Trojaner-Board - Bundestrojaner o.ä.

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Bundestrojaner o.ä. - weisser Bildschirm (https://www.trojaner-board.de/134214-bundestrojaner-o-ae-weisser-bildschirm.html)

Vielleicht zur Erklärung: ich starte den Rechner im abgesicherten Modus mit Eingabeaufforderung. Dann wird ein Recovery Key verlangt, dden ich nicht habe. Wenn ich hier esc drücke, komm ich in den Reparatur-Modus, den ich aber gleich mit cancel abbreche. Wenn ich das getan habe, kommt ein Fenster mit verschiedenen Reparatur-Möglichkeiten etc. und unter anderem eben mit der Möglichkeit, den DOS Modus zu starten. Das ist bislang die einzige Möglichkeit, in den Eingabemodus zu gelangen. Was anderes funktioniert nicht, leider. Ist dies vielleicht ein "falscher" Modus, was kann ich denn sonst noch versuchen?
Werde jetzt die Linux-Nummer angehen.

Grüße,
Rolexralle

Das sieht unerfreulich aus.
Sichere jetzt wie gesagt mal alle deine Daten, danach sehen wir weiter.

Ok, ich melde mich wieder, wenn ich die Daten im trockenen habe! Vielen Dank!

...hmmm, srry, dass ich schon wieder ankomme... Also ich hab die Linux-Installation efolgreich durchgebracht. habe jetzt den Desktop vor mir, allerdings kein Icon "My Documents", sondern nur "File Manager". Hier habe ich mehrere Auswahlen: sda1, sda2 (BDEDrive) und db1. Nirgends sind Daten da und wenn ich die sda1 anklicke, kommt ein Fehler "udevil: errr64: unable to determine device fstype - specify with -t"...
Ich kann damit leider überhaupt nichts anfangen, wo muss ich denn hin, um an meine Daten zu kommen? Entschuldige nochmals, aber ich komm da echt nicht mehr weiter...

Im Partition Editor bekomme ich für die sda1 die Meldung:
"Warning! Unable to detect file system! Possible reasons are: the file system is damaged/unknown to GParted/no file system available (unformatted)/device/entry /dev/sda1 is missing".
Vielleicht hilft dir das weiter?!

Status: Not mounted. Da es 297.79 GiB sind, könnte es vielleicht sein, dass das meine Partition ist?

So, also ich habe nun immerhin mal den USB-Stick unter Linux erkannt. Allerdings sind sämtliche Ordner auf dem System leer. Ich komme somit leider nicht an meine Daten, oder zumindest weiß ich nicht, wie.

So, das nennt man dann also Kapitulation!
Ich kann nicht mehr, ich komm nicht weiter, keine Spur von meinen Daten, keine Ergebnisse der Scans... Seit zwei Tagen nur DOS-Fenster und Booten, bis der Arzt kommt... Solls echt so enden?

Das war leider zu befürchten, der Griff nach dem Strohhalm ging ins Leere.. :(

Zitat:

Status: Not mounted. Da es 297.79 GiB sind, könnte es vielleicht sein, dass das meine Partition ist?

Das ist sie, ja.

Zitat:

So, das nennt man dann also Kapitulation!
Solls echt so enden?

Noch nicht aufgeben. Ich frage intern um Hilfe an, wie man das noch retten kann.
Um nochmals klar zu gehen: Du hast auf dieser Festplatte wichtige Daten drauf, von welchen du kein externes Backup besitzt, korrekt?

Bitte mach in der Zwischenzeit keine weiteren Rettungsversuche auf gut Glück. Wenn du nicht wirklich weisst, was du tust, kannst du unter Umständen mehr Schaden als Nutzen anrichten.

Ok, ich weiß ja eh nicht, was noch zu machen wäre. Ja, es sind im Wesentlichen Daten, die ich in den letzten Tagen erstellt habe und von denen ich kein Backup hab.
Kann es eigentlich sein, dass ich an die Daten nicht mehr rankomme, weil ich nicht mehr in mein Benutzerprofil komme? Und falls ja, kann man das nicht irgendwie umgehen?
Danke nochmals für die Unterstützung und ich freue mich über jeden Strohhalm! :-)

Hi,

das Problem scheint nicht nur dein Benutzerprofil zu sein..
Mach bitte Folgendes:

Boote den Rechner erneut mit dem Parted Magic Live-System.
Mache einen Doppelklick auf das Symbol Keyboard Layout auf dem Desktop von Parted Magic, wähle ein deutsches Layout (z.B. "de:qwetz") und bestätige das.
Öffne dann eine Konsole (Bildschirmsymbol "ROXTerm" unten links in der Taskleiste).
Gib folgenden Befehl ein und bestätige mit Enter:
fdisk -l
(Der Parameter nach fdisk ist ein kleines L.)
Kopiere den gesamten Output (markieren -> Rechtsklick -> Edit -> Copy), so dass du ihn hier posten kannst (entweder direkt über den integrierten Firefox, oder in ein File auf einem USB-Stick kopieren und über einen Zweitrechner hier einfügen).
Öffne dann den Partition Editor GParted.
Speichere einen Screenshot von diesem Fenster ("Startbutton" (links unten) -> Accessories -> Screenshot) und hänge das Bild hier an.

Hi Leo,

anbei der Auszug aus dem Editor nach Absetzen des Kommandos fdisk -l:

Code:

WWelcome - Parted Magic (Linux 3.7.9-pmagic)
 

root@partedmagic:~# fdisk -l
 

Disk /dev/sda: 320.1 GB, 320072933376 bytes

255 heads, 63 sectors/track, 38913 cylinders, total 625142448 sectors

Units = sectors of 1 * 512 = 512 bytes

Sector size (logical/physical): 512 bytes / 4096 bytes

I/O size (minimum/optimal): 4096 bytes / 4096 bytes

Disk identifier: 0x6850967b
 

   Device Boot      Start         End      Blocks   Id  System

/dev/sda1            2048   624502783   312250368    7  HPFS/NTFS/exFAT

/dev/sda2   *   624502784   625117183      307200    7  HPFS/NTFS/exFAT
 

Disk /dev/sdb: 4026 MB, 4026531840 bytes

255 heads, 63 sectors/track, 489 cylinders, total 7864320 sectors

Units = sectors of 1 * 512 = 512 bytes

Sector size (logical/physical): 512 bytes / 512 bytes

I/O size (minimum/optimal): 512 bytes / 512 bytes

Disk identifier: 0x0217934c
 

   Device Boot      Start         End      Blocks   Id  System

/dev/sdb1   *          63     7864319     3932128+   e  W95 FAT16 (LBA)

root@partedmagic:~# ^C

root@partedmagic:~#

Und dann noch der Scrrenshot wie gewünscht. Hoffe, das hilft weiter. Danke!

Hi,

weiter:

Boote den Rechner in das Parted Magic Live-System.
Öffne dann eine Konsole (Bildschirmsymbol "ROXTerm" unten links in der Taskleiste).
Gib dort testdisk ein und bestätige mit Enter.
Wähle die Option Create und drücke Enter.
Markiere deine interne Festplatte (/dev/sda) und drücke Enter.
Bestätige den ausgewählten Partitionstabellentyp (sollte Intel sein).
Wähle Analyse und drücke Enter. Danach Quick Search und Enter.
Drücke Enter, wähle Deeper Search und Enter.
Wenn der Scan abgeschlossen ist, drücke wiederholt q, bis du testdisk beendet hast.
Starte dann den File Manager (Symbol oben links auf dem Desktop), suche die testdisk.log im root-Verzeichnis und poste dessen Inhalt hier.
Öffne dann nochmals den Partition Editor GParted.
Speichere einen Screenshot von diesem Fenster ("Startbutton" (links unten) -> Accessories -> Screenshot) und hänge das Bild hier an.

Hi Leo, Scan läuft.
Vielen Dank und bis später!

Hi Leo,

hier das Ergebnis des Scans

Code:



Tue Apr 30 15:42:49 2013

Command line: TestDisk
 

TestDisk 6.14-WIP, Data Recovery Utility, September 2012

Christophe GRENIER <grenier@cgsecurity.org>

hxxp://www.cgsecurity.org

OS: Linux, kernel 3.7.9-pmagic (#1 SMP PREEMPT Sun Feb 17 18:16:24 CST 2013) i686

Compiler: GCC 4.7

Compilation date: 2013-02-16T11:38:45

ext2fs lib: 1.42.7, ntfs lib: libntfs-3g, reiserfs lib: 0.3.0.5, ewf lib: none

/dev/sda: LBA, HPA, LBA48, DCO support

/dev/sda: size       625142448 sectors

/dev/sda: user_max   625142448 sectors

/dev/sda: native_max 625142448 sectors

/dev/sda: dco        625142448 sectors

Warning: can't get size for Disk /dev/mapper/control - 0 B - 1 sectors, sector size=512

Hard disk list

Disk /dev/sda - 320 GB / 298 GiB - CHS 38913 255 63, sector size=512 - ST320LT007-9ZV142, S/N:W0Q42FLS, FW:0003DEM1

Disk /dev/sdb - 4026 MB / 3840 MiB - CHS 1022 124 62, sector size=512 - SMI USB DISK, FW:1100
 

Partition table type (auto): Intel

Disk /dev/sda - 320 GB / 298 GiB - ST320LT007-9ZV142

Partition table type: Intel
 

Analyse Disk /dev/sda - 320 GB / 298 GiB - CHS 38913 255 63

Geometry from i386 MBR: head=255 sector=63

check_part_i386 failed for partition type 07

NTFS at 38873/127/39

Current partition structure:

Invalid NTFS or EXFAT boot

 1 P HPFS - NTFS              0  32 33 38873 127 38  624500736

 1 P HPFS - NTFS              0  32 33 38873 127 38  624500736

 2 * HPFS - NTFS          38873 127 39 38911 189 62     614400 [BDEDrive]
 

search_part()

Disk /dev/sda - 320 GB / 298 GiB - CHS 38913 255 63

Search for partition aborted
 

Results
 

interface_write()

 

No partition found or selected for recovery
 

search_part()

Disk /dev/sda - 320 GB / 298 GiB - CHS 38913 255 63

NTFS at 38873/127/39

filesystem size           614400

sectors_per_cluster       8

mft_lcn                   25600

mftmirr_lcn               2

clusters_per_mft_record   -10

clusters_per_index_record 1

     HPFS - NTFS          38873 127 39 38911 189 62     614400 [BDEDrive]

     NTFS, blocksize=4096, 314 MB / 300 MiB

NTFS at 38911/189/62

filesystem size           614400

sectors_per_cluster       8

mft_lcn                   25600

mftmirr_lcn               2

clusters_per_mft_record   -10

clusters_per_index_record 1

     HPFS - NTFS          38873 127 39 38911 189 62     614400 [BDEDrive]

     NTFS found using backup sector, blocksize=4096, 314 MB / 300 MiB

NTFS at 38913/37/36

filesystem size           623517696

sectors_per_cluster       8

mft_lcn                   786432

mftmirr_lcn               2

clusters_per_mft_record   -10

clusters_per_index_record 1

     HPFS - NTFS            100 246 19 38913  37 36  623517696

     NTFS found using backup sector, blocksize=4096, 319 GB / 297 GiB
 

Results

     HPFS - NTFS            100 246 19 38913  37 36  623517696

     NTFS found using backup sector, blocksize=4096, 319 GB / 297 GiB

     HPFS - NTFS          38873 127 39 38911 189 62     614400 [BDEDrive]

     NTFS, blocksize=4096, 314 MB / 300 MiB
 

interface_write()

 

No partition found or selected for recovery

simulate write!
 

write_mbr_i386: starting...

write_all_log_i386: starting...

No extended partition
 

TestDisk exited normally.

Und der Screenshot:

Boote den Rechner in das Parted Magic Live-System.
Öffne dann eine Konsole (Bildschirmsymbol "ROXTerm" unten links in der Taskleiste).
Gib dort testdisk ein und bestätige mit Enter.
Wähle die Option No Log und drücke Enter.
Markiere deine interne Festplatte (/dev/sda) und drücke Enter.
Bestätige den ausgewählten Partitionstabellentyp (sollte Intel sein).
Wähle Advanced und drücke Enter.
Selektiere

Code:

1 P HPFS - NTFS 0 32 33 38873 127 38 624500736

wähle die Option Boot und drücke Enter.
Wähle dort Backup BS und bestätige es mit Enter und y.
Gehe dann auf Quit und bestätige den Neustart.
Starte dann den Rechner beim Neustart gleich erneut mit Parted Magic.
Öffne den Partition Editor GParted.
Speichere einen Screenshot von diesem Fenster ("Startbutton" (links unten) -> Accessories -> Screenshot) und hänge das Bild hier an.

So, also ich komme bis zum Schritt, die Platte auszuwählen. Aber bis zum booten komme ich dann nicht mehr:

Code:

TestDisk 6.14-WIP, Data Recovery Utility, September 2012

Christophe GRENIER <grenier@cgsecurity.org>

hxxp://www.cgsecurity.org
 

Disk /dev/sda - 320 GB / 298 GiB - CHS 38913 255 63

     Partition                  Start        End    Size in sectors

 1 P HPFS - NTFS              0  32 33 38873 127 38  624500736
 

Boot sector

Status: Bad
 

Backup boot sector

Status: Bad
 

Sectors are not identical.
 

A valid NTFS Boot sector must be present in order to access

any data; even if the partition is not bootable.

Die Optionen, die ich unten am Rand des Fensters nun habe sind: Quit, Rebuild BS und Dump.

Zitat:

Die Optionen, die ich unten am Rand des Fensters nun habe sind: Quit, Rebuild BS und Dump.

Wähle dort die Option Rebuild BS.