Windows 7 - USB-Stick erstellt nur noch Verknüpfungen Scans bisher erfolglos
 

Hallo und Moin von der Küste!
Crossposting ist aus verständlichen Gründen nicht erlaubt, daher eröffne ich nach einem verzweifeltem gestrigen Tag hier einnen neuen Thread.

Ich habe ebenfalls nach dem Anstecken eines USB-Sticks meines Sohnes (ich Idiot!) :stirn: das Problem, das auf zumindest meinen eigenen nachfolgend angeschlossenen USB-Stick umgehend nach Kopieren von Dateien auf eben dieses Stick selbige zu versteckt werden und stattdessen nur noch Verknüpfungen sichtbar sind.

Ich habe mir den aktuellen Thread zum Thema bereits durchgelesen, kann aber nicht selbst eignenen Code generieren und benötige daher bitte Hilfe!
Momentan ist neben meinem Rechner, welchen ich aber momentan nicht ohne Weiteres einfach mal eben schnell neu aufsetzen kann, nur noch ein USB-Stick (inzwischen formatiert, Daten unwichtig) betroffen.

Der "Uralt-USB-Stick" meines Sohnes wurde entsorgt! Der Rechner meiens Sohnes bereits neu aufgesetzt bzw. in Arbeit.

Es betrifft daher "nur" noch meinen Rechner mit Windows 7 Home Premium 64 Bit.

Installiert ist ein aktuelles Norton Internet Security.
Ich habe diverse Scans durchgeführt, u.a. mit MBAR:

Hallo,

mach bitte einen FRST-Scan:


Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop: FRST 32-Bit | FRST 64-Bit
(Wenn du nicht sicher bist: Lade beide Versionen oder unter Start > Computer (Rechtsklick) > Eigenschaften nachschauen)

• Starte jetzt FRST.
• Ändere ungefragt keine der Checkboxen und klicke auf Untersuchen.
• Die Logdateien werden nun erstellt und befinden sich danach auf deinem Desktop.
• Poste mir die FRST.txt und nach dem ersten Scan auch die Addition.txt in deinem Thread (#-Symbol im Eingabefenster der Webseite anklicken)

Das ging schnell! :-) Danke schön und geht los...

Hier die beiden FRST-Logs.

FRST:


FRST Logfile:

FRST Logfile:

FRST Logfile:

FRST Logfile:
--- --- ---

--- --- ---

--- --- ---

--- --- ---

Und noch die Addition:

Was waren das für Dateien? Wurde das Zeug ausgeführt?


Schritt 1

Drücke bitte die Windowstaste + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument


Speichere diese bitte als Fixlist.txt auf deinem Desktop (oder dem Verzeichnis in dem sich FRST befindet).

• Starte nun FRST erneut und klicke den Entfernen Button.
• Das Tool erstellt eine Fixlog.txt.
• Poste mir deren Inhalt.

Schritt 2

Downloade Dir bitte AdwCleaner auf deinen Desktop.

• Schließe alle offenen Programme und Browser. Bebilderte Anleitung zu AdwCleaner.
• Starte die AdwCleaner.exe mit einem Doppelklick.
• Stimme den Nutzungsbedingungen zu.
• Klicke auf Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
  • "Tracing" Schlüssel löschen
  • Winsock Einstellungen zurücksetzen
  • Proxy Einstellungen zurücksetzen
  • Internet Explorer Richtlinien zurücksetzen
  • Chrome Richtlinien zurücksetzen
  • Stelle sicher, dass alle 5 Optionen wie hier dargestellt, ausgewählt sind
• Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
• Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
• Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).

Schritt 3

Starte noch einmal FRST.

• Ändere keine der Voreinstellungen und drücke auf Scan.
• Wenn der Scan abgeschlossen ist, werden ein neues Logfile FRST.txt erstellt und auf dem Desktop gespeichert.
• Poste den Inhalt dieses Logfiles bitte hier in deinen Thread.

Zum WYSIWYG-Editor:

Das sind Erweiterungen zu einem Website-Editor, ganz normal erworben bzw. kostenfrei heruntergeladen direkt von der Site des WYSIWYG-Vertreibers GOEMO.

Habe ich bereits vor Jahren installiert, alles OK bisher.
Seit Gestern wurden eben diese Dateien auch von Norton nach einem vollständigem Scan bemängelt.

Kann notfalls gelöscht werden, wenn möglich.

Lade mal eine dieser Dateien bei VirusTotal zur Analyse hoch und poste den Link hier.
(Und mach auch mit den angegebenen Schritten weiter.)

Argh, ich habe MIst gebaut! Schande über mich...!

Ich habe zuerst Schritt 2 ausgeführt....
Wahrscheinlich ist jetzt die Arbeit völlig sinnlos gewesen?

Na, hier erst mal die Fixlog

Und dann noch zum Glück wiedergefunden die Logdatei vom AdwCleaner mit dem Durchlauf VOR Schritt 1 (ich erwähnet soeben meinen Fauxpass :headbang:)

Dann starte den Rechner neu und mach dann Schritt 3.

Hier die neue FRST.txt


FRST Logfile:

FRST Logfile:
--- --- ---

--- --- ---

Hast du eine der angesprochenen Dateien bei Virustotal hochladen können?



ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Nein, die Dateien sind wohl bereits Gestern gelöscht worden.
Zumindest kann ich keine mehr finden, auch keine ausgeblendeten...

Interessant, dass diese 3 Dateien dennoch erkannt wurden..?

Ich mache jetzt den ESET Online Scan, habe aber vorher noch eine Frage:
Das Problem trat ja erwiesenermaßen zuerst am Rechner meines Sohnes auf. Er wollte seinen PC neu aufbauen und hatte dazu auf den inzwischen entsorgten alten USB-Stick Dateien abgelegt, welche er sichern wollte.
Nach der Neuinstallation bemerkte er beim Versuch, diese dann vom Stick zurückzusichern, dass lediglich Verknüpfungen auf dem Stick waren... Seine Daten sind mir ehrlich gesagt jetzt in dieser Situation sowas von egal und ich werde jetzt auch nicht in der Mülltonne nach dem Speicher suchen. Ich habe seinen offensichtlich verseuchten USB-Stick ja nur an meinen Rechner angeschlossen, weil ich an einen Bedienerfehler glaubte und meinem Sohn helfen wollte....

ABER: Ich hatte zum besagten Zeitpunkt nur den zur Zeit permanent angesteckten Intenso-Stick in Gebrauch.
Deshalb gehe ich davon aus, dass ich z.B. meine Hochgeschwindigkeitskarten micro SDHC z.B. aus einer GOPRO-Kamera jetzt nicht anschliessen muss oder?
Ich mag das Risiko nicht unbedingt eingehen, dass diese ar***teuern Karten auch noch unbrauchbar werden, falls wir das Problem nicht fixen können...

Was tun?:killpc:

Also. Da muss man weder USB-Sticks oder irgendwelche SD-Karten wegwerfen noch sind die Daten darauf verloren. Diese Malware blendet nur die Dateien und Ordner darauf aus und ersetzt sie durch Verknüpfungen. Wird eine dieser Verknüpfungen geöffnet, infiziert sich der Rechner, an welchem das Medium angeschlossen ist. Sobald der Rechner betroffen ist, befällt dieser wiederum automatisch jeden neuen Wechseldatenträger, welcher eingesteckt wird. Und so verbreitet sich das Ding weiter und weiter.. Eine Reinigung ist überhaupt kein Problem.

Dein Rechner sollte jetzt von dem Ding befreit sein. Du kannst alle deine Sticks und so einstecken und kontrollieren, ob noch einer befallen ist. Falls noch einer infiziert ist (also nur noch Verknüpfungen zu sehen), dann lass ihn eingesteckt und teile mir den Laufwerksbuchstaben mit.

Nachtrag: Rechner scannt.... erst einmal ohne meine weiteren SDHCs, rein von der Logik her müsste das passen.
Nur der USB-Stick ist immer noch angesteckt.

1 hat er schon: VBS/Agent.NDH worm

Log folgt gleich!

Ja, also das mit dem ESET-Log wird wohl noch 2, 3 Minuten (Stunden/Tage) dauern :crazy:

Da sich unsere Antworten hier gerade wohl fast überschnitten haben, sage ich schon mal ganz vorsichtig, aber dennoch GANZ LAUT DANKE SEHR!!!:daumenhoc
(Auch auf die mögliche Gefahr hin, dass es noch nicht ganz ausgestanden ist)

Das war aber auch das erste Mal, dass ich es nicht alleine geschafft habe.... werde wohl langsam alt...
Würde aber dennoch gerne besser verstehen, was in dem von Dir anfänglich generierten Code stand... ;-)

Da isser endlich, der ESET Log.
Die letzte Zeile war mal ein böser Ausrutscher zu Testzwecken und existiert inzwischen nicht mehr....

Nachtrag, da ich es vorhin wohl doch überlesen hatte:

nach Abschluss des Scans war leider immer noch eine Verknüpfung auf dem Stick sichtbar.
Ich habe diesen dann nochmals formatiert.

Inzwischen tritt der "Fehler" nicht mehr auf.

Trotzdem: der Laufwerksbuchstabe ist K.

Ok, abschliessende Kontrolle:


Starte noch einmal FRST.

• Ändere keine der Voreinstellungen und drücke auf Scan.
• Wenn der Scan abgeschlossen ist, werden ein neues Logfile FRST.txt erstellt und auf dem Desktop gespeichert.
• Poste den Inhalt dieses Logfiles bitte hier in deinen Thread.

FRST.txt anbei.

FRST Logfile:

FRST Logfile:
--- --- ---

--- --- ---


Nochmals Vielen, vielen Dank!
:dankeschoen:
Grüße von der Küste!