Wenn Windows in die Knie geht - ein Hilfeschrei

[MattDorian]

Hallo,
ich weiß nicht, ob ich mit meinem Problem hier im richtigen Bereich bin, ich hoffe mal dass ich vernünftig eingeschätzt habe, wo es reinpasst.

Vor wenigen Tagen erlebte ich einen Virus (Wurm, Malware, Rootkit - weiß der Geier wie die Hobbyprogrammierdickerchen, die daran Freude haben das nun genau betiteln), der alles vorherdagewesene auf meinen Geräten in den Schatten stellt.

Irgendwie hat sich diese Schadsoftware auf all meinen Systemen zeitgleich zuschaffen gemacht (Win 7, Win 8.1) und innerhalb einer Stunde 3 Rechnern (T61, X200t, M58p) den Software-Tod beschert.

Der Virus ( der laut ESET aus übrigens 4 Teil-Viren besteht) hat ganz offensichtlich den MBR und MFT meiner PC´s plattgemacht und sogar meine Linuxpartitionen ohne Probleme geshreddert.
Bemerkbar wurde es unter Windows, weil sämtliche Dienste wie services.msc nicht mehr starteten und zum Schluss der Explorer aufgab, bevor es zum finalen Freeze kam.
Laut Linux sind die Platten allesamt Software-Friedhöfe - nix ist mehr zu retten. Nur hat leider meine externe Datenkrake auch was abbekommen, womit 3TB meiner Daten stark gefährdet sind.

Ich versuche hier absichtlich nicht, alle Probleme auf einmal zu schildern, weil ich hoffe, dass jemand sich meldet, dem ähnliches widerfahren ist und mir eventuell eine Lösung oder einen Ansatz nennen kann. Für jegliche Fragen bin ich selbstverständlich offen.

Bitte helft mir, wenn ihr eine Idee habt.

 

[elensar]

Wie hat ESET den virus denn bezeichnet? Was wurde sonst noch an Sicherheits-Software verwendet?

 

[schoerg]

Solange nur MBR kaputt ist, testdisk.

 

[think_pad]

Solange nur MBR kaputt ist, testdisk.

Schließe mich schoerg an: Die externe Platte muss an einem nicht infizierten Rechner mit laufendem Virenscanner und testdisk auf eine weitere Platte gerettet werden, selbst wenn es Tage dauert und teuer ist.

 

[Helios]

Hast du die Malware noch? Falls ja, sende sie mir bitte zu. Würde sie mir gerne genauer ansehen.

LG Uwe

 

[Michael Siam]

Ich hatte vor kurzen ja auch einen Virus, wo ich bis heute noch nicht weis, was es war.

Ich habe die befallene HD extern mit meinen Macintosh-System formatiert und denn Win 7 neu installiert.
Laeuft.
Vielelicht ginge auch externes formatieren mit einen Linux-System?

 

[thorfdbg]

Schließe mich schoerg an: Die externe Platte muss an einem nicht infizierten Rechner mit laufendem Virenscanner und testdisk auf eine weitere Platte gerettet werden, selbst wenn es Tage dauert und teuer ist.

Ergänzung: An einem laufenden Rechner *ohne* Windows. Sonst ist der laufende Rechner gleich wieder infiziert. Knopizlin bietet sich hier an, lag mal der ct bei und ist eventuell bei einigen hier vorhanden. Dort kann man den Virenscan machen und die Daten auch gleich hinüberkopieren.

 

[elensar]

Hast du die Malware noch? Falls ja, sende sie mir bitte zu. Würde sie mir gerne genauer ansehen.

LG Uwe

Stimmt würde mich auch interressieren.

 

[schoerg]

Ergänzung: An einem laufenden Rechner *ohne* Windows. Sonst ist der laufende Rechner gleich wieder infiziert.

Unsinn.

 

[thorfdbg]

Unsinn.

Soso... Muss nur das Autostart aktiviert sein und irgendwas lädt beim Einstöpseln der Platte. Virentest macht man am besten von einem garantiert sauberen System mit dem der Virus nichts anfangen kann.

 

[schoerg]

Soso... Muss nur das Autostart aktiviert sein und irgendwas lädt beim Einstöpseln der Platte.

Bedienfehler.

 

[Mornsgrans]

Bedienfehler

Drum: Linux zum sichern und für die Virensuche (Disinfect CD)verwenden

 

[MattDorian]

die Viren:
Win32/qhost
Win32/sality
win32/dorkbot
win32/bundpil

Schweren Herzens habe ich nun alle meine Daten vollständig plattgemacht. Musste leider sein, da meine externe HDD auch befallen war (Der Virus/die Viren haben quasi alles geopfert). Somit stehe ich nun komplett ohne Musik/Film/Dokumentarchiv auf einem neuen Hauptsystem (Kubuntu 14.04) da und bin etwas am Verzweifeln.

 

[Lokheizer]

Schweren Herzens habe ich nun alle meine Daten vollständig plattgemacht. Musste leider sein, da meine externe HDD auch befallen war (Der Virus/die Viren haben quasi alles geopfert). Somit stehe ich nun komplett ohne Musik/Film/Dokumentarchiv auf einem neuen Hauptsystem (Kubuntu 14.04) da und bin etwas am Verzweifeln.

Ähm, ich will ja jetzt wirklich nicht noch irgendwie wo Salz streuen - aber wäre es nicht besser gewesen einen Versuch zur Rettung zu starten? Ich meine - du hast dich mit dem Problem vor drei Tagen gemeldet und jetzt formatierst du alles neu? Sorry, aber so wichtig können die Daten nicht gewesen sein. Trotzdem kopf hoch und ich drück dir die Daumen das dieser Virus dich nicht nochmal kriegt.

 

[schoerg]

Solange es nur Schnellformatiert wurde kannst du immer noch mit Testdisk deine Daten retten.

 

[think_pad]

Schweren Herzens habe ich nun alle meine Daten vollständig plattgemacht. Somit stehe ich nun komplett ohne Musik/Film/Dokumentarchiv auf einem neuen Hauptsystem (Kubuntu 14.04) da und bin etwas am Verzweifeln.

Das klingt nach einer dramatischen Überreaktion, wie nach dem Verlust der ersten, großen Liebe. Doch das Leben geht einfach weiter...:thumbsup:

- "Wenn Windows in die Knie geht...! - Ein Hilfeschrei" -

Für die Threadüberschrift würde ich übrigens Titelschutz beantragen, als Untertitel schlage ich vor:

- "Von Malware entführt und aufgefressen!" -

Das Ganze wird in Schwarz-Weiß gedreht, im Stile des amerikanischen Horrorklassikers der späten sechziger Jahre. Am Ende des zweiten Drittels tritt der strahlende und angehimmelte Held Matt Dorian auf, und wendet sich vom Blauen Wunder aus an die verzweifelte Menge im Körnergarten:

"Hört auf zu jammern, Leute! ... Denkt doch mal nach: Viren können nicht zuschlagen! ... Wie sollten die das tun? Ich meine, dafür sind die Dinger doch viel zu klein...!"

 

[Helios]

die Viren:
Win32/qhost
Win32/sality
win32/dorkbot
win32/bundpil

Sind allesamt des längeren in verschiedenen Varianten bekannt. ESET hat da seinen Dienst alles andere als gewünscht absolviert (dürfte auch von dessen Konfiguration abhängen).

Hast du nun das OS inklusive aller Daten gelöscht?


LG Uwe

 

[Phil2009]

Nur eine Verständnisfrage: Es gibt Viren, dass sie mit ext4-Dateisystemen zurechtkommen? Unter Windows braucht man dafür ja zusätzliche Software.

 

[think_pad]

Nur eine Verständnisfrage: Es gibt Viren, dass sie mit ext4-Dateisystemen zurechtkommen? Unter Windows braucht man dafür ja zusätzliche Software.

Nein, das ist ein Missverständnis: Der Ratschlag war, mit einem LINUX-System die Daten von der eventuell auch infizierten, externen USB-Platte zu retten, weil es gegen den WINDOWS-Virus immun ist. Ob es auch Viren gibt, die ext4-Systemen zurechtkommen, ist mir nicht bekannt, aber im Grunde reicht es dem Virus ja schon, die Partitionstabellen zu zerstören oder Sektoren zu überschreiben. Da ist es dann egal, welches Dateisystem da zerstört wird...

 

[mccs]

Wenn man sowas erlebt, gibt es einige Regeln, die man einhalten muss, damit nicht alle Daten weg sind:
1. keine Panik!
2. Hartnäckige Windows-Viren kann fast nicht unter Windows beseitigen.
3. Zuerst Datensicherung mit einem anderen Betriebssystem, z.B. Linux oder auch mit einem Not-Windows vom USB-Stick gestartet. Auf eine saubere, externe Platte.
4. Unter Windows sind die üblichen Virenscanner nur bedingt wirksam. Das hängt davon ab, was beim booten alles geladen wird; und: wer weiss das schon?

Für den o.g. Win32/qhost gibt es mehrere Möglichkeiten, siehe: http://malwaretips.com/blogs/remove-trojan-win32-qhosts/. Ich selber empfehle gerne das trojaner-board, dort kann meist geholfen werden.

Wichtig ist auch das Grundverständnis, wie Viren arbeiten. Das sind Programme, die unsichtbar laufen und z.B. Daten auf der Festplatte ändern. Oft werden sie gestartet, bevor Windows die Herrschaft voll über das System bekommt. Und dann werden sie von Windows geschützt, da Windows laufende Prozesse natürlich nicht löschen will oder kann. Daher ist der Abgesicherte Modus erster Anlauf.

Ich richte beim Windows-Installieren gleich einen User mit Admin-Rechten ein und nenne ihn "Notfall". Als Programme bekommt dieser "Notfall" gleich einige Tools mit, z.B. die Sysinternals-Suite, unlocker, einen aktuellen Browser, Winrar usw. Damit kann man später auch ein befallenes Windows zu 99% sauber starten!

Eine weitere Möglichkeit ist: Diesen Notfall-User sofort als Image komplett startfähig auf eine bootbare CD brennen. Dann kann man später schnell ein sauberes Windows zurück auf die Bootplatte bringen und von dort aus arbeiten. Nachteil: Später installierte Programme müssen neu installiert werden; Vorteil: die Daten können gesichert werden! Man kann ein sauberes Windows auch vom USB-Stick starten.

Schon beim surfen im I-Net kann man Vorsorge treffen. Denn Schädlinge kommen fast nur dorther! Wichtig ist zu erfahren, wohin geht denn mein Browser, wenn ich irgendwo draufklicke? Was wird dort gemacht? Ich nehme dazu ein uraltes Programm "Naviscope", das leider nicht weiter entwickelt wird und mittlerweile auch oft scheitert und sich wegen "Fatal-Error" aufhängt. Aber es protokolliert den gesamten I-Net-Verkehr in eine Datei, dort steht dann eigentlich immer der Virus, den man sich eingefangen hat und wohin er mit welchem Datei-Namen gespeichert wurde. Das ist ist extrem hilfreich! Solange der Schädling noch nicht gestartet wurde (neubooten), kann man ihn einfach löschen! Dann hagelt es beim nächsten Booten vielleicht noch Fehlermeldungen wie "xyz nicht gefunden", aber das macht nichts, das kann man in der Registry leicht ausmerzen.

Oberste Regel ist: ein eingefangener Virus wird erst aktiv, wenn er 1x gestartet wurde. Daher ist so wichtig, sofort zu kontrollieren, was alles auf die Platte geschrieben wurde. Diesen Ordner kann man vom Virenscanner gleich mal untersuchen lassen. Oder die fragliche Datei in den Editor schieben: steht da im Anfang ein "MZ" ist das fast immer ein lauffähiges Programm - sehr verdächtig, wenn es eigentlich ein Text oder PDF sein soll. Jeden Anhang in einer Email kann man so sicher entpacken und lesen.

Gut ist natürlich immer ein 2. PC, an den man die befallene Platte hängen und von dort aus untersuchen und reinigen kann.
LG mccs