Shortcuts anstatt Ordner auf externen Laufwerken

Diese Seite verwendet Cookies. Durch die Nutzung unserer Seite erklären Sie sich damit einverstanden, dass wir Cookies setzen. Weitere Informationen

Unsere Datenschutzerklärung wurde aktualisiert. Mit der Nutzung unseres Forums akzeptierst Du unsere Datenschutzerklärung. Du bestätigst zudem, dass Du mindestens 16 Jahre alt bist.

  • Shortcuts anstatt Ordner auf externen Laufwerken

    Hallo ihr Lieben,

    gestern ist mir aufgefallen, dass auf einem Stick Verknüpfungen anstatt Ordner zu finden sind. Nachdem ich den Stick formatiert habe (ohne darauf etwas zu öffnen), habe ich immer noch das gleiche Problem, was bedeuten würde, dass mein PC wohl auch befallen ist.

    Ich hatte das gleiche Problem schonmal vor ca einem Jahr (Wahrscheinlich Trojaner gefunden was tun?). Nach dem Vorfall hatte ich alle externen Datenträger formatiert und allen in meinem Haushalt gesagt, sie sollen mir Bescheid geben, sollte sich noch ein Stick oder ähnliches mit dem gleichen Problem zeigen (und natürlich niemals was anklicken). Eventuell ist trotzdem irgendwo ein Datenträger durchgerutscht.



    Vorher gab es mal einen Thread mit den Tools, die man zum Start des Prozesses drüberlaufen lassen soll (paules-pc-forum.de/forum/threa…efangen-was-muss-ich-tun/). Der funktioniert leider bei mir nicht, da ich da keine Zugriffsrechte drauf habe.


    Ich würde mich über Hilfe freuen und vielen Dank schonmal im Voraus
  • Hallo j.vb,

    AHT der den PPFScanner entwickelt hat ist aktuell leider nicht im Forum aktiv und es kann auch noch länger dauern bis er wieder hier sein kann. Ich kenne mich mit dem Tool leider nicht aus.

    Das ist jetzt schon ein bisschen die Holzhammermethode aber in diesem speziellen Fall würde ich Dir zur Neutaufsetzung des Systems raten. Vielleicht hast Du ja nach den Erfahrungen beim letzten Mal ein Systemimage angelegt, welches Du einspielen könntest? Ansonsten würde ich die Festplatte formatieren, Windows neu installieren und anschließend Deine benötigen Programm nachinstallieren. Idealerweise legst Du dann vom frisch einrichteten System ein Image an, welches Du aber von Zeit zu Zeit aktualisieren solltest. Dein System ist jetzt erneut kompromittiert und ein Versuch der Bereinigung ist unsicher. Man muss einfach davon ausgehen, dass dieser oder auch andere Schädlinge weiter im System sitzen.

    Gruß
    Schwabenpfeil!
    Meine aktuellen Bücher: Windows 7 Tipps & Tricks · · Windows 10 Schritt für Schritt erklärt · · Windows 10 Tipps & Tricks · · Gern zum Schlern

    »Nur wo du zu Fuß warst, bist du auch wirklich gewesen.«
    Johann Wolfgang von Goethe.
  • j.vb schrieb:

    Im Notfall muss ich mich mal in meiner Umgebung nach einem Laden umgucken, der Hilfe anbieten kann.
    Dieser Notfall liegt schon akut vor. Ich würde noch nicht mal mehr das letzte Systemimage zurückspielen wollen; solange ich noch nicht mal mehr sicher sein kann, dass dies nicht kompromittiert ist.

    Alleine schon die Datenrettung der externen Festplatte dürfte sich schwierig gestalten, wenn diese höchstwahrscheinlich kompromittiert ist!
    Erst wenn in Deutschland und der EU alle Chemikalien verboten sind; auch Kochsalz und Essig Abgabebestimmungen unterliegen und der letzte Hobbychemiker das Handtuch geworfen hat; wird die Politik sehen, dass es immer noch Terrorismus und Drogen gibt.
  • Hallo j.vb,

    Du musst die Quelle der Infektion finden.

    Mit dem PC-WELT-Lnk-Check kann man die Verknüpfungen untersuchen.

    Anleitung: -> pcwelt.de/tipps/Windows-7-8-Ge…-LNK-Dateien-8922027.html

    Es geht um die Datei, die beim Start der Verknüpfung ausgeführt wird.
    - Genauer, das Arbeitsverzeichnis und den Dateinamen.

    Kannst Du mal einen Screenshot vom PC-WELT-Lnk-Check posten, damit man sieht worum es sich handelt.
    - Sollte so aussehen wie das erste Bild in der Anleitung.

    Eine Bemerkung, die Bilder sind noch vorhanden aber versteckt.

    Tschau
  • So, ich habe jetzt den Lnk-Check laufen lassen. Da gibt es ne Menge an gefunden Dateien und nur eine Handvoll Dateien mit Parameter. Habe mal nen Screenshot von beiden angefügt. Habe nur für die Dateien mit "Parameter" alle per Screenshot gemacht, der Rest ist viel zu viel.
    Dateien
    • LNK-Check.png

      (308,65 kB, 12 mal heruntergeladen, zuletzt: )
    • LNK-Check_!.png

      (298,04 kB, 6 mal heruntergeladen, zuletzt: )
    • LNK-Check_2.png

      (280,17 kB, 9 mal heruntergeladen, zuletzt: )
  • Okay, die erste Festplatte mit Verknüpfungen habe ich schonmal durchgeguckt. msshell32 ist nicht dabei. Aber sehr viele Sachen auf der Platte verlinken auf den gleichen Pfad (siehe Anhang). Den Rest der Speichermedien und die restlichen Laufwerke guck ich heute abend nochmal durch.

    Edit: Auf dem einen Stick, den ich schon formatiert hatte, nachdem ich die Verknüpfungen gesehen hatte, ist ein Ordner der verlinkt auch auf den gleichen Pfad wie von der Festplatte (C:\Windows\system32\wscript.exe; siehe Anhang).
    Dateien
    • LNK-Check_3.png

      (226,73 kB, 7 mal heruntergeladen, zuletzt: )
    • LNK-Check_4.png

      (219,45 kB, 3 mal heruntergeladen, zuletzt: )

    Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von j.vb ()

  • Hallo j.vb,

    auf beiden Datenträgern wird wieder die mmshell32 gestartet, über wscript.exe.

    Da ist dein PC wieder infiziert.
    Normal sollte der Virenscanner die Malware erkennen.

    Jetzt fehlt noch die Quelle für die neue Infektion, das kann auch in einem Copyshop o.ä. geschehen sein.


    Tschau

    Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von Oldi-40 ()

  • Hallo,

    nur zum Verständnis sitzt die Malware auf den internen Festplatten oder auf den Datenspeichern? Aktuell nutze ich Avira, auf den internen Festplatten hat Avira nichts gefunden. Auf dem Stick findet er auch nichts. Gibt es andere Virusprogramme, die da helfen könnten? Ich nutze aktuell noch win7 und wollte diesen Monat eigentlich den Wechsel auf win10 vollziehen.

    Danke
  • Hallo j.vb,

    jetzt ist die Malware auf den getesten externen Datenträgern und dem aktuellen System vorhanden.

    Im Taskmanager siehst du ja die wscript.exe. Solange die Datei ausgeführt wird, ist die Malware aktiv.


    Hier mal ein Link zu Virustotal: virustotal.com/gui/file/f6a5ea…b4d28d9c49c811a/detection

    Da kann man sich mal Gedanken zu Virenscannern machen. Der Scanner von Windows 10 hätte z.B. eine Warnung ausgegeben.

    Tschau
  • Hallo,

    habe mir die ESET-NOD32 Testversion runtergeladen. Die Shortcuts sind von den externen Speicherträgern runter, die internen Festplatten brauchen noch etwas. Bin aber zuversichtlich. Wenn der Scanner durch ist mache ich zur Sicherheit nochmal nen Lnk-Check.

    Und diese Woche noch wird auf win10 umgestellt.

    Vielen Dank Oldi-40
  • Hallo j.vb,

    die *.lnk Dateien kann man auch mit einem Skript oder dem Explorer löschen. Wenn die entsprechenden Attribute der versteckten Dateien gelöscht werden sind diese wieder sichtbar.
    - Das hat der AHT im letzten Jahr gemacht.

    Zu Virenscannern, es kann sein dass ESET-NOD32 nach einem Update die Malware nicht mehr erkennt.
    Daher auch mein Umweg über den Lnk-Check. Dieser Umweg ist transparenter als ein Scann mit einer Virenklingel.

    Wichtig!!
    Alle externe Datenträger müssen überprüft werden sonst beginnt das Elend wieder.

    Tschau