Hallo.

Das Problem:
Auf dem Notebook meiner Freundin sind Office Dokumente und Photos verschwunden. Die Office Dokumente sind ihre Dissertation und die Photos haben großen ideellen Wert. Zum Glück hat sie Sicherheitskopien ihrer Dissertation, so dass kein großer Schaden entstanden ist. Es wäre aber schön wenn wir die Photos wieder herstellen könnten. Das Betriebssystem ist Win7 Home Prem.

Ich habe Malwarebytes inzwischen 2 mal einen vollständigen Systemcheck durchlaufen lassen, weil Avira wohl beim entfernen der Schädlinge aus der Registry dazwischen funkt. Auch beim zweiten mal hat Avira wohl eine vollständige Entfernung verhindert. Ich habe gerade die Option in den Einstellungen von Avira gefunden, mit der man dort den Registryschutz wohl ausstellen kann. Kann ich Malwarebytes die bereits gefundenen Schädlinge nochmals entfernen lassen ohne einen weiteren vollständigen Systemdurchlauf durchführen zu lassen?

Ich fasse nochmal zur Übersicht zusammen.

Die benötigte Hilfe:

1. Kann ich mit Malwarebytes bereits gefundene Schädlinge nochmal entfernen lassen ohne einen weiteren Scan durchführen zu müssen?

2. Wie stelle ich, falls möglich, die verschwundenen Dateien wieder her?


Malwarebytes Protokolle:
Ich gebe noch drei Protokolle von Malwarebytes in chronologischer Reihenfolge an. Die beiden letzten stammen von den vollständigen Systemdurchläufen. Woher das erste stammt, weiss ich nicht genau. Ich habe es erst entdeckt, als ich diesen Text hier verfasst habe. Es gibt noch zwei protectionlogs, die ich auf Wunsch auch gerne angebe, aber der Übersicht halber erstmal nicht poste.

Vielen Dank für die Hilfe.
Gruß
fini

Protokoll1:

Malwarebytes Anti-Malware (Test) 1.65.1.1000
www.malwarebytes.org

Datenbank Version: v2012.11.02.09

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
OlgaKarpova :: OSK [Administrator]

Schutz: Aktiviert

02.11.2012 18:01:06
mbam-log-2012-11-02 (18-01-06).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|F:\|G:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 445963
Laufzeit: 2 Stunde(n), 12 Minute(n), 22 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 4
C:\downloads\Total Commander\Plugins\arc\Default.sfx (Malware.Packer.Gen) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\downloads\Total Commander\Utilites\SFX Tool\Upack.exe (Malware.Packer.Gen) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\OlgaKarpova\Downloads\etypesetup.exe (PUP.BundleInstaller.BI) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Windows.old\Users\123\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WinRAR\winrar3.6x.multilanguage-patch.exe (PUP.Hacktool.Patcher) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)

Protokoll2:

Malwarebytes Anti-Malware (Test) 1.65.1.1000
www.malwarebytes.org

Datenbank Version: v2012.11.02.09

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
OlgaKarpova :: OSK [Administrator]

Schutz: Aktiviert

02.11.2012 18:01:06
mbam-log-2012-11-02 (20-15-50).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|F:\|G:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 445963
Laufzeit: 2 Stunde(n), 12 Minute(n), 22 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 4
C:\downloads\Total Commander\Plugins\arc\Default.sfx (Malware.Packer.Gen) -> Keine Aktion durchgeführt.
C:\downloads\Total Commander\Utilites\SFX Tool\Upack.exe (Malware.Packer.Gen) -> Keine Aktion durchgeführt.
C:\Users\OlgaKarpova\Downloads\etypesetup.exe (PUP.BundleInstaller.BI) -> Keine Aktion durchgeführt.
C:\Windows.old\Users\123\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WinRAR\winrar3.6x.multilanguage-patch.exe (PUP.Hacktool.Patcher) -> Keine Aktion durchgeführt.

(Ende)

Protokoll3:

Malwarebytes Anti-Malware (Test) 1.65.1.1000
www.malwarebytes.org

Datenbank Version: v2012.11.02.09

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
OlgaKarpova :: OSK [Administrator]

Schutz: Aktiviert

02.11.2012 20:25:41
mbam-log-2012-11-02 (20-25-41).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|F:\|G:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 444924
Laufzeit: 1 Stunde(n), 9 Minute(n), 13 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 1
C:\Windows.old\ProgramData\Codecv\bhoclass.dll (PUP.DownloadnSave) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)

Zitat:

C:\Windows.old\Users\123\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WinRAR\winrar3.6x.multilanguage-patch.exe (PUP.Hacktool.Patcher)

Ausrede hierfür oder kann man sich das denken was das sein soll?

Zitat:

2. Wie stelle ich, falls möglich, die verschwundenen Dateien wieder her?

Ist alles ein wenig unkonkret. Was heißt hier verschwunden?
Seit wann bzw. durch was sollen die einfach verschwundenen sein?
Einfach weg, werden die nicht mehr angezeigt? Die Ordner wo die Fotos drin waren sind leer und haben nun eine Größe von Null Bytes?

Einfach verschwunden könnte auch bedeuten, dass man die einfach versehentlich gelöscht hat.

Also der ganze Ordner mit den Photos ist verschwunden. Vielleicht hat meine Freundin sie aber auch ausversehen selber gelöscht. Herstellen würden wir sie aber auch in diesem Fall wieder gerne. Ich werd den Link von dir dazu heute Abend mal ausprobieren.

Und bei der Datei die du angegeben hast, weiß ich nicht was du meinst. Ich bin mir der Forenregeln bewusst und benutze keine cracks und etc. Habe winrar installiert, allerdings benutze ich für solche Programme immer das chipboard als Quelle.


Gruß
fini

Zitat:

Also der ganze Ordner mit den Photos ist verschwunden.

Einfach so verschwindet nichts naja wer keine Backups macht ist meistens angeschmiert
Probier dein Glück mit Tools wie zB

Zitat:

Ich bin mir der Forenregeln bewusst und benutze keine cracks und etc.

Legitime Dateien nennen sich ja auch deswegen multilanguage-patch.exe, ist klar
Naja wie auch immer, zumindest war dieser Mist in der "alten" Windows-Installation drin => C:\Windows.old\Users\...