Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung
Fund! Externe Backup Festplatte säubern - verschlüsselte Dateien (Veracrypt, AOMEI Backupper)

Fund! Externe Backup Festplatte säubern - verschlüsselte Dateien (Veracrypt, AOMEI Backupper)


Plagegeister aller Art und deren Bekämpfung: Fund! Externe Backup Festplatte säubern - verschlüsselte Dateien (Veracrypt, AOMEI Backupper)

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

 
Vorheriger Beitrag Vorheriger Beitrag   Nächster Beitrag Nächster Beitrag
Alt 14.04.2019, 15:45   #1
Basti81
 
Fund! Externe Backup Festplatte säubern - verschlüsselte Dateien (Veracrypt, AOMEI Backupper) - Ausrufezeichen

Fund! Externe Backup Festplatte säubern - verschlüsselte Dateien (Veracrypt, AOMEI Backupper)


Hallo zusammen,

ich habe auf meinem Hauptrechner von Anfang an Avira installiert und (nach meinem Kenntnisstand) penibel darauf geachtet mir (dem PC) nichts einzufangen. Spybot Search and Destroy kam irgendwann auch dazu.

- Windows alle Updates vorhanden (automatisch)
- Avira ständig aktualisiert und laufen gelassen
- Spybot Search and Destroy ständig aktualisiert und laufen gelassen

Nun zum eigentlichen:

- Regelmässig Komplett-Backup des Systems/Festplatte durch AOMEI Backupper auf zusätzliche interen Backupfestplatte (da aber nie Probleme auftraten, habe ich die Ältesten auch regelmässig gelöscht)
- Zusätzlich auch Backups aller benötigten Dateien/Ordner - auf selber interner Backup Festplatte

Diese interne Backup Festplatte wird regelmässig auf eine Externe Festplatte gesichert.

Ich bin also nicht zwingend auf das Windows-System-Festplatten-Komplett-Backup angewiesen, da alles zusätzlich vorhanden ist.

Problem: Fast alle Backups sind verschlüsselt! Entweder durch AOMEI oder VeryCrypt Container.


Was ist denn überhaupt eigentlich los?

Antwort: Ich habe ein frisch installiertes Windows 10 Notebook und daran die externe Festplatte mit den Backups meines Hauptrechners angeschlossen und per AOMEI Backupper eine verschlüsselte Ordner/Datei-Sicherung auf das Notebook wiederhergestellt.
Während AOMEi fleissig meine Daten auf das Notebook gespielt hat meldet sich Windows Defender mit wohl äusserst heikler Malware die aufgetaucht ist.

Auf dem Hauptrechner kam nie eine Meldung diesbezüglich und ich bin mit dem Latein am Ende wie das passieren konnte, trotz AVIRA und Spybot S+D.

Da einer der zwei Funde laut Recherche, Passwörter ausspioniert und/oder auch Dateien verschlüsseln kann und Geld erpressen kann - bin ich natürlich gerade total aufgekratzt.... aber auf dem Hauptrechner von dem die Backups stammen ist nie was passiert!


Zusatzinfos: Mein System am Hauptrechner ist mit Veracrypt verschlüsselt (evtl kann da Malware nicht so einfach Schaden anrichten?)


Meine Frage ist nun, gibt es z.B. Linux Live USB Sticks, mit denen ich meine Externe HDD von dem Befall befreien kann?


Problematik ist natürlich: Ich müsste auf einem Windows System das infiziert werden darf, alle verschlüsselten Backups (Verycrypt und AOMEI) sicherlich erst entschlüsseln und alles auf eine externe Festplatte packen - weil Linux zumindest mit AOMEI Verschlüsselung wahrscheinlich nicht zurecht kommt und zudem das AOMEI Image wahrscheinlich beschädigt würde, wenn es direkt bearbeitet werden würde?!

Dann (hoffentlich) den Befall beseitigen und danach auf ein sauber und neu installiertes Windows zurück spielen und wie gehabt verschlüsseln mit Vera und AOMEI wie es vorher war. (Ich verschlüssel prinzipiell quasi immer)


Ich bin mit einem Raid Backup früher schon mal auf die Schnauze gefallen und verlor alle Daten...

Diesmal dachte ich, ich mache es richtig - mit zwei Festplatten (eine intern und eine extern) auf der regelmässig Backups gemacht werden, verschlüssel immer extra alles und wenn es da jetzt nichts zu retten gäbe... frage ich mich langsam wie es überhaupt möglich sein soll sichere Backups zu machen....


Was ich mir wünsche:

Dieses Notebook bei dem die zwei Trojaner gefunden wurden (siehe Ende der Nachricht) ist mir egal. D.h. mir gehts jetzt nicht darum diese jungfräuliche Installation zu retten. Nachdem Defender die Dateien entfernt hat ist nichts mehr passiert (Neutart, Scans etc). Mir geht es die Rettung meiner Backups! D.h. ich müsste die Externe Festplatte wahrscheinlich erst mit den entschlüsselten Backups speisen und dann dort das Möglichste tun um hoffentlich keine Daten zu verlieren!

Deshalb frage ich nach einer Angel - und nicht nach dem Fisch :-) - würde mich auch an das Thema trauen. Ich hatte nur den Fall noch nie!

Was für ein USB Betriebssystem würdet ihr mir raten mit welchen Tools?


Hier die zwei Funde:

Das eine war Meterpreter... :

Code:
ATTFilter
Protokollname: Microsoft-Windows-Windows Defender/Operational
Quelle:        Microsoft-Windows-Windows Defender
Datum:         14.04.2019 13:06:38
Ereignis-ID:   1116
Aufgabenkategorie:Keine
Ebene:         Warnung
Schlüsselwörter:
Benutzer:      SYSTEM
Computer:      DESKTOP-MD688FN
Beschreibung:
Von Windows Defender wurde Schadsoftware oder andere potenziell unerwünschte Software erkannt.
 Weitere Informationen:
hxxp://go.microsoft.com/fwlink/?linkid=37020&name=Trojan:Win32/Meterpreter.gen!C&threatid=2147725332&enterprise=0
 	Name: Trojan:Win32/Meterpreter.gen!C
 	ID: 2147725332
 	Schweregrad: Schwerwiegend
 	Kategorie: Trojaner
 	Pfad: file:_C:\Windows\Temp\00000001-F76A9CF3
 	Erkennungsursprung: Lokaler Computer
 	Erkennungstyp: Konkret
 	Erkennungsquelle: Echtzeitschutz
 	Benutzer: NT-AUTORITÄT\SYSTEM
 	Prozessname: C:\Program Files (x86)\Avira\Antivirus\avguard.exe
 	Signaturversion: AV: 1.291.1841.0, AS: 1.291.1841.0, NIS: 119.0.0.0
 	Modulversion: AM: 1.1.15800.1, NIS: 2.1.14600.4
Ereignis-XML:
<Event xmlns="hxxp://schemas.microsoft.com/win/2004/08/events/event">
  <System>
    <Provider Name="Microsoft-Windows-Windows Defender" Guid="{11CD958A-C507-4EF3-B3F2-5FD9DFBD2C78}" />
    <EventID>1116</EventID>
    <Version>0</Version>
    <Level>3</Level>
    <Task>0</Task>
    <Opcode>0</Opcode>
    <Keywords>0x8000000000000000</Keywords>
    <TimeCreated SystemTime="2019-04-14T11:06:38.093191600Z" />
    <EventRecordID>73</EventRecordID>
    <Correlation />
    <Execution ProcessID="2496" ThreadID="4776" />
    <Channel>Microsoft-Windows-Windows Defender/Operational</Channel>
    <Computer>DESKTOP-MD688FN</Computer>
    <Security UserID="S-1-5-18" />
  </System>
  <EventData>
    <Data Name="Product Name">%%827</Data>
    <Data Name="Product Version">4.8.10240.17443</Data>
    <Data Name="Detection ID">{B4C091D7-701E-414F-9AEE-5A72E3735055}</Data>
    <Data Name="Detection Time">2019-04-14T11:06:36.005Z</Data>
    <Data Name="Unused">
    </Data>
    <Data Name="Unused2">
    </Data>
    <Data Name="Threat ID">2147725332</Data>
    <Data Name="Threat Name">Trojan:Win32/Meterpreter.gen!C</Data>
    <Data Name="Severity ID">5</Data>
    <Data Name="Severity Name">Schwerwiegend</Data>
    <Data Name="Category ID">8</Data>
    <Data Name="Category Name">Trojaner</Data>
    <Data Name="FWLink">hxxp://go.microsoft.com/fwlink/?linkid=37020&amp;name=Trojan:Win32/Meterpreter.gen!C&amp;threatid=2147725332&amp;enterprise=0</Data>
    <Data Name="Status Code">1</Data>
    <Data Name="Status Description">
    </Data>
    <Data Name="State">1</Data>
    <Data Name="Source ID">3</Data>
    <Data Name="Source Name">%%818</Data>
    <Data Name="Process Name">C:\Program Files (x86)\Avira\Antivirus\avguard.exe</Data>
    <Data Name="Detection User">NT-AUTORITÄT\SYSTEM</Data>
    <Data Name="Unused3">
    </Data>
    <Data Name="Path">file:_C:\Windows\Temp\00000001-F76A9CF3</Data>
    <Data Name="Origin ID">1</Data>
    <Data Name="Origin Name">%%845</Data>
    <Data Name="Execution ID">1</Data>
    <Data Name="Execution Name">%%813</Data>
    <Data Name="Type ID">0</Data>
    <Data Name="Type Name">%%822</Data>
    <Data Name="Pre Execution Status">0</Data>
    <Data Name="Action ID">9</Data>
    <Data Name="Action Name">%%887</Data>
    <Data Name="Unused4">
    </Data>
    <Data Name="Error Code">0x00000000</Data>
    <Data Name="Error Description">Der Vorgang wurde erfolgreich beendet. </Data>
    <Data Name="Unused5">
    </Data>
    <Data Name="Post Clean Status">0</Data>
    <Data Name="Additional Actions ID">0</Data>
    <Data Name="Additional Actions String">No additional actions required</Data>
    <Data Name="Remediation User">
    </Data>
    <Data Name="Unused6">
    </Data>
    <Data Name="Signature Version">AV: 1.291.1841.0, AS: 1.291.1841.0, NIS: 119.0.0.0</Data>
    <Data Name="Engine Version">AM: 1.1.15800.1, NIS: 2.1.14600.4</Data>
  </EventData>
</Event>


Das andere der hier:


Code:
ATTFilter
Protokollname: Microsoft-Windows-Windows Defender/Operational
Quelle:        Microsoft-Windows-Windows Defender
Datum:         14.04.2019 13:06:35
Ereignis-ID:   1116
Aufgabenkategorie:Keine
Ebene:         Warnung
Schlüsselwörter:
Benutzer:      SYSTEM
Computer:      DESKTOP-MD688FN
Beschreibung:
Von Windows Defender wurde Schadsoftware oder andere potenziell unerwünschte Software erkannt.
 Weitere Informationen:
hxxp://go.microsoft.com/fwlink/?linkid=37020&name=Trojan:Win32/Skeeyah.A!rfn&threatid=2147694182&enterprise=0
 	Name: Trojan:Win32/Skeeyah.A!rfn
 	ID: 2147694182
 	Schweregrad: Schwerwiegend
 	Kategorie: Trojaner
 	Pfad: file:_C:\Windows\Temp\00000001-F759004E
 	Erkennungsursprung: Lokaler Computer
 	Erkennungstyp: Konkret
 	Erkennungsquelle: Echtzeitschutz
 	Benutzer: NT-AUTORITÄT\SYSTEM
 	Prozessname: C:\Program Files (x86)\Avira\Antivirus\avguard.exe
 	Signaturversion: AV: 1.291.1841.0, AS: 1.291.1841.0, NIS: 119.0.0.0
 	Modulversion: AM: 1.1.15800.1, NIS: 2.1.14600.4
Ereignis-XML:
<Event xmlns="hxxp://schemas.microsoft.com/win/2004/08/events/event">
  <System>
    <Provider Name="Microsoft-Windows-Windows Defender" Guid="{11CD958A-C507-4EF3-B3F2-5FD9DFBD2C78}" />
    <EventID>1116</EventID>
    <Version>0</Version>
    <Level>3</Level>
    <Task>0</Task>
    <Opcode>0</Opcode>
    <Keywords>0x8000000000000000</Keywords>
    <TimeCreated SystemTime="2019-04-14T11:06:35.735818000Z" />
    <EventRecordID>72</EventRecordID>
    <Correlation />
    <Execution ProcessID="2496" ThreadID="4776" />
    <Channel>Microsoft-Windows-Windows Defender/Operational</Channel>
    <Computer>DESKTOP-MD688FN</Computer>
    <Security UserID="S-1-5-18" />
  </System>
  <EventData>
    <Data Name="Product Name">%%827</Data>
    <Data Name="Product Version">4.8.10240.17443</Data>
    <Data Name="Detection ID">{D90EF237-E6DD-48B4-AEF1-8F1170E88A5C}</Data>
    <Data Name="Detection Time">2019-04-14T11:06:35.724Z</Data>
    <Data Name="Unused">
    </Data>
    <Data Name="Unused2">
    </Data>
    <Data Name="Threat ID">2147694182</Data>
    <Data Name="Threat Name">Trojan:Win32/Skeeyah.A!rfn</Data>
    <Data Name="Severity ID">5</Data>
    <Data Name="Severity Name">Schwerwiegend</Data>
    <Data Name="Category ID">8</Data>
    <Data Name="Category Name">Trojaner</Data>
    <Data Name="FWLink">hxxp://go.microsoft.com/fwlink/?linkid=37020&amp;name=Trojan:Win32/Skeeyah.A!rfn&amp;threatid=2147694182&amp;enterprise=0</Data>
    <Data Name="Status Code">1</Data>
    <Data Name="Status Description">
    </Data>
    <Data Name="State">1</Data>
    <Data Name="Source ID">3</Data>
    <Data Name="Source Name">%%818</Data>
    <Data Name="Process Name">C:\Program Files (x86)\Avira\Antivirus\avguard.exe</Data>
    <Data Name="Detection User">NT-AUTORITÄT\SYSTEM</Data>
    <Data Name="Unused3">
    </Data>
    <Data Name="Path">file:_C:\Windows\Temp\00000001-F759004E</Data>
    <Data Name="Origin ID">1</Data>
    <Data Name="Origin Name">%%845</Data>
    <Data Name="Execution ID">1</Data>
    <Data Name="Execution Name">%%813</Data>
    <Data Name="Type ID">0</Data>
    <Data Name="Type Name">%%822</Data>
    <Data Name="Pre Execution Status">0</Data>
    <Data Name="Action ID">9</Data>
    <Data Name="Action Name">%%887</Data>
    <Data Name="Unused4">
    </Data>
    <Data Name="Error Code">0x00000000</Data>
    <Data Name="Error Description">Der Vorgang wurde erfolgreich beendet. </Data>
    <Data Name="Unused5">
    </Data>
    <Data Name="Post Clean Status">0</Data>
    <Data Name="Additional Actions ID">0</Data>
    <Data Name="Additional Actions String">No additional actions required</Data>
    <Data Name="Remediation User">
    </Data>
    <Data Name="Unused6">
    </Data>
    <Data Name="Signature Version">AV: 1.291.1841.0, AS: 1.291.1841.0, NIS: 119.0.0.0</Data>
    <Data Name="Engine Version">AM: 1.1.15800.1, NIS: 2.1.14600.4</Data>
  </EventData>
</Event>

Danke Euch!

 

Themen zu Fund! Externe Backup Festplatte säubern - verschlüsselte Dateien (Veracrypt, AOMEI Backupper)
antivirus, ausspioniert, avira, clean, dateien, defender, error, externe festplatte, festplatte, file, frage, geld, gelöscht, infiziert, installation, langsam, malware, neu, notebook, rojaner gefunden, security, temp, trojaner, updates, usb, win32/skeeyah.a!rfn, windows


« Virusmeldungen durch "OPSWAT MetaAccess", lokaler Bitdefender findet nichts | Windows 7: 19-9042321.zip Datei aus E-Mail Anhang geöffnet. »


Ähnliche Themen: Fund! Externe Backup Festplatte säubern - verschlüsselte Dateien (Veracrypt, AOMEI Backupper)


  1. externe Festplatte wird erkannt, Dateien aber nicht angezeigt, Zugriff verweigert
    Alles rund um Windows - 09.05.2018 (11)
  2. .tar.gz Backup via Terminalbefehl auf Externe Festplatte
    Alles rund um Mac OSX & Linux - 02.03.2018 (13)
  3. Externe Festplatte säubern vor Neuinstallation
    Alles rund um Windows - 09.12.2017 (5)
  4. Externe verschlüsselte Festplatte (TrueCrypt) lässt sich nicht mehr einlesen - was jetzt?
    Überwachung, Datenschutz und Spam - 14.09.2015 (16)
  5. Avira-Maleware-Fund "Adware/InstallCore.Gen7" - wie System verlässlich säubern?
    Plagegeister aller Art und deren Bekämpfung - 09.09.2013 (13)
  6. Verschlüsselte Dateien
    Plagegeister aller Art und deren Bekämpfung - 22.07.2013 (5)
  7. Externe Festplatte: Dateien Ordner sind nur noch "Verknüpfungen"
    Log-Analyse und Auswertung - 22.03.2013 (2)
  8. Verschlüsselte Dateien
    Plagegeister aller Art und deren Bekämpfung - 13.07.2012 (3)
  9. Trojan.Dropper Fund von Malwarebytes in TrueImage-Backup?
    Plagegeister aller Art und deren Bekämpfung - 26.05.2012 (23)
  10. Externe Festplatte plötzlich "keine Dateien vorhanden"
    Log-Analyse und Auswertung - 05.03.2012 (5)
  11. Recycler-Autoran Dateien und externe festplatte nur verknüpfungen
    Plagegeister aller Art und deren Bekämpfung - 21.01.2012 (1)
  12. externe festplatte, kein zugriff auf dateien möglich
    Log-Analyse und Auswertung - 29.12.2011 (38)
  13. Dateien nur noch als Verknüpfung! Hilfe wichtige externe Festplatte!
    Log-Analyse und Auswertung - 01.11.2011 (1)
  14. externe Festplatte größere Dateien Speichern
    Netzwerk und Hardware - 17.09.2009 (11)
  15. Möchte Laptop und externe Festplatte säubern
    Plagegeister aller Art und deren Bekämpfung - 21.02.2009 (4)
  16. Registry u. Festplatte säubern
    Alles rund um Windows - 13.08.2008 (9)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema Fund! Externe Backup Festplatte säubern - verschlüsselte Dateien (Veracrypt, AOMEI Backupper) - Hallo zusammen, ich habe auf meinem Hauptrechner von Anfang an Avira installiert und (nach meinem Kenntnisstand) penibel darauf geachtet mir (dem PC) nichts einzufangen. Spybot Search and Destroy kam irgendwann - Fund! Externe Backup Festplatte säubern - verschlüsselte Dateien (Veracrypt, AOMEI Backupper)...
Archiv
Du betrachtest: Fund! Externe Backup Festplatte säubern - verschlüsselte Dateien (Veracrypt, AOMEI Backupper) auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19