Virus Warnung, Pc mit Systemwiederherstellung zurückgesetzt nun sind keine Daten mehr auf PartitionD

Spielmann · 21.02.2012, 21:29

Schönen guten Abend,

ich habe vor ca. 2 Wochen einen Virus gehabt. Das System hat nicht mehr reagiert und hat mir nur Fehlermeldungen gebracht. Hat man sie weggeklickt so kamen immer mehr. Leider habe ich es mir damals nicht aufgeschrieben

Ich habe dann meinen Pc im Abgesichtern Modus gestartet. Dort habe ich Ihn dann auf den vorletzen Systemwiederherstllungspunkt zurückgesetzt.
Nun konnte ich wieder Arbeiten. Und habe AntiVir 2 mal durchlaufen lassen.
Hier der Report in Kürze.
Beginne mit der Suche in 'C:\' <SYSTEM>
C:\Users\Thomas\AppData\Local\Temp\boUeqUxiVqvX4i.exe.tmp
[FUND] Ist das Trojanische Pferd TR/Crypt.EPACK.Gen2
C:\Users\Thomas\AppData\Local\Temp\fka0.011819079643008656.exe
[FUND] Ist das Trojanische Pferd TR/Inject.cpwia
C:\Users\Thomas\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\47\5709cb6f-44df8661
[FUND] Ist das Trojanische Pferd TR/Inject.cpwia
C:\Users\Thomas\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\47\5709cb6f-5ab1a4ae
[FUND] Ist das Trojanische Pferd TR/Inject.cpwia
C:\Users\Thomas\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\8\60b47fc8-282b9a2b
[0] Archivtyp: ZIP
--> bax.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2011-3544
Beginne mit der Suche in 'D:\' <DATA>

Beginne mit der Desinfektion:
C:\Users\Thomas\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\8\60b47fc8-282b9a2b
[FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2011-3544
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a257a88.qua' verschoben!
C:\Users\Thomas\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\47\5709cb6f-5ab1a4ae
[FUND] Ist das Trojanische Pferd TR/Inject.cpwia
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '527c5526.qua' verschoben!
C:\Users\Thomas\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\47\5709cb6f-44df8661
[FUND] Ist das Trojanische Pferd TR/Inject.cpwia
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '00230fce.qua' verschoben!
C:\Users\Thomas\AppData\Local\Temp\fka0.011819079643008656.exe
[FUND] Ist das Trojanische Pferd TR/Inject.cpwia
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '66c54058.qua' verschoben!
C:\Users\Thomas\AppData\Local\Temp\boUeqUxiVqvX4i.exe.tmp
[FUND] Ist das Trojanische Pferd TR/Crypt.EPACK.Gen2
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '234d6d7a.qua' verschoben!

Dann ist mir aufgefallen das meine Partition D: zwar noch vorhanden ist, aber alle Daten nicht mehr zu sehen sind. Da scheinen sie noch zu sein, denn es wird angezeigt das 52,7 GB belegt sind.

Die Daten würde ich gerne wieder haben. Sind meine ganzen Ausarbeitungen von der Technikerschule drauf und wie es der Teufel will brauche ich sie jetzt

So jetzt das DDS LOG

DDS (Ver_2011-08-26.01) - NTFSx86
Internet Explorer: 9.0.8112.16421 BrowserJavaVersion: 1.6.0_26
Run by Thomas at 20:48:52 on 2012-02-21
Microsoft Windows 7 Home Premium 6.1.7601.1.1252.49.1031.18.3071.2032 [GMT 1:00]
.
AV: Avira Desktop *Enabled/Updated* {F67B4DE5-C0B4-6C3F-0EFF-6C83BD5D0C2C}
SP: Avira Desktop *Enabled/Updated* {4D1AAC01-E68E-63B1-344F-57F1C6DA4691}
SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
============== Running Processes ===============
.
C:\Windows\system32\wininit.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\svchost.exe -k DcomLaunch
C:\Windows\system32\nvvsvc.exe
C:\Windows\system32\svchost.exe -k RPCSS
C:\Windows\System32\svchost.exe -k LocalServiceNetworkRestricted
C:\Windows\System32\svchost.exe -k LocalSystemNetworkRestricted
C:\Windows\system32\svchost.exe -k netsvcs
C:\Windows\system32\svchost.exe -k LocalService
C:\Windows\system32\svchost.exe -k NetworkService
C:\Windows\system32\nvvsvc.exe
C:\Windows\System32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\Windows\system32\svchost.exe -k LocalServiceNoNetwork
C:\Program Files\Adobe\Photoshop Elements 7.0\PhotoshopElementsFileAgent.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Windows\system32\svchost.exe -k LocalServiceAndNoImpersonation
C:\Program Files\HP\HPLaserJetService\HPLaserJetService.exe
C:\Windows\system32\svchost.exe -k hpdevmgmt
C:\Windows\system32\lkads.exe
C:\Windows\system32\lktsrv.exe
C:\Program Files\Microsoft LifeCam\MSCamS32.exe
c:\Program Files\Microsoft SQL Server\MSSQL10.SQLEXPRESS\MSSQL\Binn\sqlservr.exe
C:\Program Files\National Instruments\MAX\nimxs.exe
C:\Windows\System32\svchost.exe -k HPZ12
C:\Program Files\National Instruments\Shared\Security\nidmsrv.exe
C:\Windows\system32\nisvcloc.exe
C:\Program Files\National Instruments\Shared\Tagger\tagsrv.exe
C:\Windows\System32\svchost.exe -k HPZ12
c:\Program Files\Microsoft SQL Server\90\Shared\sqlwriter.exe
C:\Windows\system32\svchost.exe -k imgsvc
C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSVC.EXE
C:\Windows\system32\taskhost.exe
C:\Windows\system32\Dwm.exe
C:\Program Files\Yahoo!\SoftwareUpdate\YahooAUService.exe
C:\Windows\Explorer.EXE
C:\Program Files\National Instruments\Shared\mDNS Responder\nimdnsResponder.exe
C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSvcM.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Program Files\IVI Foundation\VISA\WinNT\NIvisa\niLxiDiscovery.exe
C:\Program Files\HP\ToolboxFX\bin\HPTLBXFX.exe
C:\Program Files\Common Files\Java\Java Update\jusched.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Avira\AntiVir Desktop\avshadow.exe
C:\Windows\system32\conhost.exe
C:\Windows\system32\SearchIndexer.exe
C:\Windows\system32\WUDFHost.exe
C:\Program Files\Windows Media Player\wmpnetwk.exe
C:\Windows\System32\svchost.exe -k LocalServicePeerNet
C:\Windows\system32\wbem\wmiprvse.exe
C:\Windows\system32\DllHost.exe
C:\Windows\system32\sppsvc.exe
C:\Windows\System32\svchost.exe -k secsvcs
C:\Windows\system32\svchost.exe -k SDRSVC
C:\Windows\system32\msiexec.exe
C:\Program Files\Application Updater\ApplicationUpdater.exe
C:\Program Files\Common Files\Spigot\Search Settings\SearchSettings.exe
C:\Windows\system32\DllHost.exe
C:\Windows\system32\DllHost.exe
C:\Windows\system32\conhost.exe
.
============== Pseudo HJT Report ===============
.
uStart Page = hxxp://search.conduit.com?SearchSource=10&ctid=CT2319825
uInternet Settings,ProxyOverride = *.local
uURLSearchHooks: H - No File
uURLSearchHooks: pdfforge Toolbar: {b922d405-6d13-4a2b-ae89-08a030da4402} - c:\program files\pdfforge toolbar\ie\5.0\pdfforgeToolbarIE.dll
uURLSearchHooks: H - No File
mURLSearchHooks: H - No File
mURLSearchHooks: H - No File
BHO: {02478D38-C3F9-4efb-9B51-7695ECA05670} - No File
BHO: Adobe PDF Link Helper: {18df081c-e8ad-4283-a596-fa578c2ebdc3} - c:\program files\common files\adobe\acrobat\activex\AcroIEHelperShim.dll
BHO: {5C255C8A-E604-49b4-9D64-90988571CECB} - No File
BHO: Windows Live ID-Anmelde-Hilfsprogramm: {9030d464-4c02-4abf-8ecc-5164760863c6} - c:\program files\common files\microsoft shared\windows live\WindowsLiveLogin.dll
BHO: pdfforge Toolbar: {b922d405-6d13-4a2b-ae89-08a030da4402} - c:\program files\pdfforge toolbar\ie\5.0\pdfforgeToolbarIE.dll
BHO: Java(tm) Plug-In 2 SSV Helper: {dbc80044-a445-435b-bc74-9c25c1c588a9} - c:\program files\java\jre6\bin\jp2ssv.dll
TB: pdfforge Toolbar: {b922d405-6d13-4a2b-ae89-08a030da4402} - c:\program files\pdfforge toolbar\ie\5.0\pdfforgeToolbarIE.dll
TB: {40C3CC16-7269-4B32-9531-17F2950FB06F} - No File
TB: {D4027C7F-154A-4066-A1AD-4243D8127440} - No File
uRun: [msnmsgr] "c:\program files\windows live\messenger\msnmsgr.exe" /background
uRun: [Windows System Guard] c:\users\public\msng.exe
uRun: [Messenger (Yahoo!)] "c:\progra~1\yahoo!\messen~1\YahooMessenger.exe" -quiet
mRun: [ToolBoxFX] "c:\program files\hp\toolboxfx\bin\HPTLBXFX.exe" /enum

n /alerts

n /notifications

n /fl

n /fr

n /appData

n /tmcp

n
mRun: [LifeCam] "c:\program files\microsoft lifecam\LifeExp.exe"
mRun: [SunJavaUpdateSched] "c:\program files\common files\java\java update\jusched.exe"
mRun: [avgnt] "c:\program files\avira\antivir desktop\avgnt.exe" /min
mRun: [<NO NAME>]
mRun: [SearchSettings] "c:\program files\common files\spigot\search settings\SearchSettings.exe"
mPolicies-system: ConsentPromptBehaviorAdmin = 5 (0x5)
mPolicies-system: ConsentPromptBehaviorUser = 3 (0x3)
mPolicies-system: EnableUIADesktopToggle = 0 (0x0)
IE: add to &BOM - c:\\progra~1\\biet-o~1\\\\AddToBOM.hta
IE: Nach Microsoft E&xel exportieren - c:\progra~1\micros~2\office12\EXCEL.EXE/3000
IE: {73C6DCFB-B606-47F3-BDFA-9A4FBF931E37} - c:\program files\icq7.4\ICQ.exe
IE: {2670000A-7350-4f3c-8081-5663EE0C6C49} - {48E73304-E1D6-4330-914C-F5F514E3486C} - c:\progra~1\micros~2\office12\ONBttnIE.dll
IE: {92780B25-18CC-41C8-B9BE-3C9C571A8263} - {FF059E31-CC5A-4E2E-BF3B-96E929D65503} - c:\progra~1\micros~2\office12\REFIEBAR.DLL
DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_26-windows-i586.cab
DPF: {CAFEEFAC-0016-0000-0026-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_26-windows-i586.cab
DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_26-windows-i586.cab
DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
TCP: DhcpNameServer = 192.168.178.1
TCP: Interfaces\{C60CBABC-9B9C-4D3A-8E92-895BAC907D62} : DhcpNameServer = 192.168.178.1
.
================= FIREFOX ===================
.
FF - ProfilePath - c:\users\thomas\appdata\roaming\mozilla\firefox\profiles\36t2ldeh.default\
FF - prefs.js: browser.search.defaulturl - hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2719315&SearchSource=3&q={searchTerms}
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://search.conduit.com/?ctid=CT2719315&SearchSource=13
FF - prefs.js: keyword.URL - hxxp://search.icq.com/search/afe_results.php?ch_id=afex&tb_ver=1.4.3&q=
FF - component: c:\program files\common files\spigot\wtxpcom\components\WidgiToolbarFF.dll
FF - component: c:\users\thomas\appdata\roaming\mozilla\firefox\profiles\36t2ldeh.default\extensions\{cc05a3e3-64c3-4af2-bfc1-af0d66b69065}\components\FFExternalAlert.dll
FF - component: c:\users\thomas\appdata\roaming\mozilla\firefox\profiles\36t2ldeh.default\extensions\{cc05a3e3-64c3-4af2-bfc1-af0d66b69065}\components\RadioWMPCore.dll
FF - plugin: c:\program files\java\jre6\bin\new_plugin\npdeployJava1.dll
FF - plugin: c:\program files\microsoft silverlight\4.1.10111.0\npctrlui.dll
FF - plugin: c:\program files\microsoft\office live\npOLW.dll
FF - plugin: c:\program files\mozilla firefox\plugins\npdeployJava1.dll
FF - plugin: c:\program files\mozilla firefox\plugins\NPLV80Win32.dll
FF - plugin: c:\program files\mozilla firefox\plugins\NPLV82Win32.dll
FF - plugin: c:\program files\mozilla firefox\plugins\nplv85win32.dll
FF - plugin: c:\program files\mozilla firefox\plugins\nplv86win32.dll
FF - plugin: c:\program files\mozilla firefox\plugins\nplv90win32.dll
FF - plugin: c:\program files\mozilla firefox\plugins\npwachk.dll
FF - plugin: c:\program files\windows live\photo gallery\NPWLPG.dll
.
---- FIREFOX POLICIES ----
FF - user.js: yahoo.ytff.general.dontshowhpoffer - true
.
.
pref('extensions.shownSelectionUI',true);
pref('extensions.autoDisableScopes',0);
============= SERVICES / DRIVERS ===============
.
R0 nipbcfk;National Instruments Class Upper Filter Driver;c:\windows\system32\drivers\nipbcfk.sys [2008-8-21 15448]
R1 avkmgr;avkmgr;c:\windows\system32\drivers\avkmgr.sys [2011-10-13 36000]
R2 AdobeActiveFileMonitor7.0;Adobe Active File Monitor V7;c:\program files\adobe\photoshop elements 7.0\PhotoshopElementsFileAgent.exe [2008-9-16 169312]
R2 AntiVirSchedulerService;Avira Planer;c:\program files\avira\antivir desktop\sched.exe [2011-10-13 86224]
R2 AntiVirService;Avira Echtzeit Scanner;c:\program files\avira\antivir desktop\avguard.exe [2011-10-13 110032]
R2 Application Updater;Application Updater;c:\program files\application updater\ApplicationUpdater.exe [2012-2-6 748440]
R2 avgntflt;avgntflt;c:\windows\system32\drivers\avgntflt.sys [2011-10-13 74640]
R2 HP LaserJet Service;HP LaserJet Service;c:\program files\hp\hplaserjetservice\HPLaserJetService.exe [2009-6-1 136192]
R2 niLXIDiscovery;National Instruments LXI Discovery Service;c:\program files\ivi foundation\visa\winnt\nivisa\niLxiDiscovery.exe [2009-3-5 131704]
R2 nimDNSResponder;National Instruments mDNS Responder Service;c:\program files\national instruments\shared\mdns responder\nimdnsResponder.exe [2009-6-4 193648]
R2 NiViPxiK;NI-VISA PXI Driver;c:\windows\system32\drivers\NiViPxiKl.sys [2009-6-21 11360]
R3 MSHUSBVideo;NX6000/NX3000/VX2000/VX5000/VX5500/VX7000/Cinema Filter Driver;c:\windows\system32\drivers\nx6000.sys [2010-12-2 25600]
R3 RTL8167;Realtek 8167 NT Driver;c:\windows\system32\drivers\Rt86win7.sys [2011-6-10 394856]
S2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\microsoft.net\framework\v4.0.30319\mscorsvw.exe [2010-3-18 130384]
S3 b57nd60x;Broadcom NetXtreme Gigabit Ethernet - NDIS 6.0;c:\windows\system32\drivers\b57nd60x.sys [2009-7-13 229888]
S3 IwUSB;IwUSB Driver;c:\windows\system32\drivers\IwUSB.sys [2010-1-29 20645]
S3 McComponentHostService;McAfee Security Scan Component Host Service;c:\program files\mcafee security scan\2.0.181\McCHSvc.exe [2010-1-15 227232]
S3 nidimk;nidimk;c:\windows\system32\drivers\nidimkl.sys [2008-6-13 11360]
S3 nipalfwedl;nipalfwedl;c:\windows\system32\drivers\nipalfwedl.sys [2009-5-26 11904]
S3 nipalusbedl;nipalusbedl;c:\windows\system32\drivers\nipalusbedl.sys [2009-5-26 11896]
S3 NiViFWK;NI-VISA FireWire Driver;c:\windows\system32\drivers\NiViFWKl.sys [2009-3-5 11384]
S3 NiViPciK;NI-VISA PCI Driver;c:\windows\system32\drivers\NiViPciKl.sys [2009-6-21 11360]
S3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers\TsUsbFlt.sys [2011-6-3 52224]
S4 MSSQLServerADHelper100;SQL Server Hilfsdienst für Active Directory;c:\program files\microsoft sql server\100\shared\sqladhlp.exe [2008-7-10 47128]
S4 RsFx0105;RsFx0105 Driver;c:\windows\system32\drivers\RsFx0105.sys [2011-9-22 238696]
S4 SQLAgent$SQLEXPRESS;SQL Server-Agent (SQLEXPRESS);c:\program files\microsoft sql server\mssql10.sqlexpress\mssql\binn\SQLAGENT.EXE [2011-9-22 370024]
.
=============== Created Last 30 ================
.
2012-02-21 19:46:35 -------- d-----w- c:\program files\pdfforge Toolbar
2012-02-21 19:46:35 -------- d-----w- c:\program files\common files\Spigot
2012-02-21 19:46:35 -------- d-----w- c:\program files\Application Updater
2012-02-21 17:11:46 6552120 ----a-w- c:\programdata\microsoft\windows defender\definition updates\{d0786f41-84f4-431b-8db1-7ef98e0074f6}\mpengine.dll
2012-02-16 19:45:56 478720 ----a-w- c:\windows\system32\timedate.cpl
2012-02-16 19:45:43 690688 ----a-w- c:\windows\system32\msvcrt.dll
2012-02-16 19:45:29 442880 ----a-w- c:\windows\system32\ntshrui.dll
2012-02-16 19:45:27 2343424 ----a-w- c:\windows\system32\win32k.sys
2012-02-11 14:24:54 73064 ----a-w- c:\windows\system32\perf-MSSQL$SQLEXPRESS-sqlctr10.3.5500.0.dll
2012-02-05 19:42:34 626688 ----a-w- c:\program files\mozilla firefox\msvcr80.dll
2012-02-05 19:42:34 548864 ----a-w- c:\program files\mozilla firefox\msvcp80.dll
2012-02-05 19:42:34 479232 ----a-w- c:\program files\mozilla firefox\msvcm80.dll
2012-02-05 19:42:34 43992 ----a-w- c:\program files\mozilla firefox\mozutils.dll
2012-01-26 19:45:09 369352 ----a-w- c:\windows\system32\drivers\cng.sys
2012-01-26 19:45:09 224768 ----a-w- c:\windows\system32\schannel.dll
2012-01-26 19:45:09 134000 ----a-w- c:\windows\system32\drivers\ksecpkg.sys
2012-01-26 19:45:09 1038848 ----a-w- c:\windows\system32\lsasrv.dll
2012-01-26 19:45:05 67440 ----a-w- c:\windows\system32\drivers\ksecdd.sys
2012-01-26 19:44:58 22528 ----a-w- c:\windows\system32\lsass.exe
2012-01-26 19:44:44 314880 ----a-w- c:\windows\system32\webio.dll
2012-01-26 19:44:44 100352 ----a-w- c:\windows\system32\sspicli.dll
2012-01-26 19:44:43 22016 ----a-w- c:\windows\system32\secur32.dll
2012-01-26 19:44:42 15872 ----a-w- c:\windows\system32\sspisrv.dll
.
==================== Find3M ====================
.
2012-01-29 04:10:42 237072 ------w- c:\windows\system32\MpSigStub.exe
2011-12-14 03:04:54 1798656 ----a-w- c:\windows\system32\jscript9.dll
2011-12-14 02:57:18 1127424 ----a-w- c:\windows\system32\wininet.dll
2011-12-14 02:56:58 1427456 ----a-w- c:\windows\system32\inetcpl.cpl
2011-12-14 02:50:04 2382848 ----a-w- c:\windows\system32\mshtml.tlb
.
============= FINISH: 20:49:55,25 ===============

Ein GMER Log kann ich leider nicht anhängen, da sich mein Rechner dabei immer weigert. Soll heissen Bluescreen wie früher bei Windows ME :/
Bin genau nach Anleitung vorgegangen. Alle Scanner aus, keine Netzwerk, nicht gearbeitet... usw.

Ich hoffe Ihr könnt mir weiterhelfen.

Danke Euch jetzt schon, sollten noch Daten fehlen versuche ich sie schnellstmöglich bereit zu Stellen.

MFG Spielmann

Virus Warnung, Pc mit Systemwiederherstellung zurückgesetzt nun sind keine Daten mehr auf PartitionD

Log-Analyse und Auswertung: Virus Warnung, Pc mit Systemwiederherstellung zurückgesetzt nun sind keine Daten mehr auf PartitionD

Virus Warnung, Pc mit Systemwiederherstellung zurückgesetzt nun sind keine Daten mehr auf PartitionD

Ähnliche Themen: Virus Warnung, Pc mit Systemwiederherstellung zurückgesetzt nun sind keine Daten mehr auf PartitionD