Windows Virus: Bilder auf USB-Stick oder Speicherkarte sind unsichtbar

Ich bekam den Anruf eines Bekannten, dass auf seiner Speicherkarte auf einmal keine Bilder mehr sind, sie jedoch beim Einstecken in die Kamera wieder vorhanden sind. Oder es verschinden auf mysteriöse Weise Bilder vom USB-Stick.

In diesen FĂ€llen ist ein Virus (oder Trojanischens Pferd oder Malware - nennt es wie ihr wollt) die Ursache des Problems. Es werden alle Bilder unter Windows unsichtbar geschalten mittels des attrib-Kommandos. Gelöscht wird nichts. Danach werden Links auf exe-Files installiert, welche der Virus sind. ZusĂ€tzlich wird noch eine autorun.inf gebaut, welche zumindest unter Windows XP den Virus eh startet. Andere fallen dann darauf herein, in dem sie in Bild ansehen wollen, jedoch ĂŒber die Links dann den Virus starten.

  • Der Horror: der USB-Stick ist auf einmal leer.

  • Bitte beachtet den USB-Stick-Namen: USB-AUTO

Jetzt stecke ich ebendiesen Stick under Mac OS X an (Es geht auch Linux oder ein beliebig anderes unixoides OS). Wir sehen, die Bild-Dateien sind noch vorhanden, sowie einige, die wir nicht erwarten:

689342.exe und autorun.inf

Das Exe-File wird nur deshalb mit diesem Icon dargestellt, weil ich Crossover fĂŒr Mac installiert habe, YMMV. Unter den unixoiden OS könnt ihr die Bilder jetzt unkopieren und sichern. Außerdem empfehle ich hier bereits, die .exe und autorun.inf zu löschen.

  • Folgt dieser Anleitung ab jetzt nur, wenn ihr dies getan habt, oder ĂŒber ein Win 2k/XP oder Win 7 mit deaktiviertem Autostart verfĂŒgt. Wie man das abschaltet, wird auf diversen Seiten beschrieben. Sonst habt ihr sofort wieder die Seuche auf dem neuen Rechner.

Als nÀchstes die Bilder wieder sichtbar machen. Als Ausgangspunkt nehmen wir den von oben, der vermeintlich leere USB-Stick. Wir merken uns hier den Laufwerksbuchstaben L: (USB-AUTO).

Als nĂ€chstes rufen wir die Windows-Kommandozeile auf. Das geschieft unter Win2k/XP mit Start->AusfĂŒhren->cmd.exe eingeben unt Enter drĂŒcken, unter Win7 mit Start-> cmd.exe eingeben und Enter drĂŒcken. Ein schwarzes Eingabefeld erscheint.

Hier wechseln wir durch die Eingabe von L: und Enter auf den USB-Stick. Die Eingabe vonr dir /a zeigt uns nochmals, dass wirklich auch unter Windows alle Dateien, auch die Versteckten, sichtbar sind. Wir können uns entspannen.

Der attrib-Befehl zeigt uns, wenn wir ihn mit /? aufrufen, wie mÀchtig er ist. Wir nutzen ihn, um rekursiv alle Dateien und Ordner von dem Attribut s, h und r zu befreien. Es gilt, einzugeben:

attrib /s /d -s -h -r *

Ein normales dir ohne die Option /a zeigt uns, dass die Dateien wirklich wieder vorhanden sind. \o/

Der Gegentest via Explorer beweist ebendies.

Geneigter Leser, dies sie nur eine Anleitung, wie man an solche Probleme herangehen könnte. Es erhebt keineswegs Anspruch auf Volkommenheit, auch setzt es eine gewisse AffinitÀt mit Computersystemen voraus.

Artikel erstellt am: 15 October 2012 , aktualisiert am 15 October 2012