verschwundene jpg-dateien

#1 bei mir sind mysteriöserweise meine fotos (jpg-dateien) verschwunden, und ich finde sie nicht mehr. arbeite mit dem camedia-master und weiß nicht ob es ein virus ist oder nicht! verschiedenste vieren-programme finden nichts, hab schon online-scans probiert und alles mögliche! außerdem erkennt er keine word und excel, etc. dateien mehr. bräuchte die fotos dringend wieder, weiß aber nicht wie! hat jemand eine ahnung was das sein könnte und wenn es ein virus ist, welcher? bitte um tipps und hilfe! DANKE!!

#2 Was bedeutet: erkennt keine word oder excel Dateien mehr? Das bedeutet, das du auch aus word oder Excel heraus keine Dokumente mehr oeffnen kannst, oder das beim anklicken Word oder Excel nicht mehr gestartet werden?

Poste mal ein Hijackthis log. Da kamm man dann mehr sehen.
http://mjc1.com/mirror/hjt/ dort die Datei herunterladen, entpacken, die exe starten, scan druecken, save log druecken, danach den Inhalt des Aufpopenden Editors in eine Antwort hineinkopieren.( Da sollte ich mal ein Makro fuer anlegen!)
__________
MfG Ralf
SEO-Spam Hunter

#3 doch, ich kann word-dateien noch öffnen, nur das symbol sieht aus, als ob dieses programm nicht vorhanden wäre (weißes zeichen)... ich hab keine ahnung was das ist! bin leider selbst auch nicht wirklich ein computerspezialist!!
hab gemacht, was du mir geraten hast: mein save log:


ogfile of HijackThis v1.97.7
Scan saved at 20:06:48, on 23.11.03
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCEVTMGR.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\PROGRAMME\NORTON ANTIVIRUS\ADVTOOLS\NPROTECT.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\ATICWD32.EXE
C:\WINDOWS\SYSTEM\ATITASK.EXE
C:\PROGRAMME\WINAMP3\WINAMPA.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCAPP.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\DESKTOP\HIJACKTHIS.EXE

F1 - win.ini: run=hpfsched
O2 - BHO: (no name) - {AEFAD0E2-D9B5-11D7-B476-00E0981647A7} - C:\WINDOWS\SYSTEM\JWCLRJ.DLL
O2 - BHO: MyWay Search Assistant BHO - {04079851-5845-4dea-848C-3ECD647AA554} - C:\PROGRAMME\MYWAY\SRCHASTT\1.BIN\MYSRCHAS.DLL (file missing)
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [IrMon] IrMon.exe
O4 - HKLM\..\Run: [AtiCwd32] Aticwd32.exe
O4 - HKLM\..\Run: [AtiKey] Atitask.exe
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [KAZAA] C:\PROGRAMME\KAZAA\KAZAA.EXE /SYSTRAY
O4 - HKLM\..\Run: [LOAD32] C:\WINDOWS\SYSTEM\Lorena.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp3\winampa.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\ADVTOOLS\ADVCHK.EXE
O4 - HKLM\..\Run: [NPROTECT] C:\PROGRA~1\NORTON~1\ADVTOOLS\NPROTECT.EXE
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [ccEvtMgr] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe"
O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Programme\Gemeinsame Dateien\Symantec Shared\Script Blocking\SBServ.exe" -reg
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] C:\WINDOWS\SYSTEM\mstask.exe
O4 - HKLM\..\RunServices: [NPROTECT] C:\PROGRA~1\NORTON~1\ADVTOOLS\NPROTECT.EXE
O4 - HKCU\..\Run: [Morpheus] C:\PROGRAMME\STREAMCAST\MORPHEUS\Morpheus.exe -min
O12 - Plugin for .png: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin4.dll
O12 - Plugin for .mid: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin2.dll
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://housecall.trendmicro-europe.com/housecall/Xscan53.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/SSC/SharedContent/common/bin/cabsa.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/SSC/SharedContent/vc/bin/AvSniff.cab
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 140.78.2.62,140.78.2.62

#4 Also du scheinst ein Wurmproblem zu haben. Lorena.exe scheint eine[url=http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_MAPSON.C&VSect=T]mapson Variante[/url] zu sein. Du koenntest ja mal folgendes von Hijackthis "fix"en lassen:
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [KAZAA] C:\PROGRAMME\KAZAA\KAZAA.EXE /SYSTRAY
O4 - HKLM\..\Run: [LOAD32] C:\WINDOWS\SYSTEM\Lorena.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp3\winampa.exe"
O4 - HKCU\..\Run: [Morpheus] C:\PROGRAMME\STREAMCAST\MORPHEUS\Morpheus.exe -min
O2 - BHO: (no name) - {AEFAD0E2-D9B5-11D7-B476-00E0981647A7} - C:\WINDOWS\SYSTEM\JWCLRJ.DLL
O2 - BHO: MyWay Search Assistant BHO - {04079851-5845-4dea-848C-3ECD647AA554} - C:\PROGRAMME\MYWAY\SRCHASTT\1.BIN\MYSRCHAS.DLL (file missing)

Nach einem Neustart bitte die lorena.exe und die JWCLRJ.DLL verschieben oder loeschen. Danach poste einmal ein neues Log.
__________
MfG Ralf
SEO-Spam Hunter

#5 ok, werd das machen, aber wohin soll ich die beiden denn hinverschieben??
danke danke, hoffe es klappt!!

#6 Pcke sie halt in ein leeres Verzeichniss und schaue ob nach dem Neustart alles wieder funktioniert. Nicht, das du die Dateien nachher doch noch brauchst!
Du kannst sie ja auch mal hier testen und sagen, ob es wirklich ein Wurm war: http://www.kaspersky.com/remoteviruschk.html
__________
MfG Ralf
SEO-Spam Hunter

#7 hmm, hab gemacht was du gesagt hast, also die einen mit dem "fix checked" und dann neu gestartet und hab dann die lorena.exe und jwclrj.dll nicht mehr gefunden!! aber funktionieren tut noch nichts!! meine fotos sind auch nicht wieder da! hab das log nochmal gemacht:

Logfile of HijackThis v1.97.7
Scan saved at 20:57:08, on 23.11.03
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCEVTMGR.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\PROGRAMME\NORTON ANTIVIRUS\ADVTOOLS\NPROTECT.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\ATICWD32.EXE
C:\WINDOWS\SYSTEM\ATITASK.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCAPP.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\DESKTOP\HIJACKTHIS.EXE

F1 - win.ini: run=hpfsched
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [IrMon] IrMon.exe
O4 - HKLM\..\Run: [AtiCwd32] Aticwd32.exe
O4 - HKLM\..\Run: [AtiKey] Atitask.exe
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\ADVTOOLS\ADVCHK.EXE
O4 - HKLM\..\Run: [NPROTECT] C:\PROGRA~1\NORTON~1\ADVTOOLS\NPROTECT.EXE
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [ccEvtMgr] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe"
O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Programme\Gemeinsame Dateien\Symantec Shared\Script Blocking\SBServ.exe" -reg
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] C:\WINDOWS\SYSTEM\mstask.exe
O4 - HKLM\..\RunServices: [NPROTECT] C:\PROGRA~1\NORTON~1\ADVTOOLS\NPROTECT.EXE
O12 - Plugin for .png: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin4.dll
O12 - Plugin for .mid: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin2.dll
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://housecall.trendmicro-europe.com/housecall/Xscan53.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/SSC/SharedContent/common/bin/cabsa.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/SSC/SharedContent/vc/bin/AvSniff.cab
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 140.78.2.62,140.78.2.62

versuch jetzt die internetadresse die du oben geschrieben hast, mal schaun was da rauskommt!!
grüße

#8 Ja, das ist wichtig. Es kann gut sein, das sich noch mehrere infizierte Dateien in deinen "shared folders" befinden. Aber ein auf dem neusten Stand gehaltenes Norton(2003, 2004) sollte den Wurm finden koennen.
__________
MfG Ralf
SEO-Spam Hunter

#9 hallo!
funktioniert leider nichts, weiß nicht mehr was ich noch tun soll! hätte den norton 2003 eigentlich drauf, aber der findet nichts bzw. da kommt beim aufmachen die meldung, dass mein system einen kritischen zustand aufweist ... aber so wirklich was finden tut er auch nicht! habt ihr noch irgendwelche tipps für mich!
danke!

#10 Dumme Frage, aber hast du die Dateien mal mit Hilfe der Windowssuche gesucht?
__________
MfG Ralf
SEO-Spam Hunter

#11 :-) ok, die frage ist logisch.... aber ja, habs schon versucht in allen variationen = er findet andere .jpg dateien aber nicht meine fotos. das ist ja das komische daran, andere jpg's sind da, nur meine fotos nicht! weiß natürlich nicht ob ALLE da sind, aber einige doch...
grüße

#12 Vielleicht wars auch en Trojaner der dir deine Fotos geklaut hat.
Nur ne Vermutung mit Sachen Viren + Trojanern denk ich binst du bei Raman
gut beraten ;-)

MFG

DAFRA

P.s.
@ Raman: Mich fastziniert es immer dass du alle Beiträge nur mit Hijackthis log auswertest;-)
Respekt......

#13 Hijackthis bietet dir halt alle informationen die du brauchst, vom Betriebssystem angefangen bis hin zu den Plugins vom Internetexplorer. Man braucht dazu nicht mal unbedingt einen Virenscanner, bzw. zu wissen, wie genau die Malware nun heisst.

Was es einem leider nicht sagt ist, wo die Fotos sind, bzw. ob sie irgendwie geloescht wurden.
__________
MfG Ralf
SEO-Spam Hunter