Virenbefall kein Datenzugriff mehr möglich

Mighty Survivor

Cadet 3rd Year
Registriert
Jan. 2006
Beiträge
37
Hallo liebe CB Gemeinde,

Mein PC wurde meiner meinung nach von einem Virus/Malware infiziert.
Jedenfalls bin ich nicht mehr Herr über meinen Computer. Eigentlich möchte ich jetzt nur meine Daten sichern und alles plattmachen + Neuinstallation. Habe übrigens Windows 7 64 bit Home Edition.

Die Probleme fingen an als ich mir im Internet eine Episode der Serie Jersey Shore angucken wollte. Während des Abspielens kam irgendeine Fehlermeldung , die ich aber nicht wegklicken konnte. Nach mehrmaligen Versuchen das Fenster zu schließen startete das System schließlich neu. Während des Bootvorgangs konnte ich nichts verdächtiges erkennen, allerdings startete sich als der Desktop erschien ein Pseudo Antiviren/Defragmentierungs Tool was eifrig damit anfing mein system zu scanne, was ich auch nicht abbrechen konnte. Ab hier war mir klar das ich mir was ernsthaftes eingefangen habe ... Das Programm empfahl mir dann meine Platte zu defragmentieren. Habe es dann über den Taskmanager beendet, woraufhin mein Destop Hintergrund schwarz wurde und sämtliche Dateien auf dem Desktop verschwanden. Außerdem kann ich nun nicht mehr auf meine Daten zugreifen. Gelöscht sind sie aber nicht da die Festplatte immer noch genauso voll ist wie vorher und ich bspweise über den windows media player meine musik abspielen kann.

Habe Antivir und Spybot durchlaufen lassen wurden auch einige Sachen erkannt und entfernt.

Hier mal ein Report:

Versionsinformationen:
BUILD.DAT : 10.0.0.635 31822 Bytes 07.03.2011 12:02:00
AVSCAN.EXE : 10.0.3.5 435368 Bytes 30.11.2010 17:12:38
AVSCAN.DLL : 10.0.3.0 56168 Bytes 30.11.2010 17:13:00
LUKE.DLL : 10.0.3.2 104296 Bytes 30.11.2010 17:12:46
LUKERES.DLL : 10.0.0.0 13672 Bytes 14.01.2010 10:59:47
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 08:05:36
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 21:20:31
VBASE002.VDF : 7.11.3.0 1950720 Bytes 09.02.2011 00:50:42
VBASE003.VDF : 7.11.3.1 2048 Bytes 09.02.2011 00:50:42
VBASE004.VDF : 7.11.3.2 2048 Bytes 09.02.2011 00:50:42
VBASE005.VDF : 7.11.3.3 2048 Bytes 09.02.2011 00:50:42
VBASE006.VDF : 7.11.3.4 2048 Bytes 09.02.2011 00:50:42
VBASE007.VDF : 7.11.3.5 2048 Bytes 09.02.2011 00:50:42
VBASE008.VDF : 7.11.3.6 2048 Bytes 09.02.2011 00:50:42
VBASE009.VDF : 7.11.3.7 2048 Bytes 09.02.2011 00:50:42
VBASE010.VDF : 7.11.3.8 2048 Bytes 09.02.2011 00:50:42
VBASE011.VDF : 7.11.3.9 2048 Bytes 09.02.2011 00:50:42
VBASE012.VDF : 7.11.3.10 2048 Bytes 09.02.2011 00:50:42
VBASE013.VDF : 7.11.3.59 157184 Bytes 14.02.2011 15:27:39
VBASE014.VDF : 7.11.3.97 120320 Bytes 16.02.2011 15:27:40
VBASE015.VDF : 7.11.3.148 128000 Bytes 19.02.2011 00:11:26
VBASE016.VDF : 7.11.3.183 140288 Bytes 22.02.2011 01:06:23
VBASE017.VDF : 7.11.3.216 124416 Bytes 24.02.2011 01:06:23
VBASE018.VDF : 7.11.3.251 159232 Bytes 28.02.2011 19:16:09
VBASE019.VDF : 7.11.4.33 148992 Bytes 02.03.2011 19:16:09
VBASE020.VDF : 7.11.4.73 150016 Bytes 06.03.2011 10:41:14
VBASE021.VDF : 7.11.4.108 122880 Bytes 08.03.2011 11:12:05
VBASE022.VDF : 7.11.4.150 133120 Bytes 10.03.2011 11:12:05
VBASE023.VDF : 7.11.4.183 122368 Bytes 14.03.2011 23:35:48
VBASE024.VDF : 7.11.4.228 123392 Bytes 16.03.2011 21:48:43
VBASE025.VDF : 7.11.5.8 246272 Bytes 21.03.2011 21:48:44
VBASE026.VDF : 7.11.5.38 137216 Bytes 23.03.2011 21:48:44
VBASE027.VDF : 7.11.5.82 151552 Bytes 27.03.2011 21:48:44
VBASE028.VDF : 7.11.5.122 154112 Bytes 30.03.2011 12:48:07
VBASE029.VDF : 7.11.5.123 2048 Bytes 30.03.2011 12:48:07
VBASE030.VDF : 7.11.5.124 2048 Bytes 30.03.2011 12:48:07
VBASE031.VDF : 7.11.5.168 150528 Bytes 01.04.2011 20:06:36
Engineversion : 8.2.4.192
AEVDF.DLL : 8.1.2.1 106868 Bytes 30.11.2010 17:12:35
AESCRIPT.DLL : 8.1.3.57 1261947 Bytes 27.03.2011 21:48:49
AESCN.DLL : 8.1.7.2 127349 Bytes 30.11.2010 17:12:34
AESBX.DLL : 8.1.3.2 254324 Bytes 30.11.2010 17:12:34
AERDL.DLL : 8.1.9.9 639347 Bytes 27.03.2011 21:48:48
AEPACK.DLL : 8.2.4.13 524662 Bytes 27.03.2011 21:48:48
AEOFFICE.DLL : 8.1.1.18 205178 Bytes 27.03.2011 21:48:47
AEHEUR.DLL : 8.1.2.91 3387767 Bytes 27.03.2011 21:48:47
AEHELP.DLL : 8.1.16.1 246134 Bytes 05.02.2011 17:36:19
AEGEN.DLL : 8.1.5.3 397684 Bytes 27.03.2011 21:48:45
AEEMU.DLL : 8.1.3.0 393589 Bytes 30.11.2010 17:12:29
AECORE.DLL : 8.1.19.2 196983 Bytes 05.02.2011 17:36:19
AEBB.DLL : 8.1.1.0 53618 Bytes 30.11.2010 17:12:29
AVWINLL.DLL : 10.0.0.0 19304 Bytes 30.11.2010 17:12:39
AVPREF.DLL : 10.0.0.0 44904 Bytes 30.11.2010 17:12:38
AVREP.DLL : 10.0.0.8 62209 Bytes 17.06.2010 13:26:53
AVREG.DLL : 10.0.3.2 53096 Bytes 30.11.2010 17:12:38
AVSCPLR.DLL : 10.0.3.2 84328 Bytes 30.11.2010 17:12:39
AVARKT.DLL : 10.0.22.6 231784 Bytes 30.11.2010 17:12:36
AVEVTLOG.DLL : 10.0.0.8 203112 Bytes 30.11.2010 17:12:37
SQLITE3.DLL : 3.6.19.0 355688 Bytes 17.06.2010 13:27:02
AVSMTP.DLL : 10.0.0.17 63848 Bytes 30.11.2010 17:12:39
NETNT.DLL : 10.0.0.0 11624 Bytes 17.06.2010 13:27:01
RCIMAGE.DLL : 10.0.0.26 2550120 Bytes 28.01.2010 12:10:08
RCTEXT.DLL : 10.0.58.0 98152 Bytes 30.11.2010 17:13:01

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: avguard_async_scan
Konfigurationsdatei...................: C:\ProgramData\Avira\AntiVir Desktop\TEMP\AVGUARD_4dc2c6f0\guard_slideup.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: reparieren
Sekundäre Aktion......................: quarantäne
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: aus
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: aus
Suche nach Rootkits...................: aus
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: hoch

Beginn des Suchlaufs: Freitag, 1. April 2011 22:11

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'opera.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AdobeARM.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nusb3mon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'fdm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvSCPAPISvr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PnkBstrA.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'XSrvSetup.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ESSVR.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CTAudSvc.exe' - '1' Modul(e) wurden durchsucht

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\Users\Timo\AppData\Local\Temp\setup1016165280.exe'
C:\Users\Timo\AppData\Local\Temp\setup1016165280.exe
[FUND] Ist das Trojanische Pferd TR/Kazy.17412
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48fa90d1.qua' verschoben!
Beginne mit der Suche in 'C:\Users\Timo\AppData\Local\Temp\setup110343636.exe'
C:\Users\Timo\AppData\Local\Temp\setup110343636.exe
[FUND] Ist das Trojanische Pferd TR/Kazy.17412
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '506dbf76.qua' verschoben!
Beginne mit der Suche in 'C:\Users\Timo\AppData\Local\Temp\setup1361008064.exe'
C:\Users\Timo\AppData\Local\Temp\setup1361008064.exe
[FUND] Ist das Trojanische Pferd TR/Kazy.17412
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '0232e59e.qua' verschoben!
Beginne mit der Suche in 'C:\Users\Timo\AppData\Local\Temp\setup1484261904.exe'
C:\Users\Timo\AppData\Local\Temp\setup1484261904.exe
[FUND] Ist das Trojanische Pferd TR/Kazy.17412
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '6405aa5c.qua' verschoben!
Beginne mit der Suche in 'C:\Users\Timo\AppData\Local\Temp\setup1568917804.exe'
C:\Users\Timo\AppData\Local\Temp\setup1568917804.exe
[FUND] Ist das Trojanische Pferd TR/Kazy.17412
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '21818762.qua' verschoben!
Beginne mit der Suche in 'C:\Users\Timo\AppData\Local\Temp\setup1740472552.exe'
C:\Users\Timo\AppData\Local\Temp\setup1740472552.exe
[FUND] Ist das Trojanische Pferd TR/Kazy.17412
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '5e9ab503.qua' verschoben!
Beginne mit der Suche in 'C:\Users\Timo\AppData\Local\Temp\setup1945956056.exe'
C:\Users\Timo\AppData\Local\Temp\setup1945956056.exe
[FUND] Ist das Trojanische Pferd TR/Kazy.17412
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '12229949.qua' verschoben!
Beginne mit der Suche in 'C:\Users\Timo\AppData\Local\Temp\setup2366581736.exe'
C:\Users\Timo\AppData\Local\Temp\setup2366581736.exe
[FUND] Ist das Trojanische Pferd TR/Kazy.17412
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '6e3ad919.qua' verschoben!
Beginne mit der Suche in 'C:\Users\Timo\AppData\Local\Temp\setup3293866256.exe'
C:\Users\Timo\AppData\Local\Temp\setup3293866256.exe
[FUND] Ist das Trojanische Pferd TR/Kazy.17412
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4360f654.qua' verschoben!
Beginne mit der Suche in 'C:\Users\Timo\AppData\Local\Temp\setup3453857508.exe'
C:\Users\Timo\AppData\Local\Temp\setup3453857508.exe
[FUND] Ist das Trojanische Pferd TR/Kazy.17412
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '5a08cdce.qua' verschoben!
Beginne mit der Suche in 'C:\Users\Timo\AppData\Local\Temp\setup3484665312.exe'
C:\Users\Timo\AppData\Local\Temp\setup3484665312.exe
[FUND] Ist das Trojanische Pferd TR/Kazy.17412
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '3654e1fe.qua' verschoben!
Beginne mit der Suche in 'C:\Users\Timo\AppData\Local\Temp\setup3640933024.exe'
C:\Users\Timo\AppData\Local\Temp\setup3640933024.exe
[FUND] Ist das Trojanische Pferd TR/Kazy.17412
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47edd86b.qua' verschoben!
Beginne mit der Suche in 'C:\Users\Timo\AppData\Local\Temp\setup3647155120.exe'
C:\Users\Timo\AppData\Local\Temp\setup3647155120.exe
[FUND] Ist das Trojanische Pferd TR/Kazy.17412
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49f7e8ac.qua' verschoben!
Beginne mit der Suche in 'C:\Users\Timo\AppData\Local\Temp\setup374651872.exe'
C:\Users\Timo\AppData\Local\Temp\setup374651872.exe
[FUND] Ist das Trojanische Pferd TR/Kazy.17412
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '0cde91ee.qua' verschoben!
Beginne mit der Suche in 'C:\Users\Timo\AppData\Local\Temp\setup392003416.exe'
C:\Users\Timo\AppData\Local\Temp\setup392003416.exe
[FUND] Ist das Trojanische Pferd TR/Kazy.17412
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '05d59545.qua' verschoben!
Beginne mit der Suche in 'C:\Users\Timo\AppData\Local\Temp\setup474307036.exe'
C:\Users\Timo\AppData\Local\Temp\setup474307036.exe
[FUND] Ist das Trojanische Pferd TR/Kazy.17412
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '5d948c2c.qua' verschoben!
Beginne mit der Suche in 'C:\Users\Timo\AppData\Local\Temp\setup562566264.exe'
C:\Users\Timo\AppData\Local\Temp\setup562566264.exe
[FUND] Ist das Trojanische Pferd TR/Kazy.17412
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '7160f5e0.qua' verschoben!
Beginne mit der Suche in 'C:\Users\Timo\AppData\Local\Temp\setup885818540.exe'
C:\Users\Timo\AppData\Local\Temp\setup885818540.exe
[FUND] Ist das Trojanische Pferd TR/Kazy.17412
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4f9e953a.qua' verschoben!
Beginne mit der Suche in 'C:\Users\Timo\AppData\Roaming\Adobe\plugs\KB1212252.exe'
C:\Users\Timo\AppData\Roaming\Adobe\plugs\KB1212252.exe
[FUND] Ist das Trojanische Pferd TR/Kazy.17556.3
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '2f5dbe64.qua' verschoben!
Beginne mit der Suche in 'C:\Users\Timo\AppData\Roaming\Adobe\plugs\KB1212424.exe'
C:\Users\Timo\AppData\Roaming\Adobe\plugs\KB1212424.exe
[FUND] Ist das Trojanische Pferd TR/Kazy.17556.3
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '0995fe79.qua' verschoben!


Ende des Suchlaufs: Freitag, 1. April 2011 22:11
Benötigte Zeit: 00:03 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

0 Verzeichnisse wurden überprüft
35 Dateien wurden geprüft
20 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
20 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
15 Dateien ohne Befall
0 Archive wurden durchsucht
0 Warnungen
20 Hinweise







Möchte jetzt unbedingt mein System neu installieren . Komme aber nicht an meine Daten ran. Hier mal 2 Fotos:




Ich hoffe hier kann mir geholfen werden.
Schonmal vielen vielen Dank im Vorraus.
 

Anhänge

  • virus 1.png
    virus 1.png
    134,3 KB · Aufrufe: 234
  • virus 2.png
    virus 2.png
    137,7 KB · Aufrufe: 256
- Linux-Live-CD herunterladen
- auf CD brennen
- booten
- Daten auf externe Festplatte sichern
- Windows neu installieren
- Fertig ! :D
 
bau die festplatte aus und sicher die daten über einen adapter an einem anderen rechner. zur sicherheit am besten einen mit linux nehmen. danach die datensicherung auf viren überprüfen und die alte platte formatieren.

linux gibts auch als livesystem direkt von cd, damit kannst du die platte auch im rechner lassen. aber unbedingt danach unter windows den scan machen. dazu kannst du ein gastkonto benutzen, da sind die rechte deutlich eingeschränkt, falls sich doch noch was drauf befindet, was du nicht willst ;)

edit: wieder einer schneller ;)
 
Hey schonmal danke für die antworten. Das mit dem Datensichern verstehe ich nicht, ich kann ja nicht mehr auf meine Ordner wie eigene dateien usw zugreifen weil sie nicht mehr zu sehen sind ....
 
kannst du aber mit linux als live-cd. linux bindet die dateisysteme extra ein und liest deine interne platte wie eine externe
 
Systemwiederherstellung/Wiederherstellungszeitpunkt könnte helfen, somit werden die lästigen Programme gelöscht und das System so wiederhergestellt wie es am Tag x war. Einen Versuch ist es wert.
 
rebirther schrieb:
Systemwiederherstellung/Wiederherstellungszeitpunkt könnte helfen

Viren nutzen aber auch gern die Systemwiederherstellungsfiles um sich selbst wiederherzustellen, leider.
die Linux Methode scheint mir sinnvoll
 
Die Viren liegen bei ihm im Benutzerordner Users\Timo\AppData\Local\Temp

afaik speichert und restored die Systemwiederherstellung nur aus den Windows und Programmverzeichnissen.


Meine Meinung: Unbedingt plattmachen. Die gefundenen Trojaner sind auch nur die gefundenen Viren, möglich dass du noch mehr Schadprogramme auf dem System hast.
 
Sobald ich eine externe Festplatte habe werde ich die linux vorgehensweise ausprobieren, vielen dank für die schnelle hilfe. Systemwiederherstellung funktioniert leider nicht da ich keinen früheren Wiederherstellungspunkt als den Tag des Virenbefalls habe...
 
Viel Erfolg dabei, hatte selbst vor einiger Zeit das Vergnügen Bekanntschaft mit einem Virus zu machen. Hoffe für dich das der nicht deine Dateien verschlüsselt hat und du nur nach Zahlung eines bestimmten Geldbetrages wieder an deine Daten kommst - oder auch nicht :freak:

Die Idee mit der Linux Boot-CD scheint mir aber auch sehr sinnvoll zu sein! Falls das nicht klappt hilft dir evtl. noch folgende Anleitung zur Virenentfernung weiter.
 
Zurück
Oben