Liebes Trojaner-Board,
ich brauche Hilfe.
Mein Problem: Nach dem Wirken von Kido/Conficker.B fehlen mir Daten: Bild-Dateien wie jpgs und bmps.

Ich habe vor kurzem mit einer neuen Backup-Software (Acronis) arbeiten wollen und dabei festgestellt, dass versteckte Dateien nicht mehr sichtbar zu machen sind. Dropper wurde gefunden.
Auf Anraten von Experten habe ich dann das System "platt gemacht und neu aufgesetzt", die Systempartition neu formatiert etc. Ein Rücksichern der Daten war nur teilweise möglich. Ich habe sowohl mit Acronis gesichert (leider nicht alles) als auch mit der XP-Sicherung. Aber schon in den 1:1 Kopien von Festplatte zu externer Fp fehlen die besagten Dateien. Allerdings nicht alle.

Da meine Sicherungen ziemlich groß sind, 30-40 GB, und Kido gerne verstecken zu spielen scheint, habe ich die Hoffnung, dass da irgendwo noch was wiederherzuholen ist. Gibt's da Möglichkeiten? Es handelt sich um Dokumentarfotos und Urlaubsbilder, die auf C: waren.

Zu den Pflichtpunkten:

CCleaner löscht trotz wiederholter Versuche nicht Fehler:
Ungenutzte Datei-Endungen {80b8c23c-16e0-4cd8-bbc3-cecec9a78b79} HKCR\{80b8c23c-16e0-4cd8-bbc3-cecec9a78b79}
Hat das was zu bedeuten?



Malwarebytes' Anti-Malware 1.41
Datenbank Version: 2852
Windows 5.1.2600 Service Pack 3

24.09.2009 00:44:21
mbam-log-2009-09-24 (00-44-21).txt

Scan-Methode: Vollständiger Scan (C:\|E:\|J:\|)
Durchsuchte Objekte: 236703
Laufzeit: 1 hour(s), 29 minute(s), 25 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)


!!!Während des Scannen durch Malware warnt Avira vor Kido auf E: und Dropper auf J: (beides ext. Fp)!!! Bin auf Zugriff verweigern gegangen. Malwarebytes hat nichts gefunden! Großes ?

log.txt ist zu lang für das Fenster. Was ist zu tun?

Hier ist

info.txt logfile of random's system information tool 1.06 2009-09-24 00:51:56

======Uninstall list======

-->C:\PROGRA~1\Yahoo!\Common\UNYT_W~1.EXE
-->C:\Programme\Ahead\nero\uninstall\UNNERO.exe /UNINSTALL
-->rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf
Acronis*True*Image*Home-->MsiExec.exe /X{37C8899D-FD70-481F-94AA-1F1B08765E22}
Adobe Flash Player 10 ActiveX-->C:\WINDOWS\system32\Macromed\Flash\uninstall_activeX.exe
Adobe Flash Player 10 Plugin-->C:\WINDOWS\system32\Macromed\Flash\uninstall_plugin.exe
Adobe Photoshop 5.0 Limited Edition-->C:\WINDOWS\UNIN0407.EXE -f"C:\Programme\Adobe\Photoshop 5.0 LE\DeIsL1.isu" -c"C:\Programme\Adobe\Photoshop 5.0 LE\Uninst.dll"
Adobe Reader 9.1 - Deutsch-->MsiExec.exe /I{AC76BA86-7AD7-1031-7B44-A91000000001}
ATI - Dienstprogramm zur Deinstallation der Software-->C:\Programme\ATI Technologies\UninstallAll\AtiCimUn.exe
ATI Display Driver-->rundll32 C:\WINDOWS\system32\atiiiexx.dll,_InfEngUnInstallINFFile_RunDLL@16 -force_restart -flags:0x2010001 -inf_classISPLAY -clean
ATI Parental Control & Encoder-->MsiExec.exe /I{36CDA33B-909B-4719-97D1-C4B99309BDC7}
Avira AntiVir Personal - Free Antivirus-->C:\Programme\Avira\AntiVir Desktop\setup.exe /REMOVE
AVIVO Codecs-->MsiExec.exe /X{C941F1F1-25B3-4DF5-83E6-888C51A1AAB6}
Canon MP Drivers 6.0-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{3FF3DD04-F386-46B0-97FC-B86238B65487}\Setup.exe" -l0x7 -Uninstall
Canon MP Navigator 1.0-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{109AB81D-9732-40B3-9C1F-113A86CE6F93}\setup.exe" /SUUninstall
Canon ScanGear Starter-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{18A5DFF2-8A95-49F3-873F-743CB5549F3D}\setup.exe" -l0x7 anything
CCleaner (remove only)-->"C:\Programme\CCleaner\uninst.exe"
HijackThis 2.0.2-->"C:\Programme\trend micro\HijackThis.exe" /uninstall
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB953595)-->C:\WINDOWS\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall /qb+ REBOOTPROMPT=""
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB958484)-->C:\WINDOWS\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall {A7EEA2F2-BFCD-4A54-A575-7B81A786E658} /qb+ REBOOTPROMPT=""
Hotfix for Windows Media Player 10 (KB903157)-->"C:\WINDOWS\$NtUninstallKB903157$\spuninst\spuninst.exe"
Hotfix für Windows XP (KB952287)-->"C:\WINDOWS\$NtUninstallKB952287$\spuninst\spuninst.exe"
Hotfix für Windows XP (KB961118)-->"C:\WINDOWS\$NtUninstallKB961118$\spuninst\spuninst.exe"
Hotfix für Windows XP (KB970653-v3)-->"C:\WINDOWS\$NtUninstallKB970653-v3$\spuninst\spuninst.exe"
J2SE Runtime Environment 5.0 Update 6-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0150060}
Java(TM) 6 Update 15-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216015FF}
Malwarebytes' Anti-Malware-->"C:\Programme\Malwarebytes' Anti-Malware\unins000.exe"
Media Add-Ons für Acronis True Image 2009-->MsiExec.exe /X{8B961557-75BB-4336-8167-90267ED34267}
Microsoft .NET Framework 1.1 German Language Pack-->MsiExec.exe /X{E78BFA60-5393-4C38-82AB-E8019E464EB4}
Microsoft .NET Framework 1.1 Hotfix (KB928366)-->"C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\Updates\hotfix.exe" "C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\Updates\M928366\M928366Uninstall.msp"
Microsoft .NET Framework 1.1-->msiexec.exe /X {CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}
Microsoft .NET Framework 1.1-->MsiExec.exe /X{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}
Microsoft .NET Framework 2.0 Service Pack 2-->MsiExec.exe /I{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}
Microsoft .NET Framework 3.0 Service Pack 2-->MsiExec.exe /I{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}
Microsoft .NET Framework 3.5 SP1-->C:\WINDOWS\Microsoft.NET\Framework\v3.5\Microsoft .NET Framework 3.5 SP1\setup.exe
Microsoft .NET Framework 3.5 SP1-->MsiExec.exe /I{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}
Microsoft Office 2000 SR-1 Disc 2-->MsiExec.exe /I{00040407-78E1-11D2-B60F-006097C998E7}
Microsoft Office 2000 SR-1 Professional-->MsiExec.exe /I{00010407-78E1-11D2-B60F-006097C998E7}
Microsoft Visual C++ 2008 ATL Update kb973924 - x86 9.0.30729.4148-->MsiExec.exe /X{002D9D5E-29BA-3E6D-9BC4-3D7D6DBC735C}
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17-->MsiExec.exe /X{9A25302D-30C0-39D9-BD6F-21E6EC160475}
MSXML 6.0 Parser (KB933579)-->MsiExec.exe /I{0A869A65-8C94-4F7C-A5C7-972D3C8CED9E}
Nero Suite-->C:\Programme\Gemeinsame Dateien\Nero\Uninstall\Setupx.exe /uninstall ExtraUninstallID=""
ODBC-->C:\WINDOWS\IsUninst.exe -fC:\Programme\ODBC-DAO-RDO\ODBC\Uninst.isu -cC:\Programme\ODBC-DAO-RDO\ODBC\_UNODBC.DLL
OmniPage SE 2.0-->MsiExec.exe /I{79D5997E-BF79-48BB-8B41-9BE59C15C2D7}
Opera 10.00-->MsiExec.exe /X{2085F05D-24C5-4E27-B7B4-A51DE890FFC9}
Realtek High Definition Audio Driver-->RtlUpd.exe -r -m
Sicherheitsupdate für Windows Internet Explorer 8 (KB971961)-->"C:\WINDOWS\ie8updates\KB971961-IE8\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 8 (KB972260)-->"C:\WINDOWS\ie8updates\KB972260-IE8\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Media Player (KB952069)-->"C:\WINDOWS\$NtUninstallKB952069_WM9$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Media Player (KB968816)-->"C:\WINDOWS\$NtUninstallKB968816_WM9$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Media Player (KB973540)-->"C:\WINDOWS\$NtUninstallKB973540_WM9L$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB923561)-->"C:\WINDOWS\$NtUninstallKB923561$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB923789)-->C:\WINDOWS\system32\MacroMed\Flash\genuinst.exe C:\WINDOWS\system32\MacroMed\Flash\KB923789.inf
Sicherheitsupdate für Windows XP (KB938464-v2)-->"C:\WINDOWS\$NtUninstallKB938464-v2$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB941569)-->"C:\WINDOWS\$NtUninstallKB941569$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB946648)-->"C:\WINDOWS\$NtUninstallKB946648$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB950762)-->"C:\WINDOWS\$NtUninstallKB950762$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB950974)-->"C:\WINDOWS\$NtUninstallKB950974$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB951066)-->"C:\WINDOWS\$NtUninstallKB951066$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB951376-v2)-->"C:\WINDOWS\$NtUninstallKB951376-v2$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB951748)-->"C:\WINDOWS\$NtUninstallKB951748$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB952004)-->"C:\WINDOWS\$NtUninstallKB952004$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB952954)-->"C:\WINDOWS\$NtUninstallKB952954$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB954459)-->"C:\WINDOWS\$NtUninstallKB954459$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB954600)-->"C:\WINDOWS\$NtUninstallKB954600$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB955069)-->"C:\WINDOWS\$NtUninstallKB955069$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB956572)-->"C:\WINDOWS\$NtUninstallKB956572$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB956744)-->"C:\WINDOWS\$NtUninstallKB956744$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB956802)-->"C:\WINDOWS\$NtUninstallKB956802$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB956803)-->"C:\WINDOWS\$NtUninstallKB956803$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB956844)-->"C:\WINDOWS\$NtUninstallKB956844$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB957097)-->"C:\WINDOWS\$NtUninstallKB957097$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB958644)-->"C:\WINDOWS\$NtUninstallKB958644$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB958687)-->"C:\WINDOWS\$NtUninstallKB958687$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB959426)-->"C:\WINDOWS\$NtUninstallKB959426$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB960225)-->"C:\WINDOWS\$NtUninstallKB960225$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB960803)-->"C:\WINDOWS\$NtUninstallKB960803$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB960859)-->"C:\WINDOWS\$NtUninstallKB960859$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB961371-v2)-->"C:\WINDOWS\$NtUninstallKB961371-v2$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB961501)-->"C:\WINDOWS\$NtUninstallKB961501$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB968537)-->"C:\WINDOWS\$NtUninstallKB968537$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB970238)-->"C:\WINDOWS\$NtUninstallKB970238$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB971557)-->"C:\WINDOWS\$NtUninstallKB971557$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB971633)-->"C:\WINDOWS\$NtUninstallKB971633$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB971657)-->"C:\WINDOWS\$NtUninstallKB971657$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB971961)-->"C:\WINDOWS\$NtUninstallKB971961$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB972260)-->"C:\WINDOWS\$NtUninstallKB972260$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB973346)-->"C:\WINDOWS\$NtUninstallKB973346$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB973354)-->"C:\WINDOWS\$NtUninstallKB973354$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB973507)-->"C:\WINDOWS\$NtUninstallKB973507$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB973869)-->"C:\WINDOWS\$NtUninstallKB973869$\spuninst\spuninst.exe"
Skype web features-->MsiExec.exe /I{541DEAC0-5F3D-45E6-B7CB-94ECF3B96748}
Skype™ 4.1-->MsiExec.exe /X{D103C4BA-F905-437A-8049-DB24763BBE36}
Top25 Viewer-->C:\WINDOWS\IsUn0407.exe -f"C:\Programme\Top25 V1\Uninst.isu"
Update for Microsoft .NET Framework 3.5 SP1 (KB963707)-->C:\WINDOWS\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall {B2AE9C82-DC7B-3641-BFC8-87275C4F3607} /qb+ REBOOTPROMPT=""
Update für Windows Internet Explorer 8 (KB973874)-->"C:\WINDOWS\ie8updates\KB973874-IE8\spuninst\spuninst.exe"
Update für Windows Media Player 10 (KB913800)-->"C:\WINDOWS\$NtUninstallKB913800$\spuninst\spuninst.exe"
Update für Windows XP (KB951978)-->"C:\WINDOWS\$NtUninstallKB951978$\spuninst\spuninst.exe"
Update für Windows XP (KB967715)-->"C:\WINDOWS\$NtUninstallKB967715$\spuninst\spuninst.exe"
Update für Windows XP (KB968389)-->"C:\WINDOWS\$NtUninstallKB968389$\spuninst\spuninst.exe"
Update für Windows XP (KB973815)-->"C:\WINDOWS\$NtUninstallKB973815$\spuninst\spuninst.exe"
Update Rollup 2 für Windows XP Media Center Edition 2005-->C:\WINDOWS\$NtUninstallKB900325$\spuninst\spuninst.exe
Windows Imaging Component-->"C:\WINDOWS\$NtUninstallWIC$\spuninst\spuninst.exe"
Windows Internet Explorer 8-->"C:\WINDOWS\ie8\spuninst\spuninst.exe"
Windows Media Format Runtime-->"C:\Programme\Windows Media Player\wmsetsdk.exe" /UninstallAll
Windows XP Media Center Edition 2005 KB973768-->"C:\WINDOWS\$NtUninstallKB973768$\spuninst\spuninst.exe"
Windows XP Service Pack 3-->"C:\WINDOWS\$NtServicePackUninstall$\spuninst\spuninst.exe"
Yahoo! Toolbar-->C:\PROGRA~1\Yahoo!\Common\UNYT_W~1.EXE

======Security center information======

AV: AntiVir Desktop

======System event log======

Computer Name: SCALEO
Event Code: 1005
Message: Die IP-Adresse 192.168.178.20 für die Netzwerkkarte mit der Netzwerkadresse
0017316FF7B9 wird bereits
im Netzwerk verwendet. Es wird versucht, eine neue Adresse zu erhalten.

Record Number: 5
Source Name: Dhcp
Time Written: 20090918070808.000000+120
Event Type: Warnung
User:

Computer Name: SCALEO
Event Code: 6011
Message: Der NetBIOS-Name und DNS-Hostname dieses Computers wurden von MACHINENAME in SCALEO geändert.

Record Number: 4
Source Name: EventLog
Time Written: 20090918070800.000000+120
Event Type: Informationen
User:

Computer Name: MACHINENAME
Event Code: 2
Message: Bei der Überprüfung, ob \Device\Serial0 ein serieller Anschluss ist, wurde ein FIFO-Baustein entdeckt. Es wird der FIFO-Baustein verwendet.

Record Number: 3
Source Name: Serial
Time Written: 20090918013438.000000+120
Event Type: Informationen
User:

Computer Name: MACHINENAME
Event Code: 6005
Message: Der Ereignisprotokolldienst wurde gestartet.

Record Number: 2
Source Name: EventLog
Time Written: 20090918013419.000000+120
Event Type: Informationen
User:

Computer Name: MACHINENAME
Event Code: 6009
Message: Microsoft (R) Windows (R) 5.01. 2600 Service Pack 2 Multiprocessor Free.

Record Number: 1
Source Name: EventLog
Time Written: 20090918013419.000000+120
Event Type: Informationen
User:

=====Application event log=====

Computer Name: SCALEO
Event Code: 1000
Message: Die Leistungsindikatoren für den Dienst MSDTC (MSDTC) wurden geladen.
Die Daten enthalten die dem Dienst zugeordneten neuen Indexwerte.

Record Number: 5
Source Name: LoadPerf
Time Written: 20090918071254.000000+120
Event Type: Informationen
User:

Computer Name: SCALEO
Event Code: 1000
Message: Die Leistungsindikatoren für den Dienst TermService (Terminaldienste) wurden geladen.
Die Daten enthalten die dem Dienst zugeordneten neuen Indexwerte.

Record Number: 4
Source Name: LoadPerf
Time Written: 20090918071251.000000+120
Event Type: Informationen
User:

Computer Name: SCALEO
Event Code: 1000
Message: Die Leistungsindikatoren für den Dienst RemoteAccess (Routing und RAS) wurden geladen.
Die Daten enthalten die dem Dienst zugeordneten neuen Indexwerte.

Record Number: 3
Source Name: LoadPerf
Time Written: 20090918070830.000000+120
Event Type: Informationen
User:

Computer Name: SCALEO
Event Code: 1000
Message: Die Leistungsindikatoren für den Dienst PSched (PSched) wurden geladen.
Die Daten enthalten die dem Dienst zugeordneten neuen Indexwerte.

Record Number: 2
Source Name: LoadPerf
Time Written: 20090918070807.000000+120
Event Type: Informationen
User:

Computer Name: SCALEO
Event Code: 1000
Message: Die Leistungsindikatoren für den Dienst RSVP (QoS-RSVP) wurden geladen.
Die Daten enthalten die dem Dienst zugeordneten neuen Indexwerte.

Record Number: 1
Source Name: LoadPerf
Time Written: 20090918070806.000000+120
Event Type: Informationen
User:

======Environment variables======

"ComSpec"=%SystemRoot%\system32\cmd.exe
"Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem
"windir"=%SystemRoot%
"FP_NO_HOST_CHECK"=NO
"OS"=Windows_NT
"PROCESSOR_ARCHITECTURE"=x86
"PROCESSOR_LEVEL"=15
"PROCESSOR_IDENTIFIER"=x86 Family 15 Model 75 Stepping 2, AuthenticAMD
"PROCESSOR_REVISION"=4b02
"NUMBER_OF_PROCESSORS"=2
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP

-----------------EOF-----------------

Hallo &

Was deine Frage bezgl. des Wertes betrifft:

Zitat:

Ja, der Schlüssel HKEY_CLASSES_ROOT\{80b8c23c-16e0-4cd8-bbc3-cecec9a78b79} gehört zu AntiVir und er wird für programminterne Zwecke (sporadisch) genutzt und darf deshalb gar nicht gelöscht werden. Daß manch ein Systemwartungstool diesen als verzichtbar ansieht, ist ergo eine Fehleinschätzung der entsprechenden Tools. (Qulle: Avira Forum)

Es gibt mehrere möglichkeiten Daten zu retten, doch sind die meisten Programme für Datenrettung kostenpflichtig. Aber eine 100%ige Chance wirklich alle Daten wieder zu finden besteht natürlich nie.
Du kannst natürlich wenn dir die Bilder wirklich viel wert sind - die kosten auf dich nehmen, doch sicher sein das wirklich alles wieder da ist kann man sich leider nie.

Moin und Angelwhite!

Aber, gibt's noch mehr Infos zur Datenrettung? Welche Programme sind am günstigsten (nicht billigsten) zur Datenrettung nach Kido?

Und: Was ist mit Kido auf E: und Dropper auf J: ? siehe unten/früher

Grüße
nie111

Hallo

Les Dir die Seiten bitte in Ruhe durch

Je mehr Schreib/Lesezugriffe auf der Festplatte, umso kleiner wird die Chance überhaupt noch Daten zu retten

Die besten Tricks für eine Datenrettung

Viel Glück
cad

Zitat:

Zitat von cad

Hallo

Les Dir die Seiten bitte in Ruhe durch

Je mehr Schreib/Lesezugriffe auf der Festplatte, umso kleiner wird die Chance überhaupt noch Daten zu retten

Die besten Tricks für eine Datenrettung

Viel Glück
cad

Vielen Dank für den Hinweis auf die Seite!

Allerdings bewegt mich immer noch die Frage, wie weit mein System noch verseucht ist. Wenn die Festplatte virenfrei ist, dürfte es doch egal sein wie oft Schreib/Lesezugriffe erfolgen. Die Datenverluste sind in den Sicherungen auf den externen Festplatten.
Oder soll das jetzt bedeuten ich habe den Kido immer noch? Bin mit Avira, Heise-Browsercheck, Kidokiller, MS malecious software removal tool drüber. Was ist mit den besagten Funden auf E: und J:? Bin mit Avira, Heise-Browsercheck, Kidokiller, dem Bonner Test, MS malecious software removal tool drüber. Hab ich da was falsch gemacht?

Viele Grüße
nie111

Hallo

Ich bin davon ausgegangen, dass Dein System schon komplett bereinigt wurde und habe nur Deine Frage nach den verschiedenen Datenrettungsprogrammen beantwortet.

Den Thread sollte einer von den Plagegeister Spezialisten übernehmen

Gruß cad

Hallo,

1. Vergewissere dich das dir alle versteckten Datein und Ordner angezeigt werden.
2. Poste bitte ein HijackThis Log.

Hallo und

Kido ist ein fieses Zeug und so wie du vorgegangen bist, bist du ihn ganz sicher nicht los. Wenn ich mir so deine Softwareliste ansehe, dann begehst du sowieso einen grundsätzlichen Fehler. Ganz abgesehen von falsch durchgeführten Datensicherungen. Du hast dich mehrfach neu infiziert, deshalb greifen wir jetzt erstmal zum Holzhammer.

Solltest du noch irgendetwas mit dem Computer verbinden, wie Memorysticks, Speicherkarten, Digitalkameras, Handy, externe Laufwerke, ... dann stecke vor dem Scan alles an.

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

ciao, andreas

Hallo zusammen
und vielen Dank für die zwischendurch gegebenen Antworten. Bei mir ist vorhin gerade Papa-Wochenendeschluss gewesen.
Da der Virus erstmal restlos weg sein sollte, dazu das cofi-Protokoll. Beim Durchlauf fiel wohl nichts so besonderes auf. Es ging sehr flott, ca. 5 Min. Eine Windows-Datei kb913800.exe wurde gelöscht.

Bis später
nie111

ComboFix 09-09-25.01 - nie 27.09.2009 20:24.1.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.1022.421 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\nie\Desktop\cofi.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\kb913800.exe

.
((((((((((((((((((((((( Dateien erstellt von 2009-08-27 bis 2009-09-27 ))))))))))))))))))))))))))))))
.

2009-09-24 13:05 . 2009-09-24 13:05 -------- d-----w- c:\dokumente und einstellungen\nie\Anwendungsdaten\OpenOffice.org
2009-09-24 12:59 . 2009-09-24 12:59 -------- d-----w- c:\programme\JRE
2009-09-24 12:59 . 2009-09-24 12:59 -------- d-----w- c:\programme\OpenOffice.org 3
2009-09-23 22:51 . 2009-09-23 23:06 -------- d-----w- c:\programme\trend micro
2009-09-23 22:51 . 2009-09-23 22:51 -------- d-----w- C:\rsit
2009-09-23 21:07 . 2009-09-23 21:07 -------- d-----w- c:\dokumente und einstellungen\nie\Anwendungsdaten\Malwarebytes
2009-09-23 21:06 . 2009-09-10 12:54 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-09-23 21:06 . 2009-09-23 21:07 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2009-09-23 21:06 . 2009-09-23 21:06 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-09-23 21:06 . 2009-09-10 12:53 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-09-23 20:40 . 2009-09-23 20:40 -------- d-----w- c:\dokumente und einstellungen\nie\Anwendungsdaten\Yahoo!
2009-09-23 20:40 . 2009-09-23 20:40 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Yahoo! Companion
2009-09-23 20:40 . 2009-09-23 20:40 -------- d-----w- c:\programme\Yahoo!
2009-09-23 20:40 . 2009-09-23 20:40 -------- d-----w- c:\programme\CCleaner
2009-09-22 14:44 . 2009-09-22 14:44 -------- d-----w- c:\dokumente und einstellungen\nie\Lokale Einstellungen\Anwendungsdaten\WMTools Downloaded Files
2009-09-22 14:41 . 2009-09-22 14:41 -------- d-----w- c:\windows\system32\Lang
2009-09-22 14:39 . 2006-07-11 19:31 84096 ----a-r- c:\windows\system32\drivers\Rtnicxp.sys
2009-09-21 11:53 . 2009-09-21 11:53 -------- d-----w- C:\kk
2009-09-21 09:44 . 2009-09-21 09:44 -------- d-----w- C:\KPCMS
2009-09-21 09:44 . 1998-06-23 11:18 212480 ----a-w- c:\windows\system32\pcdlib32.dll
2009-09-21 09:44 . 1998-04-25 03:26 210944 ----a-w- c:\windows\system32\MSVCRT10.DLL
2009-09-21 09:44 . 1998-04-25 03:26 40129 ----a-w- c:\windows\iccsigs.dat
2009-09-21 09:44 . 1998-01-20 07:12 133120 ----a-w- c:\windows\sprof32.dll
2009-09-21 09:43 . 1998-06-05 09:42 197120 ----a-w- c:\windows\kpcp32.dll
2009-09-21 09:43 . 1998-04-25 03:26 58368 ----a-w- c:\windows\pfpick.dll
2009-09-21 09:43 . 1998-04-25 03:26 37376 ----a-w- c:\windows\kpsys32.dll
2009-09-21 09:43 . 1998-04-25 03:26 20992 ----a-w- c:\windows\icccodes.dll
2009-09-21 09:43 . 1998-04-25 03:26 132096 ----a-w- c:\windows\KPAPI32.DLL
2009-09-21 09:43 . 2009-09-21 09:43 -------- d-----w- c:\windows\system32\COLOR
2009-09-21 09:43 . 1997-08-15 11:20 299008 ----a-w- c:\windows\unin0407.exe
2009-09-21 09:40 . 2009-09-26 06:59 -------- d-----w- c:\dokumente und einstellungen\nie\Anwendungsdaten\Canon
2009-09-21 08:59 . 2009-09-21 08:59 -------- d-----w- c:\dokumente und einstellungen\nie\Lokale Einstellungen\Anwendungsdaten\Adobe
2009-09-21 08:57 . 2009-09-21 09:43 -------- d-----w- c:\programme\Gemeinsame Dateien\Adobe
2009-09-21 07:23 . 2008-10-16 12:06 268648 ----a-w- c:\windows\system32\mucltui.dll
2009-09-20 21:31 . 2009-09-20 21:31 -------- d-----w- c:\programme\Gemeinsame Dateien\Nero
2009-09-20 21:29 . 2004-07-09 07:43 364544 ------w- c:\windows\system32\TwnLib4.dll
2009-09-20 21:29 . 2000-06-26 09:45 106496 ----a-w- c:\windows\system32\TwnLib20.dll
2009-09-20 21:29 . 2004-07-26 15:16 471040 ------w- c:\windows\system32\ImagXRA7.dll
2009-09-20 21:29 . 2004-07-26 15:16 262144 ------w- c:\windows\system32\ImagXR7.dll
2009-09-20 21:29 . 2004-07-26 15:16 476320 ------w- c:\windows\system32\ImagXpr7.dll
2009-09-20 21:29 . 2004-07-26 15:16 1568768 ------w- c:\windows\system32\ImagX7.dll
2009-09-20 21:29 . 2001-07-09 09:50 155648 ----a-w- c:\windows\system32\NeroCheck.exe
2009-09-20 21:29 . 2009-09-20 21:29 -------- d-----w- c:\programme\Gemeinsame Dateien\Ahead
2009-09-20 21:29 . 2009-09-20 21:29 -------- d-----w- c:\programme\Ahead
2009-09-20 17:05 . 2009-09-20 17:05 -------- d-sh--w- c:\dokumente und einstellungen\nie\PrivacIE
2009-09-20 17:03 . 2009-09-20 17:03 -------- d-sh--w- c:\dokumente und einstellungen\NetworkService\IETldCache
2009-09-20 17:02 . 2009-09-20 17:02 -------- d-sh--w- c:\dokumente und einstellungen\nie\IETldCache
2009-09-20 17:01 . 2009-08-07 08:48 100352 -c----w- c:\windows\system32\dllcache\iecompat.dll
2009-09-20 17:01 . 2009-09-20 17:01 -------- d-----w- c:\windows\ie8updates
2009-09-20 17:00 . 2009-07-19 16:41 11067392 -c----w- c:\windows\system32\dllcache\ieframe.dll
2009-09-20 17:00 . 2009-07-03 16:55 12800 -c----w- c:\windows\system32\dllcache\xpshims.dll
2009-09-20 17:00 . 2009-07-03 16:55 594432 -c----w- c:\windows\system32\dllcache\msfeeds.dll
2009-09-20 17:00 . 2009-07-03 16:55 55296 -c----w- c:\windows\system32\dllcache\msfeedsbs.dll
2009-09-20 17:00 . 2009-07-03 16:55 1985536 -c----w- c:\windows\system32\dllcache\iertutil.dll
2009-09-20 17:00 . 2009-07-03 16:55 246272 -c----w- c:\windows\system32\dllcache\ieproxy.dll
2009-09-20 17:00 . 2009-09-20 17:00 -------- dc-h--w- c:\windows\ie8
2009-09-20 16:21 . 2009-09-20 17:02 -------- d-----w- c:\windows\system32\de-de
2009-09-20 16:21 . 2009-09-20 16:21 -------- d-----w- c:\windows\l2schemas
2009-09-20 16:21 . 2009-09-20 16:21 -------- d-----w- c:\windows\system32\de
2009-09-20 16:21 . 2009-09-20 16:21 -------- d-----w- c:\windows\system32\bits
2009-09-20 14:18 . 2009-09-20 14:18 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\SBT
2009-09-20 14:18 . 2009-09-20 15:42 -------- d-----w- c:\programme\Snapshot Viewer
2009-09-20 14:14 . 2009-09-20 21:11 -------- d-----w- c:\windows\ShellNew
2009-09-20 14:12 . 2009-09-20 14:12 -------- d-----w- c:\dokumente und einstellungen\nie\Anwendungsdaten\Microsoft Web Folders
2009-09-20 06:46 . 2009-09-24 22:08 -------- d-----w- C:\BJPrinter
2009-09-20 06:46 . 2004-08-16 20:00 7680 ----a-w- c:\windows\system32\CNMVS6z.DLL
2009-09-20 06:46 . 2004-08-16 20:00 116736 ----a-w- c:\windows\system32\CNMLM6z.DLL
2009-09-20 06:46 . 2008-04-13 18:45 15104 ----a-w- c:\windows\system32\drivers\usbscan.sys
2009-09-20 06:42 . 2009-09-20 06:42 -------- d-----w- c:\dokumente und einstellungen\nie\Anwendungsdaten\ScanSoft
2009-09-20 06:42 . 2009-09-20 06:42 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\SSScanWizard
2009-09-20 06:42 . 2009-09-20 06:42 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\SSScanAppDataDir
2009-09-20 06:42 . 2009-09-20 06:42 -------- d-----w- c:\programme\Gemeinsame Dateien\ScanSoft Shared
2009-09-20 06:42 . 2009-09-20 06:42 -------- d-----w- c:\programme\ScanSoft
2009-09-20 06:41 . 2004-07-09 05:31 81920 ----a-w- c:\windows\system32\CNCSIF60.DLL
2009-09-20 06:41 . 2004-07-09 05:31 110592 ----a-w- c:\windows\system32\CNCSDO60.DLL
2009-09-20 06:41 . 2004-07-09 05:31 77824 ----a-w- c:\windows\system32\CNCSCM60.DLL
2009-09-20 06:41 . 2004-07-09 05:31 81920 ----a-w- c:\windows\system32\CNCSTR60.DLL
2009-09-20 06:41 . 2004-07-09 05:31 98304 ----a-w- c:\windows\system32\CNCSUT60.DLL
2009-09-20 06:41 . 2002-05-24 03:04 389180 ----a-w- c:\windows\system32\UCS32P.DLL
2009-09-20 06:41 . 2004-07-09 05:33 49152 ----a-w- c:\windows\system32\cncisco.dll
2009-09-20 06:41 . 2004-07-09 05:25 69632 ----a-w- c:\windows\system32\CNCL750.DLL
2009-09-20 06:41 . 2004-07-09 05:25 561152 ----a-w- c:\windows\system32\CNCC750.DLL
2009-09-20 06:41 . 2004-07-09 05:24 90112 ----a-w- c:\windows\system32\CNCI750.DLL
2009-09-20 06:41 . 2009-09-20 06:41 -------- d-----w- C:\CanonMP
2009-09-20 06:39 . 2009-09-20 21:11 -------- d-----w- c:\windows\StartHtmico
2009-09-20 06:39 . 2009-09-20 21:11 -------- d-----w- c:\windows\MP780,750
2009-09-20 06:38 . 2009-09-20 06:44 -------- d-----w- c:\programme\Canon
2009-09-20 06:34 . 1997-08-25 11:55 1045776 ------w- c:\windows\system32\msjet35.dll
2009-09-20 06:34 . 1997-01-12 22:00 37136 ------w- c:\windows\system32\Msjint35.dll
2009-09-20 06:34 . 1996-12-02 16:44 251664 ------w- c:\windows\system32\msrd2x35.dll
2009-09-20 06:34 . 1997-08-25 11:55 407312 ------w- c:\windows\system32\msrepl35.dll
2009-09-20 06:34 . 1996-12-02 16:44 24336 ------w- c:\windows\system32\msjter35.dll
2009-09-20 06:34 . 1996-11-08 00:48 368912 ------w- c:\windows\system32\vbar332.dll
2009-09-20 06:34 . 2009-09-20 06:34 -------- d-----w- c:\programme\ODBC-DAO-RDO
2009-09-20 06:34 . 1996-12-04 22:00 77824 ------w- c:\windows\system32\Odbctl32.dll
2009-09-20 06:34 . 1998-01-23 10:22 304128 ----a-w- c:\windows\IsUninst.exe
2009-09-20 06:34 . 2009-09-20 06:34 -------- d-----w- c:\dokumente und einstellungen\nie\WINDOWS
2009-09-20 06:33 . 2009-09-20 06:49 -------- d-----w- c:\programme\Top25 V1
2009-09-20 06:33 . 1998-11-17 12:44 328704 ----a-w- c:\windows\IsUn0407.exe
2009-09-19 19:02 . 2009-09-23 15:52 -------- d-----w- C:\wiederherstellung
2009-09-19 18:26 . 2009-09-19 18:26 971168 ----a-w- c:\windows\system32\drivers\tdrpm140.sys
2009-09-19 18:26 . 2009-09-19 18:26 540000 ----a-w- c:\windows\system32\drivers\timntr.sys
2009-09-19 18:26 . 2009-09-19 18:26 44704 ----a-w- c:\windows\system32\drivers\tifsfilt.sys
2009-09-19 18:26 . 2009-09-19 18:26 134272 ----a-w- c:\windows\system32\drivers\snman380.sys
2009-09-19 18:26 . 2009-09-19 19:24 -------- d-----w- c:\programme\Acronis
2009-09-19 18:26 . 2009-09-19 18:26 -------- d-----w- c:\programme\Gemeinsame Dateien\Acronis
2009-09-19 18:05 . 2009-09-27 18:18 65800 ----a-w- c:\windows\system32\GDIPFONTCACHEV1.DAT
2009-09-19 16:52 . 2009-09-19 16:52 -------- d-----w- c:\windows\system32\XPSViewer
2009-09-19 16:52 . 2009-09-19 16:52 -------- d-----w- c:\programme\MSBuild
2009-09-19 16:52 . 2009-09-19 16:52 -------- d-----w- c:\programme\Reference Assemblies
2009-09-19 16:52 . 2008-07-06 12:06 89088 -c----w- c:\windows\system32\dllcache\filterpipelineprintproc.dll
2009-09-19 16:52 . 2008-07-06 12:06 117760 ------w- c:\windows\system32\prntvpt.dll
2009-09-19 16:52 . 2008-07-06 10:50 597504 -c----w- c:\windows\system32\dllcache\printfilterpipelinesvc.exe
2009-09-19 16:52 . 2008-07-06 12:06 575488 -c----w- c:\windows\system32\dllcache\xpsshhdr.dll
2009-09-19 16:52 . 2008-07-06 12:06 575488 ------w- c:\windows\system32\xpsshhdr.dll
2009-09-19 16:52 . 2008-07-06 12:06 1676288 -c----w- c:\windows\system32\dllcache\xpssvcs.dll
2009-09-19 16:52 . 2008-07-06 12:06 1676288 ------w- c:\windows\system32\xpssvcs.dll
2009-09-19 16:50 . 2009-09-19 16:50 -------- d-----w- c:\programme\MSXML 6.0
2009-09-18 17:20 . 2009-09-18 17:20 56 ---ha-w- c:\windows\system32\ezsidmv.dat
2009-09-18 17:20 . 2009-09-27 17:24 -------- d-----w- c:\dokumente und einstellungen\nie\Anwendungsdaten\skypePM
2009-09-18 17:19 . 2009-09-27 17:57 -------- d-----w- c:\dokumente und einstellungen\nie\Anwendungsdaten\Skype
2009-09-18 17:17 . 2009-09-18 17:17 -------- d-----w- c:\programme\Gemeinsame Dateien\Skype
2009-09-18 17:17 . 2009-09-18 17:17 -------- d-----r- c:\programme\Skype
2009-09-18 17:17 . 2009-09-18 17:17 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Skype
2009-09-18 10:31 . 2009-09-18 10:31 -------- d-----w- c:\dokumente und einstellungen\nie\Lokale Einstellungen\Anwendungsdaten\Opera

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-09-24 12:59 . 2009-09-18 05:20 -------- d-----w- c:\programme\Java
2009-09-22 14:45 . 2004-08-10 19:00 84478 ----a-w- c:\windows\system32\perfc007.dat
2009-09-22 14:45 . 2004-08-10 19:00 459096 ----a-w- c:\windows\system32\perfh007.dat
2009-09-20 14:17 . 2009-09-18 05:23 -------- d-----w- c:\programme\microsoft frontpage
2009-09-18 05:40 . 2009-09-18 05:40 136 ----a-w- c:\dokumente und einstellungen\nie\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat
2009-09-18 05:20 . 2009-09-18 05:20 -------- d-----w- c:\programme\Gemeinsame Dateien\Java
2009-09-18 05:15 . 2009-09-18 05:15 -------- d-----w- c:\programme\Online-Dienste
2009-09-18 05:14 . 2009-09-18 05:14 -------- d-----w- c:\programme\Gemeinsame Dateien\Dienste
2009-09-18 05:13 . 2009-09-18 05:13 21740 ----a-w- c:\windows\system32\emptyregdb.dat
2009-09-18 05:12 . 2009-09-18 05:12 -------- d-----w- c:\programme\Windows Plus
2009-09-17 23:35 . 2009-09-17 23:35 9388 ----a-w- c:\windows\system32\drivers\iaStor.PNF
2009-09-17 23:35 . 2009-09-17 23:35 7280 ----a-w- c:\windows\system32\drivers\viamraid.PNF
2009-09-17 23:35 . 2009-09-17 23:35 6984 ----a-w- c:\windows\system32\drivers\SiSRaid.PNF
2009-09-17 23:35 . 2009-09-17 23:35 63240 ----a-w- c:\windows\system32\drivers\Si3112r.PNF
2009-09-17 23:35 . 2009-09-17 23:35 20152 ----a-w- c:\windows\system32\drivers\INFCACHE.1
2009-09-17 23:35 . 2009-09-17 23:35 12432 ----a-w- c:\windows\system32\drivers\adpu320.PNF
2009-09-17 23:35 . 2009-09-17 23:35 12204 ----a-w- c:\windows\system32\drivers\nvraid.PNF
2009-09-17 23:35 . 2009-09-17 23:35 10828 ----a-w- c:\windows\system32\drivers\iaAHCI.PNF
2009-08-05 08:59 . 2004-08-10 19:00 206336 ----a-w- c:\windows\system32\mswebdvd.dll
2009-07-29 04:34 . 2004-08-10 19:00 81920 ----a-w- c:\windows\system32\fontsub.dll
2009-07-29 04:34 . 2004-08-10 19:00 119808 ----a-w- c:\windows\system32\t2embed.dll
2009-07-17 19:01 . 2004-08-10 19:00 58880 ----a-w- c:\windows\system32\atl.dll
2009-07-13 08:08 . 2004-08-10 19:00 286720 ----a-w- c:\windows\system32\wmpdxm.dll
2009-07-03 16:55 . 2004-08-10 19:00 915456 ----a-w- c:\windows\system32\wininet.dll
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Skype"="c:\programme\Skype\Phone\Skype.exe" [2009-09-02 25623336]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ehTray"="c:\windows\ehome\ehtray.exe" [2005-08-05 64512]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"OpwareSE2"="c:\programme\ScanSoft\OmniPageSE2.0\OpwareSE2.exe" [2003-05-08 49152]
"OPSE reminder"="c:\programme\ScanSoft\OmniPageSE2.0\EregGer\Ereg.exe" [2003-07-07 729088]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-27 35696]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-09-24 149280]
"RTHDCPL"="RTHDCPL.EXE" - c:\windows\RTHDCPL.EXE [2006-08-23 16050688]
"SkyTel"="SkyTel.EXE" - c:\windows\SkyTel.exe [2006-05-16 2879488]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\nie\Startmen�\Programme\Autostart\
OpenOffice.org 3.1.lnk - c:\programme\OpenOffice.org 3\program\quickstart.exe [2009-8-18 384000]

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk
backup=c:\windows\pss\Microsoft Office.lnkCommon Startup

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=

R0 snapman380;Acronis Snapshots Manager (Build 380);c:\windows\system32\drivers\snman380.sys [19.09.2009 20:26 134272]
R0 tdrpman140;Acronis Try&Decide and Restore Points filter (build 140);c:\windows\system32\drivers\tdrpm140.sys [19.09.2009 20:26 971168]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [18.09.2009 08:02 108289]

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}]
"c:\windows\system32\rundll32.exe" "c:\windows\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-09-27 20:26
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10c.exe,-101"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\Elevation]
"Enabled"=dword:00000001

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10c.exe"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}]
@Denied: (A 2) (Everyone)
@="IFlashBroker3"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(840)
c:\windows\system32\Ati2evxx.dll
.
Zeit der Fertigstellung: 2009-09-27 20:27
ComboFix-quarantined-files.txt 2009-09-27 18:27

Vor Suchlauf: 9 Verzeichnis(se), 254.944.428.032 Bytes frei
Nach Suchlauf: 12 Verzeichnis(se), 254.990.254.080 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Windows XP Media Center Edition" /noexecute=optin /fastdetect /usepmtimer

249 --- E O F --- 2009-09-21 07:50

Zitat:

Da der Virus erstmal restlos weg sein sollte, dazu das cofi-Protokoll.

Er ist tatsächlich komplett weg. Viele Entfernungsprogramme löschen nur die Dateien und lassen die ganzen Regeinträge stehen.

Bei dir sind nur einige gesperrte Regeinträge zu sehen. Script bastel ich dir, sobald die Scanner durch sind.

1.) Überprüfe den Rechner mit PrevXCSI. Poste ein Screenshot falls etwas gefunden werden sollte oder poste Namen und Pfade.

2.) Panda Active Scan

Folgende Seite führt dich durch die Installation: PandaActiveScan2.0 Installation

Drücke auf Jetzt Scannen!

Eine Registrierung ist nicht erforderlich!

Nachdem der Scan abgeschlossen ist drücke auf das Text-Icon Export und speichere das log auf dem Desktop.
Öffne die Datei ActiveScan.txt die sich nun auf deinem Desktop befindet und poste uns den Inhalt.

ciao, andreas

Hallo John.Doe,
danke für die Unterstützung. Ja, auf C: ist der Kido wohl weg. Hatte ich mit KK.exe und MS malicious software removal tool hingekriegt. Anschliessend bin ich mit CCleaner drüber. Siehe unten.
Aber im Recycler auf J: (ext. Festplatte) ist noch diese Dropper- jwgkvsq.vmx. Die kriege ich nicht weg. Hast Du eine Idee?

Ansonsten: Kann ich die externen Festplatten jetzt wieder anhängen und einschalten? (J: war gerad schon dran)?

Scans folgen gleich.

Waren denn die externen Laufwerke nicht angeschlossen als ComboFix lief? Deshalb habe ich das eigentlich gemacht.

Poste die genauen Pfade der Dateien.

ciao, andreas

Hallo andreas,
sorry das mit dem an- und abstecken hatte ich völlig missverstanden.

Die .vmx ist auf J:/recycler/S-5-3-... Avira findet sie, der xp-explorer nicht.

Prevx meldet, das System sei clean (bei angeschlossenem J, Panda läuft noch.

Panda wird den finden, dann habe ich den genauen Pfad. Mit ComboFix und Script wird der dann gelöscht.

ciao, andreas