Virus auf USB-Stick - Daten beim Speichern gelöscht (?)
 

Hallo ihr Lieben,

tut mir Leid, dass ich hier so... unerfahren schreibe, bin ein totaler Noob, aber ich hab ein großes Problem...
Gestern hab ich den USB-Stick einer Bekannten in meinen Laptop eingesteckt und mir offensichtlich eine Art Virus eingefangen. Dieser macht, dass auf meinen eigenen Sticks, sobald ich eine Datei drauf bearbeite, die Daten nicht mehr korrekt angezeigt werden; nur eine Verknüpfung ist auf dem Stick zu sehen, von welcher aus man die Daten erreichen kann - die meisten jedenfalls. Diese Verknüpfung heißt "Removable Drive (4GB)", gemäß der Größe des Sticks.
Nun ist dieses Problem genau in dem Moment aufgetreten, als ich eine Datei auf dem Stick bearbeiten wollte. Diese Datei ist das siebte Kapitel eines Romans, den ich gerade schreibe. Alle Dateien in dem Ordner, in dem sich diese befindet, scheinen nun weg zu sein - bis auf die eine, das siebte Kapitel eben - es wird angezeigt, der Ordner hätte nur 21 KB, was der einen Datei entspricht.
Die sechs anderen Kapitel sind futsch...
Ich habe nun zwei Dinge ausprobiert:
1.) Der Anleitung auf hxxp://ccm.net/faq/8734-files-on-flash-drive-changed-to-shortcuts gefolgt - nix passiert;
2.) versucht, Dateien mit Recuva zu retten - die Dateien wurden alle erkannt (mit passender Größe), aber als "unwiederherstellbar" eingestuft - in der wiederhergestellten Datei sieht man nur einen "Buchstabensalat" aus ASCII-Zeichen.

Es dürfte sich um den selben oder einen ähnlichen Virus wie den hier handeln: http://www.trojaner-board.de/170413-...uepfungen.html - aber ich habe auf diesem Board nichts zu meinem spezifischem Problem gefunden: alle Dateien lassen sich nach wie vor öffnen - bis auf die in einem bestimmten Ordner, die werden alle bis auf eine nicht angezeigt. Gerade diese Dateien sind mir aber sehr wichtig... Ich hoffe, ihr könnt mir irgendwie helfen, sie wiederherzustellen. Tut mir Leid, wenn ich mich unbeholfen ausdrücke oder so.
Bin noch immer sehr emotional aufgeladen, ich hab ewig dran gearbeitet und - ich Esel - keine Kopien davon auf meinem Laptop oder sonst wo gespeichert. :heulen:

In Hoffnung auf baldige Antworten,
LG, Nick

hi,

Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop: FRST 32-Bit | FRST 64-Bit
(Wenn du nicht sicher bist: Lade beide Versionen oder unter Start > Computer (Rechtsklick) > Eigenschaften nachschauen)

• Starte jetzt FRST.
• Ändere ungefragt keine der Checkboxen und klicke auf Untersuchen.
• Die Logdateien werden nun erstellt und befinden sich danach auf deinem Desktop.
• Poste mir die FRST.txt und nach dem ersten Scan auch die Addition.txt in deinem Thread (#-Symbol im Eingabefenster der Webseite anklicken)

Hier die beiden Logdateien. FRST.txt:

und die Addition.txt:

hi,

Downloade dir bitte Malwarebytes Anti-Rootkit und speichere es auf deinem Desktop.

• Starte bitte die mbar.exe.
• Folge den Anweisungen auf deinem Bildschirm gemäß Anleitung zu Malwarebytes Anti-Rootkit
• Aktualisiere unbedingt die Datenbank und erlaube dem Tool, dein System zu scannen.
• Klicke auf den CleanUp Button und erlaube den Neustart.
• Während dem Neustart wird MBAR die gefundenen Objekte entfernen, also bleib geduldig.
• Nach dem Neustart starte die mbar.exe erneut.
• Sollte nochmal was gefunden werden, wiederhole den CleanUp Prozess.

Das Tool wird im erstellten Ordner eine Logfile ( mbar-log-<Jahr-Monat-Tag>.txt ) erzeugen. Bitte poste diese hier.

Starte keine andere Datei in diesem Ordner ohne Anweisung eines Helfers

Downloade dir bitte TDSSKiller.exe und speichere diese Datei auf dem Desktop

• Starte die TDSSKiller.exe - Einstellen wie in der Anleitung zu TDSSKiller beschrieben.
• Drücke Start Scan
  
• Sollten infizierte Objekte gefunden werden, wähle keinesfalls Cure. Wähle Skip und klicke auf Continue.
  TDSSKiller wird eine Logfile auf deinem Systemlaufwerk speichern (Meistens C:\)
  Als Beispiel: C:\TDSSKiller.<Version_Datum_Uhrzeit>log.txt

Poste den Inhalt bitte in jedem Fall hier in deinen Thread.

Hallo,

habe Malwarebytes Anti-Rootkit gestartet, nach Anleitung ausgeführt; nachdem das Programm nicht von selbst neu startete, deaktivierte ich den Autorun Exterminator (auf den hatte ich vergessen - er verhinderte zuvor schon das Herunterfahren mehrmals) und startete manuell neu. Jetzt hängt der Laptop in einem schwarzen Bildschirm fest (seit ca. einer Stunde) und tut nichts - ich weiß nicht, wie lange der Neustart üblicherweise dauert, befürchte aber, dass es ein Problem gab. Keine Ahnung, ob sich noch etwas tut oder er sich aufgehängt hat.
Was soll ich jetzt tun - soll ich den Computer "abstechen" bzw. wie lange warten, bis ich es tue?

hi,
nachdem der Laptop morgens immer noch im gleichen Zustand war habe ich mich fürs "abstechen" entschieden, danach konnte ich normal starten, keine weiteren Probleme.
Habe noch ein zweites Mal mit Anti-Rootkit gescannt, und nichts mehr gefunden, hier die ersten beiden logs.

Nachdem ich vergessen hatte, den infizierten Stick während des Scans anzustecken, habe ich ihn angesteckt und zur Sicherheit noch einmal gescannt. Dazu hier der log:

Danach habe ich wie in der Anleitung mit TDSSKiller weitergemacht, der log dazu:

das wärs vorerst von meiner Seite.

hi,

Scan mit Combofix

WARNUNG an die MITLESER:
Combofix sollte ausschließlich ausgeführt werden, wenn dies von einem Teammitglied angewiesen wurde!

Downloade dir bitte Combofix vom folgenden Downloadspiegel: Link

• WICHTIG: Speichere Combofix auf deinem Desktop.
• Deaktiviere bitte alle deine Antivirensoftware sowie Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören. Combofix meckert auch manchmal trotzdem noch, das kannst du dann ignorieren, mir aber bitte mitteilen.
• Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.
• Während Combofix läuft bitte nicht am Computer arbeiten, die Maus bewegen oder ins Combofixfenster klicken!
• Wenn Combofix fertig ist, wird es ein Logfile erstellen.
• Bitte poste die C:\Combofix.txt in deiner nächsten Antwort (möglichst in CODE-Tags).

Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten

Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.

starte den Rechner einfach neu. Dies sollte das Problem beheben.

Hallo,

hab Combofix wie erwünscht durchgeführt, dabei aber auf 2 Kleinigkeiten vergessen: einerseits hatte ich den infizierten USB-Stick schon wieder nicht angesteckt, andererseits sah ich nachher im Log, dass Windows Defender noch aktiv war. Hab das also behoben und Combofix nochmal drüber laufen lassen.
Hier die beiden Logfiles:

Downloade Dir bitte Malwarebytes Anti-Malware

• Installiere das Programm in den vorgegebenen Pfad. (Bebilderte Anleitung zu MBAM)
• Starte Malwarebytes' Anti-Malware (MBAM).
• Klicke im Anschluss auf Scannen, wähle den Bedrohungssuchlauf aus und klicke auf Suchlauf starten.
• Lass am Ende des Suchlaufs alle Funde (falls vorhanden) in die Quarantäne verschieben. Klicke dazu auf Auswahl entfernen.
• Lass deinen Rechner ggf. neu starten, um die Bereinigung abzuschließen.
• Starte MBAM, klicke auf Verlauf und dann auf Anwendungsprotokolle.
• Wähle das neueste Scan-Protokoll aus und klicke auf Export. Wähle Textdatei (.txt) aus und speichere die Datei als mbam.txt auf dem Desktop ab. Das Logfile von MBAM findest du hier.
• Füge den Inhalt der mbam.txt mit deiner nächsten Antwort hinzu.

Downloade Dir bitte AdwCleaner auf deinen Desktop.

• Schließe alle offenen Programme und Browser. Bebilderte Anleitung zu AdwCleaner.
• Starte die AdwCleaner.exe mit einem Doppelklick.
• Stimme den Nutzungsbedingungen zu.
• Klicke auf Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
  • "Tracing" Schlüssel löschen
  • Winsock Einstellungen zurücksetzen
  • Proxy Einstellungen zurücksetzen
  • Internet Explorer Richtlinien zurücksetzen
  • Chrome Richtlinien zurücksetzen
  • Stelle sicher, dass alle 5 Optionen wie hier dargestellt, ausgewählt sind
• Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
• Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
• Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).

Beende bitte Deine Schutzsoftware um eventuelle Konflikte zu vermeiden.
Bitte lade Junkware Removal Tool auf Deinen Desktop

• Starte das Tool mit Doppelklick. Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten.
• Drücke eine beliebige Taste, um das Tool zu starten.
• Je nach System kann der Scan eine Weile dauern.
• Wenn das Tool fertig ist wird das Logfile (JRT.txt) auf dem Desktop gespeichert und automatisch geöffnet.
• Bitte poste den Inhalt der JRT.txt in Deiner nächsten Antwort.

und ein frisches FRST log bitte.

Hi zurück,

hier die Logs. Malwarebytes:

AdwCleaner:

JRT:

FRST.txt:

Addition.txt von FRST:

Ich möchte noch kurz etwas anmerken, weiß nicht, ob ich mich anfangs klar ausgedrückt habe:

Der ehemalige Inhalt des Sticks ist - fast zur Gänze, fast - noch immer drauf, allerdings in einem versteckten Systemordner mit Verknüpfung auf dem Stick. Das wäre nicht so das Problem. Das eigentliche Problem ist, dass einer der Ordner auf dem Stick - der, den ich gerade bearbeitet hatte, als das Virus "ausbrach" - nur noch eine einzige Datei enthält, nämlich die, die ich in jenem Moment abspeicherte (Kapitel 7 meines Romans). Kapitel 1 bis 6 sind futsch. Der Ordner hat 21 KB, was exakt der Größe dieses einen Kapitels entspricht. Ich hoffe, die anderen wurden nicht beim Speichern überschrieben oder so...

Ganz ehrliche Frage: wie gut stehen angesichts der momentanen Situation meine Chancen, die restlichen Kapitel wieder zu erhalten?

Rechner sauber kommen sollte gehen, aber die Kapitel die wirklich gar nicht mehr da sind sind weg denke ich....


ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Downloade Dir bitte SecurityCheck und:

• Speichere es auf dem Desktop.
• Starte SecurityCheck.exe und folge den Anweisungen in der DOS-Box.
• Wenn der Scan beendet wurde sollte sich ein Textdokument (checkup.txt) öffnen.

Poste den Inhalt bitte hier.

und ein frisches FRST log bitte.

ESET-Log (hat ganze 16 Bedrohungen gefunden... *schluck*):

SecurityCheck:

FRST:

und Addition.txt:

Von den verschwundenen Dateien konnte ich einen Großteil (bis auf ca. 20 Seiten) mittels Recuva und PhotoRec wiederherstellen. Das ist schon ganz OK so. Frag mich aber noch immer, wie die Dateien überhaupt verschwinden konnten, weil das, soweit ich weiß, höchst untypisch für "meinen" Virus ist... Mysteriös.

Diese ganzen "Side-by-Side-Konfiguration"-Fehler gehen aufs Konto von Pandora Recovery. Wollte ein paar Recovery-Programme ausprobieren, und dieses eine wurde an mancher Stelle als noch besser als Recuva bezeichnet. Leider funktioniert es nur nicht auf meinem Computer. Hab jetzt nach kurzer Recherche noch einmal die entsprechende C++ Version heruntergeladen (weil das offenbar dafür verantwortlich ist) und probier es noch einmal mit Drüberinstallieren...

Drücke bitte die Windowstaste + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument


Speichere diese bitte als Fixlist.txt auf deinem Desktop (oder dem Verzeichnis in dem sich FRST befindet).

• Starte nun FRST erneut und klicke den Entfernen Button.
• Das Tool erstellt eine Fixlog.txt.
• Poste mir deren Inhalt.

Downloadverhalten überdenken:
CHIP-Installer - was ist das? - Anleitungen

Hier die Fixlog.txt.

Text zu Chip gelesen? Noch Probleme?