nach GVU-Virus Windows neu aufgespielt - wie komme ich jetzt an meine alten daten?

Zonenbub · 04.07.2013, 21:30

Hallo
Ich habe nach einen GVU-Virusbefall einfach Windows XP neu aufgespielt. Jetzt komme ich haber nicht mehr an meine alten Daten (eigene Bilder; Dokumente) ran, obwohl sie noch auf dem Laptop sind (sonst wäre die Fstplatte nicht so voll). Leider habe icgh auch davon keine Sicherungskopie gemacht.

Kann mir jemand helfen, damit ich wieder an meine Daten herankomme?
m.f.G.
Zonenbub

schrauber · 05.07.2013, 06:55

Hi,

Systemscan mit FRST
Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop: FRST 32-Bit | FRST 64-Bit
(Wenn du nicht sicher bist: Start > Computer (Rechtsklick) > Eigenschaften)

Starte jetzt FRST.
Ändere ungefragt keine der Checkboxen und klicke auf Scan.
Die Logdateien werden nun erstellt und befinden sich danach auf deinem Desktop.
Poste mir die FRST.txt und nach dem ersten Scan auch die Addition.txt in deinem Thread (#-Symbol im Eingabefenster der Webseite anklicken)

Zonenbub · 10.07.2013, 08:22

FRST Logfile:

Code:

ATTFilter

Scan result of Farbar Recovery Scan Tool (FRST.txt) (x64) Version: 09-07-2013
 Ran by Joerg (administrator) on 09-07-2013 14:18:21
 Running from C:\Users\Joerg\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\QUUC59LE
 Windows Vista (TM) Home Premium (X64) OS Language: German Standard
 Internet Explorer Version 7
 Boot Mode: Normal
 
==================== Processes (Whitelisted) =================FRST Additions Logfile:

	Code: 

 ATTFilter

  
	Additional scan result of Farbar Recovery Scan Tool (x64) Version: 09-07-2013
 Ran by Joerg at 2013-07-09 14:19:27
 Running from C:\Users\Joerg\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\QUUC59LE
 Boot Mode: Normal
 ==========================================================
 

==================== Installed Programs =======================
 

Adobe Flash Player 11 ActiveX (x32 Version: 11.7.700.202)
 AntiBrowserSpy (x32 Version: 3.6.106)
 Microsoft .NET Framework 3.5 Language Pack SP1 - deu (Version: 3.5.30729)
 Microsoft .NET Framework 3.5 SP1
 Microsoft .NET Framework 3.5 SP1 (Version: 3.5.30729)
 PCSUITE ADVISOR (x32)
 rosoft .NET Framework 3.5 Language Pack SP1 - DEU
 Update for Microsoft .NET Framework 3.5 SP1 (KB963707) (x32 Version: 1)
 
==================== Restore Points =========================
 
31-05-2013 17:58:25 Windows Vista Service Pack 1
 14-06-2013 17:50:29 Windows Update
 15-06-2013 16:35:53 Windows Update
 27-06-2013 15:29:17 Windows Update
 30-06-2013 09:57:01 Windows Update
 02-07-2013 19:38:36 Windows Update
 04-07-2013 20:17:58 Windows Defender Checkpoint
 09-07-2013 12:15:55 Windows Update
 
==================== Hosts content: ==========================
 
2006-11-02 14:34 - 2013-06-02 14:13 - 00000798 ____A C:\Windows\system32\Drivers\etc\hosts
 127.0.0.1 localhost
 127.0.0.1 google-analytics.com
 

==================== Scheduled Tasks (whitelisted) =============
 
Task: {0AEAFAF6-F116-4A60-AFB4-C8B755A6E975} - System32\Tasks\Microsoft\Windows\MobilePC\TMM
 Task: {192DDA2D-5815-47B8-983F-65744FEEC03A} - System32\Tasks\Microsoft\Windows\Shell\CrawlStartPages
 Task: {254095AE-FB97-48EA-94A5-D8BF2AB79714} - System32\Tasks\Microsoft\Windows\RAC\RACAgent => C:\Windows\system32\RacAgent.exe [2006-11-02] (Microsoft Corporation)
 Task: {4E946E6C-49EC-4FD9-8F58-EB5AF1752C5D} - System32\Tasks\Microsoft\Windows\PLA\System\ConvertLogEntries => C:\Windows\system32\rundll32.exe [2006-11-02] (Microsoft Corporation)
 Task: {A3B40906-EAA7-4486-BF50-A17CCA3F3415} - System32\Tasks\Microsoft\Windows Defender\MP Scheduled Scan => C:\program files\windows defender\MpCmdRun.exe [2013-05-20] (Microsoft Corporation)
 Task: {A9683382-0125-42BE-A29E-E39819CD3AF7} - System32\Tasks\Microsoft\Windows\Customer Experience Improvement Program\OptinNotification => C:\Windows\System32\wsqmcons.exe [2006-11-02] (Microsoft Corporation)
 Task: {E8B380F7-5E60-4F38-A9A6-4DE4B85EC01D} - System32\Tasks\Microsoft\Windows\NetworkAccessProtection\NAPStatus UI
 Task: {E91D6474-70CC-42BE-80FF-8BED8AF557ED} - System32\Tasks\Microsoft\Windows\Wireless\GatherWirelessInfo => C:\Windows\system32\gatherWirelessInfo.vbs [2006-11-02] ()
 Task: {FEA180FD-4B36-401C-88FF-FD1C2C7BFE6A} - System32\Tasks\CreateChoiceProcessTask => C:\Windows\System32\browserchoice.exe [2013-05-19] (Microsoft Corporation)
 
==================== Faulty Device Manager Devices =============
 
Name: Massenspeichercontroller
 Description: Massenspeichercontroller
 Class Guid: 
Manufacturer: 
Service: 
Problem: : The drivers for this device are not installed. (Code 28)
 Resolution: To install the drivers for this device, click "Update Driver", which starts the Hardware Update wizard.
 

==================== Event log errors: =========================
 
Application errors:
 ==================
 Error: (07/04/2013 10:17:53 PM) (Source: VSS) (User: )
 Description: Volumeschattenkopie-Dienstfehler: Beim Abfragen nach der Schnittstelle "IVssWriterCallback" ist ein unerwarteter Fehler aufgetreten. hr = 0x80070005.
 Die Ursache hierfür ist oft eine falsche Sicherheitseinstellung im Schreib- oder Anfrageprozess.
 

Vorgang:
 Generatordaten werden gesammelt
 
Kontext:
 Generatorklassen-ID: {e8132975-6f93-4464-a53e-1050253ae220}
 Generatorname: System Writer
 Generatorinstanz-ID: {ab955d4f-4a73-43f7-9525-8cbcb922a21b}
 
Error: (05/31/2013 07:58:24 PM) (Source: VSS) (User: )
 Description: Volumeschattenkopie-Dienstfehler: Beim Abfragen nach der Schnittstelle "IVssWriterCallback" ist ein unerwarteter Fehler aufgetreten. hr = 0x80070005.
 Die Ursache hierfür ist oft eine falsche Sicherheitseinstellung im Schreib- oder Anfrageprozess.
 

Vorgang:
 Generatordaten werden gesammelt
 
Kontext:
 Generatorklassen-ID: {e8132975-6f93-4464-a53e-1050253ae220}
 Generatorname: System Writer
 Generatorinstanz-ID: {3bf622ab-0d54-4601-9730-415e9cfcaa25}
 
Error: (05/31/2013 07:50:23 PM) (Source: VSS) (User: )
 Description: Volumeschattenkopie-Dienstfehler: Beim Abfragen nach der Schnittstelle "IVssWriterCallback" ist ein unerwarteter Fehler aufgetreten. hr = 0x80070005.
 Die Ursache hierfür ist oft eine falsche Sicherheitseinstellung im Schreib- oder Anfrageprozess.
 

Vorgang:
 Generatordaten werden gesammelt
 
Kontext:
 Generatorklassen-ID: {e8132975-6f93-4464-a53e-1050253ae220}
 Generatorname: System Writer
 Generatorinstanz-ID: {3bf622ab-0d54-4601-9730-415e9cfcaa25}
 
Error: (05/20/2013 05:17:56 PM) (Source: ESENT) (User: )
 Description: WinMail (2720) WindowsMail0: The backup has been stopped because it was halted by the client or the connection with the client failed.
 
Error: (05/20/2013 08:54:50 AM) (Source: Application Error) (User: )
 Description: Fehlerhafte Anwendung iexplore.exe, Version 7.0.6000.16386, Zeitstempel 0x4549b133, fehlerhaftes Modul mshtml.dll, Version 7.0.6000.16386, Zeitstempel 0x4549bd75, Ausnahmecode 0xc0000005, Fehleroffset 0x0003c2c5,
 Prozess-ID 0xa80, Anwendungsstartzeit iexplore.exe0.
 

System errors:
 =============
 Error: (05/31/2013 05:17:00 PM) (Source: Dhcp) (User: )
 Description: Die IP-Adresslease 192.168.2.101 für die Netzwerkkarte mit der Netzwerkadresse 002308CB9EE1 wurde durch den DHCP-Server 192.168.2.1 abgelehnt (der DHCP-Server hat eine DHCPNACK-Meldung gesendet).
 
Error: (05/25/2013 08:47:43 PM) (Source: Microsoft-Windows-Servicing) (User: NT-AUTORITÄT)
 Description: Windows-Wartung konnte das Paket KB937287 (Update) nicht in den Status Wird bereitgestellt(Staging) setzen.
 
Error: (05/25/2013 08:47:43 PM) (Source: Microsoft-Windows-Servicing) (User: NT-AUTORITÄT)
 Description: Windows-Wartung konnte das Paket KB937287 (Update) nicht in den Status Wird bereitgestellt(Staging) setzen.
 
Error: (05/25/2013 08:47:43 PM) (Source: Microsoft-Windows-Servicing) (User: NT-AUTORITÄT)
 Description: Windows-Wartung konnte das Paket KB937287 (Update) nicht in den Status Wird bereitgestellt(Staging) setzen.
 
Error: (05/25/2013 08:47:43 PM) (Source: Microsoft-Windows-Servicing) (User: NT-AUTORITÄT)
 Description: Windows-Wartung konnte das Paket KB937287 (Update) nicht in den Status Wird bereitgestellt(Staging) setzen.
 
Error: (05/25/2013 08:47:43 PM) (Source: Microsoft-Windows-Servicing) (User: NT-AUTORITÄT)
 Description: Windows-Wartung konnte das Update 937287-2_neutral_GDR aus Paket KB937287(Update) nicht in den Status Wird bereitgestellt(Staging) setzen.
 
Error: (05/25/2013 08:47:43 PM) (Source: Microsoft-Windows-Servicing) (User: NT-AUTORITÄT)
 Description: Windows-Wartung konnte das Update 937287-1_neutral_GDR aus Paket KB937287(Update) nicht in den Status Wird bereitgestellt(Staging) setzen.
 
Error: (05/25/2013 08:47:43 PM) (Source: Microsoft-Windows-Servicing) (User: NT-AUTORITÄT)
 Description: Windows-Wartung konnte das Update 937287-3_neutral_PACKAGE aus Paket KB937287(Update) nicht in den Status Wird bereitgestellt(Staging) setzen.
 
Error: (05/25/2013 08:47:43 PM) (Source: Microsoft-Windows-Servicing) (User: NT-AUTORITÄT)
 Description: Windows-Wartung konnte das Update 937287-4_neutral_PACKAGE aus Paket KB937287(Update) nicht in den Status Wird bereitgestellt(Staging) setzen.
 
Error: (05/25/2013 08:47:43 PM) (Source: Microsoft-Windows-Servicing) (User: NT-AUTORITÄT)
 Description: Windows-Wartung konnte das Update 937287-5_neutral_PACKAGE aus Paket KB937287(Update) nicht in den Status Wird bereitgestellt(Staging) setzen.
 

Microsoft Office Sessions:
 =========================
 Error: (07/04/2013 10:17:53 PM) (Source: VSS)(User: )
 Description: 0x80070005
 
Vorgang:
 Generatordaten werden gesammelt
 
Kontext:
 Generatorklassen-ID: {e8132975-6f93-4464-a53e-1050253ae220}
 Generatorname: System Writer
 Generatorinstanz-ID: {ab955d4f-4a73-43f7-9525-8cbcb922a21b}
 
Error: (05/31/2013 07:58:24 PM) (Source: VSS)(User: )
 Description: 0x80070005
 
Vorgang:
 Generatordaten werden gesammelt
 
Kontext:
 Generatorklassen-ID: {e8132975-6f93-4464-a53e-1050253ae220}
 Generatorname: System Writer
 Generatorinstanz-ID: {3bf622ab-0d54-4601-9730-415e9cfcaa25}
 
Error: (05/31/2013 07:50:23 PM) (Source: VSS)(User: )
 Description: 0x80070005
 
Vorgang:
 Generatordaten werden gesammelt
 
Kontext:
 Generatorklassen-ID: {e8132975-6f93-4464-a53e-1050253ae220}
 Generatorname: System Writer
 Generatorinstanz-ID: {3bf622ab-0d54-4601-9730-415e9cfcaa25}
 
Error: (05/20/2013 05:17:56 PM) (Source: ESENT)(User: )
 Description: WinMail2720WindowsMail0:
 
Error: (05/20/2013 08:54:50 AM) (Source: Application Error)(User: )
 Description: iexplore.exe7.0.6000.163864549b133mshtml.dll7.0.6000.163864549bd75c00000050003c2c5a8001ce5526e5fd5fba
 

==================== Memory info =========================== 

Percentage of memory in use: 49%
 Total physical RAM: 2046.69 MB
 Available physical RAM: 1043.72 MB
 Total Pagefile: 4316.95 MB
 Available Pagefile: 3301.09 MB
 Total Virtual: 8192 MB
 Available Virtual: 8191.85 MB
 
==================== Drives ================================
 
Drive c: () (Fixed) (Total:186.31 GB) (Free:52.76 GB) NTFS (Disk=0 Partition=1) ==>[Drive with boot components (obtained from BCD)]
 
==================== MBR & Partition Table ==================
 
========================================================
 Disk: 0 (MBR Code: Windows 7 or Vista) (Size: 186 GB) (Disk ID: 1B581B57)
 Partition 1: (Active) - (Size=186 GB) - (Type=07 NTFS)
 
==================== End Of Log ============================
         
 --- --- ---
 
(Microsoft Corporation) C:\Windows\system32\SLsvc.exe
 (Microsoft Corporation) C:\Program Files\Windows Sidebar\sidebar.exe
 (Microsoft) C:\Program Files (x86)\AntiBrowserSpy\AntiBrowserSpyBrowserMaske.exe
 (Microsoft Corporation) C:\Program Files (x86)\Internet Explorer\IEUser.exe
 (Microsoft Corporation) C:\Windows\system32\conime.exe
 (Farbar) C:\Users\Joerg\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\QUUC59LE\FRST64[1].exe
 
==================== Registry (Whitelisted) ==================
 
HKLM\...\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide [1581752 2013-05-20] (Microsoft Corporation)
 HKLM\...\Winlogon: [Userinit] C:\Windows\system32\userinit.exe,
 HKCU\...\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun [1554432 2013-05-20] (Microsoft Corporation)
 HKCU\...\Run: [BrowserMask] "C:\Program Files (x86)\AntiBrowserSpy\AntiBrowserSpyBrowserMaske.exe" -delayed [101280 2011-06-21] (Microsoft)
 HKCU\...\RunOnce: [FlashPlayerUpdate] C:\Windows\SysWOW64\Macromed\Flash\FlashUtil32_11_7_700_202_ActiveX.exe -update activex [813448 2013-05-19] (Adobe Systems Incorporated)
 MountPoints2: {294c1bba-be65-11e2-906c-806e6f6e6963} - D:\zdata\cobi.exe
 HKU\Default\...\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter [2444288 2006-11-02] (Microsoft Corporation)
 HKU\Default User\...\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter [2444288 2006-11-02] (Microsoft Corporation)
 SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - C:\Windows\system32\webcheck.dll (Microsoft Corporation)
 SSODL-x32: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - C:\Windows\SysWOW64\webcheck.dll (Microsoft Corporation)
 
==================== Internet (Whitelisted) ====================
 
HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.de/
 HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm
 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm
 HKLM SearchScopes: DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?}
 SearchScopes: HKLM - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?}
 HKLM-x32 SearchScopes: DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?}
 SearchScopes: HKLM-x32 - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?}
 HKCU SearchScopes: DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?}
 SearchScopes: HKCU - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?}
 DPF: HKLM-x32 {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
 Hosts: There are more than one entry in Hosts. See Hosts section of Addition.txt
 Tcpip\Parameters: [DhcpNameServer] 192.168.2.1
 
==================== Services (Whitelisted) =================
 

==================== Drivers (Whitelisted) ====================
 
S4 blbdrive; \SystemRoot\system32\drivers\blbdrive.sys [x]
 S3 IpInIp; system32\DRIVERS\ipinip.sys [x]
 S3 NwlnkFlt; system32\DRIVERS\nwlnkflt.sys [x]
 S3 NwlnkFwd; system32\DRIVERS\nwlnkfwd.sys [x]
 
==================== NetSvcs (Whitelisted) ===================
 

==================== One Month Created Files and Folders ========
 
2013-07-09 14:18 - 2013-07-09 14:18 - 00000000 ____D C:\FRST
 
==================== One Month Modified Files and Folders =======
 
2013-07-09 14:18 - 2013-07-09 14:18 - 00000000 ____D C:\FRST
 2013-07-09 14:16 - 2006-11-02 17:27 - 01498874 ____A C:\Windows\WindowsUpdate.log
 2013-07-09 14:10 - 2013-05-16 23:00 - 00000732 ____A C:\Users\Joerg\AppData\Local\d3d9caps64.dat
 2013-07-09 14:10 - 2006-11-02 17:42 - 00000006 ___AH C:\Windows\Tasks\SA.DAT
 2013-07-09 14:10 - 2006-11-02 17:22 - 00003952 ___AH C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-1.C7483456-A289-439d-8115-601632D005A0
 2013-07-09 14:10 - 2006-11-02 17:22 - 00003952 ___AH C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-0.C7483456-A289-439d-8115-601632D005A0
 2013-07-04 22:39 - 2006-11-02 17:42 - 00010186 ____A C:\Windows\Tasks\SCHEDLGU.TXT
 2013-06-15 22:13 - 2013-05-25 20:17 - 00000680 ____A C:\Users\Joerg\AppData\Local\d3d9caps.dat
 2013-06-15 18:36 - 2006-11-02 14:35 - 75825640 ____A (Microsoft Corporation) C:\Windows\System32\mrt.exe
 
==================== Bamital & volsnap Check =================
 
C:\Windows\System32\winlogon.exe
 [2006-11-02 11:27] - [2006-11-02 13:16] - 0397312 ____A (Microsoft Corporation) 9642EED809219A2F914DD8E40A09C48B
 
C:\Windows\System32\wininit.exe
 [2006-11-02 11:27] - [2006-11-02 13:16] - 0122368 ____A (Microsoft Corporation) 6F92CE5B50283B0C0A7A539ED552039A
 
C:\Windows\SysWOW64\wininit.exe
 [2006-11-02 14:24] - [2006-11-02 11:45] - 0095744 ____A (Microsoft Corporation) D4385B03E8CCCEE6F0EE249F827C1F3E
 
C:\Windows\explorer.exe
 [2013-05-20 11:52] - [2013-05-20 11:52] - 3087360 ____A (Microsoft Corporation) 50514057C28A74BAC2BD04B7B990D615
 
C:\Windows\SysWOW64\explorer.exe
 [2013-05-20 11:52] - [2013-05-20 11:52] - 2923520 ____A (Microsoft Corporation) 37440D09DEAE0B672A04DCCF7ABF06BE
 
C:\Windows\System32\svchost.exe
 [2006-11-02 11:10] - [2006-11-02 13:16] - 0026624 ____A (Microsoft Corporation) 6B30067D55E10E4DEBDC842FB1911479
 
C:\Windows\SysWOW64\svchost.exe
 [2006-11-02 14:21] - [2006-11-02 11:45] - 0022016 ____A (Microsoft Corporation) 10DA15933D582D2FEDCF705EFE394B09
 
C:\Windows\System32\services.exe => MD5 is legit
 C:\Windows\System32\User32.dll
 [2013-05-20 08:47] - [2013-05-20 08:47] - 0810496 ____A (Microsoft Corporation) 707CD582A4F93DB789336A5CE9527970
 
C:\Windows\SysWOW64\User32.dll
 [2013-05-20 08:47] - [2013-05-20 08:47] - 0646656 ____A (Microsoft Corporation) 296BA70E2A302E639CBD9E2A32DC65C4
 
C:\Windows\System32\userinit.exe
 [2006-11-02 11:25] - [2006-11-02 13:16] - 0028160 ____A (Microsoft Corporation) 46D5B6B80E4A5997F508F938F96B7628
 
C:\Windows\SysWOW64\userinit.exe
 [2006-11-02 14:24] - [2006-11-02 11:45] - 0024576 ____A (Microsoft Corporation) 22027835939F86C3E47AD8E3FBDE3D11
 
C:\Windows\System32\Drivers\volsnap.sys
 [2013-05-20 08:57] - [2013-05-20 08:57] - 0250936 ____A (Microsoft Corporation) EDABF7608DE65545EAF36A5736F72BEB
 


LastRegBack: 2013-07-09 14:16
 
==================== End Of Log ============================

--- --- ---

schrauber · 10.07.2013, 09:13

FRST.txt ist nicht komplett, bitte nochmal posten.

Zonenbub · 11.07.2013, 18:29

So hoffe nun ist alles vollständig. Mehr bringt er mir nicht.
FRST Logfile:

Code:

ATTFilter

Scan result of Farbar Recovery Scan Tool (FRST.txt) (x64) Version: 11-07-2013
Ran by Joerg (administrator) on 11-07-2013 19:26:16
Running from C:\Users\Joerg\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\QUUC59LE
Windows Vista (TM) Home Premium (X64) OS Language: German Standard
Internet Explorer Version 7
Boot Mode: Normal

==================== Processes (Whitelisted) =================

(Microsoft Corporation) C:\Windows\system32\SLsvc.exe
(Microsoft Corporation) C:\Program Files\Windows Sidebar\sidebar.exe
(Microsoft) C:\Program Files (x86)\AntiBrowserSpy\AntiBrowserSpyBrowserMaske.exe
(Microsoft Corporation) C:\Program Files (x86)\Internet Explorer\IEUser.exe
(Farbar) C:\Users\Joerg\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\QUUC59LE\FRST64[2].exe

==================== Registry (Whitelisted) ==================

HKLM\...\Run: [Windows Defender] - %ProgramFiles%\Windows Defender\MSASCui.exe -hide [1581752 2013-05-20] (Microsoft Corporation)
HKCU\...\Run: [Sidebar] - C:\Program Files\Windows Sidebar\sidebar.exe /autoRun [1554432 2013-05-20] (Microsoft Corporation)
HKCU\...\Run: [BrowserMask] - "C:\Program Files (x86)\AntiBrowserSpy\AntiBrowserSpyBrowserMaske.exe" -delayed [101280 2011-06-21] (Microsoft)
MountPoints2: {294c1bba-be65-11e2-906c-806e6f6e6963} - D:\zdata\cobi.exe
HKU\Default\...\Run: [WindowsWelcomeCenter] - rundll32.exe oobefldr.dll,ShowWelcomeCenter [2444288 2006-11-02] (Microsoft Corporation)
HKU\Default User\...\Run: [WindowsWelcomeCenter] - rundll32.exe oobefldr.dll,ShowWelcomeCenter [2444288 2006-11-02] (Microsoft Corporation)
SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - C:\Windows\system32\webcheck.dll (Microsoft Corporation)
SSODL-x32: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - C:\Windows\SysWOW64\webcheck.dll (Microsoft Corporation)

==================== Internet (Whitelisted) ====================

HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Google
HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm
StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe
HKLM SearchScopes: DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?}
SearchScopes: HKLM - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?}
HKLM-x32 SearchScopes: DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?}
SearchScopes: HKLM-x32 - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?}
HKCU SearchScopes: DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?}
SearchScopes: HKCU - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?}
DPF: HKLM-x32 {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
Hosts: There are more than one entry in Hosts. See Hosts section of Addition.txt
Tcpip\Parameters: [DhcpNameServer] 192.168.2.1

==================== Services (Whitelisted) =================


==================== Drivers (Whitelisted) ====================

S4 blbdrive; \SystemRoot\system32\drivers\blbdrive.sys [x]
S3 IpInIp; system32\DRIVERS\ipinip.sys [x]
S3 NwlnkFlt; system32\DRIVERS\nwlnkflt.sys [x]
S3 NwlnkFwd; system32\DRIVERS\nwlnkfwd.sys [x]

==================== NetSvcs (Whitelisted) ===================


==================== One Month Created Files and Folders ========

2013-07-09 14:18 - 2013-07-09 14:18 - 00000000 ____D C:\FRST

==================== One Month Modified Files and Folders =======

2013-07-11 19:24 - 2006-11-02 17:27 - 01511861 ____A C:\Windows\WindowsUpdate.log
2013-07-11 19:20 - 2013-05-16 23:00 - 00000732 ____A C:\Users\Joerg\AppData\Local\d3d9caps64.dat
2013-07-11 19:20 - 2006-11-02 17:42 - 00000006 ___AH C:\Windows\Tasks\SA.DAT
2013-07-11 19:20 - 2006-11-02 17:22 - 00003952 ___AH C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-1.C7483456-A289-439d-8115-601632D005A0
2013-07-11 19:20 - 2006-11-02 17:22 - 00003952 ___AH C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-0.C7483456-A289-439d-8115-601632D005A0
2013-07-09 14:48 - 2006-11-02 17:42 - 00010558 ____A C:\Windows\Tasks\SCHEDLGU.TXT
2013-07-09 14:18 - 2013-07-09 14:18 - 00000000 ____D C:\FRST
2013-06-15 22:13 - 2013-05-25 20:17 - 00000680 ____A C:\Users\Joerg\AppData\Local\d3d9caps.dat
2013-06-15 18:36 - 2006-11-02 14:35 - 75825640 ____A (Microsoft Corporation) C:\Windows\system32\mrt.exe

==================== Bamital & volsnap Check =================

C:\Windows\System32\winlogon.exe
[2006-11-02 11:27] - [2006-11-02 13:16] - 0397312 ____A (Microsoft Corporation) 9642EED809219A2F914DD8E40A09C48B

C:\Windows\System32\wininit.exe
[2006-11-02 11:27] - [2006-11-02 13:16] - 0122368 ____A (Microsoft Corporation) 6F92CE5B50283B0C0A7A539ED552039A

C:\Windows\SysWOW64\wininit.exe
[2006-11-02 14:24] - [2006-11-02 11:45] - 0095744 ____A (Microsoft Corporation) D4385B03E8CCCEE6F0EE249F827C1F3E

C:\Windows\explorer.exe
[2013-05-20 11:52] - [2013-05-20 11:52] - 3087360 ____A (Microsoft Corporation) 50514057C28A74BAC2BD04B7B990D615

C:\Windows\SysWOW64\explorer.exe
[2013-05-20 11:52] - [2013-05-20 11:52] - 2923520 ____A (Microsoft Corporation) 37440D09DEAE0B672A04DCCF7ABF06BE

C:\Windows\System32\svchost.exe
[2006-11-02 11:10] - [2006-11-02 13:16] - 0026624 ____A (Microsoft Corporation) 6B30067D55E10E4DEBDC842FB1911479

C:\Windows\SysWOW64\svchost.exe
[2006-11-02 14:21] - [2006-11-02 11:45] - 0022016 ____A (Microsoft Corporation) 10DA15933D582D2FEDCF705EFE394B09

C:\Windows\System32\services.exe => MD5 is legit
C:\Windows\System32\User32.dll
[2013-05-20 08:47] - [2013-05-20 08:47] - 0810496 ____A (Microsoft Corporation) 707CD582A4F93DB789336A5CE9527970

C:\Windows\SysWOW64\User32.dll
[2013-05-20 08:47] - [2013-05-20 08:47] - 0646656 ____A (Microsoft Corporation) 296BA70E2A302E639CBD9E2A32DC65C4

C:\Windows\System32\userinit.exe
[2006-11-02 11:25] - [2006-11-02 13:16] - 0028160 ____A (Microsoft Corporation) 46D5B6B80E4A5997F508F938F96B7628

C:\Windows\SysWOW64\userinit.exe
[2006-11-02 14:24] - [2006-11-02 11:45] - 0024576 ____A (Microsoft Corporation) 22027835939F86C3E47AD8E3FBDE3D11

C:\Windows\System32\Drivers\volsnap.sys
[2013-05-20 08:57] - [2013-05-20 08:57] - 0250936 ____A (Microsoft Corporation) EDABF7608DE65545EAF36A5736F72BEB



LastRegBack: 2013-07-11 19:26

==================== End Of Log ============================

--- --- ---

schrauber · 11.07.2013, 19:29

Hm, das Log zeigt keine Daten.

Wie hast Du neu installiert?

Zonenbub · 15.07.2013, 10:49

Hallo Schrauber
Ich habe einfach Windows nochmals aufgespielt. Wie gesagt ich möchte nur an meine alten Daten kommen (Fotosund Schriftstücke) die noch auf dem Rechner sind.
Er läst miich aber nicht mehr darauf zugreifen. Er sagt das ich keine Berechtigung dafür habe.
gruß Zonenbub

schrauber · 15.07.2013, 11:32

wo liegen denn die Daten? in welchem Ordner?

Zonenbub · 15.07.2013, 12:18

Die Datein liegen auf der Festplatte (C) unter eigene Datein.
gruß Zonenbub

schrauber · 15.07.2013, 12:56

Zitat:

Die Datein liegen auf der Festplatte (C) unter eigene Datein.

Das ist unmöglich nach ner Neuinstallation, oder Du hast nur ne Reparaturinstallation gemacht

.
bei Neu-oder drüber installieren müssten sie unter C:\Windows.old liegen.

Rechtsklick auf den Ordner "Rechte übernehmen".

10.07.2013, 09:13	#4
schrauber /// the machine /// TB-Ausbilder	nach GVU-Virus Windows neu aufgespielt - wie komme ich jetzt an meine alten daten? FRST.txt ist nicht komplett, bitte nochmal posten. __________________ gruß, schrauber *Proud Member of UNITE and ASAP since 2009* Spenden Anleitungen und Hilfestellungen Trojaner-Board Facebook-Seite Keine Hilfestellung via PM!

11.07.2013, 19:29	#6
schrauber /// the machine /// TB-Ausbilder	nach GVU-Virus Windows neu aufgespielt - wie komme ich jetzt an meine alten daten? Hm, das Log zeigt keine Daten. Wie hast Du neu installiert? __________________ --> nach GVU-Virus Windows neu aufgespielt - wie komme ich jetzt an meine alten daten?

15.07.2013, 11:32	#8
schrauber /// the machine /// TB-Ausbilder	nach GVU-Virus Windows neu aufgespielt - wie komme ich jetzt an meine alten daten? wo liegen denn die Daten? in welchem Ordner? __________________ gruß, schrauber *Proud Member of UNITE and ASAP since 2009* Spenden Anleitungen und Hilfestellungen Trojaner-Board Facebook-Seite Keine Hilfestellung via PM!

nach GVU-Virus Windows neu aufgespielt - wie komme ich jetzt an meine alten daten?

Log-Analyse und Auswertung: nach GVU-Virus Windows neu aufgespielt - wie komme ich jetzt an meine alten daten?