Avast WEBforum
Non-English Zone => Deutsch => Topic started by: LadyDy22 on March 07, 2013, 12:17:22 PM
-
Hallo liebe Community !!
Avast hat, aus welchem Grund auch immer, Daten in den Container geworfen, die definitiv nicht infiziert sind.
Wenn ich versuche, die Dateien aus dem Container wiederherzustellen, legt er mir aber nur Verknüpfungen ab.
Jetzt kommt meine Frage dazu: Wo legt Avast auf der Festplatte den Container ab? Kann man die Daten eventuell daraus "vernünftig" wiederherstellen?? Es funktioniert auch nicht mit der Funktion 2 aus Container extrahieren, um die Daten an anderer Stelle abzulegen. Auch da kommen nur Verknüpfungen zu Stande ...
Danke im Voraus für Eure Ideen und Antworten.
-
1. Avast hat, aus welchem Grund auch immer, Daten in den Container geworfen, die definitiv nicht infiziert sind.
2. Wenn ich versuche, die Dateien aus dem Container wiederherzustellen, legt er mir aber nur Verknüpfungen ab.
3. Jetzt kommt meine Frage dazu: Wo legt Avast auf der Festplatte den Container ab? Kann man die Daten eventuell daraus "vernünftig" wiederherstellen?
1. Um welche Daten handelt es sich..?? Evtl. ein Screenshot..??
2. Wie hast du das genau gemacht..??
3. Nein, die Daten werden verschlüsselt, sonst wäre der Container ja sinnlos.
Willkommen im Forum,
Asyn
-
Ich habe Avast geöffnet, bin dann auf den Container gegangen, habe die entsprechende markiert, dann per Rechtsklick auf Wiederherstellen bzw. auf "aus Container extrahieren", weil die wiederherstellung nicht geklappt hat. Es handelt sich um Dateien aus dem Wiso Steuersparbuch und eine Powerpoint-Präsentation meiner Tochter.
Die Dateien sind äußerst wichtig. Daher muss ich die irgendwie wieder zurück bekommen.
-
1. Kannst du bitte die Endungen (.xyz) der Dateien posten. (So, wie sie im Container dargestellt sind.)
2. Welche Bedrohung hat avast! gefunden..?? Bitte den genauen Namen posten.
-
Also die Bedrohung heißt Fake-Folder ... Das soll ein Trojaner sein. Über diesen finde ich aber so gut wie nichts im Internet ...
Die Dateien haben die Endung .ink
-
Die Dateien haben die Endung .ink
Nur zur Bestätigung: Bist du sicher, daß die Endung .ink ist und nicht .lnk..!?
-
Na klar ist es .lnk. Das habe ich eben beim genaueren Hinschauen gesehen ...
-
Na klar ist es .lnk. Das habe ich eben beim genaueren Hinschauen gesehen ...
Nun, dann ist eigentlich alles so wie es sein soll. ;)
Hast du noch weitere Fragen dazu..??
LG, Asyn
-
Ja hab ich. Wie bekomme ich die Daten jetzt wieder hergestellt? An dem eigentlichen Speicherort werden nur Verknüpfungen der richtigen Dateien abgelegt.
Und dann ist da ja noch die Frage, was der Trojaner Fake-Folder anrichtet, außer, dass auf externen Festplatten und USB-Sticks nichts mehr zu sehen ist.Im Explorer werden sie erkannt, es steht auch da, wieviel Speicher belegt ist, aber es ist nichts zu sehen.
Für Tipps in diese Richtung wäre ich sehr dankbar.
-
1. Ja hab ich. Wie bekomme ich die Daten jetzt wieder hergestellt? An dem eigentlichen Speicherort werden nur Verknüpfungen der richtigen Dateien abgelegt.
2. Und dann ist da ja noch die Frage, was der Trojaner Fake-Folder anrichtet, außer, dass auf externen Festplatten und USB-Sticks nichts mehr zu sehen ist. Im Explorer werden sie erkannt, es steht auch da, wieviel Speicher belegt ist, aber es ist nichts zu sehen. Für Tipps in diese Richtung wäre ich sehr dankbar.
1. ".lnk"-Dateien sind Verknüpfungen. Wenn die im Container sind, dann kann avast! auch nur ".lnk"-Dateien (Verknüpfungen) wiederherstellen.
2. Dafür brauchen wir deine Logs. Bitte folge dieser Anleitung: http://forum.avast.com/index.php?topic=102616.0
-
Hier sind die Logs:
# AdwCleaner v2.114 - Datei am 07/03/2013 um 19:01:10 erstellt
# Aktualisiert am 05/03/2013 von Xplode
# Betriebssystem : Windows 7 Ultimate Service Pack 1 (64 bits)
# Benutzer : Party Wolff - PARTYWOLFF-PC
# Bootmodus : Normal
# Ausgeführt unter : C:\Users\Party Wolff\Desktop\adwcleaner.exe
# Option [Löschen]
**** [Dienste] ****
***** [Dateien / Ordner] *****
Datei Gelöscht : C:\user.js
Datei Gelöscht : C:\Users\Party Wolff\AppData\Roaming\Mozilla\Firefox\Profiles\24dhtqo4.default\searchplugins\11-suche.xml
Datei Gelöscht : C:\Users\Party Wolff\AppData\Roaming\Mozilla\Firefox\Profiles\24dhtqo4.default\searchplugins\Conduit.xml
Ordner Gelöscht : C:\Program Files (x86)\Common Files\spigot
Ordner Gelöscht : C:\Program Files (x86)\Conduit
Ordner Gelöscht : C:\Program Files (x86)\Funmoods
Ordner Gelöscht : C:\Users\Party Wolff\AppData\Local\Conduit
Ordner Gelöscht : C:\Users\Party Wolff\AppData\LocalLow\Conduit
Ordner Gelöscht : C:\Users\Party Wolff\AppData\LocalLow\Funmoods
Ordner Gelöscht : C:\Users\Party Wolff\AppData\Roaming\Mozilla\Firefox\Profiles\24dhtqo4.default\ConduitCommon
Ordner Gelöscht : C:\Users\Party Wolff\AppData\Roaming\Mozilla\Firefox\Profiles\24dhtqo4.default\CT2736476
Ordner Gelöscht : C:\Users\Party Wolff\AppData\Roaming\Mozilla\Firefox\Profiles\24dhtqo4.default\extensions\{7e111a5c-3d11-4f56-9463-5310c3c69025}
Ordner Gelöscht : C:\Users\Party Wolff\AppData\Roaming\Mozilla\Firefox\Profiles\24dhtqo4.default\extensions\ffxtlbr@funmoods.com
Ordner Gelöscht : C:\Users\Party Wolff\AppData\Roaming\pdfforge
***** [Registrierungsdatenbank] *****
Schlüssel Gelöscht : HKCU\Software\AppDataLow\Software\Conduit
Schlüssel Gelöscht : HKCU\Software\AppDataLow\Software\ConduitSearchScopes
Schlüssel Gelöscht : HKCU\Software\AppDataLow\Software\PriceGong
Schlüssel Gelöscht : HKCU\Software\Funmoods
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{75EBB0AA-4214-4CB4-90EC-E3E07ECD04F7}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{A4C272EC-ED9E-4ACE-A6F2-9558C7F29EF3}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{75EBB0AA-4214-4CB4-90EC-E3E07ECD04F7}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{A4C272EC-ED9E-4ACE-A6F2-9558C7F29EF3}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{AFDBDDAA-5D3F-42EE-B79C-185A7020515B}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\{09C554C3-109B-483C-A06B-F14172F1A947}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\{4E1E9D45-8BF9-4139-915C-9F83CC3D5921}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\{960DF771-CFCB-4E53-A5B5-6EF2BBE6E706}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\{B12E99ED-69BD-437C-86BE-C862B9E5444D}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\{D7EE8177-D51E-4F89-92B6-83EA2EC40800}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\{EA28B360-05E0-4F93-8150-02891F1D8D3C}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\escort.DLL
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\escortApp.DLL
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\escortEng.DLL
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\escorTlbr.DLL
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\esrv.EXE
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\escort.escortIEPane
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\escort.escortIEPane.1
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\esrv.funmoodsESrvc
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\esrv.funmoodsESrvc.1
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\f
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\funmoods.dskBnd
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\funmoods.dskBnd.1
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\funmoods.funmoodsHlpr
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\funmoods.funmoodsHlpr.1
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\funmoodsApp.appCore
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\funmoodsApp.appCore.1
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\TypeLib\{11549FE4-7C5A-4C17-9FC3-56FC5162A994}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\TypeLib\{1D085C0A-E4F4-4F66-BDBF-4BE51015BFC3}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\TypeLib\{4E1E9D45-8BF9-4139-915C-9F83CC3D5921}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\TypeLib\{960DF771-CFCB-4E53-A5B5-6EF2BBE6E706}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\TypeLib\{D7EE8177-D51E-4F89-92B6-83EA2EC40800}
Schlüssel Gelöscht : HKLM\Software\Conduit
Schlüssel Gelöscht : HKLM\Software\Funmoods
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Tracing\FunmoodsSetup_RASAPI32
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Tracing\FunmoodsSetup_RASMANCS
Schlüssel Gelöscht : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{3C471948-F874-49F5-B338-4F214A2EE0B1}
Schlüssel Gelöscht : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{66EEF543-A9AC-4A9D-AA3C-1ED148AC8EEE}
Schlüssel Gelöscht : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{75A4D144-506D-4BE5-81DB-EC7DA1E7F840}
Schlüssel Gelöscht : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{75EBB0AA-4214-4CB4-90EC-E3E07ECD04F7}
Schlüssel Gelöscht : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{826D7151-8D99-434B-8540-082B8C2AE556}
Schlüssel Gelöscht : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{965B9DBE-B104-44AC-950A-8A5F97AFF439}
Schlüssel Gelöscht : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{A4C272EC-ED9E-4ACE-A6F2-9558C7F29EF3}
Schlüssel Gelöscht : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{A9DB719C-7156-415E-B49D-BAD039DE4F13}
Schlüssel Gelöscht : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{F03FD9D0-4F2B-497C-8A71-DD41D70B07D9}
Schlüssel Gelöscht : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{0D80F1C5-D17B-4177-AC68-955F3EF9F191}
Schlüssel Gelöscht : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{23C70BCA-6E23-4A65-AD2E-1389062074F1}
Schlüssel Gelöscht : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{23D8EEF7-0E13-4000-B9C4-6603C1E912D1}
Schlüssel Gelöscht : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{295CACB4-51F5-46FD-914E-C72BAAE1B672}
Schlüssel Gelöscht : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{2CE5C4B9-6DBE-4528-96FA-C9FF38EF1762}
Schlüssel Gelöscht : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{34C1FDF7-02C1-4F23-B393-F48B16E071D1}
Schlüssel Gelöscht : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{54291324-7A3D-4F11-B707-3FB6A2C97BD9}
Schlüssel Gelöscht : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{59C63F11-D4E5-46E7-9B8A-EE158DCA83A8}
Schlüssel Gelöscht : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{5DA22CBD-0029-4A09-B757-CF0FAFC488ED}
Schlüssel Gelöscht : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{66EEF543-A9AC-4A9D-AA3C-1ED148AC8EEE}
Schlüssel Gelöscht : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{77A6E7D4-4A83-4A9B-A2A0-EF3B125DC29D}
Schlüssel Gelöscht : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{C0585B2F-74D7-4734-88DE-6C150C5D4036}
Schlüssel Gelöscht : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{D8242E89-2F81-484A-AE5B-BA8CAD5B7347}
Schlüssel Gelöscht : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{EF0588D6-1621-4A75-B8BE-F4BC34794136}
Schlüssel Gelöscht : HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions\fdloijijlkoblmigdofommgnheckmaki
Schlüssel Gelöscht : HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{C87FC351-A80D-43E9-9A86-CF1E29DC443A}
Schlüssel Gelöscht : HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{AFDBDDAA-5D3F-42EE-B79C-185A7020515B}
Schlüssel Gelöscht : HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{75EBB0AA-4214-4CB4-90EC-E3E07ECD04F7}
Schlüssel Gelöscht : HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\Funmoods
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{0D80F1C5-D17B-4177-AC68-955F3EF9F191}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{23C70BCA-6E23-4A65-AD2E-1389062074F1}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{23D8EEF7-0E13-4000-B9C4-6603C1E912D1}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{295CACB4-51F5-46FD-914E-C72BAAE1B672}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{2CE5C4B9-6DBE-4528-96FA-C9FF38EF1762}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{34C1FDF7-02C1-4F23-B393-F48B16E071D1}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{54291324-7A3D-4F11-B707-3FB6A2C97BD9}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{59C63F11-D4E5-46E7-9B8A-EE158DCA83A8}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{5DA22CBD-0029-4A09-B757-CF0FAFC488ED}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{66EEF543-A9AC-4A9D-AA3C-1ED148AC8EEE}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{77A6E7D4-4A83-4A9B-A2A0-EF3B125DC29D}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{C0585B2F-74D7-4734-88DE-6C150C5D4036}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{D8242E89-2F81-484A-AE5B-BA8CAD5B7347}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{EF0588D6-1621-4A75-B8BE-F4BC34794136}
Wert Gelöscht : HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Toolbar [{A4C272EC-ED9E-4ACE-A6F2-9558C7F29EF3}]
-
Bitte die Logs als Anhang/Attachment posten..!!! Danke.
-
Bitte die Logs als Anhang/Attachment posten..!!! Danke.
o.k. sorry, hatte mich schon gewundert...gehen ja immer nur 10000 Zeichen ::)
-
Bitte die Logs als Anhang/Attachment posten..!!! Danke.
o.k. sorry, hatte mich schon gewundert...gehen ja immer nur 10000 Zeichen ::)
Kein Problem, steht allerdings alles in der Anleitung..!! ;)
-
hier nun die Logs...aber richtig ;D
LG
-
und die letzte Datei...
-
Frage: Verstehst du auch Englisch..??
-
Die Dateien haben die Endung .ink
Nur zur Bestätigung: Bist du sicher, daß die Endung .ink ist und nicht .lnk..!?
SORRY !!! Die Endungen heissen Ink. !!!
-
OK, und wie sieht's aus mit Englisch bei dir..??
-
Frage: Verstehst du auch Englisch..??
Warum ? Ja aber nicht fliessend :-[
-
Frage: Verstehst du auch Englisch..??
Warum ? Ja aber nicht fliessend :-[
Gut, mehr wollte ich nicht wissen.
Es kann jetzt etwas dauern, bitte um Geduld.
-
Sie das gesamte OTL-Log bitte anfügen könnte, da das Oberteil fehlt
Could you attach the entire OTL log please as the top part is missing
Isoliert Avast hat nur die Verbindungen? Oder ist es die gesamte ursprüngliche Datei
Avast has quarantined just the links ? Or is it the entire original file
- Download RogueKiller (http://www.sur-la-toile.com/RogueKiller/RogueKiller.exe) and save it on your desktop.
NOTE: If using IE8 or better Smartscreen Filter will need to be disabled
- Quit all programs
- Start RogueKiller.exe.
- Wait until Prescan has finished ...
- Click on Scan
(https://dl.dropbox.com/u/73555776/RKScan.GIF)
- Wait for the end of the scan.
- The report has been created on the desktop.
- Click on the Delete button.
(https://dl.dropbox.com/u/73555776/RKDelete.GIF)
- The report has been created on the desktop.
- Next click on the ShortcutsFix
(https://dl.dropbox.com/u/73555776/RKFixShortcuts.GIF)
- The report has been created on the desktop.
Please post: All RKreport.txt text files located on your desktop.
-
Sie das gesamte OTL-Log bitte anfügen könnte, da das Oberteil fehlt
Could you attach the entire OTL log please as the top part is missing
o.k.
Isoliert Avast hat nur die Verbindungen? Oder ist es die gesamte ursprüngliche Datei
Avast has quarantined just the links ? Or is it the entire original file
Die Original Daten waren auf einem USB Stick und avast hat direkt vom USB Stick isoliert, nur sind im Viren Container nur die Verknüpfungen, nicht die gesamte Datei
- Download RogueKiller (http://www.sur-la-toile.com/RogueKiller/RogueKiller.exe) and save it on your desktop.
NOTE: If using IE8 or better Smartscreen Filter will need to be disabled
- Quit all programs
- Start RogueKiller.exe.
- Wait until Prescan has finished ...
- Click on Scan
(https://dl.dropbox.com/u/73555776/RKScan.GIF)
- Wait for the end of the scan.
- The report has been created on the desktop.
- Click on the Delete button.
(https://dl.dropbox.com/u/73555776/RKDelete.GIF)
- The report has been created on the desktop.
- Next click on the ShortcutsFix
(https://dl.dropbox.com/u/73555776/RKFixShortcuts.GIF)
- The report has been created on the desktop.
Please post: All RKreport.txt text files located on your desktop.
in Arbeit
-
so...hier die neue OTL und der Bericht von RougeKiller
-
Ich sehe keine Anzeichen von Malware in diesem Stadium. Also muss ich tiefer schauen
I can see no sign of malware at this stage. So I will need to look deeper
Download and Install Combofix
Download ComboFix from one of the following locations:
Link 1 (http://download.bleepingcomputer.com/sUBs/ComboFix.exe)
Link 2 (http://www.forospyware.com/sUBs/ComboFix.exe)
VERY IMPORTANT !!! Save ComboFix.exe to your Desktop
* IMPORTANT - Disable your AntiVirus and AntiSpyware applications, usually via a right click on the System Tray icon. They may otherwise interfere with our tools. If you have difficulty properly disabling your protective programs, refer to this link here (http://forums.whatthetech.com/How_Disable_your_Security_Programs_t96260.html&pid=494216#entry494216)
- Double click on ComboFix.exe & follow the prompts.
- Accept the disclaimer and allow to update if it asks
(http://img.photobucket.com/albums/v706/ried7/NSIS_disclaimer_ENG.png)
(http://img.photobucket.com/albums/v706/ried7/NSIS_extraction.png)
- When finished, it shall produce a log for you.
- Please include the C:\ComboFix.txt in your next reply.[/b]
Notes:
1. Do not mouse-click Combofix's window while it is running. That may cause it to stall.
2. Do not "re-run" Combofix. If you have a problem, reply back for further instructions.
3. If after the reboot you get errors about programmes being marked for deletion then reboot, that will cure it.
Please make sure you include the combo fix log in your next reply as well as describe how your computer is running now
-
und hier die combofix...allerdings verlangte der Rechner keinen Neustart
-
Sieht aus wie alle Malware klar ist. Jetzt müssen wir Ihre Daten wiederherstellen. Könnten Sie Screenshot der Virus Brust zeigt die Dateien, denen Sie befürchten
Looks like all malware is clear. Now we need to recover your files. Could you screenshot the virus chest showing the files that you are concerned about