verschwundene jpg-dateien |
||
---|---|---|
#0
| ||
23.11.2003, 17:37
xBxSx
zu Gast
|
#1
bei mir sind mysteriöserweise meine fotos (jpg-dateien) verschwunden, und ich finde sie nicht mehr. arbeite mit dem camedia-master und weiß nicht ob es ein virus ist oder nicht! verschiedenste vieren-programme finden nichts, hab schon online-scans probiert und alles mögliche! außerdem erkennt er keine word und excel, etc. dateien mehr. bräuchte die fotos dringend wieder, weiß aber nicht wie! hat jemand eine ahnung was das sein könnte und wenn es ein virus ist, welcher? bitte um tipps und hilfe! DANKE!!
|
|
|
||
23.11.2003, 19:15
Moderator
Beiträge: 7805 |
#2
Was bedeutet: erkennt keine word oder excel Dateien mehr? Das bedeutet, das du auch aus word oder Excel heraus keine Dokumente mehr oeffnen kannst, oder das beim anklicken Word oder Excel nicht mehr gestartet werden?
Poste mal ein Hijackthis log. Da kamm man dann mehr sehen. http://mjc1.com/mirror/hjt/ dort die Datei herunterladen, entpacken, die exe starten, scan druecken, save log druecken, danach den Inhalt des Aufpopenden Editors in eine Antwort hineinkopieren.( Da sollte ich mal ein Makro fuer anlegen!) __________ MfG Ralf SEO-Spam Hunter |
|
|
||
23.11.2003, 20:03
xBxSx
zu Gast
Themenstarter |
#3
doch, ich kann word-dateien noch öffnen, nur das symbol sieht aus, als ob dieses programm nicht vorhanden wäre (weißes zeichen)... ich hab keine ahnung was das ist! bin leider selbst auch nicht wirklich ein computerspezialist!!
hab gemacht, was du mir geraten hast: mein save log: ogfile of HijackThis v1.97.7 Scan saved at 20:06:48, on 23.11.03 Platform: Windows 98 SE (Win9x 4.10.2222A) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\MPREXE.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCEVTMGR.EXE C:\WINDOWS\SYSTEM\MSTASK.EXE C:\PROGRAMME\NORTON ANTIVIRUS\ADVTOOLS\NPROTECT.EXE C:\WINDOWS\EXPLORER.EXE C:\WINDOWS\TASKMON.EXE C:\WINDOWS\SYSTEM\SYSTRAY.EXE C:\WINDOWS\SYSTEM\ATICWD32.EXE C:\WINDOWS\SYSTEM\ATITASK.EXE C:\PROGRAMME\WINAMP3\WINAMPA.EXE C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCAPP.EXE C:\WINDOWS\SYSTEM\WMIEXE.EXE C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE C:\WINDOWS\SYSTEM\DDHELP.EXE C:\WINDOWS\DESKTOP\HIJACKTHIS.EXE F1 - win.ini: run=hpfsched O2 - BHO: (no name) - {AEFAD0E2-D9B5-11D7-B476-00E0981647A7} - C:\WINDOWS\SYSTEM\JWCLRJ.DLL O2 - BHO: MyWay Search Assistant BHO - {04079851-5845-4dea-848C-3ECD647AA554} - C:\PROGRAMME\MYWAY\SRCHASTT\1.BIN\MYSRCHAS.DLL (file missing) O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [IrMon] IrMon.exe O4 - HKLM\..\Run: [AtiCwd32] Aticwd32.exe O4 - HKLM\..\Run: [AtiKey] Atitask.exe O4 - HKLM\..\Run: [LoadQM] loadqm.exe O4 - HKLM\..\Run: [KAZAA] C:\PROGRAMME\KAZAA\KAZAA.EXE /SYSTRAY O4 - HKLM\..\Run: [LOAD32] C:\WINDOWS\SYSTEM\Lorena.exe O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp3\winampa.exe" O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\ADVTOOLS\ADVCHK.EXE O4 - HKLM\..\Run: [NPROTECT] C:\PROGRA~1\NORTON~1\ADVTOOLS\NPROTECT.EXE O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe" O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\RunServices: [ccEvtMgr] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe" O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Programme\Gemeinsame Dateien\Symantec Shared\Script Blocking\SBServ.exe" -reg O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\RunServices: [SchedulingAgent] C:\WINDOWS\SYSTEM\mstask.exe O4 - HKLM\..\RunServices: [NPROTECT] C:\PROGRA~1\NORTON~1\ADVTOOLS\NPROTECT.EXE O4 - HKCU\..\Run: [Morpheus] C:\PROGRAMME\STREAMCAST\MORPHEUS\Morpheus.exe -min O12 - Plugin for .png: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin4.dll O12 - Plugin for .mid: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin2.dll O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://housecall.trendmicro-europe.com/housecall/Xscan53.cab O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/SSC/SharedContent/common/bin/cabsa.cab O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/SSC/SharedContent/vc/bin/AvSniff.cab O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 140.78.2.62,140.78.2.62 |
|
|
||
23.11.2003, 20:26
Moderator
Beiträge: 7805 |
#4
Also du scheinst ein Wurmproblem zu haben. Lorena.exe scheint eine[url=http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_MAPSON.C&VSect=T]mapson Variante[/url] zu sein. Du koenntest ja mal folgendes von Hijackthis "fix"en lassen:
O4 - HKLM\..\Run: [LoadQM] loadqm.exe O4 - HKLM\..\Run: [KAZAA] C:\PROGRAMME\KAZAA\KAZAA.EXE /SYSTRAY O4 - HKLM\..\Run: [LOAD32] C:\WINDOWS\SYSTEM\Lorena.exe O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp3\winampa.exe" O4 - HKCU\..\Run: [Morpheus] C:\PROGRAMME\STREAMCAST\MORPHEUS\Morpheus.exe -min O2 - BHO: (no name) - {AEFAD0E2-D9B5-11D7-B476-00E0981647A7} - C:\WINDOWS\SYSTEM\JWCLRJ.DLL O2 - BHO: MyWay Search Assistant BHO - {04079851-5845-4dea-848C-3ECD647AA554} - C:\PROGRAMME\MYWAY\SRCHASTT\1.BIN\MYSRCHAS.DLL (file missing) Nach einem Neustart bitte die lorena.exe und die JWCLRJ.DLL verschieben oder loeschen. Danach poste einmal ein neues Log. __________ MfG Ralf SEO-Spam Hunter |
|
|
||
23.11.2003, 20:40
xBxSx
zu Gast
Themenstarter |
#5
ok, werd das machen, aber wohin soll ich die beiden denn hinverschieben??
danke danke, hoffe es klappt!! |
|
|
||
23.11.2003, 20:44
Moderator
Beiträge: 7805 |
#6
Pcke sie halt in ein leeres Verzeichniss und schaue ob nach dem Neustart alles wieder funktioniert. Nicht, das du die Dateien nachher doch noch brauchst!
Du kannst sie ja auch mal hier testen und sagen, ob es wirklich ein Wurm war: http://www.kaspersky.com/remoteviruschk.html __________ MfG Ralf SEO-Spam Hunter |
|
|
||
23.11.2003, 20:54
xBxSx
zu Gast
Themenstarter |
#7
hmm, hab gemacht was du gesagt hast, also die einen mit dem "fix checked" und dann neu gestartet und hab dann die lorena.exe und jwclrj.dll nicht mehr gefunden!! aber funktionieren tut noch nichts!! meine fotos sind auch nicht wieder da! hab das log nochmal gemacht:
Logfile of HijackThis v1.97.7 Scan saved at 20:57:08, on 23.11.03 Platform: Windows 98 SE (Win9x 4.10.2222A) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\MPREXE.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCEVTMGR.EXE C:\WINDOWS\SYSTEM\MSTASK.EXE C:\PROGRAMME\NORTON ANTIVIRUS\ADVTOOLS\NPROTECT.EXE C:\WINDOWS\EXPLORER.EXE C:\WINDOWS\TASKMON.EXE C:\WINDOWS\SYSTEM\SYSTRAY.EXE C:\WINDOWS\SYSTEM\ATICWD32.EXE C:\WINDOWS\SYSTEM\ATITASK.EXE C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCAPP.EXE C:\WINDOWS\SYSTEM\WMIEXE.EXE C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE C:\WINDOWS\DESKTOP\HIJACKTHIS.EXE F1 - win.ini: run=hpfsched O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [IrMon] IrMon.exe O4 - HKLM\..\Run: [AtiCwd32] Aticwd32.exe O4 - HKLM\..\Run: [AtiKey] Atitask.exe O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\ADVTOOLS\ADVCHK.EXE O4 - HKLM\..\Run: [NPROTECT] C:\PROGRA~1\NORTON~1\ADVTOOLS\NPROTECT.EXE O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe" O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\RunServices: [ccEvtMgr] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe" O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Programme\Gemeinsame Dateien\Symantec Shared\Script Blocking\SBServ.exe" -reg O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\RunServices: [SchedulingAgent] C:\WINDOWS\SYSTEM\mstask.exe O4 - HKLM\..\RunServices: [NPROTECT] C:\PROGRA~1\NORTON~1\ADVTOOLS\NPROTECT.EXE O12 - Plugin for .png: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin4.dll O12 - Plugin for .mid: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin2.dll O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://housecall.trendmicro-europe.com/housecall/Xscan53.cab O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/SSC/SharedContent/common/bin/cabsa.cab O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/SSC/SharedContent/vc/bin/AvSniff.cab O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 140.78.2.62,140.78.2.62 versuch jetzt die internetadresse die du oben geschrieben hast, mal schaun was da rauskommt!! grüße |
|
|
||
23.11.2003, 21:19
Moderator
Beiträge: 7805 |
#8
Ja, das ist wichtig. Es kann gut sein, das sich noch mehrere infizierte Dateien in deinen "shared folders" befinden. Aber ein auf dem neusten Stand gehaltenes Norton(2003, 2004) sollte den Wurm finden koennen.
__________ MfG Ralf SEO-Spam Hunter |
|
|
||
24.11.2003, 22:52
xBxSx
zu Gast
Themenstarter |
#9
hallo!
funktioniert leider nichts, weiß nicht mehr was ich noch tun soll! hätte den norton 2003 eigentlich drauf, aber der findet nichts bzw. da kommt beim aufmachen die meldung, dass mein system einen kritischen zustand aufweist ... aber so wirklich was finden tut er auch nicht! habt ihr noch irgendwelche tipps für mich! danke! |
|
|
||
25.11.2003, 12:08
Moderator
Beiträge: 7805 |
#10
Dumme Frage, aber hast du die Dateien mal mit Hilfe der Windowssuche gesucht?
__________ MfG Ralf SEO-Spam Hunter |
|
|
||
25.11.2003, 19:01
xBxSx
zu Gast
Themenstarter |
#11
:-) ok, die frage ist logisch.... aber ja, habs schon versucht in allen variationen = er findet andere .jpg dateien aber nicht meine fotos. das ist ja das komische daran, andere jpg's sind da, nur meine fotos nicht! weiß natürlich nicht ob ALLE da sind, aber einige doch...
grüße |
|
|
||
25.11.2003, 20:45
Member
Beiträge: 1122 |
#12
Vielleicht wars auch en Trojaner der dir deine Fotos geklaut hat.
Nur ne Vermutung mit Sachen Viren + Trojanern denk ich binst du bei Raman gut beraten ;-) MFG DAFRA P.s. @ Raman: Mich fastziniert es immer dass du alle Beiträge nur mit Hijackthis log auswertest;-) Respekt...... |
|
|
||
25.11.2003, 21:00
Moderator
Beiträge: 7805 |
#13
Hijackthis bietet dir halt alle informationen die du brauchst, vom Betriebssystem angefangen bis hin zu den Plugins vom Internetexplorer. Man braucht dazu nicht mal unbedingt einen Virenscanner, bzw. zu wissen, wie genau die Malware nun heisst.
Was es einem leider nicht sagt ist, wo die Fotos sind, bzw. ob sie irgendwie geloescht wurden. __________ MfG Ralf SEO-Spam Hunter |
|
|
||