Hi,

ich springe hier ein.
Arbeite beim betroffenen Rechner nicht mehr in Windows (sondern nur noch über ein Live-System), solange noch Hoffnung besteht, die Daten wiederzufinden. Ansonsten werden mit der Zeit immer mehr gelöschte Dateien definitiv und unwiederbringlich überschrieben.

Wir versuchen, ob über photorec in Parted Magic noch etwas zu retten ist.
Mach zur Vorbereitung bitte Folgendes:


Erstelle dir (auf einem Zweitrechner!) eine bootbare CD oder einen bootbaren USB-Stick mit Parted Magic und boote dann den betroffenen Rechner davon (Anleitung).

• Mache einen Doppelklick auf das Symbol Keyboard Layout auf dem Desktop von Parted Magic, wähle ein deutsches Layout (z.B. "de:qwetz") und bestätige das.
• Öffne dann eine Konsole (Bildschirmsymbol "ROXTerm" unten links in der Taskleiste).
• Gib folgenden Befehl ein und bestätige mit Enter:

  fdisk -l

  (Der Parameter nach fdisk ist ein kleines L.)
• Kopiere den gesamten Output (markieren -> Rechtsklick -> Edit -> Copy), so dass du ihn hier posten kannst (entweder direkt über den integrierten Firefox, oder in ein File auf einem USB-Stick kopieren und über einen Zweitrechner hier einfügen).
• Öffne dann auf dem Desktop den Partition Editor GParted.
• Speichere einen Screenshot von diesem Fenster ("Startbutton" (links unten) -> Accessories -> Screenshot) und hänge das Bild hier an.

Hallo aharonov Danke für deine Mithilfe.

Das das Arbeiten mit dem Win 7 System nach dem Trojaner-Befall (und dem daraus resultierenden Datenverlust) und die div. Tools zum Trojaner-Entfernen einer möglichen Datenrettung nicht förderlich waren/sind war (spät aber doch) auch meine Überlegung/Befürchtung. Da hätte ich auch schon früher daran denken können...

Ich habe jedenfalls bisher, außer mit den angeordneten Tools, auf dem betroffenen PC fast nichts gemacht/gearbeitet. Alle Kommunikation/Downloads/usw. sind über meinen Laptop gelaufen.
Ich habe inzwischen selbst 2 Tools zur Datenrettung gefunden (freeundelete + recuva) und habe damit den PC (die SSD) unter die Lupe genommen... Dabei habe ich jedoch meine Befürchtung bestätigt gefunden das ein großer Teil der Dateien bereits korrumpiert sind.
An eine vollständige Wiederherstellung von z.B. meinem Thunderbird-Profil ist damit nicht mehr zu denken. Wenigstens ein paar einzelne Dateien (die sich hoffentlich noch als nützlich erweisen werden) konnte ich so wiederherstellen.
Ansonsten habe ich zum Glück einen großen Teil meiner Daten (User, Passwörter, usw.) auch auf anderen Rechnern zur Verfügung, so das sich der Schaden, in diesem Bereich, einigermaßen in Grenzen hält... außer eben einem Haufen Scherereien und Arbeit.

Damit würde ich jetzt eigentlich "den Hut draufschmeissen" und meine Systemplatte frisch formatieren (klarerweise vorher noch alles doppelt überprüfen ob sich noch irgendwo nötige/nützliche Dateien für die Neuinstallation verstecken) und damit beginnen mir mein System neu aufzubauen... außer ihr habt vielleicht noch irgendeine geniale Idee die ich ausprobieren könnte/sollte?

Ansonsten würde ich dringend vorschlagen den "externen" Blick mit einem Live-System auf ein befallenes System als ersten Schritt in eurem Prozess einzuführen... oder zumindest möglichst weit oben auf der Liste. Damit kann man dann ja doch möglichst früh feststellen ob die verschwunden Dateien von einer Malware "nur" versteckt wurden oder wie hier tatsächlich und vollständig gelöscht wurden. ...und entsprechend reagieren.

Jedenfalls schon mal herzlichen Dank für eure Bemühungen.

Hi,

Zitat:

Ansonsten würde ich dringend vorschlagen den "externen" Blick mit einem Live-System auf ein befallenes System als ersten Schritt in eurem Prozess einzuführen...

Das werden wir wohl eher nicht machen.
Denn dein Fall hatte in meinen Augen von Anfang an nichts mit Malware zu tun gehabt, da ist sonst etwas schiefgelaufen. (Prüfe auch mal den Zustand der Festplatte.)

Sowas

Zitat:

war gerade dabei diese Dateien nun auf eine andere HDD zu verschieben/kopieren. (in bulk)
Dabei hat sich möglicherweise eine infizierte Datei oder evtl. sogar eine Schadprogramm (exe) in dem Stapel versteckt und wurde dabei "aktiviert".

passiert nicht. Beim gewöhnlichen Verschieben kann sich nicht einfach so eine exe "aktivieren". Wahrscheinlicher ist, dass der Hintergrundwächter deines Antivir einfach diese Dateien durchleuchtet und dabei etwas gesehen hat, das ihm nicht gepasst hat. Dann wäre die zeitliche Koinzidenz dieser Meldung von Antivir zum Start der Symptome nur zufälliger und nicht kausaler Natur.

Zitat:

Damit würde ich jetzt eigentlich "den Hut draufschmeissen" und meine Systemplatte frisch formatieren

Ok, wenn du dein Glück nicht mehr mit photorec versuchen möchtest wie vorgeschlagen, verabschiede ich mich aus diesem Thread und schrauber übernimmt wieder.

Ehrlich gesagt, wenn kein Trojaner diesen Ärger verursacht hat dann weiß ich nicht was sonst...

Die zeitliche Korrelation war dafür einfach zu genau... und meine Systemplatte (SSD) ist hardwaremäßig in ausgezeichnetem Zustand...
btw... Die SSD (C:\) war die einzige von diesem Dateiverlust betroffene Platte (gezielter "Angriff" durch den Trojaner?) und auf der ist/war außer Windows + den installierten Programmen nichts drauf... auch die "Eigenen Dateien" sind auf einer anderen Partition/HDD gelagert. Und der Stapel Dateien in dem sich der Trojaner versteckt hatte war nochmal auf einer anderen Platte und der wurde dann noch auf eine externe Festplatte verschoben...
Also mir würde sonst absolut nichts einfallen was dieses Schlamassel (realistisch) hervorgerufen haben könnte... (auch wenn mit der Lizenz von dem installierten Windows 7 Ultimate etwas nicht gepaßt haben sollte kann ich mir einfach nicht vorstellen das MS deshalb einen Großteil meiner Dateien auf C:\ dafür shreddern würde... das wäre doch zu drastisch (und fies), selbst für MS.)

Wenn der Trojaner tatsächlich nicht der Auslöser gewesen ist (?) gibt es vielleicht einen Weg (ein Tool, ...) mit dem man dieses Rätsel noch lösen könnte oder ist der Zug abgefahren?

Zu photorec...
Habe ich auch überlegt zu verwenden, aber die anderen beiden Programmen haben in Tests (fast) genauso gut abgeschnitten und waren (glaub ich) leichter zu bedienen...
Aber ich glaube nicht das ich hier selbst mit photorec noch viel mehr machen kann, da die anderen 2 Tools ja auch einen vergleichbare Qualität haben.

Pack mal bitte den Ordner C:\Qoobox\Quarantine in ein ZIP und häng es hier an.

Bitte sehr... 1 Qoobox Ordner wie bestellt...
Ich hoffe es hilft.

Wenn es sonst keine weiteren Wünsche oder Anfragen gibt würde ich morgen mein System neu installieren... Wenn aber noch wer eine Spur/Idee verfolgen möchte kann ich auch noch einen Tag warten. So viel akademisches Interesse hätte ich an dem Problem auch noch das ich noch so lange warten kann...
Außerdem mache ich gerade noch per Live-CD eine komplette Kopie von der System SSD... man weiß ja nie ob man davon nicht noch mal was braucht.

Ich wünsche fröhliches Forschen und Tüfteln. Ich bin für eure Bemühungen sehr dankbar und finde es absolut beeindruckend was ihr auf dem Gebiet drauf habt. Respekt!

Hi,

also von meiner Seite aus nicht mehr. Heut Abend schau ich mir das ZIP an ob ich was sehe, malware-technisch.

Neuaufsetzen kannste auf jeden Fall schonmal, damit Du wieder ein funktionierendes System hast.