Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Schaden durch Kido.IX reparierbar?: Bilder sind weg

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 23.09.2009, 23:51   #1
nie111
 
Schaden durch Kido.IX reparierbar?: Bilder sind weg - Standard

Schaden durch Kido.IX reparierbar?: Bilder sind weg



Liebes Trojaner-Board,
ich brauche Hilfe.
Mein Problem: Nach dem Wirken von Kido/Conficker.B fehlen mir Daten: Bild-Dateien wie jpgs und bmps.

Ich habe vor kurzem mit einer neuen Backup-Software (Acronis) arbeiten wollen und dabei festgestellt, dass versteckte Dateien nicht mehr sichtbar zu machen sind. Dropper wurde gefunden.
Auf Anraten von Experten habe ich dann das System "platt gemacht und neu aufgesetzt", die Systempartition neu formatiert etc. Ein Rücksichern der Daten war nur teilweise möglich. Ich habe sowohl mit Acronis gesichert (leider nicht alles) als auch mit der XP-Sicherung. Aber schon in den 1:1 Kopien von Festplatte zu externer Fp fehlen die besagten Dateien. Allerdings nicht alle.

Da meine Sicherungen ziemlich groß sind, 30-40 GB, und Kido gerne verstecken zu spielen scheint, habe ich die Hoffnung, dass da irgendwo noch was wiederherzuholen ist. Gibt's da Möglichkeiten? Es handelt sich um Dokumentarfotos und Urlaubsbilder, die auf C: waren.

Zu den Pflichtpunkten:

CCleaner löscht trotz wiederholter Versuche nicht Fehler:
Ungenutzte Datei-Endungen {80b8c23c-16e0-4cd8-bbc3-cecec9a78b79} HKCR\{80b8c23c-16e0-4cd8-bbc3-cecec9a78b79}
Hat das was zu bedeuten?



Malwarebytes' Anti-Malware 1.41
Datenbank Version: 2852
Windows 5.1.2600 Service Pack 3

24.09.2009 00:44:21
mbam-log-2009-09-24 (00-44-21).txt

Scan-Methode: Vollständiger Scan (C:\|E:\|J:\|)
Durchsuchte Objekte: 236703
Laufzeit: 1 hour(s), 29 minute(s), 25 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)


!!!Während des Scannen durch Malware warnt Avira vor Kido auf E: und Dropper auf J: (beides ext. Fp)!!! Bin auf Zugriff verweigern gegangen. Malwarebytes hat nichts gefunden! Großes ?

Geändert von nie111 (24.09.2009 um 00:03 Uhr)

Alt 24.09.2009, 00:06   #2
nie111
 
Schaden durch Kido.IX reparierbar?: Bilder sind weg - Standard

Schaden durch Kido.IX reparierbar?: Bilder sind weg



log.txt ist zu lang für das Fenster. Was ist zu tun?

Hier ist

info.txt logfile of random's system information tool 1.06 2009-09-24 00:51:56

======Uninstall list======

-->C:\PROGRA~1\Yahoo!\Common\UNYT_W~1.EXE
-->C:\Programme\Ahead\nero\uninstall\UNNERO.exe /UNINSTALL
-->rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf
Acronis*True*Image*Home-->MsiExec.exe /X{37C8899D-FD70-481F-94AA-1F1B08765E22}
Adobe Flash Player 10 ActiveX-->C:\WINDOWS\system32\Macromed\Flash\uninstall_activeX.exe
Adobe Flash Player 10 Plugin-->C:\WINDOWS\system32\Macromed\Flash\uninstall_plugin.exe
Adobe Photoshop 5.0 Limited Edition-->C:\WINDOWS\UNIN0407.EXE -f"C:\Programme\Adobe\Photoshop 5.0 LE\DeIsL1.isu" -c"C:\Programme\Adobe\Photoshop 5.0 LE\Uninst.dll"
Adobe Reader 9.1 - Deutsch-->MsiExec.exe /I{AC76BA86-7AD7-1031-7B44-A91000000001}
ATI - Dienstprogramm zur Deinstallation der Software-->C:\Programme\ATI Technologies\UninstallAll\AtiCimUn.exe
ATI Display Driver-->rundll32 C:\WINDOWS\system32\atiiiexx.dll,_InfEngUnInstallINFFile_RunDLL@16 -force_restart -flags:0x2010001 -inf_classISPLAY -clean
ATI Parental Control & Encoder-->MsiExec.exe /I{36CDA33B-909B-4719-97D1-C4B99309BDC7}
Avira AntiVir Personal - Free Antivirus-->C:\Programme\Avira\AntiVir Desktop\setup.exe /REMOVE
AVIVO Codecs-->MsiExec.exe /X{C941F1F1-25B3-4DF5-83E6-888C51A1AAB6}
Canon MP Drivers 6.0-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{3FF3DD04-F386-46B0-97FC-B86238B65487}\Setup.exe" -l0x7 -Uninstall
Canon MP Navigator 1.0-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{109AB81D-9732-40B3-9C1F-113A86CE6F93}\setup.exe" /SUUninstall
Canon ScanGear Starter-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{18A5DFF2-8A95-49F3-873F-743CB5549F3D}\setup.exe" -l0x7 anything
CCleaner (remove only)-->"C:\Programme\CCleaner\uninst.exe"
HijackThis 2.0.2-->"C:\Programme\trend micro\HijackThis.exe" /uninstall
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB953595)-->C:\WINDOWS\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall /qb+ REBOOTPROMPT=""
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB958484)-->C:\WINDOWS\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall {A7EEA2F2-BFCD-4A54-A575-7B81A786E658} /qb+ REBOOTPROMPT=""
Hotfix for Windows Media Player 10 (KB903157)-->"C:\WINDOWS\$NtUninstallKB903157$\spuninst\spuninst.exe"
Hotfix für Windows XP (KB952287)-->"C:\WINDOWS\$NtUninstallKB952287$\spuninst\spuninst.exe"
Hotfix für Windows XP (KB961118)-->"C:\WINDOWS\$NtUninstallKB961118$\spuninst\spuninst.exe"
Hotfix für Windows XP (KB970653-v3)-->"C:\WINDOWS\$NtUninstallKB970653-v3$\spuninst\spuninst.exe"
J2SE Runtime Environment 5.0 Update 6-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0150060}
Java(TM) 6 Update 15-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216015FF}
Malwarebytes' Anti-Malware-->"C:\Programme\Malwarebytes' Anti-Malware\unins000.exe"
Media Add-Ons für Acronis True Image 2009-->MsiExec.exe /X{8B961557-75BB-4336-8167-90267ED34267}
Microsoft .NET Framework 1.1 German Language Pack-->MsiExec.exe /X{E78BFA60-5393-4C38-82AB-E8019E464EB4}
Microsoft .NET Framework 1.1 Hotfix (KB928366)-->"C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\Updates\hotfix.exe" "C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\Updates\M928366\M928366Uninstall.msp"
Microsoft .NET Framework 1.1-->msiexec.exe /X {CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}
Microsoft .NET Framework 1.1-->MsiExec.exe /X{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}
Microsoft .NET Framework 2.0 Service Pack 2-->MsiExec.exe /I{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}
Microsoft .NET Framework 3.0 Service Pack 2-->MsiExec.exe /I{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}
Microsoft .NET Framework 3.5 SP1-->C:\WINDOWS\Microsoft.NET\Framework\v3.5\Microsoft .NET Framework 3.5 SP1\setup.exe
Microsoft .NET Framework 3.5 SP1-->MsiExec.exe /I{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}
Microsoft Office 2000 SR-1 Disc 2-->MsiExec.exe /I{00040407-78E1-11D2-B60F-006097C998E7}
Microsoft Office 2000 SR-1 Professional-->MsiExec.exe /I{00010407-78E1-11D2-B60F-006097C998E7}
Microsoft Visual C++ 2008 ATL Update kb973924 - x86 9.0.30729.4148-->MsiExec.exe /X{002D9D5E-29BA-3E6D-9BC4-3D7D6DBC735C}
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17-->MsiExec.exe /X{9A25302D-30C0-39D9-BD6F-21E6EC160475}
MSXML 6.0 Parser (KB933579)-->MsiExec.exe /I{0A869A65-8C94-4F7C-A5C7-972D3C8CED9E}
Nero Suite-->C:\Programme\Gemeinsame Dateien\Nero\Uninstall\Setupx.exe /uninstall ExtraUninstallID=""
ODBC-->C:\WINDOWS\IsUninst.exe -fC:\Programme\ODBC-DAO-RDO\ODBC\Uninst.isu -cC:\Programme\ODBC-DAO-RDO\ODBC\_UNODBC.DLL
OmniPage SE 2.0-->MsiExec.exe /I{79D5997E-BF79-48BB-8B41-9BE59C15C2D7}
Opera 10.00-->MsiExec.exe /X{2085F05D-24C5-4E27-B7B4-A51DE890FFC9}
Realtek High Definition Audio Driver-->RtlUpd.exe -r -m
Sicherheitsupdate für Windows Internet Explorer 8 (KB971961)-->"C:\WINDOWS\ie8updates\KB971961-IE8\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 8 (KB972260)-->"C:\WINDOWS\ie8updates\KB972260-IE8\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Media Player (KB952069)-->"C:\WINDOWS\$NtUninstallKB952069_WM9$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Media Player (KB968816)-->"C:\WINDOWS\$NtUninstallKB968816_WM9$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Media Player (KB973540)-->"C:\WINDOWS\$NtUninstallKB973540_WM9L$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB923561)-->"C:\WINDOWS\$NtUninstallKB923561$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB923789)-->C:\WINDOWS\system32\MacroMed\Flash\genuinst.exe C:\WINDOWS\system32\MacroMed\Flash\KB923789.inf
Sicherheitsupdate für Windows XP (KB938464-v2)-->"C:\WINDOWS\$NtUninstallKB938464-v2$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB941569)-->"C:\WINDOWS\$NtUninstallKB941569$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB946648)-->"C:\WINDOWS\$NtUninstallKB946648$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB950762)-->"C:\WINDOWS\$NtUninstallKB950762$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB950974)-->"C:\WINDOWS\$NtUninstallKB950974$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB951066)-->"C:\WINDOWS\$NtUninstallKB951066$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB951376-v2)-->"C:\WINDOWS\$NtUninstallKB951376-v2$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB951748)-->"C:\WINDOWS\$NtUninstallKB951748$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB952004)-->"C:\WINDOWS\$NtUninstallKB952004$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB952954)-->"C:\WINDOWS\$NtUninstallKB952954$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB954459)-->"C:\WINDOWS\$NtUninstallKB954459$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB954600)-->"C:\WINDOWS\$NtUninstallKB954600$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB955069)-->"C:\WINDOWS\$NtUninstallKB955069$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB956572)-->"C:\WINDOWS\$NtUninstallKB956572$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB956744)-->"C:\WINDOWS\$NtUninstallKB956744$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB956802)-->"C:\WINDOWS\$NtUninstallKB956802$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB956803)-->"C:\WINDOWS\$NtUninstallKB956803$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB956844)-->"C:\WINDOWS\$NtUninstallKB956844$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB957097)-->"C:\WINDOWS\$NtUninstallKB957097$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB958644)-->"C:\WINDOWS\$NtUninstallKB958644$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB958687)-->"C:\WINDOWS\$NtUninstallKB958687$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB959426)-->"C:\WINDOWS\$NtUninstallKB959426$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB960225)-->"C:\WINDOWS\$NtUninstallKB960225$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB960803)-->"C:\WINDOWS\$NtUninstallKB960803$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB960859)-->"C:\WINDOWS\$NtUninstallKB960859$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB961371-v2)-->"C:\WINDOWS\$NtUninstallKB961371-v2$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB961501)-->"C:\WINDOWS\$NtUninstallKB961501$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB968537)-->"C:\WINDOWS\$NtUninstallKB968537$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB970238)-->"C:\WINDOWS\$NtUninstallKB970238$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB971557)-->"C:\WINDOWS\$NtUninstallKB971557$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB971633)-->"C:\WINDOWS\$NtUninstallKB971633$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB971657)-->"C:\WINDOWS\$NtUninstallKB971657$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB971961)-->"C:\WINDOWS\$NtUninstallKB971961$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB972260)-->"C:\WINDOWS\$NtUninstallKB972260$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB973346)-->"C:\WINDOWS\$NtUninstallKB973346$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB973354)-->"C:\WINDOWS\$NtUninstallKB973354$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB973507)-->"C:\WINDOWS\$NtUninstallKB973507$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB973869)-->"C:\WINDOWS\$NtUninstallKB973869$\spuninst\spuninst.exe"
Skype web features-->MsiExec.exe /I{541DEAC0-5F3D-45E6-B7CB-94ECF3B96748}
Skype™ 4.1-->MsiExec.exe /X{D103C4BA-F905-437A-8049-DB24763BBE36}
Top25 Viewer-->C:\WINDOWS\IsUn0407.exe -f"C:\Programme\Top25 V1\Uninst.isu"
Update for Microsoft .NET Framework 3.5 SP1 (KB963707)-->C:\WINDOWS\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall {B2AE9C82-DC7B-3641-BFC8-87275C4F3607} /qb+ REBOOTPROMPT=""
Update für Windows Internet Explorer 8 (KB973874)-->"C:\WINDOWS\ie8updates\KB973874-IE8\spuninst\spuninst.exe"
Update für Windows Media Player 10 (KB913800)-->"C:\WINDOWS\$NtUninstallKB913800$\spuninst\spuninst.exe"
Update für Windows XP (KB951978)-->"C:\WINDOWS\$NtUninstallKB951978$\spuninst\spuninst.exe"
Update für Windows XP (KB967715)-->"C:\WINDOWS\$NtUninstallKB967715$\spuninst\spuninst.exe"
Update für Windows XP (KB968389)-->"C:\WINDOWS\$NtUninstallKB968389$\spuninst\spuninst.exe"
Update für Windows XP (KB973815)-->"C:\WINDOWS\$NtUninstallKB973815$\spuninst\spuninst.exe"
Update Rollup 2 für Windows XP Media Center Edition 2005-->C:\WINDOWS\$NtUninstallKB900325$\spuninst\spuninst.exe
Windows Imaging Component-->"C:\WINDOWS\$NtUninstallWIC$\spuninst\spuninst.exe"
Windows Internet Explorer 8-->"C:\WINDOWS\ie8\spuninst\spuninst.exe"
Windows Media Format Runtime-->"C:\Programme\Windows Media Player\wmsetsdk.exe" /UninstallAll
Windows XP Media Center Edition 2005 KB973768-->"C:\WINDOWS\$NtUninstallKB973768$\spuninst\spuninst.exe"
Windows XP Service Pack 3-->"C:\WINDOWS\$NtServicePackUninstall$\spuninst\spuninst.exe"
Yahoo! Toolbar-->C:\PROGRA~1\Yahoo!\Common\UNYT_W~1.EXE

======Security center information======

AV: AntiVir Desktop

======System event log======

Computer Name: SCALEO
Event Code: 1005
Message: Die IP-Adresse 192.168.178.20 für die Netzwerkkarte mit der Netzwerkadresse
0017316FF7B9 wird bereits
im Netzwerk verwendet. Es wird versucht, eine neue Adresse zu erhalten.

Record Number: 5
Source Name: Dhcp
Time Written: 20090918070808.000000+120
Event Type: Warnung
User:

Computer Name: SCALEO
Event Code: 6011
Message: Der NetBIOS-Name und DNS-Hostname dieses Computers wurden von MACHINENAME in SCALEO geändert.

Record Number: 4
Source Name: EventLog
Time Written: 20090918070800.000000+120
Event Type: Informationen
User:

Computer Name: MACHINENAME
Event Code: 2
Message: Bei der Überprüfung, ob \Device\Serial0 ein serieller Anschluss ist, wurde ein FIFO-Baustein entdeckt. Es wird der FIFO-Baustein verwendet.

Record Number: 3
Source Name: Serial
Time Written: 20090918013438.000000+120
Event Type: Informationen
User:

Computer Name: MACHINENAME
Event Code: 6005
Message: Der Ereignisprotokolldienst wurde gestartet.

Record Number: 2
Source Name: EventLog
Time Written: 20090918013419.000000+120
Event Type: Informationen
User:

Computer Name: MACHINENAME
Event Code: 6009
Message: Microsoft (R) Windows (R) 5.01. 2600 Service Pack 2 Multiprocessor Free.

Record Number: 1
Source Name: EventLog
Time Written: 20090918013419.000000+120
Event Type: Informationen
User:

=====Application event log=====

Computer Name: SCALEO
Event Code: 1000
Message: Die Leistungsindikatoren für den Dienst MSDTC (MSDTC) wurden geladen.
Die Daten enthalten die dem Dienst zugeordneten neuen Indexwerte.

Record Number: 5
Source Name: LoadPerf
Time Written: 20090918071254.000000+120
Event Type: Informationen
User:

Computer Name: SCALEO
Event Code: 1000
Message: Die Leistungsindikatoren für den Dienst TermService (Terminaldienste) wurden geladen.
Die Daten enthalten die dem Dienst zugeordneten neuen Indexwerte.

Record Number: 4
Source Name: LoadPerf
Time Written: 20090918071251.000000+120
Event Type: Informationen
User:

Computer Name: SCALEO
Event Code: 1000
Message: Die Leistungsindikatoren für den Dienst RemoteAccess (Routing und RAS) wurden geladen.
Die Daten enthalten die dem Dienst zugeordneten neuen Indexwerte.

Record Number: 3
Source Name: LoadPerf
Time Written: 20090918070830.000000+120
Event Type: Informationen
User:

Computer Name: SCALEO
Event Code: 1000
Message: Die Leistungsindikatoren für den Dienst PSched (PSched) wurden geladen.
Die Daten enthalten die dem Dienst zugeordneten neuen Indexwerte.

Record Number: 2
Source Name: LoadPerf
Time Written: 20090918070807.000000+120
Event Type: Informationen
User:

Computer Name: SCALEO
Event Code: 1000
Message: Die Leistungsindikatoren für den Dienst RSVP (QoS-RSVP) wurden geladen.
Die Daten enthalten die dem Dienst zugeordneten neuen Indexwerte.

Record Number: 1
Source Name: LoadPerf
Time Written: 20090918070806.000000+120
Event Type: Informationen
User:

======Environment variables======

"ComSpec"=%SystemRoot%\system32\cmd.exe
"Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem
"windir"=%SystemRoot%
"FP_NO_HOST_CHECK"=NO
"OS"=Windows_NT
"PROCESSOR_ARCHITECTURE"=x86
"PROCESSOR_LEVEL"=15
"PROCESSOR_IDENTIFIER"=x86 Family 15 Model 75 Stepping 2, AuthenticAMD
"PROCESSOR_REVISION"=4b02
"NUMBER_OF_PROCESSORS"=2
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP

-----------------EOF-----------------
__________________


Alt 24.09.2009, 11:14   #3
Angelwhite
 
Schaden durch Kido.IX reparierbar?: Bilder sind weg - Standard

Schaden durch Kido.IX reparierbar?: Bilder sind weg



Hallo &

Was deine Frage bezgl. des Wertes betrifft:
Zitat:
Ja, der Schlüssel HKEY_CLASSES_ROOT\{80b8c23c-16e0-4cd8-bbc3-cecec9a78b79} gehört zu AntiVir und er wird für programminterne Zwecke (sporadisch) genutzt und darf deshalb gar nicht gelöscht werden. Daß manch ein Systemwartungstool diesen als verzichtbar ansieht, ist ergo eine Fehleinschätzung der entsprechenden Tools. (Qulle: Avira Forum)
Es gibt mehrere möglichkeiten Daten zu retten, doch sind die meisten Programme für Datenrettung kostenpflichtig. Aber eine 100%ige Chance wirklich alle Daten wieder zu finden besteht natürlich nie.
Du kannst natürlich wenn dir die Bilder wirklich viel wert sind - die kosten auf dich nehmen, doch sicher sein das wirklich alles wieder da ist kann man sich leider nie.
__________________
__________________

Alt 24.09.2009, 14:26   #4
nie111
 
Schaden durch Kido.IX reparierbar?: Bilder sind weg - Standard

Schaden durch Kido.IX reparierbar?: Bilder sind weg



Moin und Angelwhite!

Aber, gibt's noch mehr Infos zur Datenrettung? Welche Programme sind am günstigsten (nicht billigsten) zur Datenrettung nach Kido?

Und: Was ist mit Kido auf E: und Dropper auf J: ? siehe unten/früher

Grüße
nie111

Alt 24.09.2009, 20:30   #5
cad
/// caddy ☀
 

Schaden durch Kido.IX reparierbar?: Bilder sind weg - Standard

Schaden durch Kido.IX reparierbar?: Bilder sind weg



Hallo

Les Dir die Seiten bitte in Ruhe durch

Je mehr Schreib/Lesezugriffe auf der Festplatte, umso kleiner wird die Chance überhaupt noch Daten zu retten

Die besten Tricks für eine Datenrettung

Viel Glück
cad

__________________
Investiere keine Zeit in Jemand oder eine Sache, für die/den du oder die für dich nur eine Option unter Vielen ist


Jede Hilfestellung erfolgt
ohne Gewähr und Haftung



Alt 24.09.2009, 22:22   #6
nie111
 
Schaden durch Kido.IX reparierbar?: Bilder sind weg - Standard

Schaden durch Kido.IX reparierbar?: Bilder sind weg



Zitat:
Zitat von cad Beitrag anzeigen
Hallo

Les Dir die Seiten bitte in Ruhe durch

Je mehr Schreib/Lesezugriffe auf der Festplatte, umso kleiner wird die Chance überhaupt noch Daten zu retten

Die besten Tricks für eine Datenrettung

Viel Glück
cad
Vielen Dank für den Hinweis auf die Seite!

Allerdings bewegt mich immer noch die Frage, wie weit mein System noch verseucht ist. Wenn die Festplatte virenfrei ist, dürfte es doch egal sein wie oft Schreib/Lesezugriffe erfolgen. Die Datenverluste sind in den Sicherungen auf den externen Festplatten.
Oder soll das jetzt bedeuten ich habe den Kido immer noch? Bin mit Avira, Heise-Browsercheck, Kidokiller, MS malecious software removal tool drüber. Was ist mit den besagten Funden auf E: und J:? Bin mit Avira, Heise-Browsercheck, Kidokiller, dem Bonner Test, MS malecious software removal tool drüber. Hab ich da was falsch gemacht?

Viele Grüße
nie111

Alt 25.09.2009, 13:14   #7
cad
/// caddy ☀
 

Schaden durch Kido.IX reparierbar?: Bilder sind weg - Standard

Schaden durch Kido.IX reparierbar?: Bilder sind weg



Hallo

Ich bin davon ausgegangen, dass Dein System schon komplett bereinigt wurde und habe nur Deine Frage nach den verschiedenen Datenrettungsprogrammen beantwortet.

Den Thread sollte einer von den Plagegeister Spezialisten übernehmen

Gruß cad
__________________
Investiere keine Zeit in Jemand oder eine Sache, für die/den du oder die für dich nur eine Option unter Vielen ist


Jede Hilfestellung erfolgt
ohne Gewähr und Haftung



Alt 25.09.2009, 13:54   #8
Angelwhite
 
Schaden durch Kido.IX reparierbar?: Bilder sind weg - Standard

Schaden durch Kido.IX reparierbar?: Bilder sind weg



Hallo,

1. Vergewissere dich das dir alle versteckten Datein und Ordner angezeigt werden.
2. Poste bitte ein HijackThis Log.
__________________
Klicke nie wenn du dir nicht den folgen bewusst bist

Alt 25.09.2009, 17:42   #9
john.doe
 
Schaden durch Kido.IX reparierbar?: Bilder sind weg - Standard

Schaden durch Kido.IX reparierbar?: Bilder sind weg



Hallo und

Kido ist ein fieses Zeug und so wie du vorgegangen bist, bist du ihn ganz sicher nicht los. Wenn ich mir so deine Softwareliste ansehe, dann begehst du sowieso einen grundsätzlichen Fehler. Ganz abgesehen von falsch durchgeführten Datensicherungen. Du hast dich mehrfach neu infiziert, deshalb greifen wir jetzt erstmal zum Holzhammer.

Solltest du noch irgendetwas mit dem Computer verbinden, wie Memorysticks, Speicherkarten, Digitalkameras, Handy, externe Laufwerke, ... dann stecke vor dem Scan alles an.

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.
  • Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.
  • Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
    Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
ciao, andreas
__________________
Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung!
Privatbetreuung nur gegen Bezahlung und ich koste sehr teuer.
Für alle Neuen
Anleitungen
Virenscanner
Kompromittierung unvermeidbar?

Alt 27.09.2009, 19:33   #10
nie111
 
Schaden durch Kido.IX reparierbar?: Bilder sind weg - Standard

Schaden durch Kido.IX reparierbar?: Bilder sind weg



Hallo zusammen
und vielen Dank für die zwischendurch gegebenen Antworten. Bei mir ist vorhin gerade Papa-Wochenendeschluss gewesen.
Da der Virus erstmal restlos weg sein sollte, dazu das cofi-Protokoll. Beim Durchlauf fiel wohl nichts so besonderes auf. Es ging sehr flott, ca. 5 Min. Eine Windows-Datei kb913800.exe wurde gelöscht.

Bis später
nie111

ComboFix 09-09-25.01 - nie 27.09.2009 20:24.1.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.1022.421 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\nie\Desktop\cofi.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\kb913800.exe

.
((((((((((((((((((((((( Dateien erstellt von 2009-08-27 bis 2009-09-27 ))))))))))))))))))))))))))))))
.

2009-09-24 13:05 . 2009-09-24 13:05 -------- d-----w- c:\dokumente und einstellungen\nie\Anwendungsdaten\OpenOffice.org
2009-09-24 12:59 . 2009-09-24 12:59 -------- d-----w- c:\programme\JRE
2009-09-24 12:59 . 2009-09-24 12:59 -------- d-----w- c:\programme\OpenOffice.org 3
2009-09-23 22:51 . 2009-09-23 23:06 -------- d-----w- c:\programme\trend micro
2009-09-23 22:51 . 2009-09-23 22:51 -------- d-----w- C:\rsit
2009-09-23 21:07 . 2009-09-23 21:07 -------- d-----w- c:\dokumente und einstellungen\nie\Anwendungsdaten\Malwarebytes
2009-09-23 21:06 . 2009-09-10 12:54 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-09-23 21:06 . 2009-09-23 21:07 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2009-09-23 21:06 . 2009-09-23 21:06 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-09-23 21:06 . 2009-09-10 12:53 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-09-23 20:40 . 2009-09-23 20:40 -------- d-----w- c:\dokumente und einstellungen\nie\Anwendungsdaten\Yahoo!
2009-09-23 20:40 . 2009-09-23 20:40 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Yahoo! Companion
2009-09-23 20:40 . 2009-09-23 20:40 -------- d-----w- c:\programme\Yahoo!
2009-09-23 20:40 . 2009-09-23 20:40 -------- d-----w- c:\programme\CCleaner
2009-09-22 14:44 . 2009-09-22 14:44 -------- d-----w- c:\dokumente und einstellungen\nie\Lokale Einstellungen\Anwendungsdaten\WMTools Downloaded Files
2009-09-22 14:41 . 2009-09-22 14:41 -------- d-----w- c:\windows\system32\Lang
2009-09-22 14:39 . 2006-07-11 19:31 84096 ----a-r- c:\windows\system32\drivers\Rtnicxp.sys
2009-09-21 11:53 . 2009-09-21 11:53 -------- d-----w- C:\kk
2009-09-21 09:44 . 2009-09-21 09:44 -------- d-----w- C:\KPCMS
2009-09-21 09:44 . 1998-06-23 11:18 212480 ----a-w- c:\windows\system32\pcdlib32.dll
2009-09-21 09:44 . 1998-04-25 03:26 210944 ----a-w- c:\windows\system32\MSVCRT10.DLL
2009-09-21 09:44 . 1998-04-25 03:26 40129 ----a-w- c:\windows\iccsigs.dat
2009-09-21 09:44 . 1998-01-20 07:12 133120 ----a-w- c:\windows\sprof32.dll
2009-09-21 09:43 . 1998-06-05 09:42 197120 ----a-w- c:\windows\kpcp32.dll
2009-09-21 09:43 . 1998-04-25 03:26 58368 ----a-w- c:\windows\pfpick.dll
2009-09-21 09:43 . 1998-04-25 03:26 37376 ----a-w- c:\windows\kpsys32.dll
2009-09-21 09:43 . 1998-04-25 03:26 20992 ----a-w- c:\windows\icccodes.dll
2009-09-21 09:43 . 1998-04-25 03:26 132096 ----a-w- c:\windows\KPAPI32.DLL
2009-09-21 09:43 . 2009-09-21 09:43 -------- d-----w- c:\windows\system32\COLOR
2009-09-21 09:43 . 1997-08-15 11:20 299008 ----a-w- c:\windows\unin0407.exe
2009-09-21 09:40 . 2009-09-26 06:59 -------- d-----w- c:\dokumente und einstellungen\nie\Anwendungsdaten\Canon
2009-09-21 08:59 . 2009-09-21 08:59 -------- d-----w- c:\dokumente und einstellungen\nie\Lokale Einstellungen\Anwendungsdaten\Adobe
2009-09-21 08:57 . 2009-09-21 09:43 -------- d-----w- c:\programme\Gemeinsame Dateien\Adobe
2009-09-21 07:23 . 2008-10-16 12:06 268648 ----a-w- c:\windows\system32\mucltui.dll
2009-09-20 21:31 . 2009-09-20 21:31 -------- d-----w- c:\programme\Gemeinsame Dateien\Nero
2009-09-20 21:29 . 2004-07-09 07:43 364544 ------w- c:\windows\system32\TwnLib4.dll
2009-09-20 21:29 . 2000-06-26 09:45 106496 ----a-w- c:\windows\system32\TwnLib20.dll
2009-09-20 21:29 . 2004-07-26 15:16 471040 ------w- c:\windows\system32\ImagXRA7.dll
2009-09-20 21:29 . 2004-07-26 15:16 262144 ------w- c:\windows\system32\ImagXR7.dll
2009-09-20 21:29 . 2004-07-26 15:16 476320 ------w- c:\windows\system32\ImagXpr7.dll
2009-09-20 21:29 . 2004-07-26 15:16 1568768 ------w- c:\windows\system32\ImagX7.dll
2009-09-20 21:29 . 2001-07-09 09:50 155648 ----a-w- c:\windows\system32\NeroCheck.exe
2009-09-20 21:29 . 2009-09-20 21:29 -------- d-----w- c:\programme\Gemeinsame Dateien\Ahead
2009-09-20 21:29 . 2009-09-20 21:29 -------- d-----w- c:\programme\Ahead
2009-09-20 17:05 . 2009-09-20 17:05 -------- d-sh--w- c:\dokumente und einstellungen\nie\PrivacIE
2009-09-20 17:03 . 2009-09-20 17:03 -------- d-sh--w- c:\dokumente und einstellungen\NetworkService\IETldCache
2009-09-20 17:02 . 2009-09-20 17:02 -------- d-sh--w- c:\dokumente und einstellungen\nie\IETldCache
2009-09-20 17:01 . 2009-08-07 08:48 100352 -c----w- c:\windows\system32\dllcache\iecompat.dll
2009-09-20 17:01 . 2009-09-20 17:01 -------- d-----w- c:\windows\ie8updates
2009-09-20 17:00 . 2009-07-19 16:41 11067392 -c----w- c:\windows\system32\dllcache\ieframe.dll
2009-09-20 17:00 . 2009-07-03 16:55 12800 -c----w- c:\windows\system32\dllcache\xpshims.dll
2009-09-20 17:00 . 2009-07-03 16:55 594432 -c----w- c:\windows\system32\dllcache\msfeeds.dll
2009-09-20 17:00 . 2009-07-03 16:55 55296 -c----w- c:\windows\system32\dllcache\msfeedsbs.dll
2009-09-20 17:00 . 2009-07-03 16:55 1985536 -c----w- c:\windows\system32\dllcache\iertutil.dll
2009-09-20 17:00 . 2009-07-03 16:55 246272 -c----w- c:\windows\system32\dllcache\ieproxy.dll
2009-09-20 17:00 . 2009-09-20 17:00 -------- dc-h--w- c:\windows\ie8
2009-09-20 16:21 . 2009-09-20 17:02 -------- d-----w- c:\windows\system32\de-de
2009-09-20 16:21 . 2009-09-20 16:21 -------- d-----w- c:\windows\l2schemas
2009-09-20 16:21 . 2009-09-20 16:21 -------- d-----w- c:\windows\system32\de
2009-09-20 16:21 . 2009-09-20 16:21 -------- d-----w- c:\windows\system32\bits
2009-09-20 14:18 . 2009-09-20 14:18 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\SBT
2009-09-20 14:18 . 2009-09-20 15:42 -------- d-----w- c:\programme\Snapshot Viewer
2009-09-20 14:14 . 2009-09-20 21:11 -------- d-----w- c:\windows\ShellNew
2009-09-20 14:12 . 2009-09-20 14:12 -------- d-----w- c:\dokumente und einstellungen\nie\Anwendungsdaten\Microsoft Web Folders
2009-09-20 06:46 . 2009-09-24 22:08 -------- d-----w- C:\BJPrinter
2009-09-20 06:46 . 2004-08-16 20:00 7680 ----a-w- c:\windows\system32\CNMVS6z.DLL
2009-09-20 06:46 . 2004-08-16 20:00 116736 ----a-w- c:\windows\system32\CNMLM6z.DLL
2009-09-20 06:46 . 2008-04-13 18:45 15104 ----a-w- c:\windows\system32\drivers\usbscan.sys
2009-09-20 06:42 . 2009-09-20 06:42 -------- d-----w- c:\dokumente und einstellungen\nie\Anwendungsdaten\ScanSoft
2009-09-20 06:42 . 2009-09-20 06:42 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\SSScanWizard
2009-09-20 06:42 . 2009-09-20 06:42 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\SSScanAppDataDir
2009-09-20 06:42 . 2009-09-20 06:42 -------- d-----w- c:\programme\Gemeinsame Dateien\ScanSoft Shared
2009-09-20 06:42 . 2009-09-20 06:42 -------- d-----w- c:\programme\ScanSoft
2009-09-20 06:41 . 2004-07-09 05:31 81920 ----a-w- c:\windows\system32\CNCSIF60.DLL
2009-09-20 06:41 . 2004-07-09 05:31 110592 ----a-w- c:\windows\system32\CNCSDO60.DLL
2009-09-20 06:41 . 2004-07-09 05:31 77824 ----a-w- c:\windows\system32\CNCSCM60.DLL
2009-09-20 06:41 . 2004-07-09 05:31 81920 ----a-w- c:\windows\system32\CNCSTR60.DLL
2009-09-20 06:41 . 2004-07-09 05:31 98304 ----a-w- c:\windows\system32\CNCSUT60.DLL
2009-09-20 06:41 . 2002-05-24 03:04 389180 ----a-w- c:\windows\system32\UCS32P.DLL
2009-09-20 06:41 . 2004-07-09 05:33 49152 ----a-w- c:\windows\system32\cncisco.dll
2009-09-20 06:41 . 2004-07-09 05:25 69632 ----a-w- c:\windows\system32\CNCL750.DLL
2009-09-20 06:41 . 2004-07-09 05:25 561152 ----a-w- c:\windows\system32\CNCC750.DLL
2009-09-20 06:41 . 2004-07-09 05:24 90112 ----a-w- c:\windows\system32\CNCI750.DLL
2009-09-20 06:41 . 2009-09-20 06:41 -------- d-----w- C:\CanonMP
2009-09-20 06:39 . 2009-09-20 21:11 -------- d-----w- c:\windows\StartHtmico
2009-09-20 06:39 . 2009-09-20 21:11 -------- d-----w- c:\windows\MP780,750
2009-09-20 06:38 . 2009-09-20 06:44 -------- d-----w- c:\programme\Canon
2009-09-20 06:34 . 1997-08-25 11:55 1045776 ------w- c:\windows\system32\msjet35.dll
2009-09-20 06:34 . 1997-01-12 22:00 37136 ------w- c:\windows\system32\Msjint35.dll
2009-09-20 06:34 . 1996-12-02 16:44 251664 ------w- c:\windows\system32\msrd2x35.dll
2009-09-20 06:34 . 1997-08-25 11:55 407312 ------w- c:\windows\system32\msrepl35.dll
2009-09-20 06:34 . 1996-12-02 16:44 24336 ------w- c:\windows\system32\msjter35.dll
2009-09-20 06:34 . 1996-11-08 00:48 368912 ------w- c:\windows\system32\vbar332.dll
2009-09-20 06:34 . 2009-09-20 06:34 -------- d-----w- c:\programme\ODBC-DAO-RDO
2009-09-20 06:34 . 1996-12-04 22:00 77824 ------w- c:\windows\system32\Odbctl32.dll
2009-09-20 06:34 . 1998-01-23 10:22 304128 ----a-w- c:\windows\IsUninst.exe
2009-09-20 06:34 . 2009-09-20 06:34 -------- d-----w- c:\dokumente und einstellungen\nie\WINDOWS
2009-09-20 06:33 . 2009-09-20 06:49 -------- d-----w- c:\programme\Top25 V1
2009-09-20 06:33 . 1998-11-17 12:44 328704 ----a-w- c:\windows\IsUn0407.exe
2009-09-19 19:02 . 2009-09-23 15:52 -------- d-----w- C:\wiederherstellung
2009-09-19 18:26 . 2009-09-19 18:26 971168 ----a-w- c:\windows\system32\drivers\tdrpm140.sys
2009-09-19 18:26 . 2009-09-19 18:26 540000 ----a-w- c:\windows\system32\drivers\timntr.sys
2009-09-19 18:26 . 2009-09-19 18:26 44704 ----a-w- c:\windows\system32\drivers\tifsfilt.sys
2009-09-19 18:26 . 2009-09-19 18:26 134272 ----a-w- c:\windows\system32\drivers\snman380.sys
2009-09-19 18:26 . 2009-09-19 19:24 -------- d-----w- c:\programme\Acronis
2009-09-19 18:26 . 2009-09-19 18:26 -------- d-----w- c:\programme\Gemeinsame Dateien\Acronis
2009-09-19 18:05 . 2009-09-27 18:18 65800 ----a-w- c:\windows\system32\GDIPFONTCACHEV1.DAT
2009-09-19 16:52 . 2009-09-19 16:52 -------- d-----w- c:\windows\system32\XPSViewer
2009-09-19 16:52 . 2009-09-19 16:52 -------- d-----w- c:\programme\MSBuild
2009-09-19 16:52 . 2009-09-19 16:52 -------- d-----w- c:\programme\Reference Assemblies
2009-09-19 16:52 . 2008-07-06 12:06 89088 -c----w- c:\windows\system32\dllcache\filterpipelineprintproc.dll
2009-09-19 16:52 . 2008-07-06 12:06 117760 ------w- c:\windows\system32\prntvpt.dll
2009-09-19 16:52 . 2008-07-06 10:50 597504 -c----w- c:\windows\system32\dllcache\printfilterpipelinesvc.exe
2009-09-19 16:52 . 2008-07-06 12:06 575488 -c----w- c:\windows\system32\dllcache\xpsshhdr.dll
2009-09-19 16:52 . 2008-07-06 12:06 575488 ------w- c:\windows\system32\xpsshhdr.dll
2009-09-19 16:52 . 2008-07-06 12:06 1676288 -c----w- c:\windows\system32\dllcache\xpssvcs.dll
2009-09-19 16:52 . 2008-07-06 12:06 1676288 ------w- c:\windows\system32\xpssvcs.dll
2009-09-19 16:50 . 2009-09-19 16:50 -------- d-----w- c:\programme\MSXML 6.0
2009-09-18 17:20 . 2009-09-18 17:20 56 ---ha-w- c:\windows\system32\ezsidmv.dat
2009-09-18 17:20 . 2009-09-27 17:24 -------- d-----w- c:\dokumente und einstellungen\nie\Anwendungsdaten\skypePM
2009-09-18 17:19 . 2009-09-27 17:57 -------- d-----w- c:\dokumente und einstellungen\nie\Anwendungsdaten\Skype
2009-09-18 17:17 . 2009-09-18 17:17 -------- d-----w- c:\programme\Gemeinsame Dateien\Skype
2009-09-18 17:17 . 2009-09-18 17:17 -------- d-----r- c:\programme\Skype
2009-09-18 17:17 . 2009-09-18 17:17 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Skype
2009-09-18 10:31 . 2009-09-18 10:31 -------- d-----w- c:\dokumente und einstellungen\nie\Lokale Einstellungen\Anwendungsdaten\Opera

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-09-24 12:59 . 2009-09-18 05:20 -------- d-----w- c:\programme\Java
2009-09-22 14:45 . 2004-08-10 19:00 84478 ----a-w- c:\windows\system32\perfc007.dat
2009-09-22 14:45 . 2004-08-10 19:00 459096 ----a-w- c:\windows\system32\perfh007.dat
2009-09-20 14:17 . 2009-09-18 05:23 -------- d-----w- c:\programme\microsoft frontpage
2009-09-18 05:40 . 2009-09-18 05:40 136 ----a-w- c:\dokumente und einstellungen\nie\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat
2009-09-18 05:20 . 2009-09-18 05:20 -------- d-----w- c:\programme\Gemeinsame Dateien\Java
2009-09-18 05:15 . 2009-09-18 05:15 -------- d-----w- c:\programme\Online-Dienste
2009-09-18 05:14 . 2009-09-18 05:14 -------- d-----w- c:\programme\Gemeinsame Dateien\Dienste
2009-09-18 05:13 . 2009-09-18 05:13 21740 ----a-w- c:\windows\system32\emptyregdb.dat
2009-09-18 05:12 . 2009-09-18 05:12 -------- d-----w- c:\programme\Windows Plus
2009-09-17 23:35 . 2009-09-17 23:35 9388 ----a-w- c:\windows\system32\drivers\iaStor.PNF
2009-09-17 23:35 . 2009-09-17 23:35 7280 ----a-w- c:\windows\system32\drivers\viamraid.PNF
2009-09-17 23:35 . 2009-09-17 23:35 6984 ----a-w- c:\windows\system32\drivers\SiSRaid.PNF
2009-09-17 23:35 . 2009-09-17 23:35 63240 ----a-w- c:\windows\system32\drivers\Si3112r.PNF
2009-09-17 23:35 . 2009-09-17 23:35 20152 ----a-w- c:\windows\system32\drivers\INFCACHE.1
2009-09-17 23:35 . 2009-09-17 23:35 12432 ----a-w- c:\windows\system32\drivers\adpu320.PNF
2009-09-17 23:35 . 2009-09-17 23:35 12204 ----a-w- c:\windows\system32\drivers\nvraid.PNF
2009-09-17 23:35 . 2009-09-17 23:35 10828 ----a-w- c:\windows\system32\drivers\iaAHCI.PNF
2009-08-05 08:59 . 2004-08-10 19:00 206336 ----a-w- c:\windows\system32\mswebdvd.dll
2009-07-29 04:34 . 2004-08-10 19:00 81920 ----a-w- c:\windows\system32\fontsub.dll
2009-07-29 04:34 . 2004-08-10 19:00 119808 ----a-w- c:\windows\system32\t2embed.dll
2009-07-17 19:01 . 2004-08-10 19:00 58880 ----a-w- c:\windows\system32\atl.dll
2009-07-13 08:08 . 2004-08-10 19:00 286720 ----a-w- c:\windows\system32\wmpdxm.dll
2009-07-03 16:55 . 2004-08-10 19:00 915456 ----a-w- c:\windows\system32\wininet.dll
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Skype"="c:\programme\Skype\Phone\Skype.exe" [2009-09-02 25623336]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ehTray"="c:\windows\ehome\ehtray.exe" [2005-08-05 64512]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"OpwareSE2"="c:\programme\ScanSoft\OmniPageSE2.0\OpwareSE2.exe" [2003-05-08 49152]
"OPSE reminder"="c:\programme\ScanSoft\OmniPageSE2.0\EregGer\Ereg.exe" [2003-07-07 729088]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-27 35696]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-09-24 149280]
"RTHDCPL"="RTHDCPL.EXE" - c:\windows\RTHDCPL.EXE [2006-08-23 16050688]
"SkyTel"="SkyTel.EXE" - c:\windows\SkyTel.exe [2006-05-16 2879488]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\nie\Startmen�\Programme\Autostart\
OpenOffice.org 3.1.lnk - c:\programme\OpenOffice.org 3\program\quickstart.exe [2009-8-18 384000]

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk
backup=c:\windows\pss\Microsoft Office.lnkCommon Startup

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=

R0 snapman380;Acronis Snapshots Manager (Build 380);c:\windows\system32\drivers\snman380.sys [19.09.2009 20:26 134272]
R0 tdrpman140;Acronis Try&Decide and Restore Points filter (build 140);c:\windows\system32\drivers\tdrpm140.sys [19.09.2009 20:26 971168]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [18.09.2009 08:02 108289]

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}]
"c:\windows\system32\rundll32.exe" "c:\windows\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-09-27 20:26
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10c.exe,-101"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\Elevation]
"Enabled"=dword:00000001

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10c.exe"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}]
@Denied: (A 2) (Everyone)
@="IFlashBroker3"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(840)
c:\windows\system32\Ati2evxx.dll
.
Zeit der Fertigstellung: 2009-09-27 20:27
ComboFix-quarantined-files.txt 2009-09-27 18:27

Vor Suchlauf: 9 Verzeichnis(se), 254.944.428.032 Bytes frei
Nach Suchlauf: 12 Verzeichnis(se), 254.990.254.080 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Windows XP Media Center Edition" /noexecute=optin /fastdetect /usepmtimer

249 --- E O F --- 2009-09-21 07:50

Alt 27.09.2009, 20:46   #11
john.doe
 
Schaden durch Kido.IX reparierbar?: Bilder sind weg - Standard

Schaden durch Kido.IX reparierbar?: Bilder sind weg



Zitat:
Da der Virus erstmal restlos weg sein sollte, dazu das cofi-Protokoll.
Er ist tatsächlich komplett weg. Viele Entfernungsprogramme löschen nur die Dateien und lassen die ganzen Regeinträge stehen.

Bei dir sind nur einige gesperrte Regeinträge zu sehen. Script bastel ich dir, sobald die Scanner durch sind.

1.) Überprüfe den Rechner mit PrevXCSI. Poste ein Screenshot falls etwas gefunden werden sollte oder poste Namen und Pfade.

2.) Panda Active Scan
Folgende Seite führt dich durch die Installation: PandaActiveScan2.0 Installation

Drücke auf Jetzt Scannen!

Eine Registrierung ist nicht erforderlich!

Nachdem der Scan abgeschlossen ist drücke auf das Text-Icon Export und speichere das log auf dem Desktop.
Öffne die Datei ActiveScan.txt die sich nun auf deinem Desktop befindet und poste uns den Inhalt.
ciao, andreas
__________________
Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung!
Privatbetreuung nur gegen Bezahlung und ich koste sehr teuer.
Für alle Neuen
Anleitungen
Virenscanner
Kompromittierung unvermeidbar?

Alt 27.09.2009, 21:00   #12
nie111
 
Schaden durch Kido.IX reparierbar?: Bilder sind weg - Standard

Schaden durch Kido.IX reparierbar?: Bilder sind weg



Hallo John.Doe,
danke für die Unterstützung. Ja, auf C: ist der Kido wohl weg. Hatte ich mit KK.exe und MS malicious software removal tool hingekriegt. Anschliessend bin ich mit CCleaner drüber. Siehe unten.
Aber im Recycler auf J: (ext. Festplatte) ist noch diese Dropper- jwgkvsq.vmx. Die kriege ich nicht weg. Hast Du eine Idee?

Ansonsten: Kann ich die externen Festplatten jetzt wieder anhängen und einschalten? (J: war gerad schon dran)?

Scans folgen gleich.

Alt 27.09.2009, 21:05   #13
john.doe
 
Schaden durch Kido.IX reparierbar?: Bilder sind weg - Standard

Schaden durch Kido.IX reparierbar?: Bilder sind weg



Waren denn die externen Laufwerke nicht angeschlossen als ComboFix lief? Deshalb habe ich das eigentlich gemacht.

Poste die genauen Pfade der Dateien.

ciao, andreas
__________________
Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung!
Privatbetreuung nur gegen Bezahlung und ich koste sehr teuer.
Für alle Neuen
Anleitungen
Virenscanner
Kompromittierung unvermeidbar?

Alt 27.09.2009, 21:21   #14
nie111
 
Schaden durch Kido.IX reparierbar?: Bilder sind weg - Standard

Schaden durch Kido.IX reparierbar?: Bilder sind weg



Hallo andreas,
sorry das mit dem an- und abstecken hatte ich völlig missverstanden.

Die .vmx ist auf J:/recycler/S-5-3-... Avira findet sie, der xp-explorer nicht.

Prevx meldet, das System sei clean (bei angeschlossenem J, Panda läuft noch.

Geändert von nie111 (27.09.2009 um 21:37 Uhr)

Alt 27.09.2009, 21:37   #15
john.doe
 
Schaden durch Kido.IX reparierbar?: Bilder sind weg - Standard

Schaden durch Kido.IX reparierbar?: Bilder sind weg



Panda wird den finden, dann habe ich den genauen Pfad. Mit ComboFix und Script wird der dann gelöscht.

ciao, andreas
__________________
Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung!
Privatbetreuung nur gegen Bezahlung und ich koste sehr teuer.
Für alle Neuen
Anleitungen
Virenscanner
Kompromittierung unvermeidbar?

Antwort

Themen zu Schaden durch Kido.IX reparierbar?: Bilder sind weg
acronis, anti-malware, avira, brauche, dropper, fehler, festgestellt, festplatte, gen, großes, löscht, neu aufgesetzt, neue, neuen, nicht mehr, nichts, problem, registrierungsschlüssel, scannen, service, spiele, spielen, system, trojaner-board, trotz, version, versteckte, versteckte dateien, zugriff



Ähnliche Themen: Schaden durch Kido.IX reparierbar?: Bilder sind weg


  1. Bilder auf USB Festplatte teilweise(nicht alle Bilder)mit Cryptowall 3 verschlüsselt
    Plagegeister aller Art und deren Bekämpfung - 08.08.2015 (3)
  2. Win 7: Schaden durch DHL-Spam-Mail?
    Log-Analyse und Auswertung - 20.05.2015 (5)
  3. Bitkom: 51 Milliarden Euro Schaden jährlich durch digitale Wirtschaftsspionage
    Nachrichten - 16.04.2015 (0)
  4. GVU Trojaner durch Bilder auf Mac Book pro?
    Log-Analyse und Auswertung - 02.10.2013 (3)
  5. Word und Bilder (Jpeg) durch Virus verschlüsselt "Read to Decrypt!"
    Log-Analyse und Auswertung - 17.08.2013 (21)
  6. Skype Virus (Sind das deine Bilder? ...)
    Log-Analyse und Auswertung - 25.11.2012 (9)
  7. Versteckte Systemdateien die eigentlich Bilder sind
    Log-Analyse und Auswertung - 16.10.2012 (2)
  8. skype virus:moin was sind das denn für schöne bilder...
    Log-Analyse und Auswertung - 14.10.2012 (3)
  9. Dateien sind alle umbenannt in z.b. aeDepXDTssXlaTsX durch einen Anhang von einer E-Mail (Rechnung)
    Plagegeister aller Art und deren Bekämpfung - 05.09.2012 (1)
  10. Ordner sind in scr. Dateien umgewandelt durch Win32.Generic.497907 (Engine A)
    Log-Analyse und Auswertung - 24.06.2012 (1)
  11. Virus auf USB-Stick und PC, durch Verlinkungen der Dateien die anschließend weg sind
    Plagegeister aller Art und deren Bekämpfung - 07.11.2011 (6)
  12. Einbruch in BlackBerry-Server durch Bilder
    Nachrichten - 12.08.2011 (0)
  13. "WORM/Conficker.AK" & "WORM/Kido.IH.40" nach USB-Stick-Anschluss durch AVIRA gefunden
    Plagegeister aller Art und deren Bekämpfung - 25.01.2011 (28)
  14. Kann Laptop Schaden durch anderen PC mit gleicher Inetverbindung nehmen?
    Plagegeister aller Art und deren Bekämpfung - 31.08.2010 (3)
  15. Ihre Bilder vom letzten Urlaub sind verschwunden
    Mülltonne - 25.08.2009 (0)
  16. Virus durch Bilder?
    Plagegeister aller Art und deren Bekämpfung - 03.12.2006 (1)
  17. 120€ Schaden durch Dialer
    Plagegeister aller Art und deren Bekämpfung - 15.02.2003 (9)

Zum Thema Schaden durch Kido.IX reparierbar?: Bilder sind weg - Liebes Trojaner-Board, ich brauche Hilfe. Mein Problem: Nach dem Wirken von Kido/Conficker.B fehlen mir Daten: Bild-Dateien wie jpgs und bmps. Ich habe vor kurzem mit einer neuen Backup-Software (Acronis) arbeiten - Schaden durch Kido.IX reparierbar?: Bilder sind weg...
Archiv
Du betrachtest: Schaden durch Kido.IX reparierbar?: Bilder sind weg auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.