Virus über USB-Stick/ Dateien nur Verknüpfungen

Dieses Thema enthält 41 Antworten und 5 Teilnehmer. Es wurde zuletzt aktualisiert von  Petra 13. Oktober 2018 at 17:06.

Ansicht von 15 Beiträgen - 16 bis 30 (von insgesamt 42)
  • Autor
    Beiträge
  • #293627

    stefan.becker
    Moderator

    Mache noch als Ergänzung am Rechner eine vollständige Prüfung mit dem Windows Defender.

    Laut FRST sehe ich nichts, was wir sonst noch bereinigen müssten.

    #293629

    TED
    Teilnehmer

    Hallo zusammen,

    @oldi-40 das ist richtig, infiziert wurde mein Rechner durch einen USB-Stick. Den Stick nutze ich auch nicht mehr.
    Viele Dank für die Infos. Ich habe leider zu spät reagiert und ich hoffe es passiert nicht erneut.

    Ich hatte dir letzte Woche ja die ZIP-Datei zugeschickt, konntest du was damit anfangen oder dauert die Analyse noch etwas???

    @stefan.becker
    Ich habe soeben einen Scan mit Windows Defender durchgeführt.
    1. ‘Vollständige Überprüfung’
    2. ‘Überprüfung durch Windows Defender offline’
    Laut dem Scan sind keine weiteren Bedrohungen zu finden und alles ist sauber.

    Wie ist denn eure Einschätzung, kann ich meinen Laptop wieder normal nutzen?? Oder soll ich lieber warten bis @oldi-40 mit der Analyse der ZIP-Datei fertig ist?

    Viele Grüße

    Anhänge:
    Du musst eingeloggt sein um die angehängten Dateien ansehen zu können.
    #293631

    TED
    Teilnehmer

    Hallo,

    eine andere Frage. Welches der Programme kann ich den nutzen um zu prüfen ob ein Stick infiziert ist???
    So etwas gibt es doch oder?

    Reicht eine Prüfung mit Windows Defender aus???
    Malwarebytes sollte ich vermutlich lassen und immer wieder anwenden???

    #293633

    oldi-40
    Moderator

    Hallo TED,

    dein Rechner wurde nicht infiziert.

    Schicke mal einen TreeSize Screenshot vom infizierten USB-Stick.

    Tschau

    • Diese Antwort wurde geändert vor 1 Jahr, 2 Monate von  oldi-40.
    • Diese Antwort wurde geändert vor 1 Jahr, 2 Monate von  oldi-40.
    • Diese Antwort wurde geändert vor 1 Jahr, 2 Monate von  oldi-40.
    #293639

    TED
    Teilnehmer

    Hallo oldi-40,

    ich hoffe es ist das richtige Bild.

    Anhänge:
    Du musst eingeloggt sein um die angehängten Dateien ansehen zu können.
    #293648

    oldi-40
    Moderator

    Hallo TED,

    das Bild ist OK.

    Jetzt musst Du mal die Ordner vom 14.08.2018 in TreeSize öffnen und einen Ordner der Verknüpfungen enthält.

    Mache davon ein Bild und poste es hier.

    So mal eine Bemerkung, alle deine Daten sind noch vorhanden.

    Tschau

    #293676

    TED
    Teilnehmer

    Hallo oldi-40,

    hier sind die Bilder von dem Ordner – 14.08.2018.

    Viele Grüße

    Anhänge:
    Du musst eingeloggt sein um die angehängten Dateien ansehen zu können.
    #293702

    oldi-40
    Moderator

    Hallo TED,

    da fehlt noch ein Bild von einem Ordner mit Verknüpfungen.

    Wichtig bei der Sache ist, man muss TreeSize als Administrator ausführen. Sonst ist man genauso blind wie der Explorer von Windows.

    Dann gibt es noch die Möglichkeit per Skript oder über eine administrative Eingabeaufforderung den USB-Stick zu durchsuchen.

    Tschau

    #293719

    Petra
    Moderator

    Hallo TED,

    wie sieht es inzwischen mit dem USB-Stick aus? Siehst Du nach wie vor nur Verknüpfungen? Falls ja, lasse bitte FRST mit folgendem Fix laufen. Der fragliche USB-Stick muss dafür am Computer angeschlossen sein.

    Damit lese ich zum Einen den Inhalt der Datei autorun.inf aus, um zu schauen, was genau passiert und ob der Stick infiziert ist und liste zum Anderen den Inhalt des USB-Sticks auf. In dem Skript gehe ich mal davon aus, dass der Stick den Laufwerkstaben E:\ hat. Ist das nicht der Fall, bitte vor Ausführen des Skripts nochmal kurz melden.

    Fix mit Farbar Recovery Scan Tool

    Lade das angehängte fixlist.txt herunter und speichere es in den selben Pfad, in welchem sich die FRST.exe befindet.

    [code]
    Start
    CreateRestorePoint:
    CloseProcesses:
    CMD: dir /s E:\
    CMD: dir /s /a E:\*.lnk
    CMD: type E:\autorun.inf
    EmptyTemp:
    End

    [/code]

      [*] Starte nun erneut die FRST.exe bzw. die FRST64.exe, klicke dieses Mal auf den Entfernen Button.
      [*]Wenn der Fix durchgelaufen ist, meldet FRST “Fix completed”.

    Das Tool erstellt eine Datei Fixlog.txt im gleichen Pfad. Poste den Inhalt bitte hier.

    Hinweis für Mitleser: Das Skript ist individuell für diesen Computer angepasst und darf nicht auf anderen Systemen angewendet werden.

    [°¿°] Ciao, Petra
    Forenregeln | Kein Support per PN oder Mail! | Daten sichern! | Initiative-S

    Anhänge:
    Du musst eingeloggt sein um die angehängten Dateien ansehen zu können.
    #293752

    TED
    Teilnehmer

    Hallo,

    @oldi-40 ich sehe leider keine Verknüpfungen. Ich habe alle Ordner durchgeschaut. FreeSize habe ich jetzt als Administrator ausführen lassen und ein Bild gemacht.

    @petra auf dem USB-Stick sehe ich leider nichts, bin aber deinen Anweisungen gefolgt und habe einen Scan durchgeführt.

    Viele Grüße

    Anhänge:
    Du musst eingeloggt sein um die angehängten Dateien ansehen zu können.
    #293754

    TED
    Teilnehmer

    Das FreeSize konnte ich eben nicht hochladen.

    Anhänge:
    Du musst eingeloggt sein um die angehängten Dateien ansehen zu können.
    #293756

    Petra
    Moderator

    Hallo TED,

    auf dem USB-Stick sehe ich leider nichts, bin aber deinen Anweisungen gefolgt und habe einen Scan durchgeführt.

    Verstehe ich das richtig: Wenn Du den USB-Stick im Explorer anschaust, siehst Du gar keine Dateien? Im Fixlog.txt werden ja die vorhandenen Dateien aufgelistet, davon siehst Du nichts?

    Fix mit Farbar Recovery Scan Tool

    Lade das angehängte fixlist.txt herunter und speichere es in den selben Pfad, in welchem sich die FRST.exe befindet.

    kannst Du bitte FRST erneut starten und zwar dieses Mal per Rechtsklick und der Auswahl “Als Administrator ausführen” und das folgende Skript laufen lassen:

    Start
    CMD: attrib /s /d -h E:\*.*
    CMD: type E:\autorun.inf
    End
    

    Starte nun erneut die FRST.exe bzw. die FRST64.exe, klicke dieses Mal auf den Entfernen Button.
    Wenn der Fix durchgelaufen ist, meldet FRST “Fix completed” und startet das System neu.

    Das Tool erstellt eine Datei Fixlog.txt im gleichen Pfad. Poste den Inhalt bitte hier.

    Hinweis für Mitleser: Das Skript ist individuell für diesen Computer angepasst und darf nicht auf anderen Systemen angewendet werden.

    [°¿°] Ciao, Petra
    Forenregeln | Kein Support per PN oder Mail! | Daten sichern! | Initiative-S

    • Diese Antwort wurde geändert vor 1 Jahr, 2 Monate von  Petra.
    Anhänge:
    Du musst eingeloggt sein um die angehängten Dateien ansehen zu können.
    #293863

    TED
    Teilnehmer

    Hallo Petra,

    ich bin jetzt erst wieder in Deutschland. Ich habe den Scan erneut durchgeführt. Die Dateien sind auch wieder zu sehen.
    Es ist eine Datei vom 14.08. zu sehen die keine richtigen Namen hat, sondern nur Buchstaben. Soll ich diese einfach löschen???

    Anhänge:
    Du musst eingeloggt sein um die angehängten Dateien ansehen zu können.
    #293865

    TED
    Teilnehmer

    Der 14.08. war der Tag an dem ich den Virus oder den Wurm eingefangen habe.

    Anhänge:
    Du musst eingeloggt sein um die angehängten Dateien ansehen zu können.
    #293887

    oldi-40
    Moderator

    Hallo TED,

    hast Du mit “Panda USB Vaccine” den USB-Stick geimpft?

    Es gibt jetzt zwei Wege.

    1. Du kopierst alle sichtbaren Daten auf einen anderen USB-Stick. Formartierst dann den alten Stick neu.

    2. Du kopierst, wie oben schon getippselt und durchsuchst den Stick mit Recuva nach *.lnk und postest den Inhalt einer Datei
    -> https://www.heise.de/download/product/recuva-43395

    Ist aber deine Entscheidung.

    Über die Autorun.inf wurden Computer vor 10 Jahren (XP) infiziert. Heute ist die Methode mit der Verknüpfung wohl aktuell (*.lnk)

    Tschau

Ansicht von 15 Beiträgen - 16 bis 30 (von insgesamt 42)

Du musst angemeldet sein, um auf dieses Thema antworten zu können.