Dateien und Ordner auf Wechseldatenträger werden als Verknüpfungen angezeigt
 

Hallo,

Seit ein paar Wochen werden Ordner & Dateien auf Wechseldatenträgern (USB-Stick, MP3-Player, Navi etc.) auf meinem Rechner nur noch als Verknüpfungen angezeigt. Dies jedoch ausschließlich auf „oberster Ebene“ im Laufwerk, so sind beispielsweise alle Unterordner und deren Dateien nicht durch Verknüpfungen ersetzt.
Ich konnte jedoch ohne Probleme auf meine Daten zurückgreifen, bei einem Doppelklick auf eine Ordner-Verknüpfung öffnete sich nur immer ein neues Explorer-Fenster. Aus diesem Grund habe ich mir nicht allzu viele Sorgen gemacht, hab's für eine „kleine Macke von Windows und/oder dem USB-Stick“ gehalten. Ich wurde schließlich skeptisch, als das Problem auf sämtlichen Wechseldatenträgern und auf allen Computern, die ich benutze, auftauchte. Außerdem musste ich feststellen, dass angeschlossene Wechseldatenträgern die ganze Zeit über „arbeiten“ (Lämpchen blinkt die ganze Zeit wie wild und das Gerät wird warm), obwohl weder auf sie zugegriffen oder kopiert wird. Sobald ich meinen Rechner unter Ubuntu starte (Dualboot neben Windows 7 Home), lässt sich dieses Verhalten nicht mehr beobachten.
Nach einer kleinen Recherche mit Google schwante mir dann schnell Böses, bin unter anderem auf diesen Thread hier gestoßen:

http://www.trojaner-board.de/129921-...uepfungen.html

Wie in diesem Thread empfohlen, habe ich einen Malwarebytes Anti-Rootkit-Scan durchgeführt (dabei habe ich absichtlich einen USB-Stick am Rechner angeschlossen), allerdings ohne Ergebnis:


Auch ein Scan mit Malwarebytes Anti-Malware hat nichts ergeben.

Ich bin zur Zeit etwas ratlos; ich hatte zwar daran gedacht, auf jedem Rechner das System neu aufzusetzen, aber erstens befürchte ich, dass der Spaß von vorne losgeht, sobald ich einen Wechseldatenträger anschließe und zweitens würde ich vorerst doch ganz gerne wissen, mit was ich es überhaupt zu tun habe.

Hätte jemand eine Idee, worum es sich handeln könnte und wie ich jetzt am besten vorgehe?

Vielen Dank im Voraus für jeden hilfreichen Tip & Lösungsansatz!

Mit freundlichen Grüßen,
jrrdlb

Hallo,

schliesse bitte alle befallenen Wechseldatenträger an (oder so viele wie möglich) und teile mir deren Laufwerksbuchstaben mit (also F:, G:, etc.). Öffne keine dieser Verknüpfungen mehr, dadurch findet jedes Mal eine Neuinfektion statt.

Und mach einen FRST-Scan:


Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop: FRST 32-Bit | FRST 64-Bit
(Wenn du nicht sicher bist: Lade beide Versionen oder unter Start > Computer (Rechtsklick) > Eigenschaften nachschauen)

• Starte jetzt FRST.
• Ändere ungefragt keine der Checkboxen und klicke auf Untersuchen.
• Die Logdateien werden nun erstellt und befinden sich danach auf deinem Desktop.
• Poste mir die FRST.txt und nach dem ersten Scan auch die Addition.txt in deinem Thread (#-Symbol im Eingabefenster der Webseite anklicken)

Hallo,

Zuerst einmal danke für die äußerst schnelle Antwort!

Ich habe leider nur zwei freie USB-Anschlüsse und keinen HUB zur Hand, habe deswegen nur einen 8GB-Intenso-USB-Stick (Laufwerkbuchstabe "E:") und ein TomTom-Navigationssystem (Laufwerkbuchstabe "F:") während des Scans am Computer anschließen können.

Hier sind die beiden log-files, "FRST.txt":



FRST Logfile:

FRST Logfile:
--- --- ---

--- --- ---

--- --- ---


Und "Addition.txt"

Gut, dann säubern wir die Wechseldatenträger der Reihe nach.
Die ersten beiden weiterhin eingesteckt lassen (unter E: und F: ). Erst entfernen oder wechseln, wenn ich es sage.


Drücke bitte die Windowstaste + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument


Speichere diese bitte als Fixlist.txt auf deinem Desktop (oder dem Verzeichnis in dem sich FRST befindet).

• Starte nun FRST erneut und klicke den Entfernen Button.
• Das Tool erstellt eine Fixlog.txt.
• Poste mir deren Inhalt.

Es hat glaube ich funktioniert, allerdings hat der Rechner neu gestartet und ich musste die beiden Wechseldatenträger ausstecken, ehe er wieder hochfahren konnte (aber ich gehe davon aus, dass das normal ist). Sie sind also demnach gerade ausgesteckt, sag mir Bescheid, falls ich sie wieder anschließen soll.

Hier ist das "Fixlog.txt"

Ok, dann mach bitte nochmals einen FRST-Scan.
Und steck die beiden Datenträger wieder ein, ja. Sind die Laufwerksbuchstaben dann wieder gleich vergeben wie zuvor? (Also USB-Stick bei E:, und TomTom bei F: )


Starte noch einmal FRST.

• Ändere keine der Voreinstellungen und drücke auf Scan.
• Wenn der Scan abgeschlossen ist, werden ein neues Logfile FRST.txt erstellt und auf dem Desktop gespeichert.
• Poste den Inhalt dieses Logfiles bitte hier in deinen Thread.

Ja, USB-Stick ist immer noch als "E:" und TomTom als "F:" registriert.

Hier ist das "FRST.txt"-log-file:


FRST Logfile:

FRST Logfile:
--- --- ---

--- --- ---


Sehe ich das richtig, dass die Ursache an meinem Problem von der Datei "flashmemory.vbe" ausgeht?

Das ist richtig. Dieses Ding läuft sowohl auf dem Rechner (und infiziert dann alle angeschlossenen Wechseldatenträger) und liegt auch auf den Sticks und wird ausgeführt, wenn man die Verknüpfungen öffnet (und infiziert damit den Recher).
Zuerst muss man es vom Rechner löschen, danach kann man die Sticks säubern.
Den letzten Fix hat es aber überlebt und sich wiederhergestellt. Deshalb zweiter Versuch:


Scan mit Combofix

WARNUNG an die MITLESER:
Combofix sollte ausschließlich ausgeführt werden, wenn dies von einem Teammitglied angewiesen wurde!

Downloade dir bitte Combofix vom folgenden Downloadspiegel: Link

• WICHTIG: Speichere Combofix auf deinem Desktop.
• Deaktiviere bitte alle deine Antivirensoftware sowie Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören. Combofix meckert auch manchmal trotzdem noch, das kannst du dann ignorieren, mir aber bitte mitteilen.
• Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.
• Während Combofix läuft bitte nicht am Computer arbeiten, die Maus bewegen oder ins Combofixfenster klicken!
• Wenn Combofix fertig ist, wird es ein Logfile erstellen.
• Bitte poste die C:\Combofix.txt in deiner nächsten Antwort (möglichst in CODE-Tags).

Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten

Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.

starte den Rechner einfach neu. Dies sollte das Problem beheben.

Hier ist das logfile "Combofix.txt":

Combofix Logfile:
--- --- ---


Ich habe wie beschrieben Avira vor dem Scan deaktiviert, als ich Combofix gestartet habe, erschien jedoch das gewöhnliche kleine Fenster von Antivir "Autorun F: deaktiviert/blockiert" unten rechts (ich weiß nicht, ob das relevant für die Sache ist)

Hat diese Malware ein hohes Schadenspotenzial?

Um zu sehen, was sie genau macht (ausser ihre Reproduktion zu garantieren), müsste ich dann so ein File genauer untersuchen. Zuerst aber mal löschen:



Schritt 1

Combofix-Skript

WARNUNG für die MITLESER:
Folgendes ComboFix Skript ist ausschließlich für diesen User in dieser Situtation erstellt worden.
Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!

• Lösche die vorhandene Combofix.exe von deinem Desktop und lade das Programm von folgenden Download-Spiegel neu herunter: Link
• Speichere es erneut auf dem Desktop (nicht woanders hin, das ist wichtig)!
• Drücke die Windows + R Taste --> notepad (hinein schreiben) --> OK
• Kopiere nun den Text aus der folgenden Codebox komplett in das leere Textdokument.
  
  Code:

  ---

  File::
c:\users\Julian\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\flashmemory.vbe
C:\Users\Julian\AppData\Local\Temp\flashmemory.vbe

Registry::
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"flashmemory"=-

  ---

• Speichere dies als CFScript.txt auf deinem Desktop.
• Wichtig: Stelle deine Anti Viren Software temporär ab. Dies kann ComboFix nämlich bei der Arbeit behindern.
  Danach wieder anstellen nicht vergessen!
• Schließe alle laufenden Programme damit ComboFix ungehindert arbeiten kann.
• Ziehe CFScript.txt in die ComboFix.exe wie in diesem Bild:
  
  
• Mache nichts am Computer, bewege nicht die Maus über das ComboFix-Fenster oder klicke in dieses hinein. Dies kann dazu führen, dass ComboFix sich aufhängt.
• Wenn ComboFix fertig ist wird es ein Log erstellen: C:\ComboFix.txt
  Bitte füge es hier als Antwort (in CODE-Tags mit dem #-Button des Editors) ein.

Hinweis:
Suspect:: und Collect::
Falls im Skript diese Anweisungen enthalten sind, sollen Dateien zur Analyse eingeschickt werden. Es erscheint eine Message-Box, nachdem Combofix fertig ist. Klicke OK und folge den Aufforderungen/Anweisungen, um die Dateien hochzuladen. Teile mir unbedingt mit, ob der Upload geklappt hat!

Schritt 2

Starte danach den Rechner neu und schliesse die beiden Wechseldatenträger wieder an (unter den gleichen Laufträgerbuchstaben).



Schritt 3

Drücke bitte die Windowstaste + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument


Speichere diese bitte als Fixlist.txt auf deinem Desktop (oder dem Verzeichnis in dem sich FRST befindet).

• Starte nun FRST erneut und klicke den Entfernen Button.
• Das Tool erstellt eine Fixlog.txt.
• Poste mir deren Inhalt.

Schritt 4

Starte noch einmal FRST.

• Ändere keine der Voreinstellungen und drücke auf Scan.
• Wenn der Scan abgeschlossen ist, werden ein neues Logfile FRST.txt erstellt und auf dem Desktop gespeichert.
• Poste den Inhalt dieses Logfiles bitte hier in deinen Thread.

Entschuldige die verzögerte Antwort, Combofix hat eine gute Stunde benötigt.

Hier das logfile "ComboFix.txt"


Combofix Logfile:
--- --- ---


Hier ist "Fixlog.txt":
Das "FRST.txt"-logfile folgt im nächsten Post, da ich leider die maximale Anzahl Zeichen für einen Post erreicht habe

Und schlussendlich "FRST.txt"


FRST Logfile:

FRST Logfile:
--- --- ---

--- --- ---

Dieses Miststück hält tapfer dagegen..
Dann müssen wir halt den Umweg über die Reperaturumgebung machen, wo es sich nicht wehren kann.
Zuerst ein Scan:


Scan mit Farbar's Recovery Scan Tool (Recovery Mode - Windows Vista, 7, 8)

Hinweise für Windows 8-Nutzer: Anleitung 1 (FRST-Variante) und Anleitung 2 (zweiter Teil)

• Downloade dir bitte die passende Version des Tools (im Zweifel beide) und speichere diese auf einen USB Stick: FRST 32-Bit | FRST 64-Bit
• Schließe den USB Stick an das infizierte System an und boote das System in die System Reparatur Option.
• Scanne jetzt nach der bebilderten Anleitung oder verwende die folgende Kurzanleitung:

Über den Boot Manager:

• Starte den Rechner neu.
• Während dem Hochfahren drücke mehrmals die F8 Taste
• Wähle nun Computer reparieren.
• Wähle dein Betriebssystem und Benutzerkonto und klicke jeweils "Weiter".

Mit Windows CD/DVD (auch bei Windows 8 möglich):

• Lege die Windows CD in dein Laufwerk.
• Starte den Rechner neu und starte von der CD.
• Wähle die Spracheinstellungen und klicke "Weiter".
• Klicke auf Computerreparaturoptionen !
• Wähle dein Betriebssystem und Benutzerkonto und klicke jeweils "Weiter".

Wähle in den Reparaturoptionen: Eingabeaufforderung

• Gib nun bitte notepad ein und drücke Enter.
• Im öffnenden Textdokument: Datei > Speichern unter... und wähle Computer.
  Hier wird dir der Laufwerksbuchstabe deines USB Sticks angezeigt, merke ihn dir.
• Schließe Notepad wieder
• Gib nun bitte folgenden Befehl ein.
  e:\frst.exe bzw. e:\frst64.exe
  Hinweis: e steht für den Laufwerksbuchstaben deines USB Sticks, den du dir gemerkt hast. Gegebenfalls anpassen.
• Akzeptiere den Disclaimer mit Ja und klicke Untersuchen

Das Tool erstellt eine FRST.txt auf deinem USB Stick. Poste den Inhalt bitte hier nach Möglichkeit in Code-Tags (Anleitung).

Ich habe als USB-Stick den infizierten Stick benutzt, der die ganze Zeit über als "E:" am Computer angeschlossen war. Außerdem war das TomTom Navi während des Scans nicht angeschlossen. Falls eine dieser beiden Tatsachen (oder beide) den Scan beeinträchtig haben sollte(n), sag mir Bescheid, dann mache ich ihn neu.

Hier ist das logfile "FRST.txt" vom USB-Stick (N.B.: Die Datei wurde wie "FRST64.exe" durch einen Shortcut ersetzt, habe sie aber ohne auf die Verknüpfung klicken zu müssen geöffnet, da ich sie als versteckte Datei sehen kann)


FRST Logfile:

FRST Logfile:
--- --- ---

--- --- ---

So, jetzt der Fix in den Reperaturoptionen.
Achte beim Fixskript bitte darauf, dass du die Zeilenumbrüche nicht verlierst (das ist nämlich beim letzten Fix passiert).
Das Skript muss genau so gespeichert werden, jeder Eintrag auf einer seperaten Zeile.


Schritt 1

Drücke bitte die + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument

Speichere diese bitte als Fixlist.txt auf deinem USB Stick.

• Starte deinen Rechner erneut in die Reparaturoptionen
• Starte nun die FRST.exe erneut und klicke den Entfernen Button.

Das Tool erstellt eine Fixlog.txt auf deinem USB Stick. Poste den Inhalt bitte hier.



Schritt 2

Starte den Rechner wieder in den normalen Modus und mach einen frischen FRST-Scan zur Kontrolle:

Starte noch einmal FRST.

• Ändere keine der Voreinstellungen und drücke auf Scan.
• Wenn der Scan abgeschlossen ist, werden ein neues Logfile FRST.txt erstellt und auf dem Desktop gespeichert.
• Poste den Inhalt dieses Logfiles bitte hier in deinen Thread.