|
USB-Stick zeigt nur noch Verknüpfung an - IndexerVolumeGuid-Datei Guten Morgen, ich habe meinen USB-Stick an den Laptop einer Bekannten angeschlossen. Seitdem ist der Inhalt unter Windows nicht mehr zugänglich: anstelle der Ordner und Dateien wird unter Windows nur eine Verknüpfung angezeigt. Wenn ich den Stick jedoch unter Ubuntu anschließe (habe DualBoot), erscheint neben der Verknüpfung auch die System Volume Information sowie ein Ordner ohne Bezeichnung – in diesem befinden sich die Ordner und Dateien und sind unter Ubuntu auch zugänglich). Sowohl im Ordner System Volume Information als auch in den nicht-benannten Ordner befindet sich allerdings nun die Datei „IndexerVolumeGuid“. Deren Erstelldatum stimmt mit dem Zeitpunkt überein, an dem ich den Stick anschloss. Ich weiß, es gibt schon einige Threads zu diesem Thema. Ich möchte gerne sicher gehen, dass ich das Ding loswerde und der Stick auch wieder gefahrlos unter Windows (und Ubuntu) läuft. Deswegen wäre es toll, wenn Ihr mir weiterhelfen könntet. Was wäre als nächstes tun? - unter Windows: Avira deinstallieren und alle Ordner sichtbar machen - diesen Befehl für die versteckten Ordner aufführen: attrib -s -h "x:\ordner" /s /d - Malwarebytes-Scan durchführen? Bislang habe ich unter Ubuntu die Inhalte des nicht benannten Ordners auf einen anderen Stick kopiert. Dort erscheint nun aber auch unter den System Volume Information die IndexerVolumeGuid-Datei. Sowas besser bleiben lassen? Vielen Dank schon mal und beste Grüße. |
:hallo: Mein Name ist Jürgen und ich werde Dir bei Deinem Problem behilflich sein. Zusammen schaffen wir das...:abklatsch:
 Hinweis:Ich kann Dir niemals eine Garantie geben, dass wir alle schädlichen Dateien finden werden. Eine Formatierung ist meist der schnellere und immer der sicherste Weg, aber auch nur bei wirklicher Malware empfehlenswert. Adware & Co. können wir sehr gut entfernen. Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis Du mein clean :daumenhoc bekommst. Los geht's: Schritt 1 http://filepony.de/icon/frst.pnghttp://deeprybka.trojaner-board.de/b...e/frst/sn1.PNG Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop:  FRST 32-Bit | FRST 64-Bit(Wenn du nicht sicher bist: Lade beide Versionen oder unter Start > Computer (Rechtsklick) > Eigenschaften nachschauen)
Lesestoff Posten in CODE-Tags: So gehts... Die Logfiles anzuhängen oder sogar vorher in ein ZIP, RAR, 7Z-Archive zu packen erschwert uns massiv die Arbeit, es sei denn natürlich die Datei wäre ansonsten zu groß für das Forum. Um die Logfiles in eine CODE-Box zu stellen gehe so vor:
|
Hallo, vielen dank für die Unterstützung! Ich habe Avira noch nicht deaktiviert bei dem FRST-Scan (Avira hatte zuvor eine Datei WORM/LNK.Lokbal.Gen auf dem Stick gefunden und in die Quarantäne geschoben). Hier das FRST-log: Code: Untersuchungsergebnis von Farbar Recovery Scan Tool (FRST) (x64) Version: 17-09-2016Code: Zusätzliches Untersuchungsergebnis von Farbar Recovery Scan Tool (x64) Version: 17-09-2016 |
Hi, Schritt 1 bitte mal das Security Tool Spotlight: Rem-VBSworm - Anleitungen durchführen, aber nur Option B. Danach: Schritt 2 Alle "infizierten" Sticks an den PC anstecken und einen ESET-Scan durchführen. Wichtig: Bitte unter "Computer-Prüfeinstellungen/...zu prüfende Objekte" die checkbox bei Computer setzen. http://www.deeprybka.trojaner-board....t/usbeset1.png ESET Online Scanner
|
Okay, der ESET-Scan hat keine Bedrohungen gefunden. Der infizierte Stick zeigt nun nicht mehr die Verknüpfung, sondern nur die beiden Ordner an, die auch unter Ubuntu sichtbar waren: die System Volume Information und einen Ordner ohne Namen. Hier die Ergebnisse des ESET-Scans: Code: ESETSmartInstaller@High as downloader log: |
Dateien in Quarantäne müssen nicht gelöscht werden. Ich würde unter ubuntu die Daten kopieren und den Stick anschließend formatieren. Dann unter Windows den Stick prüfen ob alles OK ist oder ob wieder was erstellt wird. Kannst Du bitte noch das Log von Rem-VBS posten? |
Unter Ubuntu hatte ich die Dateien vom infizierten Stick bereits vor dem FRST-Scan auf einen anderen Stick kopiert (ohne die IndexerVolumeGuid-Datei). Ich habe beim letzten Schritt (Security Tool Spotlight + ESET-Scan) beide Sticks angeschlossen. Nun ist auf beiden Sticks unter Ubuntu (nicht unter Windows) ein Ordner Autorun.inf sichtbar. Ist das unbedenklich? (Hoffe dass sich das Problem jetzt nicht auf den anderen Stick übertragen hat.) Hier das Log (REM-VBS): Code: Rem-VBSworm v8.0 |
Was ist mit der Anweisung von oben? :) Ändere unter ubuntu auch Deine wichtigen Online-Passwörter und mach keine Logins unter Windows bis ich das clean gebe. |
Habe die beiden Sticks formatiert (unter Ubuntu) und die Dateien danach rückübertragen. Dateien und Ordner werden nun ganz normal angezeigt (auch unter Windows) - ohne Verknüpfungen. Auch die Autorun.inf-Ordner sind verschwunden. Unter Windows habe ich einen kompletten Avira- und ESET-Scan gemacht. Es wurde nichts Auffälliges gefunden. Soll ich weitere Scans durchführen? ESET: Code: ESETSmartInstaller@High as downloader log: |
Hi, nein. Eigentlich solltest Du ja nur das machen was ich sage. So war es eigentlich vereinbart. ;) Wenn Du unter Windows den Stick ansteckst und eine Datei dort abspeicherst, dann wird nichts anderes abgelegt oder erstellt? |
Okay, habe das missverstanden. Wenn ich unter Windows Dateien abspeichere, wird - soweit ich das sehen kann, nichts weiter erstellt oder abgelegt. Stick verhält sich anständig. Einen schönen Abend noch. |
OK. Dann bitte noch ein frisches Log: Schritt 1 http://filepony.de/icon/frst.pnghttp://deeprybka.trojaner-board.de/b...e/frst/sn1.PNG Bitte starte FRST erneut, und drücke auf Untersuchen. Bitte poste mir den Inhalt des Logs. |
Moin moin, hier die FRST.txt: Code: Untersuchungsergebnis von Farbar Recovery Scan Tool (FRST) (x64) Version: 18-09-2016und die addition.txt: Code: Zusätzliches Untersuchungsergebnis von Farbar Recovery Scan Tool (x64) Version: 18-09-2016 |
http://deeprybka.trojaner-board.de/b...ndeeprybka.gif Wir haben es geschafft! :abklatsch: Die Logs sehen für mich im Moment sauber aus. Wenn Du möchtest, kannst Du hier sagen, ob Du mit mir und meiner Hilfe zufrieden warst...:dankeschoen:und/oder das Forum mit einer kleinen Spende http://www.trojaner-board.de/extra/spende.png unterstützen. :applaus: Es bleibt mir nur noch, Dir unbeschwertes und sicheres Surfen zu wünschen und dass wir uns hier so bald nicht wiedersehen. ;) http://deeprybka.trojaner-board.de/b...cleanupneu.png Cleanup: (Die Reihenfolge ist hier entscheidend) Falls Defogger verwendet wurde: Erneut starten und auf Re-enable klicken. Falls Combofix verwendet wurde: http://deeprybka.trojaner-board.de/b.../combofix2.pngCombofix deinstallieren
Alle Logs gepostet? Dann lade Dir bitte http://filepony.de/icon/tiny/delfix.pngDelFix herunter.
Hinweis: DelFix entfernt u.a. alle verwendeten Programme, die Quarantäne unserer Scanner, den Java-Cache und löscht sich abschließend selbst. Starte Deinen Rechner abschließend neu. Sollten jetzt noch Programme aus unserer Bereinigung übrig sein, kannst Du diese bedenkenlos löschen. http://deeprybka.trojaner-board.de/b...ast/schild.png Absicherung: Beim Betriebsystem Windows die automatischen Updates aktivieren. Auch die sicherheitsrelevante Software sollte immer nur in der aktuellsten Version vorliegen: Browser Java Flash-Player PDF-Reader Sicherheitslücken (z.B. hier) in deren alten Versionen werden dazu ausgenutzt, um beim einfachen Besuch einer manipulierten Website per "Drive-by" Malware zu installieren. Ich empfehle z.B. die Verwendung von Mozilla Firefox statt des Internet Explorers. Zudem lassen sich mit dem Firefox auch PDF-Dokumente öffnen. Aktiviere eine Firewall. Die in Windows integrierte genügt im Normalfall völlig. Verwende ein Antivirusprogramm mit Echtzeitscanner und stets aktueller Signaturendatenbank. Meine Kauf-Empfehlung: http://deeprybka.trojaner-board.de/eset/esetmd.png Zusätzlich kannst Du Deinen PC regelmäßig mit Malwarebytes Anti-Malware scannen. Optional: http://filepony.de/icon/noscript.png NoScript verhindert das Ausführen von aktiven Inhalten (Java, JavaScript, Flash,...) für sämtliche Websites. Man kann aber nach dem Prinzip einer Whitelist festlegen, auf welchen Seiten Scripts erlaubt werden sollen. http://filepony.de/icon/malwarebytes_anti_exploit.pngMalwarebytes Anti Exploit: Schützt die Anwendungen des Computers vor der Ausnutzung bekannter Schwachstellen. Lade Software von einem sauberen Portal wie http://filepony.de/images/microbanner.gif. Wähle beim Installieren von Software immer die benutzerdefinierte Option und entferne den Haken bei allen optional angebotenen Toolbars oder sonstigen, fürs Programm, irrelevanten Ergänzungen. Um Adware wieder los zu werden, empfiehlt sich zunächst die Deinstallation sowie die anschließende Resteentfernung mit Adwcleaner . Abschließend noch ein paar grundsätzliche Bemerkungen: Ändere regelmäßig Deine wichtigen Online-Passwörter und erstelle regelmäßig Backups Deiner wichtigen Dateien oder des Systems. Der Nutzen von Registry-Cleanern, Optimizern usw. zur Performancesteigerung ist umstritten. Ich empfehle deshalb, die Finger von der Registry zu lassen und lieber die windowseigene Datenträgerbereinigung zu verwenden. |
Vielen, vielen Dank für die Hilfe!! Noch eine letzte Frage: der Stick meiner Kollegin wurde ebenfalls infiziert. Ist es möglich, die Prozedur einfach zu übertragen und auch an ihrem Rechner / Stick anzuwenden? Herzliche Grüße Jenny |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 09:45 Uhr. |
Copyright ©2000-2025, Trojaner-Board
