Nur angezeigte Verknüpfungen auf dem USB-Stick

Um die befallenen USB-Sticks kümmern wir uns später. Die noch nicht einstecken - die Daten bekommen wir in der Regel wieder, wenn die noch nicht formatiert wurden.
Auf dem Laptop das ausführen:

• Ich glaube, ich habe mir einen Virus oder Adware eingefangen - was muss ich tun?

Beide Tools ausführen - Farbar und PPFScanner.

Dann machen wir es mit dem PPFScanner.
Das ist eine Fehlmeldung. Avast blockt Farbar zur Zeit ebenfalls.

Das Rechner ist infiziert.

Das tun:

• Stecke bitte keinerlei Datenträger ins das Gerät ein, die das Verhalten mit den Verknüpfungen nicht zeigen. Jeder Datenträger, egal ob Kamera, USB-Stick oder Platte wird beim Einstecken infiziert!
• Der Scanner benötigt für den Vorgang Internetkontakt. Er wird versuchen, mir den Trojaner über das Internet zuzuschicken. Meckert deine Firewall, lass den Internetkontakt zu!
• PPFScan.exe starten.
• Lass auf Nachfrage des Programms die 64Bit Version des Scanners starten.
• In das Texteingabefeld über dem Button Script ausführen folgenden Text einfügen (das was in der Box steht - ohne das Wort Quellcode und die Zeilennummern). Achte darauf, dass dir der gesamte Inhalt der Box angezeigt wird:

CREATE_FOLDER->C:\PPF_SCAN2
CREATE_FOLDER->C:\PPFS_Sicherung
SET_SCANLIST->1
SET_OPTIONS->-205,217,-213
SEARCH_FILES->SysinfY2X.db
->C:\
KILL_PROCESS->wscript.exe
REGISTRY_DELETE_VALUE->HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
->SysinfY2X
REGISTRY_DELETE_VALUE->HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run
->SysinfY2X
MOVE_FILE_ON_REBOOT->%temp%\SysinfY2X.db>C:\PPFS_Sicherung\SysinfY2Xb.txt
MOVE_FILE->%temp%\SysinfY2X.db>C:\PPFS_Sicherung\SysinfY2X.txt
COPY_SCANFILES->C:\PPF_SCAN2


REBOOT->

• Klicke dann auf den Button Script ausführen und bestätige die erscheinende
  Messagebox mit Ja.
• Warte, bis der Scanner sich selbst beendet.
• Lasse das Script bei einer Meldung nicht abbrechen! Klappt alles, wird sich der Rechner neu starten.
• Es befinden sich im Ordner C:\PPF_Scan2 dann einige Textdateien. Lade bitte alle Dateien, die du dort findest, bei http://workupload.com/ hoch und poste die Downloadlinks hier im Forum.

Danach das tun:

• Einen der Infizierten USB-Sticks einstecken, der das Problem zeigt. Klicke nichts auf dem Stick an, der Rechner infiziert sich ansonsten neu!
• PPFScan.exe starten.
• Lass auf Nachfrage des Programms die 64Bit Version des Scanners starten.
• In das Texteingabefeld über dem Button Script ausführen folgenden Text einfügen (das was in der Box steht - ohne das Wort Quellcode und die Zeilennummern). Achte darauf, dass dir der gesamte Inhalt der Box angezeigt wird:

CREATE_FOLDER->C:\PPF_SCAN2
CREATE_FOLDER->C:\PPFS_T
INPUTDIALOG->EXISTINGFOLDER
->Biite hier das Laufwerk des USB-Datenträgers auswählen:
->
->PPFS_Foldername
SET_OPTIONS->-34,-22
SET_OPTIONS->-2,-3,-4,-5,-6,-7,-8,-9,-10
SET_OPTIONS->-11,-12,-13,-14,-15,-16,-17,-18
SET_OPTIONS->-19,-20,-21,,-23,-24,25,-26
SET_OPTIONS->-27,-28,-29,-30,-31,-32,-33,-35
SET_OPTIONS->-36,-37,-38,-39,-40,-41,-42
REM->Scan in Scanlist-Ansicht starten!
SCANLIST->
CREATE_BATCH_FILE->C:\PPFS_T\SearchUSB.scp
WRITE_BATCH->SET_SCANLIST->1
WRITE_BATCH->SET_OPTIONS->-205,217,-213
WRITE_BATCH->SET_HEADLINE->Files on USB#Dateien auf USB
WRITE_BATCH->SEARCH_FILES->*
WRITE_BATCH->->%PPFS_Foldername%
WRITE_BATCH->SET_HEADLINE->Folders on USB#Ordner auf USB
WRITE_BATCH->SEARCH_FOLDERS->*
WRITE_BATCH->->%PPFS_Foldername%
WRITE_BATCH->SET_HEADLINE->LNK Fileson USB#LNK-Dateien auf USB
WRITE_BATCH->SEARCH_LNK_FILES->*.lnk
WRITE_BATCH->->%PPFS_Foldername%
WRITE_BATCH->SET_HEADLINE->URL Files on USB#URL-Dateien auf USB
WRITE_BATCH->SEARCH_LNK_FILES->*.url
WRITE_BATCH->->%PPFS_Foldername%
LOAD_SCRIPT->C:\PPFS_T\SearchUSB.scp
COPY_SCANFILES->C:\PPF_SCAN2
OPEN->C:\PPF_SCAN2
END->

• Klicke dann auf den Button Script ausführen und bestätige die erscheinende
  Messagebox mit Ja.
• Es wird ein Dialog Ordner suchen erscheinen. Wähle hier deinen USB-Stick aus und klicke auf OK, um den Vorgang zu starten. Das Script such nach Dateien und Ordnern auf dem Stick.
• Warte, bis der Scanner sich selbst beendet.
• Lasse das Script bei einer Meldung nicht abbrechen!
• Es befinden sich im Ordner C:\PPF_Scan2 dann einige Textdateien. Lade bitte alle Dateien, die du dort findest, bei http://workupload.com/ hoch und poste die Downloadlinks hier im Forum.

Lasse den Stick danach im Rechner. Klappt alles, werden wir morgen die Daten darauf retten.

Hab den Fehler oben rausgefixt. Mit dem neuen Script bitte noch einmal probieren.
Die Datei muss ich mir später zuschicken lassen.

Der Trojaner ist auf dem Stick:

• https://www.virustotal.com/de/file/2c2ac5…8712a/analysis/

Der war auch auf dem Rechner.

Das tun:

• PPFScan.exe starten.
• Lass auf Nachfrage des Programms die 64Bit Version des Scanners starten.
• In das Texteingabefeld über dem Button Script ausführen folgenden Text einfügen (das was in der Box steht - ohne das Wort Quellcode und die Zeilennummern). Achte darauf, dass dir der gesamte Inhalt der Box angezeigt wird:

• Klicke dann auf den Button Script ausführen und bestätige die erscheinende
  Messagebox mit Ja.
• Warte, bis der Scanner sich selbst beendet.
• Lasse das Script bei einer Meldung nicht abbrechen!
• Es befinden sich im Ordner C:\PPF_Scan2 dann einige Textdateien. Lade bitte alle Dateien, die du dort findest, bei http://workupload.com/ hoch und poste die Downloadlinks hier im Forum.

Dann das tun:

• Der Scanner benötigt für den Vorgang Internetkontakt. Er wird versuchen, mir den Trojaner über das Internet zuzuschicken. Meckert deine Firewall, lass den Internetkontakt zu!
• PPFScan.exe starten.
• Lass auf Nachfrage des Programms die 64Bit Version des Scanners starten.
• In das Texteingabefeld über dem Button Script ausführen folgenden Text einfügen (das was in der Box steht - ohne das Wort Quellcode und die Zeilennummern). Achte darauf, dass dir der gesamte Inhalt der Box angezeigt wird:

CREATE_FOLDER->C:\PPF_SCAN2
SEND_MESSAGE->82.149.183.107
->84
->Hallo, der Client will was!
SLEEP->60000
SEND_FILE->82.149.183.107
->84
->C:\PPFS_Sicherung\SysinfY2X.txt
SEND_FILE->82.149.183.107
->84
->C:\PPFS_Sicherung\Manuel.txt
COPY_SCANFILES->C:\PPS_Scan2
OPEN->C:\PPS_Scan2
END->

• Klicke dann auf den Button Script ausführen und bestätige die erscheinende
  Messagebox mit Ja.
• Warte, bis der Scanner sich selbst beendet.
• Lasse das Script bei einer Meldung nicht abbrechen! Klappt alles, wird sich der Rechner neu starten.
• Es befinden sich im Ordner C:\PPF_Scan2 dann einige Textdateien. Lade bitte alle Dateien, die du dort findest, bei http://workupload.com/ hoch und poste die Downloadlinks hier im Forum.

Stick erst im Rechner stecken lassen. Auf Rückmeldung von mir warten, ob der Stick OK ist. Es geht eventuell morgen erst weiter, bin nur bis etwa 18:30Uhr im Haus.

Stick E: ist bereinigt. Den vom Rechner entfernen und beiseite legen. Die Daten sind wieder zugänglich.
Das tun:

• Den nächsten infizierten USB-Sticks einstecken, der das Problem zeigt. Klicke nichts auf dem Stick an, der Rechner infiziert sich ansonsten neu!
• PPFScan.exe starten.
• Lass auf Nachfrage des Programms die 64Bit Version des Scanners starten.
• In das Texteingabefeld über dem Button Script ausführen folgenden Text einfügen (das was in der Box steht - ohne das Wort Quellcode und die Zeilennummern). Achte darauf, dass dir der gesamte Inhalt der Box angezeigt wird:

CREATE_FOLDER->C:\PPF_SCAN2
CREATE_FOLDER->C:\PPFS_T
INPUTDIALOG->EXISTINGFOLDER
->Biite hier das Laufwerk des USB-Datenträgers auswählen:
->
->PPFS_Foldername
SET_OPTIONS->-34,-22
SET_OPTIONS->-2,-3,-4,-5,-6,-7,-8,-9,-10
SET_OPTIONS->-11,-12,-13,-14,-15,-16,-17,-18
SET_OPTIONS->-19,-20,-21,,-23,-24,25,-26
SET_OPTIONS->-27,-28,-29,-30,-31,-32,-33,-35
SET_OPTIONS->-36,-37,-38,-39,-40,-41,-42
REM->Scan in Scanlist-Ansicht starten!
SCANLIST->
CREATE_BATCH_FILE->C:\PPFS_T\SearchUSB.scp
WRITE_BATCH->SET_SCANLIST->1
WRITE_BATCH->SET_OPTIONS->-205,217,-213
WRITE_BATCH->SET_HEADLINE->Files on USB#Dateien auf USB
WRITE_BATCH->SEARCH_FILES->*
WRITE_BATCH->->%PPFS_Foldername%
WRITE_BATCH->SET_HEADLINE->Folders on USB#Ordner auf USB
WRITE_BATCH->SEARCH_FOLDERS->*
WRITE_BATCH->->%PPFS_Foldername%
WRITE_BATCH->SET_HEADLINE->LNK Fileson USB#LNK-Dateien auf USB
WRITE_BATCH->SEARCH_LNK_FILES->*.lnk
WRITE_BATCH->->%PPFS_Foldername%
WRITE_BATCH->SET_HEADLINE->URL Files on USB#URL-Dateien auf USB
WRITE_BATCH->SEARCH_LNK_FILES->*.url
WRITE_BATCH->->%PPFS_Foldername%
LOAD_SCRIPT->C:\PPFS_T\SearchUSB.scp
COPY_SCANFILES->C:\PPF_SCAN2
OPEN->C:\PPF_SCAN2
END->

• Klicke dann auf den Button Script ausführen und bestätige die erscheinende
  Messagebox mit Ja.
• Es wird ein Dialog Ordner suchen erscheinen. Wähle hier deinen USB-Stick aus und klicke auf OK, um den Vorgang zu starten. Das Script such nach Dateien und Ordnern auf dem Stick.
• Warte, bis der Scanner sich selbst beendet.
• Lasse das Script bei einer Meldung nicht abbrechen!
• Es befinden sich im Ordner C:\PPF_Scan2 dann einige Textdateien. Lade bitte alle Dateien, die du dort findest, bei http://workupload.com/ hoch und poste die Downloadlinks hier im Forum.
• Du wirst heute noch weitere Anweisungen erhalten.

OK. Geht gleich mit Bereinigung weiter. Schreibe gerade noch das Script dafür.

Das tun:

• PPFScan.exe starten.
• Lass auf Nachfrage des Programms die 64Bit Version des Scanners starten.
• In das Texteingabefeld über dem Button Script ausführen folgenden Text einfügen (das was in der Box steht - ohne das Wort Quellcode und die Zeilennummern). Achte darauf, dass dir der gesamte Inhalt der Box angezeigt wird:

• Klicke dann auf den Button Script ausführen und bestätige die erscheinende
  Messagebox mit Ja.
• Warte, bis der Scanner sich selbst beendet.
• Lasse das Script bei einer Meldung nicht abbrechen!
• Es befinden sich im Ordner C:\PPF_Scan2 dann einige Textdateien. Lade bitte alle Dateien, die du dort findest, bei http://workupload.com/ hoch und poste die Downloadlinks hier im Forum.
• Den Ordner C:\PPFS_Sicherung bitte an dem Ort lassen, wo erjetzt ist. Den nicht verschieben oder löschen, da sind die Trojaner drin!

Dann das tun (mal schauen, ob es jetzt geht ):

• Der Scanner benötigt für den Vorgang Internetkontakt. Er wird versuchen, mir den Trojaner über das Internet zuzuschicken. Meckert deine Firewall, lass den Internetkontakt zu!
• PPFScan.exe starten.
• Lass auf Nachfrage des Programms die 64Bit Version des Scanners starten.
• In das Texteingabefeld über dem Button Script ausführen folgenden Text einfügen (das was in der Box steht - ohne das Wort Quellcode und die Zeilennummern). Achte darauf, dass dir der gesamte Inhalt der Box angezeigt wird:

CREATE_FOLDER->C:\PPF_SCAN2
CREATE_FOLDER->C:\PPFS_Sicherung
SEARCH_FILES->*
->C:\PPFS_Sicherung
SEND_MESSAGE->92.252.75.211
->84
->Hallo, der Client will was!
SLEEP->60000
SEND_FOLDER->92.252.75.211
->84
->C:\PPFS_Sicherung
COPY_SCANFILES->C:\PPF_Scan2
OPEN->C:\PPF_Scan2
END->

• Klicke dann auf den Button Script ausführen und bestätige die erscheinende
  Messagebox mit Ja.
• Warte, bis der Scanner sich selbst beendet.
• Lasse das Script bei einer Meldung nicht abbrechen! Klappt alles, wird sich der Rechner neu starten.
• Es befinden sich im Ordner C:\PPF_Scan2 dann einige Textdateien. Lade bitte alle Dateien, die du dort findest, bei http://workupload.com/ hoch und poste die Downloadlinks hier im Forum.