erstellt am: 15 October 2012

Windows Virus: Bilder auf USB-Stick oder Speicherkarte sind unsichtbar

Ich bekam den Anruf eines Bekannten, dass auf seiner Speicherkarte auf einmal keine Bilder mehr sind, sie jedoch beim Einstecken in die Kamera wieder vorhanden sind. Oder es verschinden auf mysteriöse Weise Bilder vom USB-Stick.

In diesen Fällen ist ein Virus (oder Trojanischens Pferd oder Malware - nennt es wie ihr wollt) die Ursache des Problems. Es werden alle Bilder unter Windows unsichtbar geschalten mittels des attrib-Kommandos. Gelöscht wird nichts. Danach werden Links auf exe-Files installiert, welche der Virus sind. Zusätzlich wird noch eine autorun.inf gebaut, welche zumindest unter Windows XP den Virus eh startet. Andere fallen dann darauf herein, in dem sie in Bild ansehen wollen, jedoch über die Links dann den Virus starten.

  • Der Horror: der USB-Stick ist auf einmal leer.

  • Bitte beachtet den USB-Stick-Namen: USB-AUTO

Jetzt stecke ich ebendiesen Stick under Mac OS X an (Es geht auch Linux oder ein beliebig anderes unixoides OS). Wir sehen, die Bild-Dateien sind noch vorhanden, sowie einige, die wir nicht erwarten:

689342.exe und autorun.inf

Das Exe-File wird nur deshalb mit diesem Icon dargestellt, weil ich Crossover für Mac installiert habe, YMMV. Unter den unixoiden OS könnt ihr die Bilder jetzt unkopieren und sichern. Außerdem empfehle ich hier bereits, die .exe und autorun.inf zu löschen.

  • Folgt dieser Anleitung ab jetzt nur, wenn ihr dies getan habt, oder über ein Win 2k/XP oder Win 7 mit deaktiviertem Autostart verfügt. Wie man das abschaltet, wird auf diversen Seiten beschrieben. Sonst habt ihr sofort wieder die Seuche auf dem neuen Rechner.

Als nächstes die Bilder wieder sichtbar machen. Als Ausgangspunkt nehmen wir den von oben, der vermeintlich leere USB-Stick. Wir merken uns hier den Laufwerksbuchstaben L: (USB-AUTO).

Als nächstes rufen wir die Windows-Kommandozeile auf. Das geschieft unter Win2k/XP mit Start->Ausführen->cmd.exe eingeben unt Enter drücken, unter Win7 mit Start-> cmd.exe eingeben und Enter drücken. Ein schwarzes Eingabefeld erscheint.

Hier wechseln wir durch die Eingabe von L: und Enter auf den USB-Stick. Die Eingabe vonr dir /a zeigt uns nochmals, dass wirklich auch unter Windows alle Dateien, auch die Versteckten, sichtbar sind. Wir können uns entspannen.

Der attrib-Befehl zeigt uns, wenn wir ihn mit /? aufrufen, wie mächtig er ist. Wir nutzen ihn, um rekursiv alle Dateien und Ordner von dem Attribut s, h und r zu befreien. Es gilt, einzugeben:

attrib /s /d -s -h -r *

Ein normales dir ohne die Option /a zeigt uns, dass die Dateien wirklich wieder vorhanden sind. \o/

Der Gegentest via Explorer beweist ebendies.

Geneigter Leser, dies sie nur eine Anleitung, wie man an solche Probleme herangehen könnte. Es erhebt keineswegs Anspruch auf Volkommenheit, auch setzt es eine gewisse Affinität mit Computersystemen voraus.