Trojaner-Board - Dateien nach Virus nur noch als Verknüpfung -nicht mehr zu öffnen

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Dateien nach Virus nur noch als Verknüpfung -nicht mehr zu öffnen (https://www.trojaner-board.de/120290-dateien-virus-nur-noch-verknuepfung-mehr-oeffnen.html)

Dateien nach Virus nur noch als Verknüpfung -nicht mehr zu öffnen

Ich habe seit 3 Tagen einen Virus auf meinem PC, der erst meinen mp3 player (creative muvo) angegriffen hat, dann auf die externe Festplatte und nun auf den gesamten PC übergegriffen ist. Die Ordner werden alle nur noch als Verknüpfung zu: %windir%\system32\cmd.exe /c "start %cd%RECYCLER\40109cb.exe &&%windir%\explorer.exe %cd%Admin angezeigt, wenn ich sie öffnen will kommt folgende Fehlermeldung: G:\RECYCLER\40109cb.exe konnte nicht gefunden werden.
Daraufhin habe ich die Malware heruntergeladen und einige Viren entfernt bzw. in die Quarantäne gestellt und meinen mp3 player formatiert, der geht nun wieder. Aber bei den anderen Laufwerken sind die Verknüpfungen noch da. Was kann ich tun? Ich möchte die Daten nicht verlieren. Bei einem vollständigem Scan werden keine weiteren infizierten Dateien gefunden. Was mache ich mit denen in der Quarantäne?

Ohne die Logs von Malwarebytes und Co wird das hier nichts. :glaskugel:
Alles von Malwarebytes (und evtl. anderen Scannern) muss hier gepostet werden.

Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code:

hier steht das Log

Code:

 Malwarebytes Anti-Malware (Test) 1.62.0.1300

www.malwarebytes.org
 

Datenbank Version: v2012.07.23.10
 

Windows 7 Service Pack 1 x86 NTFS

Internet Explorer 9.0.8112.16421

Daniela :: DANIELA-PC [Administrator]
 

Schutz: Aktiviert
 

23.07.2012 20:15:00

mbam-log-2012-07-23 (20-15-00).txt
 

Art des Suchlaufs: Quick-Scan

Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM

Deaktivierte Suchlaufeinstellungen: P2P

Durchsuchte Objekte: 182456

Laufzeit: 8 Minute(n), 52 Sekunde(n)
 

Infizierte Speicherprozesse: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte: 1

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|Cgbkbm (Trojan.VUPX.PSG1) -> Daten: C:\Users\Daniela\AppData\Roaming\Cgbkbm.exe -> Erfolgreich gelöscht und in Quarantäne gestellt.
 

Infizierte Dateiobjekte der Registrierung: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien: 1

C:\Users\Daniela\AppData\Roaming\Cgbkbm.exe (Trojan.VUPX.PSG1) -> Erfolgreich gelöscht und in Quarantäne gestellt.
 

(Ende)

es sind mehrere log dateien. reicht die eine erst einmal?

Wenn es zuviele sind, dann wenigstens alle wo Funde sind, aber am besten alle!

Code:

 Malwarebytes Anti-Malware (Test) 1.62.0.1300

www.malwarebytes.org
 

Datenbank Version: v2012.07.23.10
 

Windows 7 Service Pack 1 x86 NTFS

Internet Explorer 9.0.8112.16421

Daniela :: DANIELA-PC [Administrator]
 

Schutz: Aktiviert
 

23.07.2012 20:33:15

mbam-log-2012-07-23 (20-33-15).txt
 

Art des Suchlaufs: Benutzerdefinierter Suchlauf (E:\|)

Aktivierte Suchlaufeinstellungen: Dateisystem | HeuristiKs/Shuriken | PUP | PUM

Deaktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Heuristiks/Extra | P2P

Durchsuchte Objekte: 25

Laufzeit: 22 Sekunde(n)
 

Infizierte Speicherprozesse: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien: 1

E:\RECYCLER\40109cb.exe (Trojan.VUPX.PSG1) -> Erfolgreich gelöscht und in Quarantäne gestellt.
 

(Ende)

Code:

 Malwarebytes Anti-Malware (Test) 1.62.0.1300

www.malwarebytes.org
 

Datenbank Version: v2012.07.23.10
 

Windows 7 Service Pack 1 x86 NTFS

Internet Explorer 9.0.8112.16421

Daniela :: DANIELA-PC [Administrator]
 

Schutz: Aktiviert
 

23.07.2012 21:38:30

mbam-log-2012-07-23 (21-38-30).txt
 

Art des Suchlaufs: Benutzerdefinierter Suchlauf (G:\|)

Aktivierte Suchlaufeinstellungen: Dateisystem | HeuristiKs/Shuriken | PUP | PUM

Deaktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Heuristiks/Extra | P2P

Durchsuchte Objekte: 17869

Laufzeit: 14 Minute(n), 40 Sekunde(n)
 

Infizierte Speicherprozesse: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien: 1

G:\RECYCLER\40109cb.exe (Trojan.VUPX.PSG1) -> Erfolgreich gelöscht und in Quarantäne gestellt.
 

(Ende)

Das sind alle Log Dateien, bei denen infizierte Dateien gefunden wurden.

Bitte erstmal routinemäßig einen Vollscan mit malwarebytes machen und Log posten. =>ALLE lokalen Datenträger (außer CD/DVD) überprüfen lassen!
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Die Funde mit Malwarebytes bitte alle entfernen, sodass sie in der Quarantäne von Malwarebytes aufgehoben werden! NICHTS voreilig aus der Quarantäne entfernen!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!

ESET Online Scanner

Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
Lade und starte Eset Online Scanner
Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
Klicke auf Starten.
Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
Klicke am Ende des Suchlaufs auf Fertig stellen.
Schließe das Fenster von ESET.
Explorer öffnen.
C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
Logfile hier posten.
Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code:

hier steht das Log

hier schon mal der malware log nach dem vollscan:

Code:

 Malwarebytes Anti-Malware (Test) 1.62.0.1300

www.malwarebytes.org
 

Datenbank Version: v2012.08.04.04
 

Windows 7 Service Pack 1 x86 NTFS

Internet Explorer 9.0.8112.16421

Daniela :: DANIELA-PC [Administrator]
 

Schutz: Aktiviert
 

04.08.2012 16:35:56

mbam-log-2012-08-04 (16-35-56).txt
 

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|G:\|Q:\|)

Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM

Deaktivierte Suchlaufeinstellungen: P2P

Durchsuchte Objekte: 292703

Laufzeit: 1 Stunde(n), 14 Minute(n), 39 Sekunde(n)
 

Infizierte Speicherprozesse: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien: 0

(Keine bösartigen Objekte gefunden)
 

(Ende)

Und hier das Eset Scan, Es wurden 13 threats gefunden. sind diese nun gelöscht nachdem ich finish gedrückt habe?

Code:

 ESETSmartInstaller@High as downloader log:

all ok

ESETSmartInstaller@High as downloader log:

all ok

# version=7

# OnlineScannerApp.exe=1.0.0.1

# OnlineScanner.ocx=1.0.0.6583

# api_version=3.0.2

# EOSSerial=257332464338fd47b64559a6aa7c37bf

# end=finished

# remove_checked=false

# archives_checked=true

# unwanted_checked=true

# unsafe_checked=false

# antistealth_checked=true

# utc_time=2012-08-04 07:09:48

# local_time=2012-08-04 09:09:48 (+0100, Mitteleuropäische Sommerzeit)

# country="Germany"

# lang=1033

# osver=6.1.7601 NT Service Pack 1

# compatibility_mode=512 16777215 100 0 38857792 38857792 0 0

# compatibility_mode=5893 16776573 100 94 1061 95727730 0 0

# compatibility_mode=8192 67108863 100 0 245943 245943 0 0

# scanned=117259

# found=13

# cleaned=0

# scan_time=10849

G:\Admin.lnk        Win32/Dorkbot.D worm (unable to clean)        00000000000000000000000000000000        I

G:\Eigene Videos.lnk        Win32/Dorkbot.D worm (unable to clean)        00000000000000000000000000000000        I

G:\Fotos.lnk        Win32/Dorkbot.D worm (unable to clean)        00000000000000000000000000000000        I

G:\Geschichte.lnk        Win32/Dorkbot.D worm (unable to clean)        00000000000000000000000000000000        I

G:\Hörspiele.lnk        Win32/Dorkbot.D worm (unable to clean)        00000000000000000000000000000000        I

G:\Job.lnk        Win32/Dorkbot.D worm (unable to clean)        00000000000000000000000000000000        I

G:\Movies.lnk        Win32/Dorkbot.D worm (unable to clean)        00000000000000000000000000000000        I

G:\Musik.lnk        Win32/Dorkbot.D worm (unable to clean)        00000000000000000000000000000000        I

G:\Seagate.lnk        Win32/Dorkbot.D worm (unable to clean)        00000000000000000000000000000000        I

G:\Serien.lnk        Win32/Dorkbot.D worm (unable to clean)        00000000000000000000000000000000        I

G:\Steuer.lnk        Win32/Dorkbot.D worm (unable to clean)        00000000000000000000000000000000        I

G:\$RECYCLE.BIN\S-1-5-21-968984175-4078172518-2025159450-1000\$RNO3QB2.lnk        Win32/Dorkbot.D worm (unable to clean)        00000000000000000000000000000000        I

G:\$RECYCLE.BIN\S-1-5-21-968984175-4078172518-2025159450-1000\$RVDWBU8.lnk        Win32/Dorkbot.D worm (unable to clean)        00000000000000000000000000000000        I

Downloade dir bitte unhide.exe und speichere diese Datei auf deinem Desktop.
Starte das Tool und es sollten alle Dateien und Ordner wieder sichtbar sein. ( Könnte eine Weile dauern )
http://www.trojaner-board.de/images/icons/icon4.gif Vista und 7 User müssen das Tool per Rechtsklick als Administrator ausführen! http://www.trojaner-board.de/images/icons/icon4.gif

Danke für Deine Antwort, leider sind die Dateien auf meiner externen Festplatte immernoch als Verknüpfung angezeigt und ich kann nicht arauf zugreifen. Trotz Neustart. Was kann ich tun?

Lass dir zuerst mal alle Dateien anzeigen => http://www.trojaner-board.de/59624-a...-sichtbar.html
Danach sollte auch alle Ordner wieder angezeigt werden - halbtransparent, da sie noch die Atrribute "versteckt" und "system" tragen

Starte anschließend die Eingabeaufforderung über Start, Alle Programme, Zubehör

Musst in der Eingabeauforderung jeweils für jeden versteckten Ordner diesen Befehl ausführen:

Code:

attrib -s -h "x:\ordner" /s /d

x: => Muss angepasst werden, den passenden Buchstaben verwenden
"ordner" muss dann der jew. richtige Ordnername sein

Vgl. diesen Strang => http://www.trojaner-board.de/102950-...traeger-2.html

Wenn ich in der Eingabeaufforderung nach c:\Users\Daniela> Folgendes eingebe:
attrib -s -h "G:\Admin" /s /d

passiert nichts. Was mache ich falsch?

Die Dateien muss ich nicht sichtbar machen, ich sehe die Ordner, aber sie liegen immernoch unter C:\Windows\System32

Was heißt es passiert nichts?!
In der Konsole gibt es auch nichts, da kommt keine Meldung oder so
Der Befehl ändert einfach nur die Attribute
Dein G:\Admin sollte nun sichtbar sein und auch nicht mehr halbtransparent!

Der Ordner ist immernoch als Verknüpfung angezeigt und lässt sich nicht öffnen. Folgende Fehlermeldung erfolgt (siehe anhang).

Dann machst du etwas falsch
Zudem muss ich noch erwähnen, dass du die Verküpfungen löschen musst mit

del G:\*.lnk

dann sollten nur noch die Ordner zu sehen sein

Super nun hat es geklappt! Tausend Dank!