Benutzerordner gelöscht, Daten auf einmal weg

[remcidy-paddy]

Hallo, ich hab eben ein Spiel gespielt.. ( )
Danach fiel mir auf, dass meine Schnellstart(symbol)leiste in der Taskbar fehltt.
Dann fiel mir auf, dass der Ordner Bilder auf einmal "Pictures" hieß.
Alle Bilder sind weg, ebenso meine Videos und alles andere was in dem User Ordner war.. (Dokumente, Favoriten,...)
Sogar im Firefox sind meine Lesezeichen weg, Addons fehlen, Skin ist der alte.
Der Browser ist sozusagen in den Auslieferungszustand zurückgesetzt.

Woran liegt soetwas?
Habe leider nur einen einzigen Systemwiederherstellungspunkt, der immerhin das Problem mit der Taskbar beheben konnte.

Verdammt
Alle Bilder und Videos weg, das kann doch nich sein..

Ergänzung (22. Juni 2009)

Gerade fiel mir auf, dass der Inhalt eines Ordners auf dem Desktop ebenfalls weg ist oO

 

[meister2]

Könnte eine fiese Schadsoftware sein.
Hast du irgendwas (das Spiel?) aus den Netz gezogen?

Sonst mal schauen ob die Dateien evt versteckt sind.
Ansicht -> alle Dateien anzeigen.

 

[amd_24]

Das hört sich nach Malware an, wie der User vor mir bereits erwähnt. So etwas passiert nicht von sich, versteht sich. Mache Mal eine Virensuche (evtl. sogar besser eine Bootzeit-Virensuche), falls du was findest, wäre das aufschlussreich.


So etwas ist auch der Grund, warum ich mir direkt nach Installation des OS ein Backup der Partition erstelle.

MfG

 

[remcidy-paddy]

Nein, versteckt sind sie nicht, sonst wären ja nicht auf einmal ein paar GB mehr Platz auf C: -.-
Das ist ja das schlimmste.

Zum Spiel.
Illegal ausm Netz ist es nicht, war damals ein Abklatsch von GTA:SA.
Hatte es schon desöfteren installiert und bisher gab es auch eigentlich keine Probleme.

 

[Browny-te quila]

Iwelche anderen Programme installiert ?
Scan am besten mal mit Malwarebytes und hijack this.

Edit : Die Daten sind ja bestimmt net überschrieben , also kannst du die vllt mit i-nem tool zumindest teilweise wiederherstellen.

 

[remcidy-paddy]

Programmvorschläge zur Wiederherstellung?
Hm habe ein neueres Kaspersky gestern oder vorgestern installiert.
Ich vermute, dass es an einem Programm liegt, dass zum Modding von GTA diente. :/
Scanne gleich mal. :/

 

[meister2]

Am besten jetzt keine neuen Programme mehr installieren.

Dann mit Datenrettungssoftware nach gelöschten Dateien suchen.
Z.B. mit Recueva.

Aber wie gesagt, nix mehr auf der Platte machen.
Am besten ausbauen und extern an einen anderen Rechner hängen.

 

[Sgt.Speirs]

So etwas ist auch der Grund, warum ich mir direkt nach Installation des OS ein Backup der Partition erstelle.

Es ist auch sinnvoll, danach noch Backups von Daten und Betriebssystem zu machen

Ich würde erstmal den Rechner nach Malware und Viren überprüfen. Anschließend kannst du versuchen, deine Daten mit einer Datenrettungssoftware wiederherzustellen.

 

[remcidy-paddy]

Verdammt wie hidet man nochmal Inhalt?!

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:58:16, on 22.06.2009
Platform: Windows Vista SP2 (WinNT 6.00.1906)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\ROCCAT\Kone Mouse\KoneHID.EXE
C:\Program Files\Western Digital\WD Drive Manager\WDBtnMgrUI.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
E:\Programme\AeroShake\Aero_Shake_1.3.exe
E:\Programme\allsnap\allSnapW.exe
C:\Program Files\ROCCAT\Kone Mouse\osd.exe
C:\Program Files\Java\jre6\bin\javaw.exe
C:\Program Files\Mozilla Firefox\firefox.exe
D:\recover\HijackThis.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2010\klwtblfs.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - Default URLSearchHook is missing
O1 - Hosts: ::1 localhost
O2 - BHO: SnagIt Toolbar Loader - {00C6482D-C502-44C8-8409-FCE54AD9C208} - C:\Program Files\TechSmith\SnagIt 9\SnagItBHO.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2010\ievkbd.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: link filter bho - {E33CF602-D945-461A-83F0-819F76A199F8} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2010\klwtbbho.dll
O2 - BHO: SmartSelect - {F4971EE7-DAA0-4053-9964-665D8EE6A077} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll
O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - C:\Program Files\TechSmith\SnagIt 9\SnagItIEAddin.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [RtHDVCpl] C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe
O4 - HKLM\..\Run: [Skytel] C:\Program Files\Realtek\Audio\HDA\Skytel.exe
O4 - HKLM\..\Run: [CmUsbSound] RunDll32 cmcnfgu.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe"
O4 - HKLM\..\Run: [Kone] "C:\Program Files\ROCCAT\Kone Mouse\KoneHID.EXE"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [WD Drive Manager] C:\Program Files\Western Digital\WD Drive Manager\WDBtnMgrUI.exe
O4 - HKLM\..\Run: [avp] "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2010\avp.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O4 - Startup: Aero_Shake_1.3.lnk = E:\Programme\AeroShake\Aero_Shake_1.3.exe
O4 - Startup: allSnap.lnk = E:\Programme\allsnap\allSnapW.exe
O8 - Extra context menu item: An vorhandene PDF-Datei anfügen - res://C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Hinzufügen zu Anti-Banner - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2010\ie_banner_deny.htm
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Linkziel an vorhandene PDF-Datei anhängen - res://C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Linkziel in Adobe PDF konvertieren - res://C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: &Virtuelle Tastatur - {4248FE82-7FCB-46AC-B270-339F08212110} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2010\klwtbbho.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: Li&nks untersuchen - {CCF151D8-D089-449F-A5A4-D9909053F20F} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2010\klwtbbho.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O13 - Gopher Prefix:
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Program Files\Microsoft Office\Office12\GrooveSystemServices.dll
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~2\mzvkbd.dll,C:\PROGRA~1\KASPER~1\KASPER~2\mzvkbd3.dll,C:\PROGRA~1\KASPER~1\KASPER~2\kloehk.dll
O22 - SharedTaskScheduler: Windows DreamScene - {E31004D1-A431-41B8-826F-E902F9D95C81} - C:\Windows\System32\DreamScene.dll
O23 - Service: Kaspersky Internet Security (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2010\avp.exe
O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: getPlus(R) Helper - NOS Microsystems Ltd. - C:\Program Files\NOS\bin\getPlus_HelperSvc.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Nero\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\Windows\system32\IoctlSvc.exe
O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\Windows\system32\PnkBstrB.exe
O23 - Service: SBSD Security Center Service (SBSDWSCService) - Safer Networking Ltd. - C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe
O23 - Service: WD Drive Manager Service (WDBtnMgrSvc.exe) - WDC - C:\Program Files\Western Digital\WD Drive Manager\WDBtnMgrSvc.exe

--
End of file - 8518 bytes

Hab es schon auf der Herstellerpage auswerten lassen:
- AeroShake ist ein kleines Programm, welches ich bewusst installiert habe.
- javaw.exe gehört ebenfalls zu einem mir bekannten Programm.

Malwarebytes läuft.

Ergänzung (23. Juni 2009)

Ich habe mir vor kurzem eine Externe gekauft.
Hab dort alles wichtige gespeichert.
Nur diese verdammten Bilder/Videos hab ich bisher vergessen.

Ergänzung (23. Juni 2009)

Verdammt, muss ich jedes Bild einzeln auswählen?
Es wurden auf jeden Fall ein paar tausend gefunden.
Vielleicht lässt sich ja ein Großteil, oder zumindest die wichtigsten wiederherstellen.
Aber wie kann ich da mehrere auswählen?
Nutze das Programm, dass mir meister 2 empfohlen hatte, Recueva.

Edit. Habs endlich gefunden, Prozess läuft gerade .

Ergänzung (23. Juni 2009)

Kurze Zwischenmeldung:
Die Wiederherstellung dauert noch 10-20min, bisher sind schon einige wiederhergestellt.
Auf diese ganzen Wallpaper &Co kann ich auch noch verzichten, aber ich hoffe, dass die privaten Fotos wieder kommen :|

750MB sind es schon.. oO

Das Ergebnis der Malwarebytes-Suche poste ich gleich, wird aber wohl noch etwas dauern.

Ergänzung (23. Juni 2009)

- *Puh* Knapp 2500 Bilder nach Thema sortiert und in Ordner verpackt.

- Malwarebytes hat bisher 1 infiziertes Objekt gefunden, keine Ahnung wie lange die Suche noch braucht.
(Gibt ja nichtmal nen Fortschrittsbalken -.-)

 

[Browny-te quila]

Kann das Programm nur Fotos wiederherstellen ?
Poste am Ende vom Scan aufjedenfall was gefunden wurde mit genauem Namen.

 

[remcidy-paddy]

Nein, die meisten meiner Videos wurden auch wiederhergestellt.

Gerade fertig mit dem Scan:
Es wurde nichts gefunden, außer einer Datei, von der ich komischwerweise weiß, dass sie nicht schädlich ist. :/
Irgendworan muss es doch gelegen haben.
Spybot S&D hatte ich übigens auch schon erfolglos durchlaufen lassen.

Btw: Wie war nochmal die Adresse, wo man eine Datei online durch etliche Virenscanner jagen konnte?

 

[meister2]

Kann man z.B. bei Kaspersky

 

[Browny-te quila]

Ich kenn mal 2 Setien von der Sorte : Jotti und VirusTotal

 

[remcidy-paddy]

Virustotal, die meinte ich. ^^
Naja kann man nichts machen.
Aufgrund der Umstände lade ich gerade den Windows 7 RC und teste den mal, da ich spätestens morgen eh den PC platt machen werde.
Schicksal.. :/