anbei der Log. Ich hab nichts weiteres gemacht, als den Scan.

Werde gleich nochmal den ESET durchführen und dann die Ergebnisse hier reinstellen.

Gruß, Jo

Edit: Ich habs verwechelt :stirn:

SASW hat nur Cookies gefunden. Die sind harmlos, können aber alle weg.

Hallo Cosinus,

ich hab das jetzt nicht verstanden, Sie haben was verwechselt?

Anbei der Log für ESET. Das hat länger als 6 Stunden gebraucht.

Gruß,
Jo

Edit: jetzt hab ich mein Mail gelesen, alles klar, Sie haben das alte gelöscht, weil es nicht für mich war.