HELP! Hab den übelsten Virus.

Ripper08

Ich hab mir vor ein paar Tagen nen richtig ueblen Virus eingefangen.

Bin superdankbar fuer jede Hilfe!



Mein Laptop wollte vor ein paar Tagen ploetzlich nicht mehr hochfahren also hab ich mich bei meinen Roommates um eine WinXP CD bemueht.
Die hab ich auch bekommen und wollte dann damit die Windows Repair-Funktion ausfuehren, was jedoch aus ominoesen Gruenden (so wie immer)nicht funktionierte.
Danach wollte ich WinXP einfach ein zweites Mal auf meine alte WinXP Installation draufhauen, was mir wegen mangelndem Speicherplatz jedoch verwaehrt wurde...

Moment mal, waren da nicht noch gute 10GB auf meiner Platte frei?
Ich boote also erneut die WinXP CD und fuehre die "Repair-Konsole" aus.

Nach diversen befehlen wie C:\>chkdsk will mir der Laptop weiss machen, dass von meinen 10344 kb total disk space (!!!) noch 3060 kb verfuegbar sind! WTF? Aus meiner 160GB platte sind nun also 7 MB geworden, wie soll das gehen und wo sind meine Daten hin?

Ich versuchs mit C:\>DIR und das Bild verfinstert sich: Auf meiner Festplatte ist genau noch eine Datei, die 204 bytes gross ist und diverse Smilies werden mir neben dieser Datei angezeigt... scheisse, Virus!
Nach ein paar kuemmerlichen Versuchen die Sache mit irgendwelchen Befehlen in der Repair-Konsole zu bereinigen (wie z.B. Dateien von der WinXP-CD manuell auf die Festplatte zu kopieren) werden aus dieser einen Datei ploetzlich mehr und mehr... shit das Ding greift sich sofort jede Datei die ich auf die Festplatte kopiere!


Ich kann die Festplatte auf keinen Fall formatieren, die Daten auf dem Ding sind Gold wert und ich wuerde mir eher meinen kleinen Zeh abhacken als das Teil aufzugeben und einfach zu formatieren!




Ein neuer Plan musste her.
Ich habe mir also ne neue Festplatte gekauft, eingebaut, formatiert, WinXP draufgehauen sowie Antivir mit den neuesten Updates.
Heute habe dann ein Case gekauft wo ich meine alte, mit Viren befallene HD einsetzen kann und per USB mit dem Laptop verbinden kann. Nun habe ich also zwei HDs, die neue ist intern, die mit viren befallene extern per USB angeschlossen. Soweit sogut...

Ich scanne die alte HD also mit Antivir doch das Teil findet nichts!
Alles was ich sehe sind ein paar kryptische Dateien auf der HD.
Wenn Antivir nichtmal erkennt, dass die Platte befallen ist und alles in allem nur die laschen 7MB scannt, die der Virus einem vorgaukelt, dann gibt es eigentlich die Moeglichkeit dass das Teil auch bereits auf der neuen Platte ist... ich werde Windows also erstmal auf keinen Fall herunterfahren koennen!


Ich habe mir also R-Studio besorgt um meine alten Daten wieder herzustellen. Das Programm erkennt im Gegensatz zu Windows die richtige Groesse der HD und ist gerade eifrig am Scannen aber das wird noch ein paar Ewigkeiten brauchen und ich habe keinen Plan was ich danach anstellen soll.
Ich koennte eventuell die wichtigsten Daten auf meine jetzige Platte ziehen (falls das mit diesem Programm gehen sollte ?!) aber wie werde ich den Virus auf der Platte los? Ich hab doch keinen Bock die kompletten 140GB auf meine neue Platte zu ziehen und die alte danach zu formatieren und vor allem kann ich nicht sicher sein, dass der Virus nicht bereits auf meiner neuen Platte sitzt oder dadurch dass ich die alten Daten auf die neue Platte ziehe uebertragen wird...

 

 

Ripper08

Zur besseren Visualisierung...

Angehängte Grafiken

	R-Studio.JPG (107,4 KB, 49x aufgerufen)
	Antivir Scan.JPG (64,6 KB, 44x aufgerufen)
	Disk E.JPG (177,9 KB, 54x aufgerufen)

 

 

OrionX

das ist nichtmal ein virus, das dateisystem ist ein wenig deppert, oder die platte selber.

wenn du mit diesen "R-Studio" irgendwas Recovered hast, lad dir mal Ubuntu oder Knoppix als Live CD/DVD herunter und schau mal was die zu der platte sagen.

die musst du nicht installieren, die laufen von cd aus, mit option sie zu installieren. (deswegen, Live system)

 

 

El Sparko

würd ich auch sagen. was wie ein virus aussehen mag ist wohl eher ein korruptes dateisystem. wichtig ist jetzt dass du auf die alte festplatte nix mehr draufschreibst. geh mit einem datenrettungstool wie "getdataback" oder sowas drüber und versuche daten zu recovern.

 

 

doomhammer

Ich hab recht gute Erfahrungen mit Easy Recovery gemacht. Von CD Booten, Haken bei "Use MFT" raus und ab dafür auf die neue Platte.

 

 

Ripper08

Danke fuer eure Antworten, dass die Sache jedoch nicht von einem Virus ausgeloest sein worden soll halte ich in Anbetracht der Smilies, die mir in der Windows Repairkonsole praesentiert wurden fuer etwas fragwuerdig.

Auf jeden Fall ist das Recovery-Programm nach rund 24 Stunden immernoch dabei meine alte HD zu scannen. Das Teil scheint ja mal ganz schoen gruendlich zu arbeiten, bin gerademal bei der Haelfte angekommen, bevor ich also irgendwelche Ergebnisse erwarten kann werd ich mich nochmal mindestens 24h gedulden muessen.



Kann mir einer von euch die Informationen, die er aus diesem Screenshot herausfiltern kann irgendwie verbalisieren?
Ich befuerchte naemlich im schlimmsten Falle, dass die vielen als "unrecognized" gescannten Bloecke nun unbrauchbar/unlesbar sein koennten aber was weiss ich schon?

 

 

Ripper08

.................................................. .................................................

Angehängte Grafiken

scann.JPG (122,4 KB, 42x aufgerufen)

 

 

OrionX

wie soll der virus denn auf die windows cd kommen um dir die smileys zu präsentieren? Nein, da ist was anderes im argen, es ist nur ein seltsames phänomen das immer wenn bei windows was derartiges kaputt geht exorbitant viele smileys auftauchen . Die smileys sind aber nicht böse gemeint, sondern einfach nur zeichen aus dem ascii code die willkürlich da erscheinen. ich tippe diese lustigen vierecke und andere zeichen kamen auch vor.

wie gesagt ich versteife mich immer noch auf das korrupte dateisystem bzw die kaputte platte. Zu deiner Frage zu den "Unrecognized" einträgen: Ja das _kann_ sein, aber du musst in relation sehen das mit dem einen screenshot nicht die ganze platte gemeint ist, und da noch viel mehr sektoren sind die er durchscannen muss.

 

 

baedr

Der Smiley ist einer der ersten ASCII-Codes... die wahrscheinlichkeit, dass bei so einem Festplattencrash zufällig im dateinamen oder in der Festplattenbezeichnung smileys enthalten sind, ist relativ hoch... in jedem fall ist der Virus aber auf ein Dateisystem angewiesen, ohne welches er nicht existieren kann. Ausnahmen sind Viren die sich im Boot Sector (MBR) einnisten, aber die sind so gut wie ausgestorben, weil jedes billig BIOS da schon einen Schutz dagegen bietet... Und auch bei denen geht das Filesystem nicht hops... wie soll sich der Virus denn verbreiten, wenn er gleich alles vollkommen schrottet

Was deine Festplatte angeht, so wird sie sich langsam immer mehr selbst zerstören, wenn sich partikel in der Platte befinden, die da rumfliegen. Versuch möglichst auf Scannen und prüfen zu verzichten, sondern lass sie gleich auslesen/recovern(kein plan, wie solche programme genau funktionieren)

Unrecognized bedeutet in erster Linie einfach nicht erkannt... Das kann daran liegen, dass sie kaputt sind, aber auch daran, dass sie einfach noch nicht eingelesen wurden

 

 

Ripper08

Krass, nach zwei Tagen dauerscan hat sich das Programm mittendrin aufgehaengt und das einzige was ich tun konnte war das Teil per Task Manager zu schliessen. Nun ist der ganze Scanvorgang umsonst gewesen und ich hab sicher keinen Bock das Teil nochma von null zu starten.

Ich werd mir mal "Easy Recovery" genauer ansehen, mal schaun was damit geht...

 

 

RVD

ich würde dem dateisystem zustimmen. hatte ich anfang letzten jahres auch mal, dass halt einfach das dateisystem im arsch ist, dadurch kann windows das nur noch als leeres RAW laufwerk identifizieren. ich hab einfach per knoppix oder erd commander, weiß garnicht mehr welches, die platte formatiert und danach die dateien einfach mit easy recovery wieder hergestellt. natürlich ohne garantie, dass alle dateien wiederherstellbar sind, aber man schmeißt ja bekanntlich wichtige sachen sowieso niemals auf die windows partition, wo du ja bestimmt dran gedacht hast

wie auch immer was die smileys usw beim repair angeht würd ich erstmal gucken, ob die windows cd nicht vielleicht eine kopie ist und nen schlag weg hat oder eine gerippte version ist. wenn du ne vernünftige auftreiben kannst versuch den MBR neuschreiben zu lassen. bringt das alles nix, wie einer schon gesagt hat knoppix oder erd commander rein und dann kannste dir angucken was mit deinen dateisystemen los is, welche daten noch da sind, erkannt werden können oder wie auch immer ... wird schon, keine panik

 

 

Ripper08

Ja, bestimmt...



Easy Recovery hat die Platte inzwischen gescannt und nun kann ich auswaehlen welche Dateiendungen ich recovern will...

Ich kann meinen Frust ehrlichgesagt kaum in Worte packen, von meinen PDFs und Bildern sind im besten Falle noch 60% uebrig und der ganze Rest scheint voellig wertlos zu sein. Programme und Videos sind alle im Arsch, ich hab zwar Teile davon recovered aber die werden von Easy Recovery automatisch alle in "FIL5434" oder aehnliches umbenannt und die Videos sind in 1-2 minuten Stueckchen gehackt worden, von denen vielleicht auch nur 50-60% ueberhaupt abspielbar sind.

Ich kann das Teil wohl echt in die Tonne kloppen, ein Monat Sammelarbeit und vor allem meine Seitenlangen Notitzen sind nun im Arsch und ich kann nochmal bei Null anfangen. Ich werd noch weiter im Datenmuell stochern um vielleicht noch das ein oder andere Brauchbare Schnipsel zu finden aber wenn mir nicht einer von euch noch nen gigantischen Tip hat, wie ich meine Festplatte so wieder herstellen kann, dass die alte Daranstruktur erhalten bleibt und ich bessere Recoveryergebnisse bekomme, muss ich mich wohl demnaechst vom Kirchturm schmeissen.


Ich bin wirklich erstaunt und muss sagen: SOLL DAS ALLES SEIN? Ein bisschen Datenmuell wird mir ausgespuckt und das war dann meine grosse Recovery? Da muss es doch noch bessere Programme geben die mehr rausholen koennen, richtige Profiteile die mir nicht nur ein bisschen wirres Datenkonfetti auskotzen, sondern meine Festplatte WIEDER HERSTELLEN.

 

 

Abe

Die gibts schon, soweit ich weiß. Aber der Spaß wird nicht billig...

Bei mir hatte mal eine HD einen Headcrash, hab mich nur mal interesse halber informiert. Ich glaub pro GB Daten wiederherstellen hätte es mich 100 € gekostet.

 

 

OrionX

Joa, richtige Profitools sind die eigenentwicklungen spezieller Datenrettungsfirmen und selbst die werden die platte nie ganz zu 100% wieder herstellen können. unter einem 1000er geht da aber auch nix.

Deswegen sind häufige Backups absolut Gold wert.

 

 

doomhammer

Das merkt man aber auch leider meistens nur dann, wenn man mal so aufgeschmissen ist wie der Threadstarter.

Soweit ich weiss, können professionelle Datenrettungsunternehmen mehr machen, als du mit Easy Recovery und Konsorten. Alleine ne Analyse bzw. Abschätzung was bei der jeweiligen Platte machbar ist, kostet dich was im höheren 3-stelligen Bereich. Das eigentliche Recovern kommt dann je nach Schwere des zu behebenden Defekts auf +- 1000€/Gb.

Da ist die monatliche Spindel DVDs für die Backups besser und vorallem einfacher investiertes Geld.

 

 

Jonaz

Mich würde nebebei einmal interessieren, wie sich so ein Dateisystem auf den nächsten moment selbst schrotten kann?
Gibts da irgendwelche Ursachen für?

 

 

El Sparko

naja da musst ja nicht viel überlegen. die gängigen dateisysteme dürften sogar auf wikipedia nachlesbar sein. überleg dir mal grundlegend wie so ein dateisystem funktioniert und wie fragil das eigentlich ist. gerade fat32 hat eigentlich keine (mir bekannte) redundanz und kann somit schon durch ein paar gekippte bits drauf gehen. schlimm wirds dann vorallem wenn man auch noch schreibend auf sowas zugreift.

 

 

Ripper08

Ich habe den Verdacht, dass es daran liegen koennte, dass ich den Laptop manchmal mit mir rumgeschleppt habe, ohne ihn vorher gescheit runterzufahren - ich hab also teils einfach die Klappe geschlossen, den Laptop dadurch in den Schlafmodus versetzt und das Teil direkt unter den Arm gepackt.

Eigentlich sollte das kein Problem sein aber vielleicht hat sich die Festplatte nicht schnell genug abgeschaltet, wodurch der Lesekopf dann die gegen die Disk gekommen ist. Was mich alleredings wundert ist dass die Fehler erst aufgetaucht sind nachdem ich den Laptop heruntergefahren habe, d.h. es gab keinen Absturz oder so, ich hab nen ganzen Tag normal damit gearbeitet, alles hat funktioniert und beim naechsten Hochfahren will mir das Teil ploetzlich weismachen ich haette ne 10MB Harddisk. Spricht das nicht eigentlich gegen eine pysikalische Beschaedigung?

 

 

MiKe

Eher unwahrscheinlich - grad Notebook-Festplatten sollten sowas ohne Probleme aushalten können, weil man bei nem Notebook eben davon ausgeht, dass es auch während dem Betrieb Erschütterungen ausgesetzt is...