Abschnitt 01

Ordner wurden in Windows zu Verknüpfungen: Was das normalerweise bedeutet

Wenn jeder Ordner auf einem Laufwerk plötzlich als kleine Verknüpfung mit Pfeilsymbol erscheint, ist die häufigste Ursache Shortcut-Malware. Diese Infektionsart versteckt in der Regel Ihre echten Ordner, erstellt gefälschte .lnk-Verknüpfungsdateien mit denselben Namen und startet ein schädliches Skript, wenn Sie eine dieser Verknüpfungen öffnen.

⚠️

Wichtig Öffnen Sie die Verknüpfungsordner nicht weiter. Die echten Ordner können noch auf dem Laufwerk vorhanden sein, aber ein Klick auf die gefälschten Verknüpfungen kann die Infektion erneut ausführen und auf andere Wechsellaufwerke übertragen.

Keine Verknüpfungen anklicken

Schließen Sie Explorer-Fenster, die auf das infizierte Laufwerk zeigen, und vermeiden Sie Doppelklicks auf .lnk-Dateien.

Versteckte Ordner einblenden

Prüfen Sie über die Explorer-Einstellungen oder mit dem Befehl attrib, ob Ihre echten Daten nur versteckt wurden.

Scannen und bereinigen

Scannen Sie sowohl Windows als auch das betroffene Laufwerk mit Microsoft Defender oder einem anderen vertrauenswürdigen Scanner.

Sicher sichern

Kopieren Sie nur wiederhergestellte Dokumente, Fotos und andere echte Dateien — keine verdächtigen Skripte oder Verknüpfungen.

Abschnitt 02

So erkennen Sie einen Shortcut-Virus auf einem USB-Laufwerk oder Datenträger

Das Problem tritt häufig auf, nachdem ein USB-Laufwerk an einem anderen Computer verwendet, Dateien aus einer unbekannten Quelle kopiert oder eine Speicherkarte an einen infizierten PC angeschlossen wurde. Das Laufwerk kann fast normal aussehen, aber die sichtbaren Ordner sind tatsächlich Verknüpfungsdateien.

📁 Ordner haben Verknüpfungspfeile

Ordnersymbole zeigen den kleinen Verknüpfungspfeil, und ihre Eigenschaften weisen sie als Verknüpfung statt als echte Ordner aus.

📄 Alle Elemente sind sehr klein

Die gefälschten Verknüpfungen sind möglicherweise nur wenige Kilobyte groß, während der Explorer weiterhin belegten Speicherplatz auf dem Laufwerk anzeigt.

🧩 Unbekannte Skripte erscheinen

Im Stammverzeichnis des Laufwerks können Dateien wie autorun.inf, desktop.ini, .vbs, .cmd oder .js sichtbar sein.

🔁 Das Problem kommt zurück

Wenn dasselbe Laufwerk nach der Bereinigung erneut infiziert wird, kann auf dem Windows-Computer selbst noch ein aktiver Starteintrag vorhanden sein.

Was Sie sehen	Wahrscheinliche Bedeutung	Was zu tun ist
Ordner wurden zu Verknüpfungen	Echte Ordner sind wahrscheinlich versteckt, und gefälschte `.lnk`-Dateien wurden erstellt.	Öffnen Sie die Verknüpfungen nicht; blenden Sie zuerst versteckte Ordner ein.
Laufwerksspeicher ist weiterhin belegt	Ihre Dateien können noch vorhanden sein, aber als versteckt oder Systemdateien markiert sein.	Verwenden Sie den Wiederherstellungsbefehl `attrib`.
Verdächtige Skriptdateien	Die Verknüpfung kann ein Skript starten, bevor der echte Ordner geöffnet wird.	Scannen Sie das Laufwerk und löschen Sie nach dem Scan nur eindeutig schädliche Reste.
Neue USB-Laufwerke werden ebenfalls infiziert	Windows kann noch Malware in Autostart, geplanten Aufgaben oder Benutzerprofilordnern enthalten.	Scannen Sie den gesamten PC und prüfen Sie die Startorte.

Abschnitt 03

Erste Maßnahmen vor der Reparatur von Verknüpfungsordnern in Windows

Behandeln Sie das betroffene Laufwerk als potenziell infiziert, bis der Scan abgeschlossen ist. Ziel ist es, die Malware nicht erneut zu starten und gleichzeitig die Originaldateien zu erhalten.

Doppelklicken Sie keine Verknüpfung, die unerwartet auf dem Laufwerk erschienen ist.
Trennen Sie andere USB-Laufwerke, externe Festplatten, Kameras und Speicherkarten vom Computer.
Kopieren Sie die gefälschten Verknüpfungsdateien nicht auf einen anderen Computer.
Öffnen Sie den Explorer mit Win + E, führen Sie aber keine unbekannten Dateien vom betroffenen Laufwerk aus.
Wenn das Laufwerk wichtige geschäftliche oder rechtliche Dateien enthält, erstellen Sie ein schreibgeschütztes Image oder wenden Sie sich an einen professionellen Datenrettungsdienst, bevor Sie etwas löschen.

💡

Tipp Wenn das betroffene Laufwerk ein USB-Stick ist, notieren Sie den aktuellen Laufwerksbuchstaben, zum Beispiel E: oder F:. Sie benötigen den richtigen Buchstaben für den Wiederherstellungsbefehl.

Abschnitt 04

Versteckte Dateien anzeigen und prüfen, ob Ihre Originalordner noch existieren

Shortcut-Malware löscht die Originalordner oft nicht. Sie markiert sie als versteckt und systemgeschützt und legt dann Verknüpfungen davor. Lassen Sie Windows zuerst versteckte Elemente anzeigen.

Windows 11

Öffnen Sie den Explorer.
Klicken Sie in der Befehlsleiste auf Ansicht.
Wählen Sie Anzeigen und aktivieren Sie Ausgeblendete Elemente.
Klicken Sie auf Optionen, öffnen Sie die Registerkarte Ansicht und deaktivieren Sie vorübergehend Geschützte Systemdateien ausblenden.

Windows 10

Öffnen Sie den Explorer.
Wechseln Sie zur Registerkarte Ansicht.
Aktivieren Sie Ausgeblendete Elemente.
Öffnen Sie Optionen → Ansicht und entfernen Sie vorübergehend das Häkchen bei Geschützte Systemdateien ausblenden.

⚠️

Warnung Aktivieren Sie Geschützte Systemdateien ausblenden nach der Wiederherstellung wieder. Wenn Systemdateien dauerhaft sichtbar bleiben, steigt das Risiko, versehentlich wichtige Dateien zu löschen.

Abschnitt 05

Versteckte Ordner mit dem Attrib-Befehl wiederherstellen

Wenn das Laufwerk weiterhin belegten Speicherplatz anzeigt, Ihre Ordner aber versteckt sind, entfernen Sie mit der Eingabeaufforderung die Attribute „versteckt“, „System“ und „schreibgeschützt“ von Dateien und Ordnern auf dem betroffenen Laufwerk.

Ersetzen Sie E: durch den echten Laufwerksbuchstaben des betroffenen Laufwerks. Sie können ihn unter Dieser PC prüfen. Führen Sie den Befehl nicht versehentlich auf dem falschen Laufwerk aus.

Schließen Sie das betroffene Laufwerk an einen Computer an, auf dem Virenschutz aktiviert ist.
Öffnen Sie Start, geben Sie cmd ein, klicken Sie mit der rechten Maustaste auf Eingabeaufforderung und wählen Sie Als Administrator ausführen.
Führen Sie den folgenden Befehl aus, nachdem Sie den Laufwerksbuchstaben angepasst haben.

Eingabeaufforderung — ersetzen Sie E: durch Ihren Laufwerksbuchstabenattrib -h -r -s /s /d E:\*.*

Öffnen Sie das Laufwerk nach Abschluss des Befehls erneut. Die Originalordner sollten wieder sichtbar sein. Wenn Sie sowohl echte Ordner als auch gefälschte Verknüpfungen sehen, öffnen Sie nur die echten Ordner. Öffnen Sie nicht die Verknüpfungskopien.

✅

Gutes Zeichen Wenn die wiederhergestellten Ordner normale Größen haben und sich ohne Start einer Verknüpfung öffnen lassen, kopieren Sie Ihre wichtigen Dateien an einen sauberen Speicherort, bevor Sie mit der tieferen Bereinigung fortfahren.

Abschnitt 06

Infiziertes Laufwerk scannen und Shortcut-Malware entfernen

Versteckte Ordner wiederherzustellen ist nicht dasselbe wie die Infektion zu entfernen. Sie müssen den Computer und das betroffene Laufwerk weiterhin scannen. Andernfalls können die Verknüpfungen nach dem nächsten Neustart oder beim Anschließen eines anderen USB-Laufwerks zurückkehren.

Methode 01

Vollständiger Scan mit Microsoft Defender

Verwenden Sie Windows-Sicherheit, um den gesamten PC und das angeschlossene Laufwerk zu scannen. Das ist für die meisten Benutzer der sicherste erste Schritt.

Zuerst empfohlen

Methode 02

Microsoft Defender Offline-Scan

Führen Sie einen Offline-Scan aus, wenn die Malware immer wieder zurückkommt, Sicherheitsprogramme schließt oder sich versteckt, während Windows läuft.

Bei hartnäckiger Malware

Methode 03

Zweite Meinung mit weiterem Scanner

Nutzen Sie einen weiteren vertrauenswürdigen Scanner, wenn Defender etwas entfernt, das Laufwerk aber weiterhin erneut Verknüpfungen erstellt.

Optionale Prüfung

Vollständigen Scan in Windows-Sicherheit ausführen

Öffnen Sie Start und suchen Sie nach Windows-Sicherheit.
Öffnen Sie Viren- & Bedrohungsschutz.
Klicken Sie auf Scanoptionen.
Wählen Sie Vollständige Überprüfung und starten Sie den Scan.
Scannen Sie danach das Wechsellaufwerk direkt über den Explorer, falls die Option im Kontextmenü verfügbar ist.

Wann Microsoft Defender Offline verwendet werden sollte

Verwenden Sie Microsoft Defender Offline-Scan, wenn verdächtige Skripte nach dem Löschen zurückkehren, neue Laufwerke automatisch infiziert werden oder Sicherheitsprogramme unerwartet beendet werden. Speichern Sie Ihre Arbeit zuerst, da Windows neu gestartet wird.

Abschnitt 07

Schädliche Verknüpfungen, Autorun-Dateien und Skriptreste löschen

Nach dem Scannen können Sie offensichtliche Reste vom betroffenen Laufwerk entfernen. Seien Sie vorsichtig: Löschen Sie gefälschte Verknüpfungen und verdächtige Skripte, nicht Ihre wiederhergestellten Ordner.

Elemente, die nach der Wiederherstellung oft sicher entfernt werden können

Verknüpfungskopien Ihrer Ordner mit der Erweiterung .lnk.
Unbekannte .vbs-, .js-, .cmd-, .bat- oder .scr-Dateien im Stammverzeichnis des Laufwerks.
Verdächtige autorun.inf-Dateien auf Wechselmedien.
Doppelte Ordner mit merkwürdigen Namen, Zufallszeichen oder ausführbaren Erweiterungen.

🧯

Vorsicht Löschen Sie keine normalen Dokumente, Fotos, Archive, Projektdateien oder Ordner, deren Namen und Größen zu Ihren echten Daten passen. Wenn Sie unsicher sind, kopieren Sie die wiederhergestellten Daten vor der manuellen Bereinigung auf ein anderes sauberes Laufwerk.

Sie können auch die Eingabeaufforderung verwenden, um Verknüpfungs- und Skriptdateien auf dem betroffenen Laufwerk vor dem Löschen aufzulisten:

Verdächtige Dateitypen auflisten — ersetzen Sie zuerst E:dir E:\*.lnk /a

dir E:\*.vbs /a

dir E:\*.js /a

dir E:\*.cmd /a

dir E:\autorun.inf /a

Abschnitt 08

Windows-Start prüfen, wenn Verknüpfungsordner immer wiederkommen

Wenn dasselbe Laufwerk sofort erneut infiziert wird, kann die Malware noch aus dem Windows-Benutzerprofil, dem Autostart-Ordner, der Registry oder der Aufgabenplanung gestartet werden. Prüfen Sie diese Bereiche erst nach Antivirus-Scans.

Zu prüfender Bereich	Worauf Sie achten sollten	So öffnen Sie ihn
Autostart-Liste im Task-Manager	Unbekannte Einträge mit leeren Herausgebern oder zufälligen Namen.	Drücken Sie `Strg` + `Umschalt` + `Esc` und öffnen Sie dann Autostart-Apps.
Autostart-Ordner	Unerwartete Verknüpfungen, Skripte oder ausführbare Dateien.	Drücken Sie `Win` + `R` und führen Sie `shell:startup` aus.
Aufgabenplanung	Aufgaben, die Skripte aus temporären Ordnern, Benutzerprofilordnern oder Wechsellaufwerken ausführen.	Suchen Sie im Startmenü nach Aufgabenplanung.
Temporäre Ordner	Verdächtige Skripte oder ausführbare Dateien mit aktuellen Änderungsdaten.	Drücken Sie `Win` + `R` und führen Sie `%temp%` aus.

🚫

Nicht in der Registry raten Wenn Sie nicht sicher sind, wofür ein Eintrag zuständig ist, löschen Sie ihn nicht manuell. Exportieren Sie zuerst eine Sicherung oder verwenden Sie ein seriöses Malware-Entfernungsprogramm. Das Entfernen eines falschen Autostart- oder Registry-Eintrags kann normale Software beschädigen.

Abschnitt 09

Wann Sie Dateien sichern und das Laufwerk formatieren sollten

Wenn das betroffene Laufwerk ein Wechseldatenträger ist, ist das Formatieren nach der Wiederherstellung oft der sauberste letzte Schritt. Formatieren Sie erst, nachdem Sie die echten Dateien an einen sicheren Ort kopiert und diesen Sicherungsort gescannt haben.

Formatieren Sie das Laufwerk, wenn

die Verknüpfungsdateien nach dem manuellen Löschen zurückkehren.
das Stammverzeichnis des Laufwerks viele unbekannte Skripte enthält.
das Laufwerk an mehreren infizierten oder unbekannten Computern verwendet wurde.
Sie die wichtigen Dateien bereits wiederhergestellt und gesichert haben.

Noch nicht formatieren, wenn

die einzige Kopie wichtiger Dateien noch auf dem betroffenen Laufwerk liegt.
das Laufwerk belegten Speicher zeigt, die Ordner aber weiterhin nicht sichtbar sind.
das Laufwerk Dateisystemfehler hat oder vor dem Öffnen eine Formatierung verlangt.
Sie eine professionelle Datenrettung vom Gerät benötigen.

So formatieren Sie nach der Wiederherstellung

Kopieren Sie wiederhergestellte Dateien in einen sauberen Ordner auf einem anderen Laufwerk.
Scannen Sie die kopierten Dateien mit Antivirensoftware.
Öffnen Sie Dieser PC.
Klicken Sie mit der rechten Maustaste auf das betroffene Wechsellaufwerk und wählen Sie Formatieren.
Verwenden Sie exFAT für breite Kompatibilität oder NTFS für reinen Windows-Speicher mit Berechtigungen und großen Dateien.
Kopieren Sie nach dem Formatieren nur saubere, wiederhergestellte Dateien zurück.

Abschnitt 10

So verhindern Sie, dass Ordner wieder zu Verknüpfungen werden

Shortcut-Malware verbreitet sich vor allem über Wechsellaufwerke und unbedachtes Ausführen von Skripten. Vorbeugung bedeutet hauptsächlich: automatische Ausführung deaktiviert lassen, unbekannte Laufwerke scannen und verdächtige Verknüpfungen meiden.

Lassen Sie Windows-Sicherheit und Sicherheitsinformationen-Updates aktiviert.
Scannen Sie USB-Laufwerke, bevor Sie Dateien davon öffnen.
Öffnen Sie keine unerwarteten .lnk-, .vbs-, .js-, .cmd- oder .scr-Dateien.
Lassen Sie Dateinamenerweiterungen im Explorer sichtbar, damit gefälschte Dateien leichter auffallen.
Verwenden Sie persönliche USB-Laufwerke möglichst nicht an nicht vertrauenswürdigen öffentlichen Computern.
Sichern Sie wichtige Dateien an mindestens einem Speicherort, der nicht ständig mit dem PC verbunden ist.

Dateierweiterungen in Windows anzeigen

Öffnen Sie den Explorer.
Wählen Sie in Windows 11 Ansicht → Anzeigen → Dateinamenerweiterungen.
Öffnen Sie in Windows 10 die Registerkarte Ansicht und aktivieren Sie Dateinamenerweiterungen.

Abschnitt 11

FAQ: Ordner wurden in Windows zu Verknüpfungen

F Sind meine Dateien gelöscht, wenn Ordner zu Verknüpfungen wurden? ⌄

Nicht immer. In vielen Fällen befinden sich die echten Ordner noch auf dem Laufwerk, sind aber mit Systemattributen versteckt. Wenn das Laufwerk weiterhin belegten Speicherplatz anzeigt, versuchen Sie zuerst, versteckte Dateien einzublenden und den Befehl attrib auszuführen, bevor Sie formatieren.

F Kann ich einfach alle Verknüpfungsdateien löschen? ⌄

Sie können gefälschte .lnk-Dateien löschen, nachdem Sie die Originalordner wiederhergestellt und das Laufwerk gescannt haben. Löschen Sie unbekannte Elemente nicht blind, wenn Sie nicht sicher sind, ob sie zu Ihren Daten gehören.

F Warum kommt der Shortcut-Virus nach dem Bereinigen des USB-Laufwerks zurück? ⌄

Der Windows-Computer kann weiterhin Malware in Autostart, geplanten Aufgaben, temporären Ordnern oder im Benutzerprofil enthalten. Scannen Sie den gesamten PC, nicht nur das Wechsellaufwerk.

F Sollte ich den USB-Stick sofort formatieren? ⌄

Formatieren Sie erst, nachdem Sie Ihre echten Dateien wiederhergestellt und gesichert haben. Wenn das Laufwerk die einzige Kopie wichtiger Daten enthält, stellen Sie zuerst wieder her, scannen Sie die geretteten Daten und formatieren Sie erst als letzten Bereinigungsschritt.

F Betrifft dieses Problem Windows 10 und Windows 11 auf die gleiche Weise? ⌄

Ja. Shortcut-Malware kann Wechsellaufwerke sowohl unter Windows 10 als auch unter Windows 11 betreffen. Die Oberfläche zum Anzeigen versteckter Dateien ist leicht unterschiedlich, aber Wiederherstellung und Scan-Logik sind gleich.

Abschließende Empfehlung

Wenn Ordner zu Verknüpfungen werden, gehen Sie nicht sofort davon aus, dass die Dateien weg sind. Öffnen Sie zuerst keine Verknüpfungen mehr, blenden Sie versteckte Ordner ein, führen Sie den Befehl attrib mit dem richtigen Laufwerksbuchstaben aus, scannen Sie sowohl das Laufwerk als auch Windows und löschen Sie anschließend gefälschte Verknüpfungen und verdächtige Skripte. Wenn es sich um ein Wechsellaufwerk handelt, sichern Sie saubere wiederhergestellte Dateien und formatieren Sie das Laufwerk als letzten Sicherheitsschritt.