Ja, leider erscheinen die Ordner auf dem USB-Stick mit dem alles angefangen hat immernoch nur als Verknüpfungen. Kannst du sagen, ob nur dieser Stick betroffen ist oder auch alle anderen Wechseldatenträger, die ich verbinden würde? Was ergab denn der letzte Scan, sind noch Viren auf dem Rechner?
Virus auf USB-Stick? Zeigt nur noch Verknüpfungen...
-
-
-
Wenn du keine der Verknüpfungen auf dem Stick wieder angeklickt hast, ist der Rechner jetzt sauber.
Alle Datenträger, die nach dem Auftreten des Problems am Rechner waren, sind aber infiziert.
Infizierten Datenträger in den Rechner einstecken und Rückmeldung geben, welchen Laufwerksbuchstaben der hat. Ab 16:00Uhr geht es weiter. -
Nein, habe nichts angerührt und soweit ich einschätzen kann wann das Problem auftrat auch keine anderen Datenträger angeschlossen.
Das sind ja schonmal gute Neuigkeiten.Das betroffene Laufwerk ist auf :G
-
Das tun:
- Infizierten Datenträger im Rechner lassen.
- PPFScan.exe starten.
- In das Texteingabefeld über dem Button Script ausführen folgenden Text einfügen (das was in der Box steht - ohne das Wort Quellcode und die Zeilennummern). Achte darauf, dass dir der gesamte Inhalt der Box angezeigt wird.
Code
Alles anzeigenCREATE_FOLDER->C:\PPF_Scan2 SET_SCANLIST->1 SET_OPTIONS->-205,213,217 SET_HEADLINE->Shortcuts on G:\#Verknüpfungen auf G:\ SEARCH_LNK_FILES->*.lnk ->G:\ SET_HEADLINE->Files on G:#Dateien auf G: SEARCH_FILES->* ->G:\ SET_HEADLINE->Folders on G:#Ordner auf G: SEARCH_Folders->* ->G:\ SET_HEADLINE->Hidden files on G:#Versteckte Dateiern auf G: SEARCH_FILES_WITH_ATTRIBUTES->* ->G:\ ->2 SET_HEADLINE->Hidden folders on G:#Versteckte Ordner auf G: SEARCH_FOLDERS_WITH_ATTRIBUTES->* ->G:\ ->2 SET_HEADLINE->MD5#MD5 SEARCH_FILES_WITH_MD5->* -> ->46c2a5be85ddd7a3a7940ca871ae84cd COPY_SCANFILES->C:\PPF_Scan2 OPEN->C:\PPF_Scan2 END->
- Klicke dann auf den Button Script ausführen und bestätige die erscheinende Messagebox mit Ja.
- Warte, bis der Scanner sich selbst beendet.
- Lasse das Script bei einer Meldung nicht abbrechen! Klappt alles, wird der Rechner sich der PPFScanner selbst beenden.
- Es befinden sich im Ordner C:\PPF_Scan2 dann einige Textdateien. Lade bitte alle Dateien, die du dort findest, bei workupload.com/ hoch und poste die Downloadlinks hier im Forum.
Danach werden wir den Stick bereinigen und die Daten zurückholen.
-
Alles klar, erledigt:
Folgende Dateien sind neu in PPF_Scan2
http://workupload.com/archive/QaMbwTp -
Das tun:
- Infizierten Datenträger im Rechner lassen.
- PPFScan.exe starten.
- In das Texteingabefeld über dem Button Script ausführen folgenden Text einfügen (das was in der Box steht - ohne das Wort Quellcode und die Zeilennummern). Achte darauf, dass dir der gesamte Inhalt der Box angezeigt wird.
Code
Alles anzeigenCREATE_FOLDER->C:\PPF_Scan2 SET_SCANLIST->1 SET_OPTIONS->-205,213,217 DELETE_FILE->G:\Adele 21.lnk DELETE_FILE->G:\System Volume Information.lnk DELETE_FILE->G:\Private.lnk START_SHELL->%SystemRoot%\system32\cmd.exe EXECUTE_IN_SHELL->DEL /Q /F G:\MicrosoftSearchIndexer CLOSE_SHELL-> SET_FILE_ATTRIBUTES-> G:\Adele 21>128 SET_FILE_ATTRIBUTES->G:\Private\Pictures>128 SEARCH_FILES->MicrosoftSearchIndexer -> COPY_SCANFILES->C:\PPF_SCAN2 OPEN->C:\PPF_SCAN2 END->
- Klicke dann auf den Button Script ausführen und bestätige die erscheinende Messagebox mit Ja.
- Warte, bis der Scanner sich selbst beendet.
- Lasse das Script bei einer Meldung nicht abbrechen! Klappt alles, wird der Rechner sich der PPFScanner selbst beenden.
- Es befinden sich im Ordner C:\PPF_Scan2 dann einige Textdateien. Lade bitte alle Dateien, die du dort findest, bei workupload.com/ hoch und poste die Downloadlinks hier im Forum.
-
Erledigt, der USB Stick ist jetzt leer. Hier sind die Dateien.
http://workupload.com/archive/vPrFPDk -
Das hat nicht komplett geklappt - einen Moment...
-
Das tun:
- Infizierten Datenträger im Rechner lassen.
- PPFScan.exe starten.
- In das Texteingabefeld über dem Button Script ausführen folgenden Text einfügen (das was in der Box steht - ohne das Wort Quellcode und die Zeilennummern). Achte darauf, dass dir der gesamte Inhalt der Box angezeigt wird.
- Code
Alles anzeigenCREATE_FOLDER->C:\PPF_Scan2 SET_SCANLIST->1 SET_OPTIONS->-205,213,217 SET_FILE_ATTRIBUTES->G:\Adele 21>128 SET_FILE_ATTRIBUTES->G:\Private>128 SET_HEADLINE->Hidden folders on G:#Versteckte Ordner auf G: SEARCH_FOLDERS_WITH_ATTRIBUTES->* ->G:\ ->2 COPY_SCANFILES->C:\PPF_SCAN2 OPEN->C:\PPF_SCAN2 OPEN->G:\ END->
Klicke dann auf den Button Script ausführen und bestätige die erscheinende Messagebox mit Ja.
- Warte, bis der Scanner sich selbst beendet.
- Lasse das Script bei einer Meldung nicht abbrechen! Klappt alles, wird der Rechner sich der PPFScanner selbst beenden.
- Es befinden sich im Ordner C:\PPF_Scan2 dann einige Textdateien. Lade bitte alle Dateien, die du dort findest, bei workupload.com/ hoch und poste die Downloadlinks hier im Forum.
Danach kontrollieren, ob die Daten wieder da sind.
-
Ordner sind wieder da und auch tatsächlich als Ordner
-
Sind weitere Datenträger betroffen?
-
Nein, hab mehrere ausprobiert. Sieht alles wieder normal aus.
-
Schau hier morgen noch mal rein. Es kommt dann noch eine Zusammenfassung und wir räumen noch auf.
-
Aufräumen:
- Eset Onlinescanner wieder über die Systemsteuerung deinstallieren.
- PPFScanner vom Rechner löschen.
- Die Ordner C:\PPF_Scan1, C:\PPF_Scan2 und C:\PPFS_Sicherung vom Rechner löschen.
- Den ADWCleaner kannst du über das Menü des Tools unter Datei wieder Deinstallieren.
Was hat dich befallen:
Der Trojaner, der sich befallen hat, installiert sich beim Anklicken der Verknüpfung auf dem Rechner, in den der Stick eingesteckt ist. Klickst du diese Verknüpfungen nicht an, passiert auf dem Rechner, in den der Stick eingesteckt ist, nichts.
Alle Dateien auf in einen infizierten Rechner eingesteckten externen Datenträgern werden versteckt und stattdessen sichtbare infizierte Verknüpfungen erzeugt, mit denen sich der Trojaner beim Anklicken weiter verbreitet und startet.
Meist haben diese Trojaner die Aufgabe, sich über das Internet mit einem Server zu verbinden, um weitere (die eigentliche) Schadsoftware nachzuladen. Das bei dir etwas erfolgreich nachgeladen werden konnte, konnte ich nicht feststellen. Im Augenblick habe ich den starken Verdacht, dass diese Nachladeroutine in diesem Trojaner gar nicht korrekt funktioniert (nach Tests, die ich in einer Sandbox ausgeführt habe). Komplett decodiert habe ich ihn aber noch nicht.Zombieprozesse:
Dein Virenscanner G Data scheint einige Handles auf Prozesse nicht korrekt zu schließen. Ein geringer Anteil von Speicher des Prozesses wird dann nicht wieder freigegeben. Unter Windows10 könnte das Probleme machen, wenn der Rechner über lange Zeit nicht komplett heruntergefahren wird. Windows10 fährt normalerweise in einer Art Hybridmodus herunter, um schneller wieder starten zu können. Um Probleme zu vermeiden, würde ich den Rechner zwischendurch manchmal absichtlich komplett herunterfahren (das gibt den Speicher auf jeden Fall wieder frei). Das geht am sichersten, wenn man sich die hier beschriebene Verknüpfung auf dem Desktop anlegt und die anklickt, wenn der Rechner den Hybridmodus zum Herunterfahren nicht verwenden soll:
Du hattest etwas Adware auf dem Rechner:
Auf dem Rechner waren noch einige Reste von Adware, die dort wohl schon seit längerer Zeit waren. Adware ist Werbesoftware, die bei der Installation von Freeware auf den Rechner kommt - damit verdienen die Programmierer von Freeware und die Betreiber mancher Downloadportale Geld.
Bitte lass die Finger von Programmen, die vollautomatisch Treiber aktualisieren, den Rechner schneller machen, automatisch Fehler beheben oder sonstige Wunderdinge tun können. Meist enden solche Zaubereien mit mehr Problemen, als man vorher hatte - Magie gibt es nur in Märchenbüchern, nicht in der Computerwelt.
Achte darauf, von wo du Programme herunterlädst. Nutze nur bekannte und große Portale - meide alle Downloadportale, bei denen vor dem Herunterladenen der eigentlichen Software ein Downloadmanager ausgeführt werden soll.
Wähle bei der Installation von Freeware immer die benutzerdefinitierte Installation. Entferne bei der Installation alle Häkchen für Addons und Toolbars für den Internetbrowser.Im Augenblick poppen desöfteren auch mal auf Video- und Downloadseiten Popups auf, die auf eine veraltete Version von Java, dem Internetbrowser oder Flashplayer hinweisen. Auch da dann nirgendwo zur Installation draufklicken - installiert auch Adware. Hier mal ein Beispiel:
[Blockierte Grafik: http://s9.postimg.org/emi6kq0uz/image.jpg]
Siehe auch hier:
FAQs zu Adware
Frage:
Kann man davon ausgehen, dass ein Download direkt von der Herstellerseite einer Software keine ungewollte Zusatzsoftware enthält?
Antwort:
Nein, natürlich nicht! Jede Firma, die Software herstellt, will eines - nämlich Geld verdienen. Geld lässt sich mit Freeware am besten verdienen, indem man zusätzlich von Firmen, mit denen man Verträge hat, Werbesoftware installiert. Für Softwarehersteller gibt es extra Installer für ihre Software (oft selbst von Werbefirmen erstellt) mit denen sie einfach Fremdsoftware in ihr Packet einbinden können.Frage:
Kann man die Installation von Werbesoftware immer bei der Installation eines Programms abwählen?
Antwort:
Nein - nicht immer. Es gibt da auch Softwarehersteller, die ihre Adware ungefragt installieren - das ist aber eher selten. Einige Downloadportale (zum Beispiel Heise) prüfen ihre Downloads vor dem Einstellen von Software. Die Gefahr, solche komplett versteckte Adware zu laden, ist da etwas geringer.
Die meisten Softwarehersteller verstecken ihre Adware hinter Optionen wie "Benutzerdefinierte Installation". Nimmt man bei solchen Installern die "empfohlene Schnellinstallation", fehlt dann bei der Installation nachher die Option zum Abwählen der Adware. Einige wenige Softwarehersteller binden ihre Adware ganz offensichtlich und unversteckt in den Installer ein. Aber auch das ist eher selten. Ich kann also nur raten, sich bei der Softwareinstallation durchzulesen, was auf dem Bildschirm steht und genau nachzudenken, bevorman irgendetwas anklickt.Frage:
Ich habe mir scheinbar Adware eingefangen. E installieren sich immer ungefragt Programme - und wenn ich die lösche, sind die sofort wieder da. Gibt es eine Möglichkeit zur "Selbsttherapie"?
Antwort:
Damit sieht es aus, wie mit der "Selbsttherapie" bei körperlichen Erkrankungen. Hat man für etwas zu wenig Ahnung und macht etwas falsch, kann das tötlich sein. Manche Adware verwendet RootKittechniken und installiert zusätzlich DLLs in den Bereich der Layerd Service Providers. Macht man da etwas falsch, endet das im Verlust der Internetkontakts und man kann sich noch nicht einmal weitere Hilfe aus dem Netz holen.Frage:
Auf einem Downloadporttal wird mit "sicherer Download" geworben. Desweiteren wird damit geworben, dass die Software von Virenscannern geprüft ist. Kann ich solchen Downloads vertrauen?
Antwort:
Auf keinen Fall! Gerade mit solchen Worten wird sehr oft für einen Downloadmanager des Softwareportals geworben, Dieser Downloadmanager führt sich vor dem eigentlichen Download der Software aus und soll zusätzliche Werbesoftware für Werbepartner des Downloadportals ablegen.Frage:
Wie erkenne ich dann, dass ich einen Downloadmanager eines Softwareportals ausführe?
Antwort:
Auch da hilft nur das Einschalten aller Sinne und des Gehirns. Deuten Schriftzüge oder Bilder im Aufpoppenden Installationsprogramm auf das Downloadportal hin, von dem die Software gelad
en wurde, sollten alle Alarmglocken angehen. Hier Beispiele dafür, wie ein solcher Downloadmanager aussehen kann...
[Blockierte Grafik: http://abload.de/img/dm4vdxv4.jpg]
[Blockierte Grafik: http://abload.de/img/dm2h5b67.jpg]
[Blockierte Grafik: http://abload.de/img/dm1tbb50.jpg]Frage:
Eine Software wurde vor einiger Zeit komplett ohne Adware zum Download angeboten. Kann ich davon ausgehen, dass diese Software auch in Zukunft keine Zusatzsoftware enthält?
Antwort:
Nein, natürlich nicht. Manche Softwarehersteller warten nur auf geeignete Verträge - die kommen aber erst zustande, wenn man eine ausreichend große Anzahl an Downloads bereits erreicht hat.Ich hoffe, ich konnte dir mit deinem Problem helfen. Wir sind dann fertig.
-
Jetzt mitmachen!
Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!