Supergau Datenverlust

1. offizieller Beitrag

    Hallo,
    ich hab ein echtes Problem. Meine Datenpartition hat sich gerade verabschiedet. Kurz vorher kam noch ne Warnung vom Virenscanner mit Malware. Und danach war sofort die Partiton leer - konnte gar nicht so schnell reagieren. Das wäre nicht so schlimm, wenn nicht meine Sicherungsplatte auch gerade am Rechner hing und auch die zeigt jetzt keine Dateien mehr an. Sie ist aber nicht leer. 300GB sind benutzt und Windows zeigt das auch so an. Ich hab noch nen FTP Server in Betrieb - doch dort ist die letzte gespiegelte SIcherung von Anfang Januar drauf. Ich könnt grad richtig kot*en... :evil::evil::evil::evil::evil::evil::evil::evil::evil::evil::evil::evil::evil::evil::evil::evil::evil::evil:


    Hab den Rechner erst mal ausgemacht und muss grad mal Luft holen. Schreibe grad vom Laptop aus! Jemand nen Tipp wie ich meine Daten rette oder sind die jetzt ganz weg?

    Ich würde folgendes versuchen: Zunächst von der Sicherungsfestplatte bzw. Datenpartition ein Image (gemeint ist ein Backup "Sektor für Sektor") erstellen, um auf jeden Fall den derzeitigen Zustand zu sichern. Dann mit Freeware-Datenrettungstools wie z. B. Recuva oder PC Inspektor File Recovery versuchen, die Daten zu retten. Diese Methode hat bei mir schon vielfach beim Wiederherstellen verlorener Daten auf SD-Karten geholfen.


    Falls nicht (nur) die Daten gelöscht wurden, sondern die Partition als solche beschädigt ist und deshalb die Dateien nicht mehr auslesbar sind, könnte Software wie Acronis Disk Director (keine Freeware - kann in einer Art Linux-Modus von einer CD gebootet werden) weiterhelfen, das über eine Funktion "Partition wiederherstellen" verfügt.


    Gruß
    Peter_Z


    (Ergänzt am 1.4.2012, 10:20)

    • Offizieller Beitrag

    Ich bin kein Spezialist. Wenn aber ein derart aggressiver Virus am Werk ist, würde ich die betroffenen Platten definitiv nur noch unter einem anderen Betriebssystem (Linux?!) in Betrieb nehmen und von dort aus Virenscanner und Datenrettungstools laufen lassen. Wenn Du kein Linuxsystem hast, versuch es mal mit einem bootbaren Rettungssystem. Der Ritter oder Waldbär oder einer von den anderen Linux-Spezis hier weiss da bestimmt was. Jedenfalls definitiv die Platten (alle) nicht mehr unter Windows anfahren.


    Und es tut mir leid, Andreas, dass Dein Posting nicht eine halbe Stunde jünger ist :-/


    PS: Jetzt bin ich grad echt froh, dass meine Sicherung sowieso schon auf einem Linuxsystem läuft. :shock:

    Ich hab den Rechner eben noch mal gestartet und ein Antivirenprogramm laufen lassen. Im Explorer werden keine Dateien auf dem Laufwerk angezeigt. Aber im Virenscanner scannt er gerade die Partition und zeigt dort im Fenster auch die Bilddateien an. Sind also noch irgendwie da.
    Ich habe als erstes mein NAS vom ganzen Netz getrennt. sicher ist sicher. Es werden übrigens keine Bedrohungen gefunden vom Virenscanner. :???:
    Ich kan auch die externe Festplatte nicht sichern, weil weder Ordner noch Dateien darauf angezeigt werden. :???:
    Oh man ich geh jetzt pennen und freue mich dann auf einen tollen Sonntag. Wenn da wirklich soviel weg ist wie ich befürchte...na dann gn8!

    Ich würde vermuten, dass deine Daten alle noch da sind, und das System nur nicht mehr "weiß", wo sie gespeichert sind.


    Versuch mal ein Linux von CD zu starten, z.B. Knoppix. Dann die partition mounten, dann müsstest du die Bilder alle sehen und ggf. auch woanders hin kopieren können.
    Außerdem gibt es die Möglichkeit, ein komplettes Windows von CD zu starten, mit ähnlicher Funktionalität und vielen Datenrettern an Bord. z.B. mit Ultimate Boot CD. Dazu brauchst du dieses Programm und zusätzlich deine Windows-Installations-CD. Auch damit könntest du es versuchen. :)


    Wichtig: Ruhe bewahren, nichts unbedachtes tun.


    Viele Grüße und viel Erfolg
    yussuf :winke:

    • Offizieller Beitrag

    Ganz ruhig bleiben, oberstes Gebot.


    Welches Betriebssystem?


    Wenn Vista oder Windows 7 würde ich folgendes versuchen:


    1. Backup mit einem Imageprogramm von der betroffenen Festplatte, auch wenn sie scheinbar leer ist.
    2. Mit der Windows DVD starten und zu den Reparaturoptionen wechseln.
    Wenn nur die Partitionstabelle zerschossen ist, wird diese mit den Reparaturoptionen wieder hergestellt. Dazu kann es allerdings nötig sein, diese mehrfach durchzuführen, da immer nur ein Schritt durchgeführt wird.
    Fertig ist die Reparatur erst, wenn man die Reparatur beginnt und vom System keine Fehler mehr gefunden werden.
    Ich habe es lange nicht mehr gemacht, kann den genauen Ablauf nicht mehr aus dem Kopf heraus beschreiben. aber Google +Windows7 +Reparatur dürfte eine geeignete vollständige Anleitung zu Tage fördern.



    Patrick

    • Offizieller Beitrag

    Ich wiederhole es nochmal: Bei aggressivem Virus zuerst mittels Linux Livesystem (Knoppix o. ä.) die Daten retten (auf eine neue externe Disk). Danach kannst Du immer noch versuchen, die Sache aus Windows heraus zu reparieren. Dabei / danach mehrere Virenscanner laufen lassen.



    Vom iPhone mit Tapatalk.

    Wenn das ein Virus gemacht haben soll, war der User bei der Aktion als Admin unterwegs.
    Sonst denke ich eher an einen Hardwaredefekt.
    Irgendwas im MBR ist nicht mehr lesbar.

    Also aktueller Zwischenstand ist. Mit einer ubuntu live CD konnte ich problemlos auf die Festplatte zugreifen und meine Bilder auf einen externen Platte sichern. Aus meiner Linux Zeit weiß ich aber das LInux nicht so recht klar kam mit NTFS Formatierung. Ist das jetzt inzwischen behoben. Hab jetzt mal ein paar Bilder angeschaut und es schaut erst mal alles OK aus. Ist schon komisch das Linux die Daten lesen kann und Win nicht. Da kann also MBR und die Zuordnungstabelle nicht kaputt sein... :-o


    Ja ich muss gestehen. Ich war als Admin unterwegs, obwohl ich extra nen normalen User angelegt hatte. :oops:
    Also wenn ich Windows starte dann bekomme ich lauter Fehlermeldung. Die Datenpartition wird weiterhin als leer angezeigt und auf der Systempartition scheint auch etwas im argen zu sein. Beide sind logische Laufwerke auf einem physikalischen Laufwerk. Sprich es ist eine Festplatte.
    Wenn ich jetzt auf Start gehe, klappt das Menü auf. Aber es sind keine Einträge -außer "Programme". Ich habe WIN 7.
    Jetzt muss ich wohl alles neuinstallieren.

    Zitat von "klinke"

    ...
    Jetzt muss ich wohl alles neuinstallieren.



    Siehst so aus.
    Und nicht mehr als Admin surfen ;)

    Du kannst als Admin surfen oder nicht, das macht von Seiten der Sicherheit keinen nennenswerten Unterschied, da das Thema Benutzerkontensteuerung für moderne Viren kein Problem mehr ist. Die holen sich einfach die Adminrechte bevor du irgendetwas mitbekommst. Selbst die ct rät mittlerweile davon ab, sich den Aufwand mit den Rechten zu machen, da es sich kaum mehr lohnt.


    Da nicht klar ist, was der Auslöser des Problems ist, würde ich die Daten sichern und das System platt machen. Ob es ein Hardwareproblem ist, bekommt man dann meist schnell mit. Wenn nicht, ist es der einfachste und sicherste Weg das System wieder mit gutem Gefühl nutzen zu können. Auch wenn es viel Arbeit ist.

    Wenn etwas "Ratz-Fatz" gelöscht wird werden meistens keine Daten gelöscht sondern nur die FAT (File Allocation Table) und selbst die nicht komplett. Die FAT ist eine Art Inhaltsverzeichniss. Dort steht der Titel der Datei und die dazugehörenden Sektoren. Wenn eine Datei gelöscht wird, wird oft nur der erste Buchstaben der Datei durch ein @ oder ? ersetzt. Die Datei ist damit nicht mehr sichtbar und die Sektoren sind zum Überschreiben freigegeben. Zumindest war es zu DOS Zeiten so :) Mit einem Hex Editor kann man die FAT ändern und den ersten Buchstaben wieder ersetzen.


    Heute gibt es Programme dazu die so etwas automatisch machen können. Es gibt, so weit ich noch aktuell bin und es richtig in Erinnerung habe, auch eine Kopie der FAT auf die der "Papierkorb" zurückgreift um Daten wieder zu generieren.


    Selbst ein schnelles Formatieren löscht keine Daten sondern ändert nur die FAT.

    Zitat

    Aus meiner Linux Zeit weiß ich aber das LInux nicht so recht klar kam mit NTFS Formatierung. Ist das jetzt inzwischen behoben.


    Ja, ist soweit behoben, wenn ich auch für Datenbereiche, in die ich heftigst von Linux UND Windows aus reinschreiben muss, immer noch lieber ein anderes Format verwenden würde (für mich aber eine hypothetische Problemstellung ;) ) .


    Ansonsten bin ich außerordentlich froh, dass Deine Bilddateien die Sache gut überstanden haben ...


    VLG
    Stephan

    Zitat von "Dennis"

    Ich hab noch nie was anderes gemacht :cool:
    Bisher auch nie Ärger deswegen gehabt.



    Dann bleibt das bestimmt auch so.
    Ich habs noch nie gemacht und auch noch nie Ärger gehabt, weiss aber nicht ob das so bleibt.
    Aber, ich kenne die technischen Zusammenhänge und richte mich deshalb danach.



    Zitat von "tassetee1"


    Selbst die ct rät mittlerweile davon ab, sich den Aufwand mit den Rechten zu machen, da es sich kaum mehr lohnt.


    Das stand aber höchstens heute irgendwo drin?
    Zeig mir das irgendwo glaubhaft belegt.




    Auf die Schnelle erguugelt
    http://www.heise.de/ct/artikel…urch-Verzicht-289456.html


    Selbst wenn das nicht aktuell genug ist, Sicherheit für das System ist auch bei Windows eine Hauptanforderung.

    • Offizieller Beitrag

    Zitat c't


    Zitat

    Wehrlos
    Leider schützen niedrige Zugriffsrechte nicht immer: Bei Würmern wie Blaster und Sasser ist es völlig egal, als welcher Anwender man angemeldet ist, da sie von außen über das Netzwerk durch Sicherheitslöcher in Systemdienste eindringen. Viele dieser Dienste arbeiten mit den Rechten des fest in Windows eingebauten Kontos SYSTEM. Das hat oft sogar mehr Rechte als der Administrator. Da der Wurm die Rechte beim Einbruch erbt, ist er anschließend der Herrscher über den PC.

    • Offizieller Beitrag

    "Gut" programmierte Malware braucht keine Admin-Rechte um sich einzunisten, siehe z.B. Zeus, der angeblich meist benutzte Trojaner-Baukasten.

    Zitat

    komisch ist es trotzdem das sowohl antivirenprogramm und linux die dateien finden. nur windows tut es nicht.


    Vielleicht ein Bug im Schadcode, der versehentlich etwas mehr als nur sich selbst verbirgt.
    klinke:
    Hast du mal unter Ubuntu die Systempartition gescannt? Was sagt denn der Scanner dazu, ist's evt. ein Root-Kit?