Windows 8.1: Nur noch Verknüpfungen auf USB-Sticks
 

Hallo Ihr Experten an der Computerfront!

Danke erst einmal für eure Mühe!
Ich glaube ich habe mir im Copyshop um die Ecke irgendwas fieses eingefangen. Nun möchte ich den PC neu aufsetzen, würde zuvor aber gerne damit meine externen Festplatten nicht auch noch betroffen sind, die Angreifer gerne vom PC entfernen.

Wie in den Regeln zum Eröffnen eines Themas beschrieben hier mein Problem:

Jedes mal wenn ich meinen USB Stick an den PC stecke und Daten auf diesen Kopieren möchte, so werden auf dem Medium nur Verknüpfungen der Dateien sowie die Verknüpfung "System Volume Information" angezeigt.
Auch ein anzeigen versteckter Dateien im System wie teilweise in anderen Themen beschrieben brachte keinen Erfolg. Teilweise bleiben die Daten sichtbar, teilweise verschwinden sie aber auch.


Anbei die entsprechenden Logfiles.
Meinen Namen habe ich wie beschrieben durch **** ersetzt.

Bei der Erstellung des Logfiles durch frst64.exe, wurde der scan zwar durchgeführt er hat ganz am Anfang jedoch folgende Mitteilung ausgespuckt: " C:\WINDOWS\system32\config\system Der Prozess kann nicht auf die Datei zugreifen da sie von einem Prozess verwendet wird."

Dabei habe ich mich genau an die Anleitung gehalten und alle Programme zuvor beendet.

Ich danke euch riesig und meine Studienarbeit würde sich auch freuen!

Liebe Grüße


defogger_disable.log

FRST.log

FRST Logfile:
--- --- ---



GMER.txt

HI,

Addition.txt von FRST bitte noch posten.

Oh, wohl übersehen! Danke

Addition.txt

USB Stick anklemmen, nicht mehr abklemmen.


http://www.filepony.de/icon/panda_usb_vaccine.png Panda USB Vaccine

Bitte lade Dir von hier Panda USB Vaccine herunter.

• Starte und installiere es.
  http://deeprybka.trojaner-board.de/b...s/usbsetup.png
• Impfe Deinen PC
  http://deeprybka.trojaner-board.de/b.../pcvaccine.png

Downloade Dir bitte Malwarebytes Anti-Malware

• Installiere das Programm in den vorgegebenen Pfad. (Bebilderte Anleitung zu MBAM)
• Starte Malwarebytes' Anti-Malware (MBAM).
• Klicke im Anschluss auf Scannen, wähle den Bedrohungssuchlauf aus und klicke auf Suchlauf starten.
• Lass am Ende des Suchlaufs alle Funde (falls vorhanden) in die Quarantäne verschieben. Klicke dazu auf Auswahl entfernen.
• Lass deinen Rechner ggf. neu starten, um die Bereinigung abzuschließen.
• Starte MBAM, klicke auf Verlauf und dann auf Anwendungsprotokolle.
• Wähle das neueste Scan-Protokoll aus und klicke auf Export. Wähle Textdatei (.txt) aus und speichere die Datei als mbam.txt auf dem Desktop ab. Das Logfile von MBAM findest du hier.
• Füge den Inhalt der mbam.txt mit deiner nächsten Antwort hinzu.

Downloade Dir bitte AdwCleaner auf deinen Desktop.

• Schließe alle offenen Programme und Browser. Bebilderte Anleitung zu AdwCleaner.
• Starte die AdwCleaner.exe mit einem Doppelklick.
• Stimme den Nutzungsbedingungen zu.
• Klicke auf Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
  • "Tracing" Schlüssel löschen
  • Winsock Einstellungen zurücksetzen
  • Proxy Einstellungen zurücksetzen
  • Internet Explorer Richtlinien zurücksetzen
  • Chrome Richtlinien zurücksetzen
  • Stelle sicher, dass alle 5 Optionen wie hier dargestellt, ausgewählt sind
• Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
• Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
• Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).

Beende bitte Deine Schutzsoftware um eventuelle Konflikte zu vermeiden.
Bitte lade Junkware Removal Tool auf Deinen Desktop

• Starte das Tool mit Doppelklick. Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten.
• Drücke eine beliebige Taste, um das Tool zu starten.
• Je nach System kann der Scan eine Weile dauern.
• Wenn das Tool fertig ist wird das Logfile (JRT.txt) auf dem Desktop gespeichert und automatisch geöffnet.
• Bitte poste den Inhalt der JRT.txt in Deiner nächsten Antwort.

und ein frisches FRST log bitte.

Super Danke dir bereits im Voraus!

:dankeschoen:
Hier die Logfiles:

FRST.txt

FRST Logfile:
--- --- ---



JRT.txt

mbam.txt

AdwCleaner[S0].txt

ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Downloade Dir bitte SecurityCheck und:

• Speichere es auf dem Desktop.
• Starte SecurityCheck.exe und folge den Anweisungen in der DOS-Box.
• Wenn der Scan beendet wurde sollte sich ein Textdokument (checkup.txt) öffnen.

Poste den Inhalt bitte hier.

und ein frisches FRST log bitte. Noch Probleme? :)

Moin Moin, Danke erst einmal für deine Hilfe

Das Problem liegt allerdings immer noch vor.
Kopiere Datei auf den gerade erst formatierten USB-Stick und die Datei erscheint auf dem Stick zusammen mit seiner Verknüpfung sowie der Verknüpfung mit dem Namen "System Volume Informaton".

Liegt es vielleicht daran, dass der securitycheck nicht funktionierte??

die log.txt von ESET

der Security Check sagte nur folgendes:

und hier der frische FRST


FRST Logfile:

FRST Logfile:
--- --- ---

--- --- ---

Drücke bitte die Windowstaste + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument


Speichere diese bitte als Fixlist.txt auf deinem Desktop (oder dem Verzeichnis in dem sich FRST befindet).

• Starte nun FRST erneut und klicke den Entfernen Button.
• Das Tool erstellt eine Fixlog.txt.
• Poste mir deren Inhalt.

Nochmal frisches FRST log bitte. Wenn sich dann keine neuen Dateien mehr erstellen entfernen wir noch die Verknüpfungen.

Moin, also während der Fix ausgeführt wurde, hat sich windows einmal runtergefahren und neu gestartet, ist das normal?

Hier der Fixlog.txt

Als ich das FRST icon angelickt habe, ist der norton scanner sofort angesprungen und hat die Datei entfernt. Auch ein erneuter download brachte das selbe ergebnis.
Nun habe ich die frst64.exe aus dem Ordner "Alte Version FRST" gestartet, er hat sich automatisch das update geladen und nun kann ich dir hier die ergebnisse anzeigen.

FRST.txt

FRST Logfile:
--- --- ---



Addition.txt


Das Problem gibt es leider immer noch.
Soll ich das ganze Prozedere, also von deinem ersten Beitrag an, nochmal machen, nur zur Sicherheit, dass ich nichts falsch gemacht habe???

Danke dir!

Nee, die Datei ist nur hartnäckig. Da gehen wir von aussen ran:


Scan mit Farbar's Recovery Scan Tool (Recovery Mode - Windows Vista, 7, 8)

Hinweise für Windows 8-Nutzer: Anleitung 1 (FRST-Variante) und Anleitung 2 (zweiter Teil)

• Downloade dir bitte die passende Version des Tools (im Zweifel beide) und speichere diese auf einen USB Stick: FRST 32-Bit | FRST 64-Bit
• Schließe den USB Stick an das infizierte System an und boote das System in die System Reparatur Option.
• Scanne jetzt nach der bebilderten Anleitung oder verwende die folgende Kurzanleitung:

Über den Boot Manager:

• Starte den Rechner neu.
• Während dem Hochfahren drücke mehrmals die F8 Taste
• Wähle nun Computer reparieren.
• Wähle dein Betriebssystem und Benutzerkonto und klicke jeweils "Weiter".

Mit Windows CD/DVD (auch bei Windows 8 möglich):

• Lege die Windows CD in dein Laufwerk.
• Starte den Rechner neu und starte von der CD.
• Wähle die Spracheinstellungen und klicke "Weiter".
• Klicke auf Computerreparaturoptionen !
• Wähle dein Betriebssystem und Benutzerkonto und klicke jeweils "Weiter".

Wähle in den Reparaturoptionen: Eingabeaufforderung

• Gib nun bitte notepad ein und drücke Enter.
• Im öffnenden Textdokument: Datei > Speichern unter... und wähle Computer.
  Hier wird dir der Laufwerksbuchstabe deines USB Sticks angezeigt, merke ihn dir.
• Schließe Notepad wieder
• Gib nun bitte folgenden Befehl ein.
  e:\frst.exe bzw. e:\frst64.exe
  Hinweis: e steht für den Laufwerksbuchstaben deines USB Sticks, den du dir gemerkt hast. Gegebenfalls anpassen.
• Akzeptiere den Disclaimer mit Ja und klicke Untersuchen

Das Tool erstellt eine FRST.txt auf deinem USB Stick. Poste den Inhalt bitte hier nach Möglichkeit in Code-Tags (Anleitung).

Moin, bin bei meinem Win8.1 wie beschrieben vorgegangen.
Hier das FRST Logfile.
Als ich dieses vom Stick geöffnet habe, hat dieser sich natürlich auch wieder infiziert mit dem Murks. Habe nicht bedacht diesen Post von einem anderen Rechner aus zu tätigen.

Hier aber FRST.txt


FRST Logfile:
--- --- ---


Gruß

Drücke bitte die + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument

Speichere diese bitte als Fixlist.txt auf deinem USB Stick.

• Starte deinen Rechner erneut in die Reparaturoptionen
• Starte nun die FRST.exe erneut und klicke den Entfernen Button.

Das Tool erstellt eine Fixlog.txt auf deinem USB Stick. Poste den Inhalt bitte hier.


Jetzt bitte nochmal ein FRST log aus dem normalen Modus.

Moin Moin,
Also alles wie erklärt gemacht.

hier die fixlog.txt


und hier aus dem normalen Modus:

Beim Ausführen der Frst64.exe ist jedoch mein Norton360 angesprungen und hat sie gelöscht. Ich habe für 15 min Norton ausgemacht, hier die FRST.txt

Er will es immer noch nicht posten, da zu lang. Hier also ein upload hxxp://speedy.sh/FhbK2/FRST.TXT

Heißt das der PC ist befreit? Könntest du mir dann auch noch helfen die USB-Sticks zu befreien? :dankeschoen:

Nochmal danke!

Hi,

Logs bitte immer in den Thread posten. Zur Not aufteilen und mehrere Posts nutzen.
Ich kann auf Arbeit keine Anhänge öffnen, danke.




UNd ja, im Anschluss machen wir die Sticks :)

Okay dann in mehreren :-)....

FRST.txt

Teil Nr.2

Teil Nr.3

Nr.4

Nr. 5 :-)