USB Stick zeigt nur Verknüpfungen an

Diese Seite verwendet Cookies. Durch die Nutzung unserer Seite erklären Sie sich damit einverstanden, dass wir Cookies setzen. Weitere Informationen

Unsere Datenschutzerklärung wurde aktualisiert. Mit der Nutzung unseres Forums akzeptierst Du unsere Datenschutzerklärung. Du bestätigst zudem, dass Du mindestens 16 Jahre alt bist.

  • USB Stick zeigt nur Verknüpfungen an

    Moin zusammen,

    dieses Thema gab es hier vor kurzem, war mir aber nicht sicher, ob ich den alten Thread dazu nutzen sollte.

    Habe wie scheinbar einige andere vor mir auch schon auf meinem USB Stick nur noch Verknüpfungen die angezeigt werden. Die ursprünglichen Datein sind verborgen. Wie bekomme ich meinen USB Stick wieder in den alten Zustand zurück und wurde mein PC auch befallen? Avira hat bei mir nichts gefunden. Hoffe mir kann Jemand helfen.

    Gruß Bombo
  • Hallo Bombo,


    jetzt fehlt noch das Passwort für das Malware-Team.



    Bombo schrieb:

    Die ursprünglichen Datein sind verborgen. Wie bekomme ich meinen USB Stick wieder in den alten Zustand zurück und wurde mein PC auch befallen?
    Mit den Logs kann man eine Infektion des Rechners feststellen.

    Zum USB-Stick, kennst Du die Quelle der Infektion?

    Hier hatte ich mal einen Vorschlag für erfahrene Nutzer vorgestellt, habe aber keine Ahnung ob es geholfen hat.

    - Der Ansatz dabei, den Link zur Malware finden, Malware löschen.

    Die verborgenen Dateien kann man recht einfach sichtbar machen.
    - In der Konsole einfach "attrib /s /d -h LW:\*.*" eingeben und die Daten sind wieder da.

    Aber wenn man die Ursache/Quelle nicht kennt, ist das Flickschusterei.

    Tschau
  • Ich habe schon mal in die Logs geschaut. Mehrere Fragen:

    2 Virenscanner sind installiert. ESET und Avira. Gab es da irgendwelche Funde?

    Malwarebytes und AdwCleaner sind installiert. Gab es da auch irgendwelche Funde?

    Wenn ja, bitte die vollständigen Logs hochladen.

    Außerdem: Hast du die Links angeklickt? Oder nur im Explorer gesehen und sonst nichts weiter gemacht?
  • Ich vermute, dass ich mir etwas im Internetcafe eingefangen habe. War am Do. dort und seither tritt das Problem auf.

    Eset und Avira haben nichts gefunden. Habe eigentlich nur den Avira drauf. Eset, Malwarebytes und AdwCleaner habe ich nur wegen diesem Problem installiert. Wobei Malwarebytes und AdwCleaner habe ich wieder deinstalliert?

    Ich muss leider zugeben, dass ich bereits eine von den Verknüpfungen angeklickt habe.
  • Hallo Bombo,

    Bombo schrieb:

    Ich vermute, dass ich mir etwas im Internetcafe eingefangen habe. War am Do. dort und seither tritt das Problem auf.
    Ist nur ein USB-Stick betroffen?

    Oder wurde noch ein Stick infiziert?

    Lade dir PC-WELT-Lnk-Check herunter und führe es auf dem USB-Stick aus.
    Poste dann einen Screenshot von dem Tool.

    Tschau


    PS.

    Oldi-40 schrieb:

    Die verborgenen Dateien kann man recht einfach sichtbar machen.
    - In der Konsole einfach "attrib /s /d -h LW:\*.*" eingeben und die Daten sind wieder da.
    Hast Du das mal gemacht?
    - LW: durch den Laufwerksbuchstaben des USB-Sticks ersetzen.
  • Danke euch erstmal für eure Mühe.

    Folgend die FRST Logs und der Screen vom Lnk-Check

    workupload.com/file/55YFrse9

    Wenn ich in der Konsole (Start->Rechtsklick->Eingabeaufforderung) attrib /s /d -h LW:\*.* eingebe listet er mir alle Datein nach und nach auf und davor steht immer "Attribut konnte nicht geändert werden"

    Die Textdatein auf dem Stick sind ersetzbar. Hänge aber schon an den Bilddatein.

    Habt ihr eine Vermutung worin das Problem liegt?
  • Wir bringen den Rechner mal auf den aktuellen Stand und löschen per FRST ein paar Einträge.



    Fix mit FRST


    Lade die Datei "fixlist.txt" aus dem Anhang herunter.


    Speichere dann dies im gleichen Verzeichnis (Desktop), wo auch die frst(64).exe liegt, als fixlist.txt ab.


    Quellcode

    1. Start
    2. HKLM\...\Run: [] => [X]
    3. HKLM-x32\...\Run: [] => [X]
    4. HKU\S-1-5-21-3668895991-3483683555-1966772202-1000\...\Run: [] => [X]
    5. SearchScopes: HKLM -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
    6. SearchScopes: HKLM-x32 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
    7. SearchScopes: HKU\S-1-5-21-3668895991-3483683555-1966772202-1000 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
    8. Task: {131BA57D-C9F5-462F-82D4-754B1DE9ECAE} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Keine Datei <==== ACHTUNG
    9. Task: {67F4B93D-0DAA-4BF7-A751-0CD1A188BE1E} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Keine Datei <==== ACHTUNG
    10. Task: {806B9EA3-B39D-4855-8086-6A7A965E5EAA} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Keine Datei <==== ACHTUNG
    11. Task: {9E48383C-A67D-47F0-8E92-8AE65B48FE67} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Keine Datei <==== ACHTUNG
    12. Task: {C192824A-0BFF-47F7-8E7E-D7B63EA99EE7} - \Microsoft\Windows\UNP\RunCampaignManager -> Keine Datei <==== ACHTUNG
    13. End
    Alles anzeigen




    Deaktiviere dann vorübergehend dein Antivirus-Programm und beende laufende Programme.


    Starte dann frst als Administrator: rechte Maustaste über frst-Icon, "Als Administrator ausführen". Drücke diesmal den Button Entfernen.


    Nach Ausführung ist evtl. ein Neustart fällig. Das Ergebnis wird als Datei fixlog.txt im gleichen Verzeichnis hinterlegt. Dies Ergebnis bitte hier einstellen.



    Aufräumen


    3 sind zwei zu viel. Deinstalliere ESET und Avira. Der Windows Defender ist als AntiVirus völlig ausreichend.


    Bei Avira nach der Deinstallation noch den Cleaner nutzen: avira.com/de/download/product/avira-registry-cleaner



    Thunderbird sollte aktualisiert werden (support.mozilla.org/de/kb/thunderbird-aktualisieren).



    OpenOffice deinstallieren, das ist so gut wie tot. Nutze stattdessen Libreoffice: de.libreoffice.org/download/download/


    Ist aus dem gleichen Ursprung, wird aber stetig weiterentwickelt.



    MS Office 2007 ist EOL, es gibt also keine Sicherheitsupdates mehr. Entweder Libreoffice nutzen oder eine neuere Version besorgen.



    Der Stick


    Da macht Oldi mit dir weiter.
    Dateien
    • fixlist.txt

      (1,06 kB, 2 mal heruntergeladen, zuletzt: )

    Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von meierkurt ()

  • Hallo Bombo,


    Bombo schrieb:

    Wenn ich in der Konsole (Start->Rechtsklick->Eingabeaufforderung) attrib /s /d -h LW:\*.* eingebe listet er mir alle Datein nach und nach auf und davor steht immer "Attribut konnte nicht geändert werden"
    Hast Du anstatt LW das richtige Laufwerk G: angegeben?
    Beim LNK-Check hast Du NTFS angehakt, das ist falsch, richtig wäre das Häkchen entfernen.

    Poste mal den Inhalt des Sticks:
    Dir g: /s > C:\Dateiliste.txt in der Eingabeaufforderung (Konsole) eingeben und die Dateiliste.txt hier posten.

    Bombo schrieb:

    Habt ihr eine Vermutung worin das Problem liegt?
    Die Infektion erfolgte wohl im Internetcafe.
    Dein Rechner ist laut FRST nicht infiziert.

    Das Problem sitzt 50 cm vor dem Monitor und ist nervös. :wacko:

    Die Dateien sollten noch auf dem Stick sein, sind jedoch als Hidden (Versteckt) oder System markiert.
    Mit attrib /s /d -h G:\*.* werden die versteckten Dateien sichtbar im Explorer.
    Mit attrib /s /d -s G:\*.* werden auch die Systemdateien sichtbar.

    Ich habe da meine Bedenken.
    - Drive g: () (Removable) (Total:7.77 GB) (Free:7.65 GB) FAT32

    Da wurde wohl einges gelöscht und geht es dann in Richtung Datenwiederherstellung.

    So aus dem Bauch heraus würde ich Recuva über den Stick jagen.
    Vielleicht findet man noch etwas.

    Tschau
  • So... hab fixlist.txt runtergeladen und FRST entfernen lassen. Hier das Ergebnis

    workupload.com/file/yjzTTzSM


    Eset und Avira hab ich deinstalliert. Firefox aktualisiert und Office ersetzt.

    Habe in die Konsole attrib /s /d -h G:\*.* eingegeben. Screen ist in der obigen Datei enthalten. In der Konsole erscheint das selbe wie gestern. Aber die Datein sind nun sichtbar.

    Bin erstmal beruhigt, dass es "nur" den Stick erwischt hat :-)

    Und noch die Dateiliste

    workupload.com/file/D27Nx4JP

    Geht noch Gefahr vom Stick aus?

    Gruß Bombo
  • Hallo Bombo,

    bei der Infektion am 14.03.2019 11:26 hat die Malware zwar die Dateien versteckt, aber es wurden nur ein paar Verknüpfungen erstellt.

    Da hat die Malware nicht richtig funktioniert. :wacko:

    Kannst Du noch einmal einen Screenshot vom LNK-Check posten?
    Dabei mal oben ein Eintrag anklicken, unten füllt sich dann die Textbox.

    Alternativ kannst Du auch die Infos in einer CSV-Datei speichern und diese Datei posten.


    Bombo schrieb:

    Aber die Datein sind nun sichtbar.
    :top:

    Bombo schrieb:

    Bin erstmal beruhigt, dass es "nur" den Stick erwischt hat
    Die Maleware hat scheinbar einen Fehler, es wurden nur Verknüpfungen im Wurzelverzeichnis erstellt.
    Normal wären 2900 Verknüpfungen auf deinem Stick.

    Bombo schrieb:

    Geht noch Gefahr vom Stick aus?
    Poste mal die Infos zu den Verknüpfungen.

    Dann kann ich mehr sagen, z.B. warum die Malware nur im Wurzelverzeichnis Verknüpfungen erstellt hat.

    Mal eine Frage:
    Warum hast Du diese Datei "Neues Textdokument.txt" erstellt?

    Tschau

    PS.
    Danke für deine Mitarbeit. :top: