|
Plagegeister aller Art und deren Bekämpfung: Dateien verschwinden von Festplatte...Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
13.12.2004, 03:00 | #1 |
| Dateien verschwinden von Festplatte... Hallo zusammen, hoffe hier kann mir jemand weiter helfen..... Ich hatte ienen Trojaner auf dem Rechner. Habe ihn nach Angaben aus dem WWW manuel entfernt, incl. Registry usw... Mir ist aufgefallen das der Rechner sehr langsam war und eine Datei (weiß den Namen leider nicht mehr) fast den ganzen Prozessor ausgelastet hatte. Das merkwürdige... auf einer Platte auf die ich zu dieser zeit nicht zugegriffen hatte verschwanden eine*.fla und eine *.swf Datei - beide zusammen hatten ca. 100 MB Größe dazu fehlten einige *.jpg Bilder Wie gesagt hatte ich nicht auf diese Platte zugegriffen zu diesem Zeitpunkt, da ich diese nur als Backup-Platte nutze für die wöchentliche Datensicherung (brennen auf CD-ROM) und wenn ich (selbstgefilmte - keine downloads) Videos in Einzelbilder zerlege nutze ich diese Platte auch, um die Bilder abzuspeichern. Obwohl der Trojaner entfernt war verschwanden weitere Dateien. Alles nur Bilder vorläufig und später auch andere Dateiformate, nachdem keine Bilder mehr auf der Platte waren. Nach ein paar Tagen stand im Taskmanager unter Prozesse die Datei rvs_cent.exe . Diese wird so wie ich herausgefunden habe zum Programm RVS COM der Firma "Living Byte". Allerdings habe ich kein Programm von denen bei mir auf dem Rechner. Ebenso die Datei rvs_clnt.exe . Beide fand ich im System32 Ordner von Windows XP. Ich löschte diese Dateien und ließ einen Security Task Manager laufen... dieser entdeckte Registry Einträge und 2 weitere Dateien die als gefährlich eingestuft wurden... habe daraufhin auch das alles entfernt... AntiVir und AntiVirenkit hatten nichts gefunden!!! Das merkwürdige daran ist: Alle Ordner sind vorhanden und wenn ich mir die Eigenschaften eines Ordners ansehe, dann zeigt er mir 1 Datei an, jedoch ist keine Datei vorhanden im Ordner. Mir wird auch angezeigt, das der Ordner 40 MB oder 165 kb , je nach dem was an Dateien vorhanden war, noch im Ordner seien. Im Windows Vorschauordner werden mir die Bilder noch angezeigt. im ordner selbst ist gähnende Leere. Bei Eigenschaften anzeigen lassen im Ordner, ist die Größe aller Dateien angezeigt als wenn alles vorhanden wäre. Ich habe versucht mit File Recovery die Daten zu retten kann sie trotz guter qualität herstellen, jedoch nicht mehr öffnen. Kann es sein, das die Dateien nicht weg sind, sondern nur unsichtbar sind? Das normale VERSTECKT von Windows meine ich nicht, da ich unsichtbare Dateien bei mir schon auf "anzeigen" gestellt habe. Ich weiß nicht mehr weiter, da ich diese Daten dringend benötige und sie laut Größe der Ordner und Vorschau noch vorhanden sind... Viele Grüße Tomcat77 Geändert von Tomcat77 (13.12.2004 um 08:30 Uhr) |
13.12.2004, 11:56 | #2 |
| Dateien verschwinden von Festplatte... Hi tomcat,
__________________poste mal ein HiJckThis Logfile rein. "Manuell" entfernen reicht nicht immer....
__________________ |
14.12.2004, 01:54 | #3 |
| Dateien verschwinden von Festplatte... Habe mal AntiVir und AntiVirenKit vollständig entfernt da ein Freund update probs hatteund nach neu installieren und updaten dann Viren gefunden wurden bei ihm. Also cniht wundern wenn in dem Logfile nix von den Viren Progs steht Werde die gleich wieder installieren und das Ergebnis der Suche dann heute Abend hier posten...
__________________der DLHelper von microgaming gehört zu einem online Casino... daran dürfte es nicht liegen... hab seit Monaten keine neue Software von denen gezogen. Ich habe in dem Logfile nichts verdächtiges gefunden. Logfile of HijackThis v1.97.7 Scan saved at 01:37:00, on 14.12.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe C:\WINDOWS\System32\svchost.exe C:\Programme\MSN Messenger\msnmsgr.exe C:\Programme\Internet Explorer\iexplore.exe C:\Dokumente und Einstellungen\MTL\Desktop\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: BTTray.lnk = ? O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM) O9 - Extra button: ICQ Pro (HKLM) O9 - Extra 'Tools' menuitem: ICQ (HKLM) O9 - Extra button: AIM (HKLM) O9 - Extra button: Related (HKLM) O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM) O9 - Extra button: @btrez.dll,-4015 (HKLM) O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 (HKLM) O9 - Extra button: Yahoo! Messenger (HKLM) O9 - Extra 'Tools' menuitem: Yahoo! Messenger (HKLM) O9 - Extra button: Messenger (HKLM) O9 - Extra 'Tools' menuitem: Messenger (HKLM) O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://download.yahoo.com/dl/installs/yinst0309.cab O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab30149.cab O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...179.1820601852 O16 - DPF: {AED98630-0251-4E83-917D-43A23D66D507} (WebHandler Class) - http://activex.microgaming.com/DLhel...7/dlhelper.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary...n.cab30149.cab Viele Grüße Tomcat |
14.12.2004, 19:30 | #4 |
| Dateien verschwinden von Festplatte... Habe nicht mehr gesehen, als Du auch. Kann aber auch an der alten Version von HJT liegen. Poste mal ein Logfile mit der neuen Version 1.98.2 rein. cacatoa
__________________ Der Mensch sollte eine Hundeseele haben |
14.12.2004, 21:38 | #5 |
| Dateien verschwinden von Festplatte... Hmm komisch... stand da nicht 1.98.2 als download version? ... werde ich machen, aber der securtity task manager findet auch nichts gefährliches... Habe morgen frei und werde dann mal die neue version vom HjT ziehen und nochmals posten. Danke schonmal für Deine Hilfe !!! Aber was mir größere Sorgen amcht ist nicht ob der Trojaner evtl doch noch drauf ist, sondern warum ich die Dateien nicht wieder herstellen kann, trotz GUTEM Zustand... Wie ich schon sagte,... laut Speicherplatzbelegung sind die Dateien da, laut Dateianzahl nicht. Sichtbar sind sie jedenfalls nicht. Kann es sien, das sie nur Unsichtbar gemacht wurden? gibt doch auch in der Eingabeaufforderung glaube ihc einen Befehl dazu um WIRKLICH unsichtbare wieder anzuzeigen.... habe was in google darüber gefunden, aber den befehl erkennt mein DOS nicht... irgend was mit ls /-a ... ich poste morgen neben dem neuen logfile auch den genauen befehl... Denn normaler Weise müßte wenn die Dateien erfolgreich wieder hergestellt wurden mit file recovery, sich die ganzen Files öffnen lassen.... aber trotz sichtbarkeit nach rettung und voller Dateigröße sind alle dennoch unbrauchbar... Grüße Tomcat |
14.12.2004, 22:56 | #6 |
| Dateien verschwinden von Festplatte... Darf ich mal fragen, welcher Trojaner das war? LG, Charlie
__________________ --> Dateien verschwinden von Festplatte... |
15.12.2004, 08:57 | #7 |
| Dateien verschwinden von Festplatte... Hallo mal wieder an alle Habe eben nochmal bei Googel angesehen was ich in der letzten Zeit gesucht hatte und den Namen des Trojaner gefunden: Der Prozess der den Prozessor auslastete war "sysload.exe". Laut Sophos ´Virendefinition: Troj/Delf-EL Typ: Trojaner Nebeneffekte: Stiehlt Dateien, Lädt Code aus dem Hintergrund herunter, speichert Tastenfolgen, Insalliert sich in der Registry, hinterläßt nicht infizierte Dateien auf dem Rechner Alias: Trojan.Win32.Delf.bv, oder auch TROJ_DELF.BV Es war noch ein Prozess, vorhanden nachdem ich diesen Trojaner entfernt hatte. Der Prozessname war wenn ich es richtig in Erinnerung habe "wowexec.exe" gewesen sein, welches eine Startdatei für Win16 Anwendungen sein soll. Definitiv war folgender Prozess auch am laufen, eine Woche nachdem ich sysload entfernt hatte: rsvp.exe. Dieser lies sich im Taskmanager zwar schließen aber er öffnete sich nach spätestens 5-10 Sekunden immer wieder. Aus Google: QoS RSVP Bietet Programmen und Systemsteuerungssymbolen, die QoS unterstützen, Installationsfunktionen zur Steuerung von Netzwerksignalen und lokalem Netzwerkverkehr. die ausführende datei heißt: rsvp.exe Irgendwo im WWW habe ich gelesen, das man diesen Windows Dienst löschen kann, oder einfach nur umbenennen muß, und er somit unbrauchbar wird, was ich auch getan habe. Sprich: im Taskmanager beendet und sofort im Explorer umbenannt. Seit dem bleibt dieser Prozess aus! Ich habe das allerdings nicht aktiviert und bin mir tausend % sicher, das der Prozess vorher nie in der Liste war! Ich vermute das irgend eine Datei, die nicht infiziert ist auf dem rechner war, und somit nicht erkannt wurde vom SecurityTaskManager, die aber vesuchte andere Wege herzustellen um weiter mein System zu verwüsten... ("nicht infizierte Datei" wie auch schon bei Sophos beschrieben) Was mich aber immer noch wundert, warum ausgerechnet nur eine Platte betroffen ist, die ich so gut wie nie benutzt hatte wenn ich online war. Kein einziges Programm ist dort installiert und Dateien die ich auf dieser Platte gespeichert habe waren vorher auf anderen Platten gespeichert. Diese festplatten hätten wenn ich irgend eine infizierte Datei gespeichert hätte also auch betroffen sein müssen Thx auch Dir charlie1 !!! @cacaota: Ich poste später noch das neue Logfile wenn ich nachher die neueste Version vom HjT gezogen habe LG Tomcat Geändert von Tomcat77 (15.12.2004 um 09:08 Uhr) |
11.04.2005, 13:32 | #8 |
| Dateien verschwinden von Festplatte... Hallo zusammen... leider hatte ich beruflich kaum Zeit und kann erst jetzt wieder posten... Also: **** Auch Das LogFile der neuesten version von HjT zeigt nichts auffälliges und der Trojaner ist zum Glück vollständig entfernt.... Dennoch - Egal welches Datenrettungsprogramm, ich kann die Dateien wieder vollständig wiederherstellen ABER Keine Datei läßt sich öffnen. Nochmal zur Kurzinfo... Dateien verschwanden vom Rechner... Erst nur JPG´s dann auch Flash Files und sämtliche andere Dateien... Alle von meiner Backup Platte, auf die ich nicht zugegriffen hatte wenn ich online war. Die Ordner zeigten unter EIGENSCHAFTEN die größe an, als wenn die Daten noch vorhanden wären, waren, bzw sind aber leer. Als Datei wird "1" angezeigt. PC Inspector File Recovery, O&O UnErase und GetDataBack, sowie zahlreiche andere Programme dieser Art zeigen die Dateien mit "gutem Zustand" an. Andere Daten, die von mir zu Urzeiten *g* mit absicht gelöscht wurden dagegen als "schlechter Zustand". Diese kann ich jedoch fast alle öffnen wenn ich sie wiederherstelle. Die verschwunden dagegen: "Keine Vorschau verfügbar" mit der Windows Bild & faxanzeige, oder mit Photoshop " kann nicht geöffnet werden ... unbekannter oder invalider JPG Marker..." Die Dateien haben nach Wiederherstellung ihre Originalgröße. Bei Audiodateien wird der Titel angezeigt, aber abgespielt werden die Dateien nicht. Irgendwo im WWW habe ich gelesen, dass bei Trojaner, bzw Virenbefall bei Dateien das Erste Zeichen zum Löschungsfefehl wird. War ein Artikel über Symantecs "Norton System Works 2003" und dem darin enthaltenen Norton UnErase". Nur habe ihc schon genug Geld ausgegeben für Programme, die auch bei Virenbefall Erfolge versprechen die Dateien wieder herzustellen und will kein weiteres kaufen das dies tut, aber ich die Dateien nicht öffnen kann danach. Wie schon geschildert haben die Dateien ihre Originalgröße nach Wiederherstellung, Dateiinfos (Größe, Größe auf Datenträger, Dateityp etc vorhanden, aber weitere Dateiinfos gibt es keine (Titel, Betreff Autor, etc) Die Anzeigefelder sind grau hinterlegt. Wie kann ich die Datenrettungsprogramme so einstellen, dass das erste Zeichen kein Löschungsbefehl mehr ist und ihc alles wieder öffnen kann? Laut Herstellern wird die Datei so wieder hergestellt wie vorher, was aber nicht der Fall ist so wies aussieht..... Genug geschrieben erstmal... Hoffe Ihr könnt mir weiterhelfen... Viele Grüße Tomcat |
11.04.2005, 13:39 | #9 |
| Dateien verschwinden von Festplatte... kleiner Nachtrag: Die Hersteller konnten mir leider nicht weiterhelfen außer das ich die Platte einsenden soll, was dann recht teuer werden dürfte... Übrigens: Der letzte Zugriff auf alle verschwundenen Dateien war am Sonntag 31. Oktober 2004 00:00:00 Viele Grüße Tomcat Geändert von Tomcat77 (11.04.2005 um 14:06 Uhr) |
17.05.2005, 12:18 | #10 |
| Dateien verschwinden von Festplatte... Hallo Tomcat und alle anderen! Gibt's denn nun eine Lösung? M.a.W. : Ich habe genau das gleiche Problem: wenn ich durch den WIN-XP- Explorer scrolle und die Ordner öffne, komme ich plötzlich in einen Bereich der "leeren Ordner". Wenn ich mir die Eigenschaften der Ordner ansehe, werden mir soundsoviel Dateien angezeigt, auch die MBs, auch Unterordner, aber keine Dateien. Dank und Gruss vom grAt Leider handelt es sich um einen Bereich, den ich nicht gesichert hatte; (Downloadsoftware) Dank und Gruss vom grAt |
Themen zu Dateien verschwinden von Festplatte... |
.exe, aller dateien, antivir, anzeige, ausgelastet, cd-rom, datei, dateien, dateien verschwinden, dateiformate, datensicherung, dringend, file, file recovery, gefährlich, heulen, keine downloads, langsam, manuel, namen, nicht mehr, ordner, programm, prozesse, prozessor, rechner sehr langsam, registry, security, sehr langsam, system, system32, taskmanager, trojaner, trojaner entfernt, träge, windows, windows xp. |