Vista: Nach Virus W32/Sality.AO fehlen einige exe-Dateien wegen Vierenscanner

Du willst doch nicht wirklich mit einem solchen System weiter arbeiten? Was dir die Antivirensoftware anzeigt ist vielleicht nur der Teil den der Virus dir anzeigen möchte. Daneben sind vielleicht noch 500 Dateien betroffen auf denen er fröhlich weiter wirkt. Das einzig Richtige ist Daten zu sichern und dann das System neu zu machen. Dann die gesicherten Daten auf Viren prüfen und zurück kopieren. Anschließend vom sauberen System eine Kopie ziehen (ein Image erstellen z.B. mit Trueimage).

Was ist das für eine Frage? Natürlich will ich das. Ich habe die Platte scannen lassen und dann nochmal an einem anderen Rechner mit einer CD gebootet um nochmal zu scannen. Da man auf CD bekanntlich nicht schreiben kann ist der Rechner Vierenfrei hochgefahren.Es wurden keine mehr gefunden. Das System läuft nun 2 Tage fehlerfrei, bis auf die paar Dateien. Ich habe genug Praxis um zu wissen was ich tue. Das ist schließlich mein Beruf. Ich habe nur grad keinen vergleichbaren Rechner zur Hand um die fehlenden Dateien zu holen. Abgesehen davon sind da ca. 5TB an Daten drauf (Kundendaten) welche erhalten bleiben müssen. Der Virus kamm mir kurz vor der Datensicherung in die quere.

Kann mir nun jemand helfen?

Ich weiss zwar nicht warum das Thema hierher geschoben wurde weil es nicht um einen vorhandenen Virus geht sondern um normale fehlende Dateien, aber egal. Hauptsache es hilft mir jemand die Dateien aufzutreiben und alles wird gut.

>>> Vista reparieren <<<

Danke für den Tip. Habe ich schon versucht, nach einer halben Stunde teilt er mir mit das keine Fehler gefunden wurden. Ich denke mal das wenn überhaupt nach fehlenden Dateien gesucht wird, dann sicher nur die nötigsten. Jedenfalls ignoriert er die fehlenden Dateien. Das beste wäre wenn mir jemand die angegebenen Dateien schickt oder bei Rapidshare oder andere hochlädt.

Ohje Ohje, ich rate dir hier zu formatieren. Du glaubst du hast keine Schädlinge mehr drauf ?? Sorry da muss ich leider lachen.

Wir können es versuchen, aber ne Garantie dass alles wieder okay ist nachher wirst du nicht haben!!

Ladt dir Hijackthis runter und erstelle damit ein Logfile. Anleitung siehe hier:
Anleitung Hijackthis

Außerdem mache einen Scan mit Malwarebytes, lasse alle Funde löschen und Poste den Report hier:

Anleitung:
Anleitung Malwarebytes

Und zum guten schluss auch Combofix benutzen und Logfile posten!!
Combofix

Das Programm hab ich schon durchlaufen lassen.
hier Hijackthis log:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:21:10, on 24.06.2009
Platform: Windows Vista SP2 (WinNT 6.00.1906)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\PROGRAM FILES\PANDA SECURITY\PANDA ANTIVIRUS PRO 2009\WebProxy.exe
C:\WINDOWS\SYSTEM32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Acronis\TrueImageHome\TrueImageMonitor.exe
C:\Program Files\zoneLINK\MultiCore Optimizer\MultiCoreOptimizer.exe
C:\Program Files\Visagesoft\eXPert PDF 5\vspdfprsrv.exe
C:\Program Files\Lexmark 9300 Series\lxcqmon.exe
C:\Program Files\Lexmark 9300 Series\ezprint.exe
C:\Program Files\Unlocker\UnlockerAssistant.exe
C:\Program Files\Panda Security\Panda Antivirus Pro 2009\ApVxdWin.exe
C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\Program Files\Common Files\LightScribe\LightScribeControlPanel.exe
C:\Program Files\Aqua Computer\aquasuite\aquasuite.exe
C:\Program Files\Logitech\SetPoint\SetPoint.exe
C:\Program Files\Common Files\Logishrd\KHAL2\KHALMNPR.EXE
C:\Program Files\Mozilla Thunderbird 3 Beta 1\thunderbird.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Skype\Plugin Manager\skypePM.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://nurago29.pop-hannover.net/gacela2/gacela2_pilot0903/autoproxyconfig.php?id=10901&type=IE&version=2.1.16
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Gacela2 - {4BEEA052-726D-4A6E-B65D-A6BD07C263F3} - C:\Program Files\Gacela\Gacela2.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O3 - Toolbar: Gacela - {5F6E2508-41C4-4D4B-8AC3-D7ED6E4EB2AE} - C:\Program Files\Gacela\Gacela2.dll
O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Program Files\Acronis\TrueImageHome\TrueImageMonitor.exe
O4 - HKLM\..\Run: [zoneLINK MultiCore Optimizer] "C:\Program Files\zoneLINK\MultiCore Optimizer\MultiCoreOptimizer.exe" -TRAY
O4 - HKLM\..\Run: [vspdfprsrv.exe] C:\Program Files\Visagesoft\eXPert PDF 5\vspdfprsrv.exe --background
O4 - HKLM\..\Run: [lxcqmon.exe] "C:\Program Files\Lexmark 9300 Series\lxcqmon.exe"
O4 - HKLM\..\Run: [EzPrint] "C:\Program Files\Lexmark 9300 Series\ezprint.exe"
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Program Files\Unlocker\UnlockerAssistant.exe"
O4 - HKLM\..\Run: [LXCQCATS] rundll32 C:\Windows\system32\spool\DRIVERS\W32X86\3\LXCQtime.dll,_RunDLLEntry@16
O4 - HKLM\..\Run: [APVXDWIN] "C:\Program Files\Panda Security\Panda Antivirus Pro 2009\APVXDWIN.EXE" /s
O4 - HKLM\..\Run: [SCANINICIO] "C:\Program Files\Panda Security\Panda Antivirus Pro 2009\Inicio.exe"
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [RtHDVCpl] C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [LightScribe Control Panel] C:\Program Files\Common Files\LightScribe\LightScribeControlPanel.exe -hidden
O4 - Global Startup: aquasuite.lnk = ?
O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\SetPoint.exe
O4 - Global Startup: Mozilla Firefox.lnk = C:\Program Files\Mozilla Firefox\firefox.exe
O4 - Global Startup: Mozilla Thunderbird.lnk = C:\Program Files\Mozilla Thunderbird 3 Beta 1\thunderbird.exe
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {4BEEA052-726D-4A6E-B65D-A6BD07C263F3} - C:\Program Files\Gacela\Gacela2.dll
O9 - Extra 'Tools' menuitem: Über Gacela - {4BEEA052-726D-4A6E-B65D-A6BD07C263F3} - C:\Program Files\Gacela\Gacela2.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1239114705665
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O18 - Protocol: vw-wi - {0F3C833F-FB28-40EA-8CB9-6A55B996C3F6} - C:\ElsaWin\bin\wiProt.dll
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Program Files\Common Files\Acronis\Schedule2\schedul2.exe
O23 - Service: Ati External Event Utility - Unknown owner - C:\Windows\system32\Ati2evxx.exe (file missing)
O23 - Service: Autodata Limited License Service - Autodata Limited - C:\Program Files\Common Files\Autodata Limited Shared\Service\ADCDLicSvc.exe
O23 - Service: cyberJack PC/SC COM Service  (cjpcsc) - REINER SCT - C:\Windows\system32\cjpcsc.exe
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Program Files\Common Files\logishrd\Bluetooth\LBTServ.exe
O23 - Service: ELSA Administration Service (LcSvrAdm) - Volkswagen AG - C:\ElsaWin\bin\LcSvrAdm.exe
O23 - Service: ELSA Auftragsverwaltungs Service (LcSvrAuf) - Volkswagen AG - C:\ElsaWin\bin\LcSvrAuf.exe
O23 - Service: ELSA DBA Server (LcSvrDba) - Volkswagen AG - C:\ElsaWin\bin\LcSvrDba.exe
O23 - Service: ELSA Historie Server (LcSvrHis) - Volkswagen AG - C:\ElsaWin\bin\LcSvrHis.exe
O23 - Service: ELSA PASS Server (LcSvrPAS) - Volkswagen AG - C:\ElsaWin\bin\LcSvrPas.exe
O23 - Service: ELSA APOSpro Server (LcSvrSaz) - Volkswagen AG - C:\ElsaWin\bin\LcSvrSaz.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: lxcq_device -   - C:\Windows\system32\lxcqcoms.exe
O23 - Service: NDAS Service (ndassvc) - XIMETA, Inc. - C:\Program Files\NDAS\System\ndassvc.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Nero\Lib\NMIndexingService.exe
O23 - Service: Nurago-Reporting-Service - nurago GmbH - C:\Program Files\Gacela\Nurago-Reporting.exe
O23 - Service: Nurago-Update-Service - Nurago GmbH  - C:\Program Files\Gacela\Nurago-Updater.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
O23 - Service: Panda Software Controller - Panda Security, S.L. - C:\Program Files\Panda Security\Panda Antivirus Pro 2009\PsCtrls.exe
O23 - Service: Panda Function Service (PAVFNSVR) - Panda Security, S.L. - C:\Program Files\Panda Security\Panda Antivirus Pro 2009\PavFnSvr.exe
O23 - Service: Panda Process Protection Service (PavPrSrv) - Panda Security, S.L. - C:\Program Files\Common Files\Panda Security\PavShld\pavprsrv.exe
O23 - Service: Panda On-Access Anti-Malware Service (PAVSRV) - Panda Security, S.L. - C:\Program Files\Panda Security\Panda Antivirus Pro 2009\pavsrvx86.exe
O23 - Service: PLFlash DeviceIoControl Service - Unknown owner - C:\Program Files\Nero\Nero BackItUp 4\IoctlSvc.exe (file missing)
O23 - Service: Panda Host Service (PSHost) - Panda Software International - c:\program files\panda security\panda antivirus pro 2009\firewall\PSHOST.EXE
O23 - Service: Panda IManager Service (PSIMSVC) - Panda Security S.L. - C:\Program Files\Panda Security\Panda Antivirus Pro 2009\PsImSvc.exe
O23 - Service: Panda PSK service (PskSvcRetail) - Panda Security, S.L. - C:\Program Files\Panda Security\Panda Antivirus Pro 2009\PskSvc.exe
O23 - Service: Set Clock Service 2.0 (SetClockService) - Aqua Computer - C:\Program Files\Aqua Computer\aquasuite\SetClockService.exe
O23 - Service: StarMoney 7.0 OnlineUpdate - Star Finanz - Software Entwicklung und Vertriebs GmbH - C:\Program Files\StarMoney 7.0\ouservice\StarMoneyOnlineUpdate.exe
O23 - Service: Panda TPSrv (TPSrv) - Panda Security, S.L. - C:\Program Files\Panda Security\Panda Antivirus Pro 2009\TPSrv.exe
O23 - Service: @%SystemRoot%\System32\TuneUpDefragService.exe,-1 (TuneUp.Defrag) - TuneUp Software - C:\Windows\System32\TuneUpDefragService.exe
O23 - Service: @%SystemRoot%\System32\TUProgSt.exe,-1 (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\Windows\System32\TUProgSt.exe
O23 - Service: XAMPP Service (XAMPP) - Unknown owner - c:\xampp\service.exe (file missing)

--
End of file - 9413 bytes
 

voll zugemüllt , sonst aber nichts entdeckt ..
file missing <<< TEILE mal fixen mit HJT ....

Warte mal ab.....

Malwarebytes ....Vor SCAN erst Update machen ....

voll zugemüllt , sonst aber nichts entdeckt ..
file missing <<< TEILE mal fixen mit HJT ....

Warte mal ab.....

Malwarebytes ....Vor SCAN erst Update machen ....

Zugemüllt würde ich nicht sagen. Sind alles sachen womit ich regelmäßig arbeite. Die fehlende Datei ganz unten ist eine die der Panda-AV gelöscht hat. Deinstalliert ist schon, nur der eintrag ist noch übrig. Den lösche ich gleich, ist mir gar nicht aufgefallen.

O23 - Service: XAMPP Service (XAMPP) - Unknown owner - c:\xampp\service.exe (file missing)
der ist schädlich.
O23 - Service: @%SystemRoot%\System32\TuneUpDefragService.exe,-1 (TuneUp.Defrag) - TuneUp Software - C:\Windows\System32\TuneUpDefragService.exe
O23 - Service: @%SystemRoot%\System32\TUProgSt.exe,-1 (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\Windows\System32\TUProgSt.exe
und die zwei nicht gut.
ist meine Meinung dazu...
von SP2 abgesehen (unverständlich)

Kann mir nun jemand mit Dateien helfen? Fehler sind nun behoben, Aber die fehlenden Dateien suche ich immernoch.

Antwort6 wurde nicht mal abgearbeitet..da fehlt doch noch was.
die fehlenden Dateien ersetzten 
viel Spaß  

O23 - Service: XAMPP Service (XAMPP) - Unknown owner - c:\xampp\service.exe (file missing)
der ist schädlich.
O23 - Service: @%SystemRoot%\System32\TuneUpDefragService.exe,-1 (TuneUp.Defrag) - TuneUp Software - C:\Windows\System32\TuneUpDefragService.exe
O23 - Service: @%SystemRoot%\System32\TUProgSt.exe,-1 (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\Windows\System32\TUProgSt.exe
und die zwei nicht gut.
ist meine Meinung dazu...

c:\xampp\service.exe ist doch nicht mehr da. Also auch nicht mehr schädlich, da Panda-AV diese ja als infiziert gelöscht hat. Was Tuneup betrifft, die Dateien sind nicht schädlich sondern nützlich. Die gehören zum frei im Laden käuflichen TuneUP Utilities. Die sind zumindest zuverlässiger als einige Windows-gegenstücke.

Antwort6 wurde nicht mal abgearbeitet..da fehlt doch noch was.
die fehlenden Dateien ersetzten 
viel Spaß  

Malwarebytes läuft noch.Wenns fertig ist stell ich es hier rein.
Eine Neuinstallation ist nunmal keine Option für mich. Was ist also verkehrt daran den Schaden zu reparieren indem die fehlen Dateien ersetzt? Es geht hier nicht um einen Spielerechner mit 1-2 Spielständen.....
Ich bin hier weil ich konkrete Hilfe suche und nicht um mein System zu killen. Wenn ich neuinstallieren wollte oder könnte hätte ich nicht gefragt. Wie das geht weiss ich da ich IT-Systemelktroniker bin und weiss wie das geht. Ich hab nur keinen Rechner frei um die fehlenden Sachen runterzukopieren.