Schaden durch Kido.IX reparierbar?: Bilder sind weg
 

Liebes Trojaner-Board,
ich brauche Hilfe.
Mein Problem: Nach dem Wirken von Kido/Conficker.B fehlen mir Daten: Bild-Dateien wie jpgs und bmps.

Ich habe vor kurzem mit einer neuen Backup-Software (Acronis) arbeiten wollen und dabei festgestellt, dass versteckte Dateien nicht mehr sichtbar zu machen sind. Dropper wurde gefunden.
Auf Anraten von Experten habe ich dann das System "platt gemacht und neu aufgesetzt", die Systempartition neu formatiert etc. Ein Rücksichern der Daten war nur teilweise möglich. Ich habe sowohl mit Acronis gesichert (leider nicht alles) als auch mit der XP-Sicherung. Aber schon in den 1:1 Kopien von Festplatte zu externer Fp fehlen die besagten Dateien. Allerdings nicht alle.

Da meine Sicherungen ziemlich groß sind, 30-40 GB, und Kido gerne verstecken zu spielen scheint, habe ich die Hoffnung, dass da irgendwo noch was wiederherzuholen ist. Gibt's da Möglichkeiten? Es handelt sich um Dokumentarfotos und Urlaubsbilder, die auf C: waren.

Zu den Pflichtpunkten:

CCleaner löscht trotz wiederholter Versuche nicht Fehler:
Ungenutzte Datei-Endungen {80b8c23c-16e0-4cd8-bbc3-cecec9a78b79} HKCR\{80b8c23c-16e0-4cd8-bbc3-cecec9a78b79}
Hat das was zu bedeuten?



Malwarebytes' Anti-Malware 1.41
Datenbank Version: 2852
Windows 5.1.2600 Service Pack 3

24.09.2009 00:44:21
mbam-log-2009-09-24 (00-44-21).txt

Scan-Methode: Vollständiger Scan (C:\|E:\|J:\|)
Durchsuchte Objekte: 236703
Laufzeit: 1 hour(s), 29 minute(s), 25 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)


!!!Während des Scannen durch Malware warnt Avira vor Kido auf E: und Dropper auf J: (beides ext. Fp)!!! Bin auf Zugriff verweigern gegangen. Malwarebytes hat nichts gefunden! Großes ?

log.txt ist zu lang für das Fenster. Was ist zu tun?

Hier ist

info.txt logfile of random's system information tool 1.06 2009-09-24 00:51:56

======Uninstall list======

-->C:\PROGRA~1\Yahoo!\Common\UNYT_W~1.EXE
-->C:\Programme\Ahead\nero\uninstall\UNNERO.exe /UNINSTALL
-->rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf
Acronis*True*Image*Home-->MsiExec.exe /X{37C8899D-FD70-481F-94AA-1F1B08765E22}
Adobe Flash Player 10 ActiveX-->C:\WINDOWS\system32\Macromed\Flash\uninstall_activeX.exe
Adobe Flash Player 10 Plugin-->C:\WINDOWS\system32\Macromed\Flash\uninstall_plugin.exe
Adobe Photoshop 5.0 Limited Edition-->C:\WINDOWS\UNIN0407.EXE -f"C:\Programme\Adobe\Photoshop 5.0 LE\DeIsL1.isu" -c"C:\Programme\Adobe\Photoshop 5.0 LE\Uninst.dll"
Adobe Reader 9.1 - Deutsch-->MsiExec.exe /I{AC76BA86-7AD7-1031-7B44-A91000000001}
ATI - Dienstprogramm zur Deinstallation der Software-->C:\Programme\ATI Technologies\UninstallAll\AtiCimUn.exe
ATI Display Driver-->rundll32 C:\WINDOWS\system32\atiiiexx.dll,_InfEngUnInstallINFFile_RunDLL@16 -force_restart -flags:0x2010001 -inf_class:DISPLAY -clean
ATI Parental Control & Encoder-->MsiExec.exe /I{36CDA33B-909B-4719-97D1-C4B99309BDC7}
Avira AntiVir Personal - Free Antivirus-->C:\Programme\Avira\AntiVir Desktop\setup.exe /REMOVE
AVIVO Codecs-->MsiExec.exe /X{C941F1F1-25B3-4DF5-83E6-888C51A1AAB6}
Canon MP Drivers 6.0-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{3FF3DD04-F386-46B0-97FC-B86238B65487}\Setup.exe" -l0x7 -Uninstall
Canon MP Navigator 1.0-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{109AB81D-9732-40B3-9C1F-113A86CE6F93}\setup.exe" /SUUninstall
Canon ScanGear Starter-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{18A5DFF2-8A95-49F3-873F-743CB5549F3D}\setup.exe" -l0x7 anything
CCleaner (remove only)-->"C:\Programme\CCleaner\uninst.exe"
HijackThis 2.0.2-->"C:\Programme\trend micro\HijackThis.exe" /uninstall
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB953595)-->C:\WINDOWS\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall /qb+ REBOOTPROMPT=""
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB958484)-->C:\WINDOWS\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall {A7EEA2F2-BFCD-4A54-A575-7B81A786E658} /qb+ REBOOTPROMPT=""
Hotfix for Windows Media Player 10 (KB903157)-->"C:\WINDOWS\$NtUninstallKB903157$\spuninst\spuninst.exe"
Hotfix für Windows XP (KB952287)-->"C:\WINDOWS\$NtUninstallKB952287$\spuninst\spuninst.exe"
Hotfix für Windows XP (KB961118)-->"C:\WINDOWS\$NtUninstallKB961118$\spuninst\spuninst.exe"
Hotfix für Windows XP (KB970653-v3)-->"C:\WINDOWS\$NtUninstallKB970653-v3$\spuninst\spuninst.exe"
J2SE Runtime Environment 5.0 Update 6-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0150060}
Java(TM) 6 Update 15-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216015FF}
Malwarebytes' Anti-Malware-->"C:\Programme\Malwarebytes' Anti-Malware\unins000.exe"
Media Add-Ons für Acronis True Image 2009-->MsiExec.exe /X{8B961557-75BB-4336-8167-90267ED34267}
Microsoft .NET Framework 1.1 German Language Pack-->MsiExec.exe /X{E78BFA60-5393-4C38-82AB-E8019E464EB4}
Microsoft .NET Framework 1.1 Hotfix (KB928366)-->"C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\Updates\hotfix.exe" "C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\Updates\M928366\M928366Uninstall.msp"
Microsoft .NET Framework 1.1-->msiexec.exe /X {CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}
Microsoft .NET Framework 1.1-->MsiExec.exe /X{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}
Microsoft .NET Framework 2.0 Service Pack 2-->MsiExec.exe /I{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}
Microsoft .NET Framework 3.0 Service Pack 2-->MsiExec.exe /I{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}
Microsoft .NET Framework 3.5 SP1-->C:\WINDOWS\Microsoft.NET\Framework\v3.5\Microsoft .NET Framework 3.5 SP1\setup.exe
Microsoft .NET Framework 3.5 SP1-->MsiExec.exe /I{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}
Microsoft Office 2000 SR-1 Disc 2-->MsiExec.exe /I{00040407-78E1-11D2-B60F-006097C998E7}
Microsoft Office 2000 SR-1 Professional-->MsiExec.exe /I{00010407-78E1-11D2-B60F-006097C998E7}
Microsoft Visual C++ 2008 ATL Update kb973924 - x86 9.0.30729.4148-->MsiExec.exe /X{002D9D5E-29BA-3E6D-9BC4-3D7D6DBC735C}
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17-->MsiExec.exe /X{9A25302D-30C0-39D9-BD6F-21E6EC160475}
MSXML 6.0 Parser (KB933579)-->MsiExec.exe /I{0A869A65-8C94-4F7C-A5C7-972D3C8CED9E}
Nero Suite-->C:\Programme\Gemeinsame Dateien\Nero\Uninstall\Setupx.exe /uninstall ExtraUninstallID=""
ODBC-->C:\WINDOWS\IsUninst.exe -fC:\Programme\ODBC-DAO-RDO\ODBC\Uninst.isu -cC:\Programme\ODBC-DAO-RDO\ODBC\_UNODBC.DLL
OmniPage SE 2.0-->MsiExec.exe /I{79D5997E-BF79-48BB-8B41-9BE59C15C2D7}
Opera 10.00-->MsiExec.exe /X{2085F05D-24C5-4E27-B7B4-A51DE890FFC9}
Realtek High Definition Audio Driver-->RtlUpd.exe -r -m
Sicherheitsupdate für Windows Internet Explorer 8 (KB971961)-->"C:\WINDOWS\ie8updates\KB971961-IE8\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 8 (KB972260)-->"C:\WINDOWS\ie8updates\KB972260-IE8\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Media Player (KB952069)-->"C:\WINDOWS\$NtUninstallKB952069_WM9$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Media Player (KB968816)-->"C:\WINDOWS\$NtUninstallKB968816_WM9$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Media Player (KB973540)-->"C:\WINDOWS\$NtUninstallKB973540_WM9L$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB923561)-->"C:\WINDOWS\$NtUninstallKB923561$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB923789)-->C:\WINDOWS\system32\MacroMed\Flash\genuinst.exe C:\WINDOWS\system32\MacroMed\Flash\KB923789.inf
Sicherheitsupdate für Windows XP (KB938464-v2)-->"C:\WINDOWS\$NtUninstallKB938464-v2$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB941569)-->"C:\WINDOWS\$NtUninstallKB941569$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB946648)-->"C:\WINDOWS\$NtUninstallKB946648$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB950762)-->"C:\WINDOWS\$NtUninstallKB950762$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB950974)-->"C:\WINDOWS\$NtUninstallKB950974$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB951066)-->"C:\WINDOWS\$NtUninstallKB951066$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB951376-v2)-->"C:\WINDOWS\$NtUninstallKB951376-v2$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB951748)-->"C:\WINDOWS\$NtUninstallKB951748$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB952004)-->"C:\WINDOWS\$NtUninstallKB952004$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB952954)-->"C:\WINDOWS\$NtUninstallKB952954$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB954459)-->"C:\WINDOWS\$NtUninstallKB954459$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB954600)-->"C:\WINDOWS\$NtUninstallKB954600$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB955069)-->"C:\WINDOWS\$NtUninstallKB955069$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB956572)-->"C:\WINDOWS\$NtUninstallKB956572$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB956744)-->"C:\WINDOWS\$NtUninstallKB956744$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB956802)-->"C:\WINDOWS\$NtUninstallKB956802$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB956803)-->"C:\WINDOWS\$NtUninstallKB956803$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB956844)-->"C:\WINDOWS\$NtUninstallKB956844$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB957097)-->"C:\WINDOWS\$NtUninstallKB957097$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB958644)-->"C:\WINDOWS\$NtUninstallKB958644$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB958687)-->"C:\WINDOWS\$NtUninstallKB958687$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB959426)-->"C:\WINDOWS\$NtUninstallKB959426$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB960225)-->"C:\WINDOWS\$NtUninstallKB960225$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB960803)-->"C:\WINDOWS\$NtUninstallKB960803$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB960859)-->"C:\WINDOWS\$NtUninstallKB960859$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB961371-v2)-->"C:\WINDOWS\$NtUninstallKB961371-v2$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB961501)-->"C:\WINDOWS\$NtUninstallKB961501$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB968537)-->"C:\WINDOWS\$NtUninstallKB968537$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB970238)-->"C:\WINDOWS\$NtUninstallKB970238$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB971557)-->"C:\WINDOWS\$NtUninstallKB971557$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB971633)-->"C:\WINDOWS\$NtUninstallKB971633$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB971657)-->"C:\WINDOWS\$NtUninstallKB971657$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB971961)-->"C:\WINDOWS\$NtUninstallKB971961$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB972260)-->"C:\WINDOWS\$NtUninstallKB972260$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB973346)-->"C:\WINDOWS\$NtUninstallKB973346$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB973354)-->"C:\WINDOWS\$NtUninstallKB973354$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB973507)-->"C:\WINDOWS\$NtUninstallKB973507$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB973869)-->"C:\WINDOWS\$NtUninstallKB973869$\spuninst\spuninst.exe"
Skype web features-->MsiExec.exe /I{541DEAC0-5F3D-45E6-B7CB-94ECF3B96748}
Skype™ 4.1-->MsiExec.exe /X{D103C4BA-F905-437A-8049-DB24763BBE36}
Top25 Viewer-->C:\WINDOWS\IsUn0407.exe -f"C:\Programme\Top25 V1\Uninst.isu"
Update for Microsoft .NET Framework 3.5 SP1 (KB963707)-->C:\WINDOWS\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall {B2AE9C82-DC7B-3641-BFC8-87275C4F3607} /qb+ REBOOTPROMPT=""
Update für Windows Internet Explorer 8 (KB973874)-->"C:\WINDOWS\ie8updates\KB973874-IE8\spuninst\spuninst.exe"
Update für Windows Media Player 10 (KB913800)-->"C:\WINDOWS\$NtUninstallKB913800$\spuninst\spuninst.exe"
Update für Windows XP (KB951978)-->"C:\WINDOWS\$NtUninstallKB951978$\spuninst\spuninst.exe"
Update für Windows XP (KB967715)-->"C:\WINDOWS\$NtUninstallKB967715$\spuninst\spuninst.exe"
Update für Windows XP (KB968389)-->"C:\WINDOWS\$NtUninstallKB968389$\spuninst\spuninst.exe"
Update für Windows XP (KB973815)-->"C:\WINDOWS\$NtUninstallKB973815$\spuninst\spuninst.exe"
Update Rollup 2 für Windows XP Media Center Edition 2005-->C:\WINDOWS\$NtUninstallKB900325$\spuninst\spuninst.exe
Windows Imaging Component-->"C:\WINDOWS\$NtUninstallWIC$\spuninst\spuninst.exe"
Windows Internet Explorer 8-->"C:\WINDOWS\ie8\spuninst\spuninst.exe"
Windows Media Format Runtime-->"C:\Programme\Windows Media Player\wmsetsdk.exe" /UninstallAll
Windows XP Media Center Edition 2005 KB973768-->"C:\WINDOWS\$NtUninstallKB973768$\spuninst\spuninst.exe"
Windows XP Service Pack 3-->"C:\WINDOWS\$NtServicePackUninstall$\spuninst\spuninst.exe"
Yahoo! Toolbar-->C:\PROGRA~1\Yahoo!\Common\UNYT_W~1.EXE

======Security center information======

AV: AntiVir Desktop

======System event log======

Computer Name: SCALEO
Event Code: 1005
Message: Die IP-Adresse 192.168.178.20 für die Netzwerkkarte mit der Netzwerkadresse
0017316FF7B9 wird bereits
im Netzwerk verwendet. Es wird versucht, eine neue Adresse zu erhalten.

Record Number: 5
Source Name: Dhcp
Time Written: 20090918070808.000000+120
Event Type: Warnung
User:

Computer Name: SCALEO
Event Code: 6011
Message: Der NetBIOS-Name und DNS-Hostname dieses Computers wurden von MACHINENAME in SCALEO geändert.

Record Number: 4
Source Name: EventLog
Time Written: 20090918070800.000000+120
Event Type: Informationen
User:

Computer Name: MACHINENAME
Event Code: 2
Message: Bei der Überprüfung, ob \Device\Serial0 ein serieller Anschluss ist, wurde ein FIFO-Baustein entdeckt. Es wird der FIFO-Baustein verwendet.

Record Number: 3
Source Name: Serial
Time Written: 20090918013438.000000+120
Event Type: Informationen
User:

Computer Name: MACHINENAME
Event Code: 6005
Message: Der Ereignisprotokolldienst wurde gestartet.

Record Number: 2
Source Name: EventLog
Time Written: 20090918013419.000000+120
Event Type: Informationen
User:

Computer Name: MACHINENAME
Event Code: 6009
Message: Microsoft (R) Windows (R) 5.01. 2600 Service Pack 2 Multiprocessor Free.

Record Number: 1
Source Name: EventLog
Time Written: 20090918013419.000000+120
Event Type: Informationen
User:

=====Application event log=====

Computer Name: SCALEO
Event Code: 1000
Message: Die Leistungsindikatoren für den Dienst MSDTC (MSDTC) wurden geladen.
Die Daten enthalten die dem Dienst zugeordneten neuen Indexwerte.

Record Number: 5
Source Name: LoadPerf
Time Written: 20090918071254.000000+120
Event Type: Informationen
User:

Computer Name: SCALEO
Event Code: 1000
Message: Die Leistungsindikatoren für den Dienst TermService (Terminaldienste) wurden geladen.
Die Daten enthalten die dem Dienst zugeordneten neuen Indexwerte.

Record Number: 4
Source Name: LoadPerf
Time Written: 20090918071251.000000+120
Event Type: Informationen
User:

Computer Name: SCALEO
Event Code: 1000
Message: Die Leistungsindikatoren für den Dienst RemoteAccess (Routing und RAS) wurden geladen.
Die Daten enthalten die dem Dienst zugeordneten neuen Indexwerte.

Record Number: 3
Source Name: LoadPerf
Time Written: 20090918070830.000000+120
Event Type: Informationen
User:

Computer Name: SCALEO
Event Code: 1000
Message: Die Leistungsindikatoren für den Dienst PSched (PSched) wurden geladen.
Die Daten enthalten die dem Dienst zugeordneten neuen Indexwerte.

Record Number: 2
Source Name: LoadPerf
Time Written: 20090918070807.000000+120
Event Type: Informationen
User:

Computer Name: SCALEO
Event Code: 1000
Message: Die Leistungsindikatoren für den Dienst RSVP (QoS-RSVP) wurden geladen.
Die Daten enthalten die dem Dienst zugeordneten neuen Indexwerte.

Record Number: 1
Source Name: LoadPerf
Time Written: 20090918070806.000000+120
Event Type: Informationen
User:

======Environment variables======

"ComSpec"=%SystemRoot%\system32\cmd.exe
"Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem
"windir"=%SystemRoot%
"FP_NO_HOST_CHECK"=NO
"OS"=Windows_NT
"PROCESSOR_ARCHITECTURE"=x86
"PROCESSOR_LEVEL"=15
"PROCESSOR_IDENTIFIER"=x86 Family 15 Model 75 Stepping 2, AuthenticAMD
"PROCESSOR_REVISION"=4b02
"NUMBER_OF_PROCESSORS"=2
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP

-----------------EOF-----------------

Hallo & :hallo:

Was deine Frage bezgl. des Wertes betrifft:
Es gibt mehrere möglichkeiten Daten zu retten, doch sind die meisten Programme für Datenrettung kostenpflichtig. Aber eine 100%ige Chance wirklich alle Daten wieder zu finden besteht natürlich nie.
Du kannst natürlich wenn dir die Bilder wirklich viel wert sind - die kosten auf dich nehmen, doch sicher sein das wirklich alles wieder da ist kann man sich leider nie.

Moin und :dankeschoen: Angelwhite!

Aber, gibt's noch mehr Infos zur Datenrettung? Welche Programme sind am günstigsten (nicht billigsten) zur Datenrettung nach Kido?

Und: Was ist mit Kido auf E: und Dropper auf J: ? siehe unten/früher

Grüße
nie111

Hallo :)

Les Dir die Seiten bitte in Ruhe durch

Je mehr Schreib/Lesezugriffe auf der Festplatte, umso kleiner wird die Chance überhaupt noch Daten zu retten

Die besten Tricks für eine Datenrettung

Viel Glück
cad

Vielen Dank für den Hinweis auf die Seite!

Allerdings bewegt mich immer noch die Frage, wie weit mein System noch verseucht ist. Wenn die Festplatte virenfrei ist, dürfte es doch egal sein wie oft Schreib/Lesezugriffe erfolgen. Die Datenverluste sind in den Sicherungen auf den externen Festplatten.
Oder soll das jetzt bedeuten ich habe den Kido immer noch? Bin mit Avira, Heise-Browsercheck, Kidokiller, MS malecious software removal tool drüber. Was ist mit den besagten Funden auf E: und J:? Bin mit Avira, Heise-Browsercheck, Kidokiller, dem Bonner Test, MS malecious software removal tool drüber. Hab ich da was falsch gemacht?

Viele Grüße
nie111

Hallo :)

Ich bin davon ausgegangen, dass Dein System schon komplett bereinigt wurde und habe nur Deine Frage nach den verschiedenen Datenrettungsprogrammen beantwortet.

Den Thread sollte einer von den Plagegeister Spezialisten übernehmen

Gruß cad

Hallo,

1. Vergewissere dich das dir alle versteckten Datein und Ordner angezeigt werden.
2. Poste bitte ein HiJackThis Log.

Hallo und :hallo:

Kido ist ein fieses Zeug und so wie du vorgegangen bist, bist du ihn ganz sicher nicht los. Wenn ich mir so deine Softwareliste ansehe, dann begehst du sowieso einen grundsätzlichen Fehler. Ganz abgesehen von falsch durchgeführten Datensicherungen. Du hast dich mehrfach neu infiziert, deshalb greifen wir jetzt erstmal zum Holzhammer.

Solltest du noch irgendetwas mit dem Computer verbinden, wie Memorysticks, Speicherkarten, Digitalkameras, Handy, externe Laufwerke, ... dann stecke vor dem Scan alles an.

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

http://saved.im/mtm0nzyzmzd5/cofi.jpg

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

ciao, andreas

Hallo zusammen
und vielen Dank für die zwischendurch gegebenen Antworten. Bei mir ist vorhin gerade Papa-Wochenendeschluss gewesen.
Da der Virus erstmal restlos weg sein sollte, dazu das cofi-Protokoll. Beim Durchlauf fiel wohl nichts so besonderes auf. Es ging sehr flott, ca. 5 Min. Eine Windows-Datei kb913800.exe wurde gelöscht.

Bis später
nie111

ComboFix 09-09-25.01 - nie 27.09.2009 20:24.1.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.1022.421 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\nie\Desktop\cofi.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\kb913800.exe

.
((((((((((((((((((((((( Dateien erstellt von 2009-08-27 bis 2009-09-27 ))))))))))))))))))))))))))))))
.

2009-09-24 13:05 . 2009-09-24 13:05 -------- d-----w- c:\dokumente und einstellungen\nie\Anwendungsdaten\OpenOffice.org
2009-09-24 12:59 . 2009-09-24 12:59 -------- d-----w- c:\programme\JRE
2009-09-24 12:59 . 2009-09-24 12:59 -------- d-----w- c:\programme\OpenOffice.org 3
2009-09-23 22:51 . 2009-09-23 23:06 -------- d-----w- c:\programme\trend micro
2009-09-23 22:51 . 2009-09-23 22:51 -------- d-----w- C:\rsit
2009-09-23 21:07 . 2009-09-23 21:07 -------- d-----w- c:\dokumente und einstellungen\nie\Anwendungsdaten\Malwarebytes
2009-09-23 21:06 . 2009-09-10 12:54 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-09-23 21:06 . 2009-09-23 21:07 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2009-09-23 21:06 . 2009-09-23 21:06 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-09-23 21:06 . 2009-09-10 12:53 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-09-23 20:40 . 2009-09-23 20:40 -------- d-----w- c:\dokumente und einstellungen\nie\Anwendungsdaten\Yahoo!
2009-09-23 20:40 . 2009-09-23 20:40 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Yahoo! Companion
2009-09-23 20:40 . 2009-09-23 20:40 -------- d-----w- c:\programme\Yahoo!
2009-09-23 20:40 . 2009-09-23 20:40 -------- d-----w- c:\programme\CCleaner
2009-09-22 14:44 . 2009-09-22 14:44 -------- d-----w- c:\dokumente und einstellungen\nie\Lokale Einstellungen\Anwendungsdaten\WMTools Downloaded Files
2009-09-22 14:41 . 2009-09-22 14:41 -------- d-----w- c:\windows\system32\Lang
2009-09-22 14:39 . 2006-07-11 19:31 84096 ----a-r- c:\windows\system32\drivers\Rtnicxp.sys
2009-09-21 11:53 . 2009-09-21 11:53 -------- d-----w- C:\kk
2009-09-21 09:44 . 2009-09-21 09:44 -------- d-----w- C:\KPCMS
2009-09-21 09:44 . 1998-06-23 11:18 212480 ----a-w- c:\windows\system32\pcdlib32.dll
2009-09-21 09:44 . 1998-04-25 03:26 210944 ----a-w- c:\windows\system32\MSVCRT10.DLL
2009-09-21 09:44 . 1998-04-25 03:26 40129 ----a-w- c:\windows\iccsigs.dat
2009-09-21 09:44 . 1998-01-20 07:12 133120 ----a-w- c:\windows\sprof32.dll
2009-09-21 09:43 . 1998-06-05 09:42 197120 ----a-w- c:\windows\kpcp32.dll
2009-09-21 09:43 . 1998-04-25 03:26 58368 ----a-w- c:\windows\pfpick.dll
2009-09-21 09:43 . 1998-04-25 03:26 37376 ----a-w- c:\windows\kpsys32.dll
2009-09-21 09:43 . 1998-04-25 03:26 20992 ----a-w- c:\windows\icccodes.dll
2009-09-21 09:43 . 1998-04-25 03:26 132096 ----a-w- c:\windows\KPAPI32.DLL
2009-09-21 09:43 . 2009-09-21 09:43 -------- d-----w- c:\windows\system32\COLOR
2009-09-21 09:43 . 1997-08-15 11:20 299008 ----a-w- c:\windows\unin0407.exe
2009-09-21 09:40 . 2009-09-26 06:59 -------- d-----w- c:\dokumente und einstellungen\nie\Anwendungsdaten\Canon
2009-09-21 08:59 . 2009-09-21 08:59 -------- d-----w- c:\dokumente und einstellungen\nie\Lokale Einstellungen\Anwendungsdaten\Adobe
2009-09-21 08:57 . 2009-09-21 09:43 -------- d-----w- c:\programme\Gemeinsame Dateien\Adobe
2009-09-21 07:23 . 2008-10-16 12:06 268648 ----a-w- c:\windows\system32\mucltui.dll
2009-09-20 21:31 . 2009-09-20 21:31 -------- d-----w- c:\programme\Gemeinsame Dateien\Nero
2009-09-20 21:29 . 2004-07-09 07:43 364544 ------w- c:\windows\system32\TwnLib4.dll
2009-09-20 21:29 . 2000-06-26 09:45 106496 ----a-w- c:\windows\system32\TwnLib20.dll
2009-09-20 21:29 . 2004-07-26 15:16 471040 ------w- c:\windows\system32\ImagXRA7.dll
2009-09-20 21:29 . 2004-07-26 15:16 262144 ------w- c:\windows\system32\ImagXR7.dll
2009-09-20 21:29 . 2004-07-26 15:16 476320 ------w- c:\windows\system32\ImagXpr7.dll
2009-09-20 21:29 . 2004-07-26 15:16 1568768 ------w- c:\windows\system32\ImagX7.dll
2009-09-20 21:29 . 2001-07-09 09:50 155648 ----a-w- c:\windows\system32\NeroCheck.exe
2009-09-20 21:29 . 2009-09-20 21:29 -------- d-----w- c:\programme\Gemeinsame Dateien\Ahead
2009-09-20 21:29 . 2009-09-20 21:29 -------- d-----w- c:\programme\Ahead
2009-09-20 17:05 . 2009-09-20 17:05 -------- d-sh--w- c:\dokumente und einstellungen\nie\PrivacIE
2009-09-20 17:03 . 2009-09-20 17:03 -------- d-sh--w- c:\dokumente und einstellungen\NetworkService\IETldCache
2009-09-20 17:02 . 2009-09-20 17:02 -------- d-sh--w- c:\dokumente und einstellungen\nie\IETldCache
2009-09-20 17:01 . 2009-08-07 08:48 100352 -c----w- c:\windows\system32\dllcache\iecompat.dll
2009-09-20 17:01 . 2009-09-20 17:01 -------- d-----w- c:\windows\ie8updates
2009-09-20 17:00 . 2009-07-19 16:41 11067392 -c----w- c:\windows\system32\dllcache\ieframe.dll
2009-09-20 17:00 . 2009-07-03 16:55 12800 -c----w- c:\windows\system32\dllcache\xpshims.dll
2009-09-20 17:00 . 2009-07-03 16:55 594432 -c----w- c:\windows\system32\dllcache\msfeeds.dll
2009-09-20 17:00 . 2009-07-03 16:55 55296 -c----w- c:\windows\system32\dllcache\msfeedsbs.dll
2009-09-20 17:00 . 2009-07-03 16:55 1985536 -c----w- c:\windows\system32\dllcache\iertutil.dll
2009-09-20 17:00 . 2009-07-03 16:55 246272 -c----w- c:\windows\system32\dllcache\ieproxy.dll
2009-09-20 17:00 . 2009-09-20 17:00 -------- dc-h--w- c:\windows\ie8
2009-09-20 16:21 . 2009-09-20 17:02 -------- d-----w- c:\windows\system32\de-de
2009-09-20 16:21 . 2009-09-20 16:21 -------- d-----w- c:\windows\l2schemas
2009-09-20 16:21 . 2009-09-20 16:21 -------- d-----w- c:\windows\system32\de
2009-09-20 16:21 . 2009-09-20 16:21 -------- d-----w- c:\windows\system32\bits
2009-09-20 14:18 . 2009-09-20 14:18 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\SBT
2009-09-20 14:18 . 2009-09-20 15:42 -------- d-----w- c:\programme\Snapshot Viewer
2009-09-20 14:14 . 2009-09-20 21:11 -------- d-----w- c:\windows\ShellNew
2009-09-20 14:12 . 2009-09-20 14:12 -------- d-----w- c:\dokumente und einstellungen\nie\Anwendungsdaten\Microsoft Web Folders
2009-09-20 06:46 . 2009-09-24 22:08 -------- d-----w- C:\BJPrinter
2009-09-20 06:46 . 2004-08-16 20:00 7680 ----a-w- c:\windows\system32\CNMVS6z.DLL
2009-09-20 06:46 . 2004-08-16 20:00 116736 ----a-w- c:\windows\system32\CNMLM6z.DLL
2009-09-20 06:46 . 2008-04-13 18:45 15104 ----a-w- c:\windows\system32\drivers\usbscan.sys
2009-09-20 06:42 . 2009-09-20 06:42 -------- d-----w- c:\dokumente und einstellungen\nie\Anwendungsdaten\ScanSoft
2009-09-20 06:42 . 2009-09-20 06:42 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\SSScanWizard
2009-09-20 06:42 . 2009-09-20 06:42 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\SSScanAppDataDir
2009-09-20 06:42 . 2009-09-20 06:42 -------- d-----w- c:\programme\Gemeinsame Dateien\ScanSoft Shared
2009-09-20 06:42 . 2009-09-20 06:42 -------- d-----w- c:\programme\ScanSoft
2009-09-20 06:41 . 2004-07-09 05:31 81920 ----a-w- c:\windows\system32\CNCSIF60.DLL
2009-09-20 06:41 . 2004-07-09 05:31 110592 ----a-w- c:\windows\system32\CNCSDO60.DLL
2009-09-20 06:41 . 2004-07-09 05:31 77824 ----a-w- c:\windows\system32\CNCSCM60.DLL
2009-09-20 06:41 . 2004-07-09 05:31 81920 ----a-w- c:\windows\system32\CNCSTR60.DLL
2009-09-20 06:41 . 2004-07-09 05:31 98304 ----a-w- c:\windows\system32\CNCSUT60.DLL
2009-09-20 06:41 . 2002-05-24 03:04 389180 ----a-w- c:\windows\system32\UCS32P.DLL
2009-09-20 06:41 . 2004-07-09 05:33 49152 ----a-w- c:\windows\system32\cncisco.dll
2009-09-20 06:41 . 2004-07-09 05:25 69632 ----a-w- c:\windows\system32\CNCL750.DLL
2009-09-20 06:41 . 2004-07-09 05:25 561152 ----a-w- c:\windows\system32\CNCC750.DLL
2009-09-20 06:41 . 2004-07-09 05:24 90112 ----a-w- c:\windows\system32\CNCI750.DLL
2009-09-20 06:41 . 2009-09-20 06:41 -------- d-----w- C:\CanonMP
2009-09-20 06:39 . 2009-09-20 21:11 -------- d-----w- c:\windows\StartHtmico
2009-09-20 06:39 . 2009-09-20 21:11 -------- d-----w- c:\windows\MP780,750
2009-09-20 06:38 . 2009-09-20 06:44 -------- d-----w- c:\programme\Canon
2009-09-20 06:34 . 1997-08-25 11:55 1045776 ------w- c:\windows\system32\msjet35.dll
2009-09-20 06:34 . 1997-01-12 22:00 37136 ------w- c:\windows\system32\Msjint35.dll
2009-09-20 06:34 . 1996-12-02 16:44 251664 ------w- c:\windows\system32\msrd2x35.dll
2009-09-20 06:34 . 1997-08-25 11:55 407312 ------w- c:\windows\system32\msrepl35.dll
2009-09-20 06:34 . 1996-12-02 16:44 24336 ------w- c:\windows\system32\msjter35.dll
2009-09-20 06:34 . 1996-11-08 00:48 368912 ------w- c:\windows\system32\vbar332.dll
2009-09-20 06:34 . 2009-09-20 06:34 -------- d-----w- c:\programme\ODBC-DAO-RDO
2009-09-20 06:34 . 1996-12-04 22:00 77824 ------w- c:\windows\system32\Odbctl32.dll
2009-09-20 06:34 . 1998-01-23 10:22 304128 ----a-w- c:\windows\IsUninst.exe
2009-09-20 06:34 . 2009-09-20 06:34 -------- d-----w- c:\dokumente und einstellungen\nie\WINDOWS
2009-09-20 06:33 . 2009-09-20 06:49 -------- d-----w- c:\programme\Top25 V1
2009-09-20 06:33 . 1998-11-17 12:44 328704 ----a-w- c:\windows\IsUn0407.exe
2009-09-19 19:02 . 2009-09-23 15:52 -------- d-----w- C:\wiederherstellung
2009-09-19 18:26 . 2009-09-19 18:26 971168 ----a-w- c:\windows\system32\drivers\tdrpm140.sys
2009-09-19 18:26 . 2009-09-19 18:26 540000 ----a-w- c:\windows\system32\drivers\timntr.sys
2009-09-19 18:26 . 2009-09-19 18:26 44704 ----a-w- c:\windows\system32\drivers\tifsfilt.sys
2009-09-19 18:26 . 2009-09-19 18:26 134272 ----a-w- c:\windows\system32\drivers\snman380.sys
2009-09-19 18:26 . 2009-09-19 19:24 -------- d-----w- c:\programme\Acronis
2009-09-19 18:26 . 2009-09-19 18:26 -------- d-----w- c:\programme\Gemeinsame Dateien\Acronis
2009-09-19 18:05 . 2009-09-27 18:18 65800 ----a-w- c:\windows\system32\GDIPFONTCACHEV1.DAT
2009-09-19 16:52 . 2009-09-19 16:52 -------- d-----w- c:\windows\system32\XPSViewer
2009-09-19 16:52 . 2009-09-19 16:52 -------- d-----w- c:\programme\MSBuild
2009-09-19 16:52 . 2009-09-19 16:52 -------- d-----w- c:\programme\Reference Assemblies
2009-09-19 16:52 . 2008-07-06 12:06 89088 -c----w- c:\windows\system32\dllcache\filterpipelineprintproc.dll
2009-09-19 16:52 . 2008-07-06 12:06 117760 ------w- c:\windows\system32\prntvpt.dll
2009-09-19 16:52 . 2008-07-06 10:50 597504 -c----w- c:\windows\system32\dllcache\printfilterpipelinesvc.exe
2009-09-19 16:52 . 2008-07-06 12:06 575488 -c----w- c:\windows\system32\dllcache\xpsshhdr.dll
2009-09-19 16:52 . 2008-07-06 12:06 575488 ------w- c:\windows\system32\xpsshhdr.dll
2009-09-19 16:52 . 2008-07-06 12:06 1676288 -c----w- c:\windows\system32\dllcache\xpssvcs.dll
2009-09-19 16:52 . 2008-07-06 12:06 1676288 ------w- c:\windows\system32\xpssvcs.dll
2009-09-19 16:50 . 2009-09-19 16:50 -------- d-----w- c:\programme\MSXML 6.0
2009-09-18 17:20 . 2009-09-18 17:20 56 ---ha-w- c:\windows\system32\ezsidmv.dat
2009-09-18 17:20 . 2009-09-27 17:24 -------- d-----w- c:\dokumente und einstellungen\nie\Anwendungsdaten\skypePM
2009-09-18 17:19 . 2009-09-27 17:57 -------- d-----w- c:\dokumente und einstellungen\nie\Anwendungsdaten\Skype
2009-09-18 17:17 . 2009-09-18 17:17 -------- d-----w- c:\programme\Gemeinsame Dateien\Skype
2009-09-18 17:17 . 2009-09-18 17:17 -------- d-----r- c:\programme\Skype
2009-09-18 17:17 . 2009-09-18 17:17 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Skype
2009-09-18 10:31 . 2009-09-18 10:31 -------- d-----w- c:\dokumente und einstellungen\nie\Lokale Einstellungen\Anwendungsdaten\Opera

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-09-24 12:59 . 2009-09-18 05:20 -------- d-----w- c:\programme\Java
2009-09-22 14:45 . 2004-08-10 19:00 84478 ----a-w- c:\windows\system32\perfc007.dat
2009-09-22 14:45 . 2004-08-10 19:00 459096 ----a-w- c:\windows\system32\perfh007.dat
2009-09-20 14:17 . 2009-09-18 05:23 -------- d-----w- c:\programme\microsoft frontpage
2009-09-18 05:40 . 2009-09-18 05:40 136 ----a-w- c:\dokumente und einstellungen\nie\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat
2009-09-18 05:20 . 2009-09-18 05:20 -------- d-----w- c:\programme\Gemeinsame Dateien\Java
2009-09-18 05:15 . 2009-09-18 05:15 -------- d-----w- c:\programme\Online-Dienste
2009-09-18 05:14 . 2009-09-18 05:14 -------- d-----w- c:\programme\Gemeinsame Dateien\Dienste
2009-09-18 05:13 . 2009-09-18 05:13 21740 ----a-w- c:\windows\system32\emptyregdb.dat
2009-09-18 05:12 . 2009-09-18 05:12 -------- d-----w- c:\programme\Windows Plus
2009-09-17 23:35 . 2009-09-17 23:35 9388 ----a-w- c:\windows\system32\drivers\iaStor.PNF
2009-09-17 23:35 . 2009-09-17 23:35 7280 ----a-w- c:\windows\system32\drivers\viamraid.PNF
2009-09-17 23:35 . 2009-09-17 23:35 6984 ----a-w- c:\windows\system32\drivers\SiSRaid.PNF
2009-09-17 23:35 . 2009-09-17 23:35 63240 ----a-w- c:\windows\system32\drivers\Si3112r.PNF
2009-09-17 23:35 . 2009-09-17 23:35 20152 ----a-w- c:\windows\system32\drivers\INFCACHE.1
2009-09-17 23:35 . 2009-09-17 23:35 12432 ----a-w- c:\windows\system32\drivers\adpu320.PNF
2009-09-17 23:35 . 2009-09-17 23:35 12204 ----a-w- c:\windows\system32\drivers\nvraid.PNF
2009-09-17 23:35 . 2009-09-17 23:35 10828 ----a-w- c:\windows\system32\drivers\iaAHCI.PNF
2009-08-05 08:59 . 2004-08-10 19:00 206336 ----a-w- c:\windows\system32\mswebdvd.dll
2009-07-29 04:34 . 2004-08-10 19:00 81920 ----a-w- c:\windows\system32\fontsub.dll
2009-07-29 04:34 . 2004-08-10 19:00 119808 ----a-w- c:\windows\system32\t2embed.dll
2009-07-17 19:01 . 2004-08-10 19:00 58880 ----a-w- c:\windows\system32\atl.dll
2009-07-13 08:08 . 2004-08-10 19:00 286720 ----a-w- c:\windows\system32\wmpdxm.dll
2009-07-03 16:55 . 2004-08-10 19:00 915456 ----a-w- c:\windows\system32\wininet.dll
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Skype"="c:\programme\Skype\Phone\Skype.exe" [2009-09-02 25623336]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ehTray"="c:\windows\ehome\ehtray.exe" [2005-08-05 64512]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"OpwareSE2"="c:\programme\ScanSoft\OmniPageSE2.0\OpwareSE2.exe" [2003-05-08 49152]
"OPSE reminder"="c:\programme\ScanSoft\OmniPageSE2.0\EregGer\Ereg.exe" [2003-07-07 729088]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-27 35696]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-09-24 149280]
"RTHDCPL"="RTHDCPL.EXE" - c:\windows\RTHDCPL.EXE [2006-08-23 16050688]
"SkyTel"="SkyTel.EXE" - c:\windows\SkyTel.exe [2006-05-16 2879488]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\nie\Startmen�\Programme\Autostart\
OpenOffice.org 3.1.lnk - c:\programme\OpenOffice.org 3\program\quickstart.exe [2009-8-18 384000]

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk
backup=c:\windows\pss\Microsoft Office.lnkCommon Startup

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=

R0 snapman380;Acronis Snapshots Manager (Build 380);c:\windows\system32\drivers\snman380.sys [19.09.2009 20:26 134272]
R0 tdrpman140;Acronis Try&Decide and Restore Points filter (build 140);c:\windows\system32\drivers\tdrpm140.sys [19.09.2009 20:26 971168]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [18.09.2009 08:02 108289]

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}]
"c:\windows\system32\rundll32.exe" "c:\windows\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-09-27 20:26
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10c.exe,-101"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\Elevation]
"Enabled"=dword:00000001

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10c.exe"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}]
@Denied: (A 2) (Everyone)
@="IFlashBroker3"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(840)
c:\windows\system32\Ati2evxx.dll
.
Zeit der Fertigstellung: 2009-09-27 20:27
ComboFix-quarantined-files.txt 2009-09-27 18:27

Vor Suchlauf: 9 Verzeichnis(se), 254.944.428.032 Bytes frei
Nach Suchlauf: 12 Verzeichnis(se), 254.990.254.080 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Windows XP Media Center Edition" /noexecute=optin /fastdetect /usepmtimer

249 --- E O F --- 2009-09-21 07:50

Er ist tatsächlich komplett weg. Viele Entfernungsprogramme löschen nur die Dateien und lassen die ganzen Regeinträge stehen. :(

Bei dir sind nur einige gesperrte Regeinträge zu sehen. Script bastel ich dir, sobald die Scanner durch sind.

1.) Überprüfe den Rechner mit PrevXCSI. Poste ein Screenshot falls etwas gefunden werden sollte oder poste Namen und Pfade.

2.) Panda Active Scan

Folgende Seite führt dich durch die Installation: PandaActiveScan2.0 Installation

Drücke auf Jetzt Scannen!

Eine Registrierung ist nicht erforderlich!

Nachdem der Scan abgeschlossen ist drücke auf das Text-Icon Export und speichere das log auf dem Desktop.
Öffne die Datei ActiveScan.txt die sich nun auf deinem Desktop befindet und poste uns den Inhalt.

ciao, andreas

Hallo John.Doe,
danke für die Unterstützung. Ja, auf C: ist der Kido wohl weg. Hatte ich mit KK.exe und MS malicious software removal tool hingekriegt. Anschliessend bin ich mit CCleaner drüber. Siehe unten.
Aber im Recycler auf J: (ext. Festplatte) ist noch diese Dropper- jwgkvsq.vmx. Die kriege ich nicht weg. Hast Du eine Idee?

Ansonsten: Kann ich die externen Festplatten jetzt wieder anhängen und einschalten? (J: war gerad schon dran)?

Scans folgen gleich.

Waren denn die externen Laufwerke nicht angeschlossen als ComboFix lief? Deshalb habe ich das eigentlich gemacht. :(

Poste die genauen Pfade der Dateien.

ciao, andreas

Hallo andreas,
sorry das mit dem an- und abstecken hatte ich völlig missverstanden.

Die .vmx ist auf J:/recycler/S-5-3-... Avira findet sie, der xp-explorer nicht.

Prevx meldet, das System sei clean (bei angeschlossenem J:), Panda läuft noch.

Panda wird den finden, dann habe ich den genauen Pfad. Mit ComboFix und Script wird der dann gelöscht.

ciao, andreas

So, da kommt dann das Combofixprotokoll nach erneutem Suchlauf mit angeschlossener E: und J: und USBstick. Danach kam ich übrigens nicht mehr ins Netz, weder mit Opera noch IE: keine Verbindung. Musste neu starten.

Hat Combofix jetzt wirklich E und J gescannt? Hat Combofix einen Virus gefunden? Der Durchgang dauerte ungefähr 10 Minuten, Avira höätte wohl 3 Stunden gebraucht.
Panda starte ich gleich neu.

Grüße
niels


ComboFix 09-09-25.01 - nie 27.09.2009 22:41.2.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.1022.557 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\nie\Desktop\cofi.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
.

((((((((((((((((((((((( Dateien erstellt von 2009-08-27 bis 2009-09-27 ))))))))))))))))))))))))))))))
.

2009-09-27 20:07 . 2008-06-19 15:24 28544 ----a-w- c:\windows\system32\drivers\pavboot.sys
2009-09-27 20:07 . 2009-09-27 20:07 -------- d-----w- c:\programme\Panda Security
2009-09-27 20:07 . 2009-09-27 20:07 -------- d-----w- c:\windows\LastGood
2009-09-27 20:01 . 2009-09-27 20:01 27656 ----a-w- c:\windows\system32\drivers\pxsec.sys
2009-09-27 20:01 . 2009-09-27 20:01 22024 ----a-w- c:\windows\system32\drivers\pxscan.sys
2009-09-27 20:01 . 2009-09-27 20:01 -------- d-----w- c:\programme\Prevx
2009-09-27 20:00 . 2009-09-27 20:02 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\PrevxCSI
2009-09-27 18:20 . 2009-09-27 18:27 -------- d-----w- C:\cofi
2009-09-24 13:05 . 2009-09-24 13:05 -------- d-----w- c:\dokumente und einstellungen\nie\Anwendungsdaten\OpenOffice.org
2009-09-24 12:59 . 2009-09-24 12:59 -------- d-----w- c:\programme\JRE
2009-09-24 12:59 . 2009-09-24 12:59 -------- d-----w- c:\programme\OpenOffice.org 3
2009-09-23 22:51 . 2009-09-23 23:06 -------- d-----w- c:\programme\trend micro
2009-09-23 22:51 . 2009-09-23 22:51 -------- d-----w- C:\rsit
2009-09-23 21:07 . 2009-09-23 21:07 -------- d-----w- c:\dokumente und einstellungen\nie\Anwendungsdaten\Malwarebytes
2009-09-23 21:06 . 2009-09-10 12:54 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-09-23 21:06 . 2009-09-23 21:07 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2009-09-23 21:06 . 2009-09-23 21:06 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-09-23 21:06 . 2009-09-10 12:53 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-09-23 20:40 . 2009-09-27 20:05 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Yahoo! Companion
2009-09-23 20:40 . 2009-09-23 20:40 -------- d-----w- c:\dokumente und einstellungen\nie\Anwendungsdaten\Yahoo!
2009-09-23 20:40 . 2009-09-23 20:40 -------- d-----w- c:\programme\Yahoo!
2009-09-23 20:40 . 2009-09-23 20:40 -------- d-----w- c:\programme\CCleaner
2009-09-22 14:44 . 2009-09-22 14:44 -------- d-----w- c:\dokumente und einstellungen\nie\Lokale Einstellungen\Anwendungsdaten\WMTools Downloaded Files
2009-09-22 14:41 . 2009-09-22 14:41 -------- d-----w- c:\windows\system32\Lang
2009-09-22 14:39 . 2006-07-11 19:31 84096 ----a-r- c:\windows\system32\drivers\Rtnicxp.sys
2009-09-21 11:53 . 2009-09-21 11:53 -------- d-----w- C:\kk
2009-09-21 09:44 . 2009-09-21 09:44 -------- d-----w- C:\KPCMS
2009-09-21 09:44 . 1998-06-23 11:18 212480 ----a-w- c:\windows\system32\pcdlib32.dll
2009-09-21 09:44 . 1998-04-25 03:26 210944 ----a-w- c:\windows\system32\MSVCRT10.DLL
2009-09-21 09:44 . 1998-04-25 03:26 40129 ----a-w- c:\windows\iccsigs.dat
2009-09-21 09:44 . 1998-01-20 07:12 133120 ----a-w- c:\windows\sprof32.dll
2009-09-21 09:43 . 1998-06-05 09:42 197120 ----a-w- c:\windows\kpcp32.dll
2009-09-21 09:43 . 1998-04-25 03:26 58368 ----a-w- c:\windows\pfpick.dll
2009-09-21 09:43 . 1998-04-25 03:26 37376 ----a-w- c:\windows\kpsys32.dll
2009-09-21 09:43 . 1998-04-25 03:26 20992 ----a-w- c:\windows\icccodes.dll
2009-09-21 09:43 . 1998-04-25 03:26 132096 ----a-w- c:\windows\KPAPI32.DLL
2009-09-21 09:43 . 2009-09-21 09:43 -------- d-----w- c:\windows\system32\COLOR
2009-09-21 09:43 . 1997-08-15 11:20 299008 ----a-w- c:\windows\unin0407.exe
2009-09-21 09:40 . 2009-09-26 06:59 -------- d-----w- c:\dokumente und einstellungen\nie\Anwendungsdaten\Canon
2009-09-21 08:59 . 2009-09-21 08:59 -------- d-----w- c:\dokumente und einstellungen\nie\Lokale Einstellungen\Anwendungsdaten\Adobe
2009-09-21 08:57 . 2009-09-21 09:43 -------- d-----w- c:\programme\Gemeinsame Dateien\Adobe
2009-09-21 07:23 . 2008-10-16 12:06 268648 ----a-w- c:\windows\system32\mucltui.dll
2009-09-20 21:31 . 2009-09-20 21:31 -------- d-----w- c:\programme\Gemeinsame Dateien\Nero
2009-09-20 21:29 . 2004-07-09 07:43 364544 ------w- c:\windows\system32\TwnLib4.dll
2009-09-20 21:29 . 2000-06-26 09:45 106496 ----a-w- c:\windows\system32\TwnLib20.dll
2009-09-20 21:29 . 2004-07-26 15:16 471040 ------w- c:\windows\system32\ImagXRA7.dll
2009-09-20 21:29 . 2004-07-26 15:16 262144 ------w- c:\windows\system32\ImagXR7.dll
2009-09-20 21:29 . 2004-07-26 15:16 476320 ------w- c:\windows\system32\ImagXpr7.dll
2009-09-20 21:29 . 2004-07-26 15:16 1568768 ------w- c:\windows\system32\ImagX7.dll
2009-09-20 21:29 . 2001-07-09 09:50 155648 ----a-w- c:\windows\system32\NeroCheck.exe
2009-09-20 21:29 . 2009-09-20 21:29 -------- d-----w- c:\programme\Gemeinsame Dateien\Ahead
2009-09-20 21:29 . 2009-09-20 21:29 -------- d-----w- c:\programme\Ahead
2009-09-20 17:05 . 2009-09-20 17:05 -------- d-sh--w- c:\dokumente und einstellungen\nie\PrivacIE
2009-09-20 17:03 . 2009-09-20 17:03 -------- d-sh--w- c:\dokumente und einstellungen\NetworkService\IETldCache
2009-09-20 17:02 . 2009-09-20 17:02 -------- d-sh--w- c:\dokumente und einstellungen\nie\IETldCache
2009-09-20 17:01 . 2009-08-07 08:48 100352 -c----w- c:\windows\system32\dllcache\iecompat.dll
2009-09-20 17:01 . 2009-09-20 17:01 -------- d-----w- c:\windows\ie8updates
2009-09-20 17:00 . 2009-07-19 16:41 11067392 -c----w- c:\windows\system32\dllcache\ieframe.dll
2009-09-20 17:00 . 2009-07-03 16:55 12800 -c----w- c:\windows\system32\dllcache\xpshims.dll
2009-09-20 17:00 . 2009-07-03 16:55 594432 -c----w- c:\windows\system32\dllcache\msfeeds.dll
2009-09-20 17:00 . 2009-07-03 16:55 55296 -c----w- c:\windows\system32\dllcache\msfeedsbs.dll
2009-09-20 17:00 . 2009-07-03 16:55 1985536 -c----w- c:\windows\system32\dllcache\iertutil.dll
2009-09-20 17:00 . 2009-07-03 16:55 246272 -c----w- c:\windows\system32\dllcache\ieproxy.dll
2009-09-20 17:00 . 2009-09-20 17:00 -------- dc-h--w- c:\windows\ie8
2009-09-20 16:21 . 2009-09-20 17:02 -------- d-----w- c:\windows\system32\de-de
2009-09-20 16:21 . 2009-09-20 16:21 -------- d-----w- c:\windows\l2schemas
2009-09-20 16:21 . 2009-09-20 16:21 -------- d-----w- c:\windows\system32\de
2009-09-20 16:21 . 2009-09-20 16:21 -------- d-----w- c:\windows\system32\bits
2009-09-20 14:18 . 2009-09-20 14:18 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\SBT
2009-09-20 14:18 . 2009-09-20 15:42 -------- d-----w- c:\programme\Snapshot Viewer
2009-09-20 14:14 . 2009-09-20 21:11 -------- d-----w- c:\windows\ShellNew
2009-09-20 14:12 . 2009-09-20 14:12 -------- d-----w- c:\dokumente und einstellungen\nie\Anwendungsdaten\Microsoft Web Folders
2009-09-20 06:46 . 2009-09-24 22:08 -------- d-----w- C:\BJPrinter
2009-09-20 06:46 . 2004-08-16 20:00 7680 ----a-w- c:\windows\system32\CNMVS6z.DLL
2009-09-20 06:46 . 2004-08-16 20:00 116736 ----a-w- c:\windows\system32\CNMLM6z.DLL
2009-09-20 06:46 . 2008-04-13 18:45 15104 ----a-w- c:\windows\system32\drivers\usbscan.sys
2009-09-20 06:42 . 2009-09-20 06:42 -------- d-----w- c:\dokumente und einstellungen\nie\Anwendungsdaten\ScanSoft
2009-09-20 06:42 . 2009-09-20 06:42 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\SSScanWizard
2009-09-20 06:42 . 2009-09-20 06:42 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\SSScanAppDataDir
2009-09-20 06:42 . 2009-09-20 06:42 -------- d-----w- c:\programme\Gemeinsame Dateien\ScanSoft Shared
2009-09-20 06:42 . 2009-09-20 06:42 -------- d-----w- c:\programme\ScanSoft
2009-09-20 06:41 . 2004-07-09 05:31 81920 ----a-w- c:\windows\system32\CNCSIF60.DLL
2009-09-20 06:41 . 2004-07-09 05:31 110592 ----a-w- c:\windows\system32\CNCSDO60.DLL
2009-09-20 06:41 . 2004-07-09 05:31 77824 ----a-w- c:\windows\system32\CNCSCM60.DLL
2009-09-20 06:41 . 2004-07-09 05:31 81920 ----a-w- c:\windows\system32\CNCSTR60.DLL
2009-09-20 06:41 . 2004-07-09 05:31 98304 ----a-w- c:\windows\system32\CNCSUT60.DLL
2009-09-20 06:41 . 2002-05-24 03:04 389180 ----a-w- c:\windows\system32\UCS32P.DLL
2009-09-20 06:41 . 2004-07-09 05:33 49152 ----a-w- c:\windows\system32\cncisco.dll
2009-09-20 06:41 . 2004-07-09 05:25 69632 ----a-w- c:\windows\system32\CNCL750.DLL
2009-09-20 06:41 . 2004-07-09 05:25 561152 ----a-w- c:\windows\system32\CNCC750.DLL
2009-09-20 06:41 . 2004-07-09 05:24 90112 ----a-w- c:\windows\system32\CNCI750.DLL
2009-09-20 06:41 . 2009-09-20 06:41 -------- d-----w- C:\CanonMP
2009-09-20 06:39 . 2009-09-20 21:11 -------- d-----w- c:\windows\StartHtmico
2009-09-20 06:39 . 2009-09-20 21:11 -------- d-----w- c:\windows\MP780,750
2009-09-20 06:38 . 2009-09-20 06:44 -------- d-----w- c:\programme\Canon
2009-09-20 06:34 . 1997-08-25 11:55 1045776 ------w- c:\windows\system32\msjet35.dll
2009-09-20 06:34 . 1997-01-12 22:00 37136 ------w- c:\windows\system32\Msjint35.dll
2009-09-20 06:34 . 1996-12-02 16:44 251664 ------w- c:\windows\system32\msrd2x35.dll
2009-09-20 06:34 . 1997-08-25 11:55 407312 ------w- c:\windows\system32\msrepl35.dll
2009-09-20 06:34 . 1996-12-02 16:44 24336 ------w- c:\windows\system32\msjter35.dll
2009-09-20 06:34 . 1996-11-08 00:48 368912 ------w- c:\windows\system32\vbar332.dll
2009-09-20 06:34 . 2009-09-20 06:34 -------- d-----w- c:\programme\ODBC-DAO-RDO
2009-09-20 06:34 . 1996-12-04 22:00 77824 ------w- c:\windows\system32\Odbctl32.dll
2009-09-20 06:34 . 1998-01-23 10:22 304128 ----a-w- c:\windows\IsUninst.exe
2009-09-20 06:34 . 2009-09-20 06:34 -------- d-----w- c:\dokumente und einstellungen\nie\WINDOWS
2009-09-20 06:33 . 2009-09-20 06:49 -------- d-----w- c:\programme\Top25 V1
2009-09-20 06:33 . 1998-11-17 12:44 328704 ----a-w- c:\windows\IsUn0407.exe
2009-09-19 19:02 . 2009-09-23 15:52 -------- d-----w- C:\wiederherstellung
2009-09-19 18:26 . 2009-09-19 18:26 971168 ----a-w- c:\windows\system32\drivers\tdrpm140.sys
2009-09-19 18:26 . 2009-09-19 18:26 540000 ----a-w- c:\windows\system32\drivers\timntr.sys
2009-09-19 18:26 . 2009-09-19 18:26 44704 ----a-w- c:\windows\system32\drivers\tifsfilt.sys
2009-09-19 18:26 . 2009-09-19 18:26 134272 ----a-w- c:\windows\system32\drivers\snman380.sys
2009-09-19 18:26 . 2009-09-19 19:24 -------- d-----w- c:\programme\Acronis
2009-09-19 18:26 . 2009-09-19 18:26 -------- d-----w- c:\programme\Gemeinsame Dateien\Acronis
2009-09-19 18:05 . 2009-09-27 18:18 65800 ----a-w- c:\windows\system32\GDIPFONTCACHEV1.DAT
2009-09-19 16:52 . 2009-09-19 16:52 -------- d-----w- c:\windows\system32\XPSViewer
2009-09-19 16:52 . 2009-09-19 16:52 -------- d-----w- c:\programme\MSBuild
2009-09-19 16:52 . 2009-09-19 16:52 -------- d-----w- c:\programme\Reference Assemblies
2009-09-19 16:52 . 2008-07-06 12:06 89088 -c----w- c:\windows\system32\dllcache\filterpipelineprintproc.dll
2009-09-19 16:52 . 2008-07-06 12:06 117760 ------w- c:\windows\system32\prntvpt.dll
2009-09-19 16:52 . 2008-07-06 10:50 597504 -c----w- c:\windows\system32\dllcache\printfilterpipelinesvc.exe
2009-09-19 16:52 . 2008-07-06 12:06 575488 -c----w- c:\windows\system32\dllcache\xpsshhdr.dll
2009-09-19 16:52 . 2008-07-06 12:06 575488 ------w- c:\windows\system32\xpsshhdr.dll
2009-09-19 16:52 . 2008-07-06 12:06 1676288 -c----w- c:\windows\system32\dllcache\xpssvcs.dll
2009-09-19 16:52 . 2008-07-06 12:06 1676288 ------w- c:\windows\system32\xpssvcs.dll

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-09-24 12:59 . 2009-09-18 05:20 -------- d-----w- c:\programme\Java
2009-09-22 14:45 . 2004-08-10 19:00 84478 ----a-w- c:\windows\system32\perfc007.dat
2009-09-22 14:45 . 2004-08-10 19:00 459096 ----a-w- c:\windows\system32\perfh007.dat
2009-09-20 14:17 . 2009-09-18 05:23 -------- d-----w- c:\programme\microsoft frontpage
2009-09-18 05:40 . 2009-09-18 05:40 136 ----a-w- c:\dokumente und einstellungen\nie\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat
2009-09-18 05:20 . 2009-09-18 05:20 -------- d-----w- c:\programme\Gemeinsame Dateien\Java
2009-09-18 05:15 . 2009-09-18 05:15 -------- d-----w- c:\programme\Online-Dienste
2009-09-18 05:14 . 2009-09-18 05:14 -------- d-----w- c:\programme\Gemeinsame Dateien\Dienste
2009-09-18 05:13 . 2009-09-18 05:13 21740 ----a-w- c:\windows\system32\emptyregdb.dat
2009-09-18 05:12 . 2009-09-18 05:12 -------- d-----w- c:\programme\Windows Plus
2009-09-17 23:35 . 2009-09-17 23:35 9388 ----a-w- c:\windows\system32\drivers\iaStor.PNF
2009-09-17 23:35 . 2009-09-17 23:35 7280 ----a-w- c:\windows\system32\drivers\viamraid.PNF
2009-09-17 23:35 . 2009-09-17 23:35 6984 ----a-w- c:\windows\system32\drivers\SiSRaid.PNF
2009-09-17 23:35 . 2009-09-17 23:35 63240 ----a-w- c:\windows\system32\drivers\Si3112r.PNF
2009-09-17 23:35 . 2009-09-17 23:35 20152 ----a-w- c:\windows\system32\drivers\INFCACHE.1
2009-09-17 23:35 . 2009-09-17 23:35 12432 ----a-w- c:\windows\system32\drivers\adpu320.PNF
2009-09-17 23:35 . 2009-09-17 23:35 12204 ----a-w- c:\windows\system32\drivers\nvraid.PNF
2009-09-17 23:35 . 2009-09-17 23:35 10828 ----a-w- c:\windows\system32\drivers\iaAHCI.PNF
2009-08-05 08:59 . 2004-08-10 19:00 206336 ----a-w- c:\windows\system32\mswebdvd.dll
2009-07-29 04:34 . 2004-08-10 19:00 81920 ----a-w- c:\windows\system32\fontsub.dll
2009-07-29 04:34 . 2004-08-10 19:00 119808 ----a-w- c:\windows\system32\t2embed.dll
2009-07-17 19:01 . 2004-08-10 19:00 58880 ----a-w- c:\windows\system32\atl.dll
2009-07-13 08:08 . 2004-08-10 19:00 286720 ----a-w- c:\windows\system32\wmpdxm.dll
2009-07-03 16:55 . 2004-08-10 19:00 915456 ------w- c:\windows\system32\wininet.dll
.

((((((((((((((((((((((((((((( SnapShot@2009-09-27_18.26.57 )))))))))))))))))))))))))))))))))))))))))
.
+ 2009-08-04 12:06 . 2009-08-04 12:06 132352 c:\windows\Downloaded Program Files\as2stubie.dll
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Skype"="c:\programme\Skype\Phone\Skype.exe" [2009-09-02 25623336]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ehTray"="c:\windows\ehome\ehtray.exe" [2005-08-05 64512]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"OpwareSE2"="c:\programme\ScanSoft\OmniPageSE2.0\OpwareSE2.exe" [2003-05-08 49152]
"OPSE reminder"="c:\programme\ScanSoft\OmniPageSE2.0\EregGer\Ereg.exe" [2003-07-07 729088]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-27 35696]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-09-24 149280]
"RTHDCPL"="RTHDCPL.EXE" - c:\windows\RTHDCPL.EXE [2006-08-23 16050688]
"SkyTel"="SkyTel.EXE" - c:\windows\SkyTel.exe [2006-05-16 2879488]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\nie\Startmen�\Programme\Autostart\
OpenOffice.org 3.1.lnk - c:\programme\OpenOffice.org 3\program\quickstart.exe [2009-8-18 384000]

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk
backup=c:\windows\pss\Microsoft Office.lnkCommon Startup

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=

R0 pxscan;pxscan;c:\windows\system32\drivers\pxscan.sys [27.09.2009 22:01 22024]
R0 pxsec;pxsec;c:\windows\system32\drivers\pxsec.sys [27.09.2009 22:01 27656]
R0 snapman380;Acronis Snapshots Manager (Build 380);c:\windows\system32\drivers\snman380.sys [19.09.2009 20:26 134272]
R0 tdrpman140;Acronis Try&Decide and Restore Points filter (build 140);c:\windows\system32\drivers\tdrpm140.sys [19.09.2009 20:26 971168]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [18.09.2009 08:02 108289]
R2 CSIScanner;CSIScanner;c:\programme\Prevx\prevx.exe [27.09.2009 22:01 4368952]

--- Andere Dienste/Treiber im Speicher ---

*NewlyCreated* - CSISCANNER
*NewlyCreated* - PXSCAN
*NewlyCreated* - PXSEC

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}]
"c:\windows\system32\rundll32.exe" "c:\windows\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-09-27 22:45
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10c.exe,-101"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\Elevation]
"Enabled"=dword:00000001

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10c.exe"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}]
@Denied: (A 2) (Everyone)
@="IFlashBroker3"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(840)
c:\windows\system32\Ati2evxx.dll

- - - - - - - > 'explorer.exe'(3340)
c:\programme\ScanSoft\OmniPageSE2.0\ophookSE2.dll
c:\programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll
c:\programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.DEU
c:\windows\system32\webcheck.dll
.
Zeit der Fertigstellung: 2009-09-27 22:46
ComboFix-quarantined-files.txt 2009-09-27 20:46
ComboFix2.txt 2009-09-27 18:27

Vor Suchlauf: 12 Verzeichnis(se), 254.863.994.880 Bytes frei
Nach Suchlauf: 13 Verzeichnis(se), 254.840.029.184 Bytes frei

255 --- E O F --- 2009-09-21 07:50

:eek: Was hast du denn gemacht? ComboFix sucht gar nicht nach Conficker, aber ComboFix ist mit Script in der Lage die Datei zu löschen, habe ich schon öfter gemacht. Nur dazu brauche ich den genauen Pfad.

ciao, andreas

also, ich meine, das nachgeholt zu haben, was du vorgeschlagen hattest. Oder? Vielleicht kam die fehlende Internetverbindung von Panda. Bei dessen Neubeginn ging diesmal gleich Avira auf und meldete verdächtigen Code: HEUR/HTML.Malware (in C: temporary internet files)

Grüsse
niels

Nein, das war ComboFix, der setzt die kompletten Interneteinstellungen zurück.
Wird wohl ein Fehlalarm sein.

ciao, andreas

Nach dem ersten Combofixlauf gab es keinen Verbindungsabbruch.

Panda ist übrigens nach einer halben Stunde bei 15%.

Grüsse
Niels

Wenn man extrapoliert, kommt man auf 4 Stunden. :)

ciao, andreas

Dachte mir schon sowas. Panda ist immer noch bei 15%, arbeitet aber. Also dann vielleicht bis morgen Abend.
Danke!
Niels

Hallo zusammen,
Hallo Andreas,

verstehe gerad die Welt nicht mehr. Panda und auch Avira finden diese Dropper-jwgkvsq.vmx in dem recycler auf J: nicht (mehr)! Wo ist sie hin? Hat sie sich selber gelöscht? Es war (ausnahmsweise gleichzeitig) alles eingesteckt und eingeschaltet: die beiden Festplatten, ein USB-Stick.
Beim letzten Scan hat Avira nicht mehr vor dem verdächtigen Code HEUR/HTML.Malware gewarnt.

Habe inzwischen auch eine ggf. nützliche Seite im Netz gefunden, die ich aber wohl nicht mehr brauche:
http://www.techiebubble.com/security/how-to-remove-the-jwgkvsqvmx-worm-virus/
Habe damit aber nicht gearbeitet! Vielleicht hat Avira nach jüngsten Updates doch den letzten Quarantäneverschub mit neuen Signaturen mit Erfolg geschafft.

Kann ich mich jetzt auf die Datenrettung konzentrieren?

Was war an der auf meinem Rechner installierten Software nicht so gut?

Viele Grüße und vielen Dank!!!:)

Hier dass Panda-log:

;***************************************************************************************************************************************************** ******************************
ANALYSIS: 2009-09-28 13:43:01
PROTECTIONS: 1
MALWARE: 2
SUSPECTS: 0
;***************************************************************************************************************************************************** ******************************
PROTECTIONS
Description Version Active Updated
;===================================================================================================================================================== ==============================
AntiVir Desktop 9.0.1.32 Yes Yes
;===================================================================================================================================================== ==============================
MALWARE
Id Description Type Active Severity Disinfectable Disinfected Location
;===================================================================================================================================================== ==============================
00139061 Cookie/Doubleclick TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\nie\Cookies\nie@doubleclick[1].txt
02980348 W32/Tearec.A.worm!CME-24 Virus/Worm No 1 Yes No E:\Opera\Opera950\MAIL\STORE\ACCOUNT2\2006-01.MBS[Attachments001.BHX][Atta[001],zip .SCR]
;===================================================================================================================================================== ==============================
SUSPECTS
Sent Location
;===================================================================================================================================================== ==============================
;===================================================================================================================================================== ==============================
VULNERABILITIES
Id Severity Description
;===================================================================================================================================================== ==============================
;===================================================================================================================================================== ==============================

Ja.
Z.T. veraltet z.T. unnütz.
Panda hat eine verseuchte Email gefunden. Falls du die Emails aus Januar 2006 nicht mehr brauchst, dann lösche die Datei
Deinstalliere Prevx und Panda Active Scan wieder.

Scripten mit Combofix

• Öffne den Editor (Start => Zubehör => Editor ) kopiere nun folgenden Text in das weiße Feld:

Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt

• Nun die Datei cfscript.txt auf das Sysmbol von Combofix ziehen!

http://users.pandora.be/bluepatchy/m...s/CFScript.gif

• Danach das Log von Combofix ohne zu Editieren posten. Nur wenn dein Vor- und Nachname ersichtlich ist, dann entferne ihn.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann.

ciao, andreas

OK, hab das alles gemacht, bis auf die cfscript.txt auf das cofi.exe-Ikon zu ziehen. Nur zum Verständnis: was passiert dann und wofür brauche ich das noch?

Damit werden die gesperrten Regeinträge wieder entsperrt und einige unnötige Autostarteinträge entfernt. Lass dich nicht vom KILLALL:: beeindrucken, das beendet nur alle laufenden Prozesse. ;)

BTW: Fullquotes sind üblicherweise nicht gerne gesehen.

ciao, andreas

Also, da ist dann mal das neue Protokoll. Bin schon gespannt. Was ist eigentlich mit diesem TrackingCookie, das Panda gefunden hat?

Grüsse
niels

ComboFix 09-09-27.05 - nie 28.09.2009 21:20.3.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.1022.667 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\nie\Desktop\cofi.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\nie\Desktop\cfscript.txt
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
.

((((((((((((((((((((((( Dateien erstellt von 2009-08-28 bis 2009-09-28 ))))))))))))))))))))))))))))))
.

2009-09-27 20:41 . 2009-09-27 20:46 -------- d-----w- C:\cofi10137c
2009-09-27 20:07 . 2009-09-28 18:56 -------- d-----w- c:\programme\Panda Security
2009-09-27 18:20 . 2009-09-27 18:27 -------- d-----w- C:\cofi
2009-09-24 13:05 . 2009-09-24 13:05 -------- d-----w- c:\dokumente und einstellungen\nie\Anwendungsdaten\OpenOffice.org
2009-09-24 12:59 . 2009-09-24 12:59 -------- d-----w- c:\programme\JRE
2009-09-24 12:59 . 2009-09-24 12:59 -------- d-----w- c:\programme\OpenOffice.org 3
2009-09-23 22:51 . 2009-09-23 23:06 -------- d-----w- c:\programme\trend micro
2009-09-23 22:51 . 2009-09-23 22:51 -------- d-----w- C:\rsit
2009-09-23 21:07 . 2009-09-23 21:07 -------- d-----w- c:\dokumente und einstellungen\nie\Anwendungsdaten\Malwarebytes
2009-09-23 21:06 . 2009-09-10 12:54 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-09-23 21:06 . 2009-09-23 21:07 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2009-09-23 21:06 . 2009-09-23 21:06 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-09-23 21:06 . 2009-09-10 12:53 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-09-23 20:40 . 2009-09-27 20:05 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Yahoo! Companion
2009-09-23 20:40 . 2009-09-23 20:40 -------- d-----w- c:\dokumente und einstellungen\nie\Anwendungsdaten\Yahoo!
2009-09-23 20:40 . 2009-09-23 20:40 -------- d-----w- c:\programme\Yahoo!
2009-09-23 20:40 . 2009-09-23 20:40 -------- d-----w- c:\programme\CCleaner
2009-09-22 14:44 . 2009-09-22 14:44 -------- d-----w- c:\dokumente und einstellungen\nie\Lokale Einstellungen\Anwendungsdaten\WMTools Downloaded Files
2009-09-22 14:41 . 2009-09-22 14:41 -------- d-----w- c:\windows\system32\Lang
2009-09-22 14:39 . 2006-07-11 19:31 84096 ----a-r- c:\windows\system32\drivers\Rtnicxp.sys
2009-09-21 11:53 . 2009-09-21 11:53 -------- d-----w- C:\kk
2009-09-21 09:44 . 2009-09-21 09:44 -------- d-----w- C:\KPCMS
2009-09-21 09:44 . 1998-06-23 11:18 212480 ----a-w- c:\windows\system32\pcdlib32.dll
2009-09-21 09:44 . 1998-04-25 03:26 210944 ----a-w- c:\windows\system32\MSVCRT10.DLL
2009-09-21 09:44 . 1998-04-25 03:26 40129 ----a-w- c:\windows\iccsigs.dat
2009-09-21 09:44 . 1998-01-20 07:12 133120 ----a-w- c:\windows\sprof32.dll
2009-09-21 09:43 . 1998-06-05 09:42 197120 ----a-w- c:\windows\kpcp32.dll
2009-09-21 09:43 . 1998-04-25 03:26 58368 ----a-w- c:\windows\pfpick.dll
2009-09-21 09:43 . 1998-04-25 03:26 37376 ----a-w- c:\windows\kpsys32.dll
2009-09-21 09:43 . 1998-04-25 03:26 20992 ----a-w- c:\windows\icccodes.dll
2009-09-21 09:43 . 1998-04-25 03:26 132096 ----a-w- c:\windows\KPAPI32.DLL
2009-09-21 09:43 . 2009-09-21 09:43 -------- d-----w- c:\windows\system32\COLOR
2009-09-21 09:43 . 1997-08-15 11:20 299008 ----a-w- c:\windows\unin0407.exe
2009-09-21 09:40 . 2009-09-26 06:59 -------- d-----w- c:\dokumente und einstellungen\nie\Anwendungsdaten\Canon
2009-09-21 08:59 . 2009-09-21 08:59 -------- d-----w- c:\dokumente und einstellungen\nie\Lokale Einstellungen\Anwendungsdaten\Adobe
2009-09-21 08:57 . 2009-09-21 09:43 -------- d-----w- c:\programme\Gemeinsame Dateien\Adobe
2009-09-21 07:23 . 2008-10-16 12:06 268648 ----a-w- c:\windows\system32\mucltui.dll
2009-09-20 21:31 . 2009-09-20 21:31 -------- d-----w- c:\programme\Gemeinsame Dateien\Nero
2009-09-20 21:29 . 2004-07-09 07:43 364544 ------w- c:\windows\system32\TwnLib4.dll
2009-09-20 21:29 . 2000-06-26 09:45 106496 ----a-w- c:\windows\system32\TwnLib20.dll
2009-09-20 21:29 . 2004-07-26 15:16 471040 ------w- c:\windows\system32\ImagXRA7.dll
2009-09-20 21:29 . 2004-07-26 15:16 262144 ------w- c:\windows\system32\ImagXR7.dll
2009-09-20 21:29 . 2004-07-26 15:16 476320 ------w- c:\windows\system32\ImagXpr7.dll
2009-09-20 21:29 . 2004-07-26 15:16 1568768 ------w- c:\windows\system32\ImagX7.dll
2009-09-20 21:29 . 2001-07-09 09:50 155648 ----a-w- c:\windows\system32\NeroCheck.exe
2009-09-20 21:29 . 2009-09-20 21:29 -------- d-----w- c:\programme\Gemeinsame Dateien\Ahead
2009-09-20 21:29 . 2009-09-20 21:29 -------- d-----w- c:\programme\Ahead
2009-09-20 17:05 . 2009-09-20 17:05 -------- d-sh--w- c:\dokumente und einstellungen\nie\PrivacIE
2009-09-20 17:03 . 2009-09-20 17:03 -------- d-sh--w- c:\dokumente und einstellungen\NetworkService\IETldCache
2009-09-20 17:02 . 2009-09-20 17:02 -------- d-sh--w- c:\dokumente und einstellungen\nie\IETldCache
2009-09-20 17:01 . 2009-08-07 08:48 100352 -c----w- c:\windows\system32\dllcache\iecompat.dll
2009-09-20 17:01 . 2009-09-20 17:01 -------- d-----w- c:\windows\ie8updates
2009-09-20 17:00 . 2009-07-19 16:41 11067392 -c----w- c:\windows\system32\dllcache\ieframe.dll
2009-09-20 17:00 . 2009-07-03 16:55 12800 -c----w- c:\windows\system32\dllcache\xpshims.dll
2009-09-20 17:00 . 2009-07-03 16:55 594432 -c----w- c:\windows\system32\dllcache\msfeeds.dll
2009-09-20 17:00 . 2009-07-03 16:55 55296 -c----w- c:\windows\system32\dllcache\msfeedsbs.dll
2009-09-20 17:00 . 2009-07-03 16:55 1985536 -c----w- c:\windows\system32\dllcache\iertutil.dll
2009-09-20 17:00 . 2009-07-03 16:55 246272 -c----w- c:\windows\system32\dllcache\ieproxy.dll
2009-09-20 17:00 . 2009-09-20 17:00 -------- dc-h--w- c:\windows\ie8
2009-09-20 16:21 . 2009-09-20 17:02 -------- d-----w- c:\windows\system32\de-de
2009-09-20 16:21 . 2009-09-20 16:21 -------- d-----w- c:\windows\l2schemas
2009-09-20 16:21 . 2009-09-20 16:21 -------- d-----w- c:\windows\system32\de
2009-09-20 16:21 . 2009-09-20 16:21 -------- d-----w- c:\windows\system32\bits
2009-09-20 14:18 . 2009-09-20 14:18 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\SBT
2009-09-20 14:18 . 2009-09-20 15:42 -------- d-----w- c:\programme\Snapshot Viewer
2009-09-20 14:14 . 2009-09-20 21:11 -------- d-----w- c:\windows\ShellNew
2009-09-20 14:12 . 2009-09-20 14:12 -------- d-----w- c:\dokumente und einstellungen\nie\Anwendungsdaten\Microsoft Web Folders
2009-09-20 06:46 . 2009-09-24 22:08 -------- d-----w- C:\BJPrinter
2009-09-20 06:46 . 2004-08-16 20:00 7680 ----a-w- c:\windows\system32\CNMVS6z.DLL
2009-09-20 06:46 . 2004-08-16 20:00 116736 ----a-w- c:\windows\system32\CNMLM6z.DLL
2009-09-20 06:46 . 2008-04-13 18:45 15104 ----a-w- c:\windows\system32\drivers\usbscan.sys
2009-09-20 06:42 . 2009-09-20 06:42 -------- d-----w- c:\dokumente und einstellungen\nie\Anwendungsdaten\ScanSoft
2009-09-20 06:42 . 2009-09-20 06:42 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\SSScanWizard
2009-09-20 06:42 . 2009-09-20 06:42 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\SSScanAppDataDir
2009-09-20 06:42 . 2009-09-20 06:42 -------- d-----w- c:\programme\Gemeinsame Dateien\ScanSoft Shared
2009-09-20 06:42 . 2009-09-20 06:42 -------- d-----w- c:\programme\ScanSoft
2009-09-20 06:41 . 2004-07-09 05:31 81920 ----a-w- c:\windows\system32\CNCSIF60.DLL
2009-09-20 06:41 . 2004-07-09 05:31 110592 ----a-w- c:\windows\system32\CNCSDO60.DLL
2009-09-20 06:41 . 2004-07-09 05:31 77824 ----a-w- c:\windows\system32\CNCSCM60.DLL
2009-09-20 06:41 . 2004-07-09 05:31 81920 ----a-w- c:\windows\system32\CNCSTR60.DLL
2009-09-20 06:41 . 2004-07-09 05:31 98304 ----a-w- c:\windows\system32\CNCSUT60.DLL
2009-09-20 06:41 . 2002-05-24 03:04 389180 ----a-w- c:\windows\system32\UCS32P.DLL
2009-09-20 06:41 . 2004-07-09 05:33 49152 ----a-w- c:\windows\system32\cncisco.dll
2009-09-20 06:41 . 2004-07-09 05:25 69632 ----a-w- c:\windows\system32\CNCL750.DLL
2009-09-20 06:41 . 2004-07-09 05:25 561152 ----a-w- c:\windows\system32\CNCC750.DLL
2009-09-20 06:41 . 2004-07-09 05:24 90112 ----a-w- c:\windows\system32\CNCI750.DLL
2009-09-20 06:41 . 2009-09-20 06:41 -------- d-----w- C:\CanonMP
2009-09-20 06:39 . 2009-09-20 21:11 -------- d-----w- c:\windows\StartHtmico
2009-09-20 06:39 . 2009-09-20 21:11 -------- d-----w- c:\windows\MP780,750
2009-09-20 06:38 . 2009-09-20 06:44 -------- d-----w- c:\programme\Canon
2009-09-20 06:34 . 1997-08-25 11:55 1045776 ------w- c:\windows\system32\msjet35.dll
2009-09-20 06:34 . 1997-01-12 22:00 37136 ------w- c:\windows\system32\Msjint35.dll
2009-09-20 06:34 . 1996-12-02 16:44 251664 ------w- c:\windows\system32\msrd2x35.dll
2009-09-20 06:34 . 1997-08-25 11:55 407312 ------w- c:\windows\system32\msrepl35.dll
2009-09-20 06:34 . 1996-12-02 16:44 24336 ------w- c:\windows\system32\msjter35.dll
2009-09-20 06:34 . 1996-11-08 00:48 368912 ------w- c:\windows\system32\vbar332.dll
2009-09-20 06:34 . 2009-09-20 06:34 -------- d-----w- c:\programme\ODBC-DAO-RDO
2009-09-20 06:34 . 1996-12-04 22:00 77824 ------w- c:\windows\system32\Odbctl32.dll
2009-09-20 06:34 . 1998-01-23 10:22 304128 ----a-w- c:\windows\IsUninst.exe
2009-09-20 06:34 . 2009-09-20 06:34 -------- d-----w- c:\dokumente und einstellungen\nie\WINDOWS
2009-09-20 06:33 . 2009-09-20 06:49 -------- d-----w- c:\programme\Top25 V1
2009-09-20 06:33 . 1998-11-17 12:44 328704 ----a-w- c:\windows\IsUn0407.exe
2009-09-19 19:02 . 2009-09-23 15:52 -------- d-----w- C:\wiederherstellung
2009-09-19 18:26 . 2009-09-19 18:26 971168 ----a-w- c:\windows\system32\drivers\tdrpm140.sys
2009-09-19 18:26 . 2009-09-19 18:26 540000 ----a-w- c:\windows\system32\drivers\timntr.sys
2009-09-19 18:26 . 2009-09-19 18:26 44704 ----a-w- c:\windows\system32\drivers\tifsfilt.sys
2009-09-19 18:26 . 2009-09-19 18:26 134272 ----a-w- c:\windows\system32\drivers\snman380.sys
2009-09-19 18:26 . 2009-09-19 19:24 -------- d-----w- c:\programme\Acronis
2009-09-19 18:26 . 2009-09-19 18:26 -------- d-----w- c:\programme\Gemeinsame Dateien\Acronis
2009-09-19 18:05 . 2009-09-27 18:18 65800 ----a-w- c:\windows\system32\GDIPFONTCACHEV1.DAT
2009-09-19 16:52 . 2009-09-19 16:52 -------- d-----w- c:\windows\system32\XPSViewer
2009-09-19 16:52 . 2009-09-19 16:52 -------- d-----w- c:\programme\MSBuild
2009-09-19 16:52 . 2009-09-19 16:52 -------- d-----w- c:\programme\Reference Assemblies
2009-09-19 16:52 . 2008-07-06 12:06 89088 -c----w- c:\windows\system32\dllcache\filterpipelineprintproc.dll
2009-09-19 16:52 . 2008-07-06 12:06 117760 ------w- c:\windows\system32\prntvpt.dll
2009-09-19 16:52 . 2008-07-06 10:50 597504 -c----w- c:\windows\system32\dllcache\printfilterpipelinesvc.exe
2009-09-19 16:52 . 2008-07-06 12:06 575488 -c----w- c:\windows\system32\dllcache\xpsshhdr.dll
2009-09-19 16:52 . 2008-07-06 12:06 575488 ------w- c:\windows\system32\xpsshhdr.dll
2009-09-19 16:52 . 2008-07-06 12:06 1676288 -c----w- c:\windows\system32\dllcache\xpssvcs.dll
2009-09-19 16:52 . 2008-07-06 12:06 1676288 ------w- c:\windows\system32\xpssvcs.dll
2009-09-19 16:50 . 2009-09-19 16:50 -------- d-----w- c:\programme\MSXML 6.0
2009-09-18 17:20 . 2009-09-18 17:20 56 ---ha-w- c:\windows\system32\ezsidmv.dat
2009-09-18 17:20 . 2009-09-28 14:04 -------- d-----w- c:\dokumente und einstellungen\nie\Anwendungsdaten\skypePM
2009-09-18 17:19 . 2009-09-28 19:13 -------- d-----w- c:\dokumente und einstellungen\nie\Anwendungsdaten\Skype
2009-09-18 17:17 . 2009-09-18 17:17 -------- d-----w- c:\programme\Gemeinsame Dateien\Skype

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-09-24 12:59 . 2009-09-18 05:20 -------- d-----w- c:\programme\Java
2009-09-22 14:45 . 2004-08-10 19:00 84478 ----a-w- c:\windows\system32\perfc007.dat
2009-09-22 14:45 . 2004-08-10 19:00 459096 ----a-w- c:\windows\system32\perfh007.dat
2009-09-20 14:17 . 2009-09-18 05:23 -------- d-----w- c:\programme\microsoft frontpage
2009-09-18 05:40 . 2009-09-18 05:40 136 ----a-w- c:\dokumente und einstellungen\nie\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat
2009-09-18 05:20 . 2009-09-18 05:20 -------- d-----w- c:\programme\Gemeinsame Dateien\Java
2009-09-18 05:15 . 2009-09-18 05:15 -------- d-----w- c:\programme\Online-Dienste
2009-09-18 05:14 . 2009-09-18 05:14 -------- d-----w- c:\programme\Gemeinsame Dateien\Dienste
2009-09-18 05:13 . 2009-09-18 05:13 21740 ----a-w- c:\windows\system32\emptyregdb.dat
2009-09-18 05:12 . 2009-09-18 05:12 -------- d-----w- c:\programme\Windows Plus
2009-09-17 23:35 . 2009-09-17 23:35 9388 ----a-w- c:\windows\system32\drivers\iaStor.PNF
2009-09-17 23:35 . 2009-09-17 23:35 7280 ----a-w- c:\windows\system32\drivers\viamraid.PNF
2009-09-17 23:35 . 2009-09-17 23:35 6984 ----a-w- c:\windows\system32\drivers\SiSRaid.PNF
2009-09-17 23:35 . 2009-09-17 23:35 63240 ----a-w- c:\windows\system32\drivers\Si3112r.PNF
2009-09-17 23:35 . 2009-09-17 23:35 20152 ----a-w- c:\windows\system32\drivers\INFCACHE.1
2009-09-17 23:35 . 2009-09-17 23:35 12432 ----a-w- c:\windows\system32\drivers\adpu320.PNF
2009-09-17 23:35 . 2009-09-17 23:35 12204 ----a-w- c:\windows\system32\drivers\nvraid.PNF
2009-09-17 23:35 . 2009-09-17 23:35 10828 ----a-w- c:\windows\system32\drivers\iaAHCI.PNF
2009-08-05 08:59 . 2004-08-10 19:00 206336 ----a-w- c:\windows\system32\mswebdvd.dll
2009-07-29 04:34 . 2004-08-10 19:00 81920 ----a-w- c:\windows\system32\fontsub.dll
2009-07-29 04:34 . 2004-08-10 19:00 119808 ----a-w- c:\windows\system32\t2embed.dll
2009-07-17 19:01 . 2004-08-10 19:00 58880 ----a-w- c:\windows\system32\atl.dll
2009-07-13 08:08 . 2004-08-10 19:00 286720 ----a-w- c:\windows\system32\wmpdxm.dll
2009-07-03 16:55 . 2004-08-10 19:00 915456 ------w- c:\windows\system32\wininet.dll
.

((((((((((((((((((((((((((((( SnapShot@2009-09-27_18.26.57 )))))))))))))))))))))))))))))))))))))))))
.
+ 2009-09-28 19:26 . 2009-09-28 19:26 16384 c:\windows\temp\Perflib_Perfdata_d5c.dat
+ 2009-09-28 19:25 . 2009-09-28 19:25 16384 c:\windows\temp\Perflib_Perfdata_6ac.dat
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Skype"="c:\programme\Skype\Phone\Skype.exe" [2009-09-02 25623336]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ehTray"="c:\windows\ehome\ehtray.exe" [2005-08-05 64512]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"OpwareSE2"="c:\programme\ScanSoft\OmniPageSE2.0\OpwareSE2.exe" [2003-05-08 49152]
"OPSE reminder"="c:\programme\ScanSoft\OmniPageSE2.0\EregGer\Ereg.exe" [2003-07-07 729088]
"RTHDCPL"="RTHDCPL.EXE" - c:\windows\RTHDCPL.EXE [2006-08-23 16050688]
"SkyTel"="SkyTel.EXE" - c:\windows\SkyTel.exe [2006-05-16 2879488]

c:\dokumente und einstellungen\nie\Startmen�\Programme\Autostart\
OpenOffice.org 3.1.lnk - c:\programme\OpenOffice.org 3\program\quickstart.exe [2009-8-18 384000]

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk
backup=c:\windows\pss\Microsoft Office.lnkCommon Startup

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=

R0 snapman380;Acronis Snapshots Manager (Build 380);c:\windows\system32\drivers\snman380.sys [19.09.2009 20:26 134272]
R0 tdrpman140;Acronis Try&Decide and Restore Points filter (build 140);c:\windows\system32\drivers\tdrpm140.sys [19.09.2009 20:26 971168]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [18.09.2009 08:02 108289]

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}]
"c:\windows\system32\rundll32.exe" "c:\windows\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-09-28 21:25
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(956)
c:\windows\system32\Ati2evxx.dll

- - - - - - - > 'explorer.exe'(1960)
c:\programme\ScanSoft\OmniPageSE2.0\ophookSE2.dll
c:\windows\system32\webcheck.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\ati2evxx.exe
c:\windows\system32\ati2evxx.exe
c:\programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
c:\programme\Avira\AntiVir Desktop\avguard.exe
c:\windows\ehome\ehrecvr.exe
c:\windows\ehome\ehSched.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\windows\ehome\mcrdsvc.exe
c:\windows\system32\dllhost.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\windows\ehome\ehmsas.exe
c:\programme\OpenOffice.org 3\program\soffice.exe
c:\programme\OpenOffice.org 3\program\soffice.bin
c:\programme\Skype\Plugin Manager\skypePM.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-09-28 21:28 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2009-09-28 19:28
ComboFix2.txt 2009-09-27 20:46
ComboFix3.txt 2009-09-27 18:27

Vor Suchlauf: 13 Verzeichnis(se), 254.823.608.320 Bytes frei
Nach Suchlauf: 14 Verzeichnis(se), 255.205.777.408 Bytes frei

243 --- E O F --- 2009-09-21 07:50

Völlig harmlos, eine kleine Textdatei, die dein Surfverhalten protokolliert. Datenträgerbereinigung oder CCleaner reicht aus um die zu Löschen.

Log ist sauber.

Start => Ausführen => combofix /u => OK.

Es fehlt übrigens noch die Log.txt von RSIT.

Start => Ausführen => c:\rsit\log.txt => OK.

ciao, andreas

Auch das aktuelle log.txt ist zu lang. Passt nicht in euer Antwortfeld.
Übrigens habe ich gerade bemerkt, dass der wmm-moviemaker nicht mehr funktioniert.

Verteile es auf mehrere Posts oder packe es in den Anhang oder lade es bei einem Filehoster hoch und poste hier den Link.
Die Regeinträge gehören zum Flashplayer, der hat mit dem Moviemaker eigentlich nichts zu tun. Deinstalliere den Moviemaker und installiere ihn neu.

ciao, andreas

ok, hier als Anhang.

Scheint ja nicht so einfach zu sein, das Deinstallieren von wmm. Wie geht's?

Damit => http://www.pcwelt.de/downloads/pcwel...all/index.html

Da hat jemand aber fleissig Updates installiert. :)

1.) Lösche im Ordner c:\windows alle Dateien mit der Endung .tmp.

2.) Starte HJT => Do a system scan only => Markiere:
=> Fix checked

3.) Start => Ausführen => cmd => OK
Wie geht es dem Rechner? Noch Auffälligkeiten oder Meldungen?

ciao, andreas

Na, da sind jetzt alle (!; dumm gelaufen) Häkchen vor den Windowskomponenten weg. Einen Extrahaken für wmm gab es aber eh nicht. Habe auch Zubehör und Dienstprogramme raus. Aber: wmm ist noch da, unter Start.

Edit kam zu spät. :(

Du brauchst ein Extraprogramm => pcwKillEmAll 0.1 Download - PC-WELT

Hier gibt es den Neuen => http://www.microsoft.com/downloads/d...d-42ab694e2b15

ciao, andreas

Unter C:/windows habe ich die tmps gelöscht. Da stehen noch viele blaue Ordner mit $ zu Beginn und Ende des namens. Rudimente von einem Installationsabbruch. Können die nicht auch weg?

Nein, da sind die Daten von den Windowsupdates gespeichert. Die dienen dazu die Windowsupdates wieder zu deinstallieren. Falls du die nicht brauchst, dann kannst du die alle gefahrlos löschen. Dann kannst du auch gleich alle .log-Dateien löschen. Nicht alle lassen sich löschen, der Rest kann weg.

ciao, andreas

Hallo andreas,

HJT hat 22 Einträge gelöscht, dann war der Ausflug zu cmd. Neustart.
Und es funktioniert, bislang keine Ausfälle. Der Rechner scheint noch flotter geworden zu sein. (Nervig war noch heute Morgen der fast vierstündige Avira scan.)

Ganz, ganz herzlichen Dank dir andreas ! Du hast dir mindestens ein Bier verdient! :party: :taenzer:

Genau das war das Ziel des Fixens.
Nur eins? :heulen:

Du bist entlassen. :)

ciao, andreas

Das Programm meint, ich solle schon mal die Setup-CD meines Systems bereit halten. Das ist nehme ich an die Betriebssystem Recovery CD/DVD, oder?

Dann kann man drüber sprechen. :daumenhoc
:party::party::party::party::party::party::party:

Ja.

ciao, andreas

Ne, der wollte jetzt die sp3-CD, (die ich nicht habe). Hab das ignoriert. Neustart. Im Start ist jetzt eine leere wmm-Verknüpfung.

Der hätte es auch getan => http://www.microsoft.com/downloads/d...displaylang=de
Die kannst du Löschen.

ciao, andreas

Tja, jetzt klappt die Neuinstallation von IE8 nicht.:sleepy:
Macht's noch Sinn, den sp3-download auf cd zu brennen?
:sleepy:

MS :( Fehlernummer?
Nein, der WMM ist doch schon längst deinstalliert.

ciao, andreas

Eine MS Fehlernr. gab es wohl nicht. IE8 tat so als würde er sich normal installieren. Tat er aber doch nicht. Merkwürdigerwesie gab es beim download von IE8 Fehler (Opera zeigt's an).
Silverlight lässt sich auch nicht installieren.
XP-Wiederherstellungsszeitpunkte habe ich von gestern Früh und heute Nacht (IE8-Inst.). Müsste ggf. den ganzen Tag gestern rückgängig machen, oder?
Vermute mal, das Löschen der restlichen Windowssystemkomponenten (Systemsteuerung/Software/ links) war nicht so toll.
Habe wohl mit dem Löschen des wmm das system wirklich arg in Mitleidenschaft gezogen. pcwkillemall wollte wohl die Systemcd (sp3) zum Reparieren. Hätte ich vielleicht doch brennen und einlegen sollen.

Grüsse
nie111

Naja, wenn du versuchst ein unvollständig/fehlerhaft geladenes Programm zu installieren, dann wundert mich das nicht. :D

Nochmal laden oder eine Downloadmanager wie FlashGet benutzen.
Ist ein Versuch wert.
Wobei ich mich immer noch ernsthaft frage, warum du das getan hast.
Ja, übertriebener Aktionismus und Nichteinhalten von Anleitungen kann böse Folgen haben. :)

ciao, andreas

Na, ich hab schon den Download wiederholt und eine vollständige Datei gestartet. Wie auch beim Silverdings. Dass Opera downloads abbricht kann ich nicht erinnern. ?


Das meiste aus Versehen, weil MS sich mal wieder nicht sinnhaft artikulieren kann. Den Rest weil mir jemand empfohlen hatte bei den Windowskomponenten den wmm zu löschen. Da dort kein spezieller Eintrag war, habe ich dann irgendwas von wegen Zubehör gelöscht in der Annahme da sei der wmm darunter.[/QUOTE]


Also, dann mache ich mal Systemwiederherstellung auf gesternfrüh. Xp-reparieren oder so ist nicht angesagt, oder?

Grüsse
nie111

Du meinst eine Reparaturinstallation? Nein, die ist nicht notwendig.

ciao, andreas

So, jetzt bin ich wieder fast auf dem Stand von gestern Abend: :kloppen:xp-wiederherstellung gestern Früh; :kloppen:Pnda und Prevx deinstt; :kloppen:cfscript.txt erstellt und auf cofi; :kloppen:mit HJT wie vor gefixt; :kloppen:cmd um JavaQuickstart zu killen.:kloppen:
War das so ok?

Bevor ich jetzt die pcwkillemall.exe laufen lasse: Was biete ich ihm nachher, wenn er die System-CD, also xp-SP3 wünscht? Habe die sp3.exe auf cd gebrannt inzwischen.
Oder lösche ich wmm besser anders?

Grüsse
nie111

:daumenhoc
Hast du die CD mit SP3 schon gebrannt? Dann die.
Du musst nicht unbedingt löschen. Du kannst die neue Version einfach drüberinstallieren.

ciao, andreas

Habe jetzt den download von wl installiert ohne wmm vorher zu deinstallieren. Ergebnis: wmm ist in alter Debilität da, in wl finde ich keinen moviemaker. wo steckt denn jetz der neue mm?

Kamen bei der Installation Meldungen?

Kontrolliere mit dem Windowsexplorer den Ordner c:\programme ob es dort einen Ordner mit entsprechendem Namen gibt.

ciao, andreas

Nur, dass man sich registrieren lassen könne / müsse für bestimmte Dienste.

Da gibt es diverse Live-Ordner, auch noch den mm-Ordner, der aber in der maroden Form läuft.
In Live ist doch nirgends ein Moviemaker?

Grüsse
nie111

Ich habe es gerade selbst getestet und war auch etwas verdutzt, dass statt des angekündigten Movie Maker das Livepaket ohne Movie Maker kam. Ich suche einen anderen Downloadlink.

ciao, andreas

Edit: Gefunden, das war nur eine zeitlich begrenzte Betaversion, die nicht mehr angeboten wird. :(

Edit2: Es gibt nur eine für Vista zum Laden. Das Einzige, dass mir jetzt noch einfällt, ist ein Reparaturinstallation. Ich weiß allerdings nicht, ob du dir das antun willst. Falls ja, dann arbeite diese Anleitung ab => http://www.trojaner-board.de/468106-post31.html

Tja, da steht nun:
Besitzer einer Recovery-CD befolgen NUR DIE ANLEITUNGEN ihrer RecoveryCD !!! NICHT WEITERLESEN !!!
Und sowas habe ich.:(
Außerdem kommt mein aktueller, debiler wmm aus dem sp3. :confused:

Grüsse
nie111

Hat er denn überhaupt schonmal funktioniert?

SP3 deinstallieren, SP3 installieren.

ciao, andreas

Ja, funktioniert hat er. Ich war inzwischen auch schon auf die Idee gekommen sp3 zu installieren; allerdings ohne sp3 vorher zu deinstallieren. Das Drüberinstallieren hat er ohne zu meckern gemacht. Der wmm ist allerdings nach wie vor defekt.
:crazy::crazy:

Unter Systemsteuerung/software findet sich zwar sp3, aber es ist nicht mal eben zu deinstallieren wie andere Programme. Wie geht's, falls noch nötig?

Grüsse
nie111

Hängt das Nichtfunktionieren des wmm mit Kido zusammen? Dann hätte ich noch zwei Ideen.

ciao, andreas

Bin mir nicht sicher. Ich meine es hängt nicht mit Kido zusammen, sondern mit den Bereinigungs- und Optimierungsmassnahmen. Bin mir da aber wirklich nicht mehr sicher. (Tendiere aber zu letzterem, ja).

Grüsse
nie111

Welche Bereinigungs- und Optimierungsmaßnahmen? Das sich schon haufenweise Leute mit "Optimierungstools" die Rechner zerschossen haben, ist mir nicht neu.

ciao, andreas

Habe nur die durchgeführt, die hier im board vorgeschlagen wurden, wenn ich mich recht erinnere; sorry.:juul:

Grüsse
nie111

PS. würd mich freuen, wenn's da noch ne Lösung gebe. Morgen vielleicht.

:confused: Kido war vor der Reinigung, wie nun? Kido schraubt an einigen Diensten herum oder war es ComboFix?

ComboFix erzeugt einen Wiederherstellungspunkt. Den könntest du aufrufen, würde mich aber schwer wundern, wenn danach der wmm läuft.

Gute Nacht, andreas

Hallo andreas,
wmm hin oder her; so wichtig ist's auch nicht. Früher oder später ist er eh wieder kaputt.
Werd mich jetzt mal an die Datenrettung machen.

Herzlichen Dank Dir und allen, die sich hier kümmern.

:dankeschoen::dankeschoen::dankeschoen::daumenhoc
niels

OK. Lade dir den Anhang auf deinen Desktop und speichere ihn unter dem Namen MachWech.inf => Mausklick rechts auf MachWech.inf => Installieren => Rechner neustarten

Damit werden einige Systemdienste wieder aktiviert, die von Kido deaktiviert wurden. Das wäre noch eine mögliche Fehlerquelle.

Du bist entlassen. :)

ciao, andreas

Hat bezüglich wmm nix gebracht. Der ist immer noch nicht in der Lage, die inzwischen selbst produzierten Clips wiederzugeben.

Bisher bin ich davon ausgegangen, dass es nicht gestartet werden kann. Jetzt liest sich das so, als wenn du Probleme mit Codecs hast. Beschreibe das Problem möglichst genau. Hast du ein kleines Clip, dass du bei einem Filehoster hochladen kannst? Schicke mir den Link als Private Nachricht.

ciao, andreas

Nach der Neuinstallation hat wmm funktioniert. Er hat ein wmv als ganzes importiert. Das konnte dann bearbeitet, geschnitten werden. Später dann fing er an, automatisch Clips zu erstellen. Die liessen sich dann nur teilweise, erratisch, abspielen, d.h. einige Clips sind gar nicht zu starten, manche doch.

Wenn du eine Datei importierst, dann musst du in der Dateidialogbox den Haken bei Clips für Videodateien erstellen entfernen. Dann hast du eine Datei, die sich auch abspielen lässt.

Die ganze Zeit an der falschen Stelle gesucht. :heulen:

ciao, andreas

Nö, das war's nicht. Nach dem ersten Schnitt ist der erste Teil zwar im wmm spielbar, der Rest aber nicht.

Was heißt nicht spielbar? Kommt eine Fehlermeldung oder passiert einfach nichts?

Menüzeile: Extras => Optionen => Karte: Kompatibilität

Ist dort etwas zu sehen, sind dort Haken gesetzt? Falls du das hinbekommst, dann erstelle davon ein Screenshot.

ciao, andreas

Da passiert nichts, egal ob Doppelklick auf clip oder Klick auf Play. Peng. Keine Fehlermeldung.

Bei Kompatibilität ist ein Eintrag, und der hat einen Haken: Video Renderer 6.5.2600.5822 ... quartz.dll

Lade dir => http://www.headbands.com/gspot/v26x/GSpot270a.zip

Entpacke und starte das Programm und ermittle Video- und Audio-Codec des Videos.

ciao, andreas

Tja, derdiedas GSpot ermittelt da wohl
0x0161 (WMA v2)
und
WMV3

Entferne den Haken bei quartz.dll und teste nochmal.

ciao, andreas

Bei Optionen / Kompatibilität scheint was merkwürdig. Vorhin war da nur renderer ... quartz.dll. Eben war ich da, um Haken vor quartz wegzumachen. Aber außer quartz waren da jetzt noch mehr einträge; in geschweiften Klammern ZahlenKombinationen. Hab dann versucht ob die Clips jetz laufen. Nein. Bin zurück: Gar überhaupt kein Eintrag mehr. Also auch kein Haken vor quartz, den ich entfernen könnte.
:confused:

Da bin ich jetzt überfragt. Da sollen die Leute vom Windowsforum wieder übernehmen, ein Schädlingsproblem ist es jedenfalls nicht.

ciao, andreas

Vielen Dank und Ciao!

edit2: würd mich für hilfe von der datenrettungsabteilung freuen.

:headbang:Hallo zusammen,
es ist nicht zu fassen, aber der Wurm ist wohl wieder da. Kriege die versteckten Dateien nicht angezeigt (Anwendungsdaten), Dateien suchen bringt kein Ergebnis und das Suchen stürzt ab, dauert lange.
Ich hab nichts gemacht. USB-Anschlüsse sind noch so gesteckt wie die letzten Tage. Externe Geräte angeschaltet wie bisher.
Es gab keinen Virenalarm.

Bin am Verzweifeln:headbang:

Grüße
nie111

Hm, was jetzt?

Schädling weg oder nicht?


Gruß cad

Kannst du dir bitte angewöhnen etwas korrekter zu formulieren. Ist das unter Optionen nicht einzustellen oder wird es unter Optionen nicht angezeigt oder siehst du einfach die Dateien nicht? Was meinst du mit Anwendungsdaten? Den Ordner?
Nach was suchst du denn überhaupt?
Und was hast du gemacht, bevor du nichts gemacht hast? :rolleyes:
Weil da keine sind.

Mache eine Quickscan mit Malwarebytes und poste hier das Ergebnis.

ciao, andreas

Ok, ich weiss echt nicht mehr, was hier läuft. Avira hat das System gescannt und nichts gefunden. Dauerte aber 3h40min. Malwarebytes' Quicksacn hat auch nichts gefunden. Unten das Protokoll.
Aber, die Rechnerleistung ist echt lahm, und von deiner Beschleunigung, andreas, ist nichts mehr da. Der Rechner hakelt.
Und wie gesagt, die versteckten Dateien lassen sich nicht sichtbar machen. Das sind wohl Symptome des Kido, soviel weiß ich inzwischen immerhin.

Wie bereits vor zwei Wochen bin ich auch diesmal durch das nicht mögliche Sichtbarmachen von Opera-Dateien auf das Problem gestoßen. Diese Dateien (Adressbücher, Emails, temporäre dateien) werden in dem standardmäßig versteckten, ausgeblendeten Ordner "Anwendungsdateien" abgelegt. Wenn ikch solche Sachen sichern will, muss ich an diesen Ordner.
Heute bekam ich eine email mit einem doc. Das habe ich aufgemacht und gleich überarbeitet und gespeichert. Ich habe aber nicht an einem neu gewählten Ort gespeichert, sondern bin einfach auf speichern, ohne mich zu kümmern, wo gespeichert wird. Dann wollte ich das überarbeitet doc wieder zurücksenden, musste aber erstmal suchen, wo es steckt. Suchfunktion nach xyzxyzxyz brachte kein Ergebnis! Dann nochmal die Originalmail aufgemacht, doc geöffnet und geschaut, wohin Opera standardmäßig die attachments speichert: eben in einen speziellen Ordner für temp.... im Ordner Anwendungsdaten. Die Suchfunktion hat nichts gefunden, und das Suchen ist abgestürzt: "keine Rückmeldung".
Gehe ich im xpexplorer auf "Extra" "Ordneroptionen" kann ich "alle Dateien anzeigen" aktivieren und übernehmen. Aber tatsächlich werden die versteckten dateien nicht sichtbar. Beim nächsten Wiederholungsversuch steht der Punkt wieder bei "versteckte Dateien ausblenden". Der explorer tut zwar so als würde er dem Wunsch folgen, versteckte Dateien sichtbar zu machen. Tatsächlich macht er's aber nicht.
Auch jetzt nicht.
Was ich sonst so gemacht habe? 'N paar Emails gelöscht, nichts Verdächtiges, Alltagskram. Wollte eigentlich den einen USB-Stick abziehen, aber der steckt noch. (vielleicht habe ich ihn kurzfristig abgezogen gehabt; ich weiß o gott o gott, wie kann es sein, adss er nicht weiß... Ein Unglück kommt selten allein. Dieses Rechnerproblem ist gerade nicht mein größtes.)

Grüße
nie111:heulen::heulen::heulen:


Malwarebytes' Anti-Malware 1.41
Datenbank Version: 2894
Windows 5.1.2600 Service Pack 3

02.10.2009 17:42:02
mbam-log-2009-10-02 (17-42-02).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 90890
Laufzeit: 3 minute(s), 50 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Es ist möglich, dass du dich wieder infiziert hast, dann hast du aber einen grundsätzlichen Fehler begangen.

http://www.trojaner-board.de/74908-a...t-scanner.html

ciao, andreas

Panda läuft gerade und hat nach 12% schon 4 infizierte Dateien.

Vergiss Panda. Zuerst Gmer, immer zuerst den Verursacher killen.

ciao, andreas

Edit: Ist das ein Netzwerk? Sind mehrere Rechner mit dem Router verbunden?

Rufe mit dem Browser diese Seite auf => http://www.confickerworkinggroup.org...feyechart.html

Was wird dir angezeigt?

Was bedeutet in der Gmer-Anleitung "ALLE Verbindungen trennen!"? Also ext. Festplatten auch ab? Kein DSL?

Damit ist das Internet und Netzwerk gemeint. Beachte oben mein Edit.

ciao, andreas

= Normal/Not Infected by Conficker (or using proxy)
Es handelt sich um einen Einzelrechner; gelegentlich ist ein Kinderrechner über WLANRooter dran.

Conficker verbreitet sich auch über das Netzwerk, aber danach sieht es bei dir nicht aus. Das muss etwas anderes sein. Das Gmer-Log wird das klären.

ciao, andreas

Und hier das Gmer-Prot über C, E, J:

GMER 1.0.15.15087 - http://www.gmer.net
Rootkit scan 2009-10-03 03:30:24
Windows 5.1.2600 Service Pack 3
Running: 0sphzcpe.exe; Driver: C:\DOKUME~1\nie\LOKALE~1\Temp\uxtdypod.sys


---- System - GMER 1.0.15 ----

SSDT B1751326 ZwCreateKey
SSDT B175131C ZwCreateThread
SSDT B175132B ZwDeleteKey
SSDT B1751335 ZwDeleteValueKey
SSDT B175133A ZwLoadKey
SSDT B1751308 ZwOpenProcess
SSDT B175130D ZwOpenThread
SSDT B1751344 ZwReplaceKey
SSDT B175133F ZwRestoreKey
SSDT B1751330 ZwSetValueKey
SSDT B1751317 ZwTerminateProcess

---- Devices - GMER 1.0.15 ----

AttachedDevice \FileSystem\Ntfs \Ntfs tdrpm140.sys (Acronis Try&Decide Volume Filter Driver/Acronis)
AttachedDevice \Driver\Ftdisk \Device\HarddiskVolume1 tdrpm140.sys (Acronis Try&Decide Volume Filter Driver/Acronis)
AttachedDevice \Driver\Ftdisk \Device\HarddiskVolume1 sr.sys (Dateisystemfilter-Treiber der Systemwiederherstellung/Microsoft Corporation)
AttachedDevice \Driver\Ftdisk \Device\HarddiskVolume1 snman380.sys (Acronis Snapshot API/Acronis)
AttachedDevice \Driver\Ftdisk \Device\HarddiskVolume2 tdrpm140.sys (Acronis Try&Decide Volume Filter Driver/Acronis)
AttachedDevice \Driver\Ftdisk \Device\HarddiskVolume2 sr.sys (Dateisystemfilter-Treiber der Systemwiederherstellung/Microsoft Corporation)
AttachedDevice \Driver\Ftdisk \Device\HarddiskVolume2 snman380.sys (Acronis Snapshot API/Acronis)
AttachedDevice \Driver\Ftdisk \Device\HarddiskVolume3 tdrpm140.sys (Acronis Try&Decide Volume Filter Driver/Acronis)
AttachedDevice \Driver\Ftdisk \Device\HarddiskVolume3 sr.sys (Dateisystemfilter-Treiber der Systemwiederherstellung/Microsoft Corporation)
AttachedDevice \Driver\Ftdisk \Device\HarddiskVolume3 snman380.sys (Acronis Snapshot API/Acronis)
AttachedDevice \FileSystem\Fastfat \Fat tdrpm140.sys (Acronis Try&Decide Volume Filter Driver/Acronis)

---- EOF - GMER 1.0.15 ----

Acronis? Warum spielst du nicht einfach ein sauberes Image zurück? Wir sind mittlerweile bei 91 Posts. Was soll das?

ciao, andreas

Weil die Images unvollständig oder kaputt sind, und vor allem weil ich hier immer noch einen Virus habe. Die versteckten Datein sind nach wie vor nicht einzublenden und Panda ist inzwischen bei 6 infizierten Dateien.

Dann poste das Log von Panda. Da bin ich jetzt aber richtig gespannt. :)

Quelle: Ein totes Pferd reiten

Ein totes Pferd reiten

Eine Weisheit der Dakota-Indianer besagt: „Wenn Du entdeckst, dass Du ein totes Pferd reitest, steig ab!”

Hört sich doch so simpel an, oder? Aber statt vom toten Pferd abzusteigen wurden in unserem beruflichen Leben viele Methoden und Strategien - zum Teil bis zur Perfektion - entwickelt, um dem Unausweichlichen doch ausweichen zu können. Kommt Dir die eine oder andere der folgenden Strategien vielleicht bekannt vor?

• Wir besorgen uns eine stärkere Peitsche.
• Wir sagen: „So haben wir das Pferd schon immer geritten”.
• Wir gründen einen Arbeitskreis, um das Pferd zu analysieren.
• Wir besuchen andere Orte, um zu sehen, wie man dort tote Pferde reitet.
• Wir erhöhen die Qualitätsstandards für den Beritt toter Pferde.
• Wir bilden eine Task-Force, um das Pferd wiederzubeleben.
• Wir kaufen Leute von außerhalb ein, die angeblich tote Pferde reiten können.
• Wir schieben eine Trainingseinheit ein um besser reiten zu können.
• Wir stellen Vergleiche unterschiedlicher toter Pferde an.
• Wir ändern die Kriterien, die besagen, dass ein Pferd tot ist.
• Wir schirren mehrere tote Pferde gemeinsam an, damit wir schneller werden.
• Wir erklären: „Kein Pferd kann so tot sein, das wir es nicht mehr reiten können.”
• Wir machen eine Studie, um zu sehen, ob es bessere oder billigere Pferde gibt.
• Wir erklären, dass unser Pferd besser, schneller und billiger tot ist als andere Pferde.
• Wir bilden einen Qualitätszirkel, um eine Verwendung von toten Pferden zu finden.
• Wir richten eine unabhängige Kostenstelle für tote Pferde ein.
• Wir vergrößern den Verantwortungsbereich für tote Pferde.
• Wir entwickeln ein Motivationsprogramm für tote Pferde.
• Wir erstellen eine Präsentation in der wir aufzeigen, was das Pferd könnte, wenn es noch leben würde.
• Wir strukturieren um damit ein anderer Bereich das tote Pferd bekommt.

ciao, andreas

log ist gerad fertig:

;***************************************************************************************************************************************************** ******************************
ANALYSIS: 2009-10-03 15:48:41
PROTECTIONS: 1
MALWARE: 5
SUSPECTS: 0
;***************************************************************************************************************************************************** ******************************
PROTECTIONS
Description Version Active Updated
;===================================================================================================================================================== ==============================
AntiVir Desktop 9.0.1.32 Yes Yes
;===================================================================================================================================================== ==============================
MALWARE
Id Description Type Active Severity Disinfectable Disinfected Location
;===================================================================================================================================================== ==============================
00139061 Cookie/Doubleclick TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\nie\Cookies\nie@doubleclick[1].txt
00139064 Cookie/Atlas DMT TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\nie\Cookies\nie@atdmt[2].txt
00168090 Cookie/Serving-sys TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\nie\Cookies\nie@serving-sys[2].txt
00168093 Cookie/Serving-sys TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\nie\Cookies\nie@bs.serving-sys[2].txt
02885963 Rootkit/Booto.C Virus/Worm No 0 Yes No C:\System Volume Information\_restore{09C5668F-5C6F-4DE4-97FD-9C0F7AFDD333}\RP55\A0012781.sys
02885963 Rootkit/Booto.C Virus/Worm No 0 Yes No C:\System Volume Information\_restore{09C5668F-5C6F-4DE4-97FD-9C0F7AFDD333}\RP46\A0010288.sys
;===================================================================================================================================================== ==============================
SUSPECTS
Sent Location
;===================================================================================================================================================== ==============================
;===================================================================================================================================================== ==============================
VULNERABILITIES
Id Severity Description
;===================================================================================================================================================== ==============================
;===================================================================================================================================================== ==============================

:eek: Oha, gleich 4 Cookies und 2 Funde in der Systemwiederherstellung, da ist nichts mehr zu retten => http://www.trojaner-board.de/51262-a...sicherung.html

Ich weiß jetzt nicht seit wann du rumdoktorst, dein erstes Post hier ist vom 24.9. Wenn du neuaufsetzt dann bist du in einem Tag fertig, selbst wenn du ungeübt bist. Was soll es also noch? :confused:

ciao, andreas

Habe vor ca . 2 Wochen bereits neuaufgesetzt. Der Virus ist trotzdem da. Wo sitzt er, wie verhindere ich, dass er wiederkommt?

Du hast durch dein eigenmächtiges Löschen alle Spuren verwischt, so dass ich die Frage gar nicht beantworten kann. Ich habe hier noch einen parallelen Kido/Confickerfall, dort haben wir den Verursacher gefunden, bei dir besteht da keine Chance.

Entgegen meiner Signatur haben wir das per PN geregelt. Es war eine neue Variante, die von kaum einen AVP erkannt wird, deshalb habe ich in dem Fall eine Ausnahme gemacht.

Der TO war einsichtig und wird den Fehler nicht wieder begehen (Stichwort: Cracks/Keygens/Patches). Lies einfach dort mit, wie so etwas erfolgreich bekämpft und verhindert werden kann.

Du bist entlassen. :)

ciao, andreas