Hallo,
ich habe mir einige Viren/Trojaner o. ä. eingefangen. Leider kann ich jetzt nicht sagen, wel-che es sind, weil sie auf meinem Arbeitsrechner sind, der jetzt nicht mehr läuft. Jedenfalls war auch ein „TR/..rootkit…“ dabei. Derzeit schreibe ich von einem alten Rechner, der als Backup fungiert.
Als Antivirenprogramm habe ich die kostenlose Version von Avira laufen und auch regelmäßig aktuallisiert.

Was ist passiert?

Vor einiger Zeit habe ich eine Mail von „Fritzfax“ erhalten. Kurz vorher hatte ich einen DSL-Anschluß von 1&1 erhalten, die Router von AVM verwenden (diese heißen immer irgendwas mit „Fritz“). Die Sache war mir nicht gahz geheuer, also hatte ich den Anhang in ein Verzeichnis für temporäre Daten kopiert, um ihn mit Avira zu prüfen. Das hatte aber irgendwie nicht geklappt, also wollte ich die gezipte Datei entpacken (weil ich es für möglich hielt, dass Avira keine gezipten Dateien untersuchen kann). Bei der Abfrage „Gepackte Dateien wirklich entpacken?“ wurde es mir doch mulmig und ich hatte auf „Abbrechen“ gedrückt. Trotzdem hatte das Ganze offenbar einen schlimmen Effekt, denn die betreffende Zip-Datei war danach nicht mehr zu sehen!
Also habe ich sofort einen Systemscann durchgeführt, bei dem drei Schadprogramme mit „TR/…“ in unterschiedlichen Dateien in Windows-Verzeichnissen (Win 7) gefunden wurden. Darüber hinaus wurde die Zip-Datei im Tmp-Verzeichnis aufgeführt und „WSCR/Unsafe.D2“ in einer sehr alten rtf-Datei aus 2005.
Alle Dateien mit den Schadprogrammen, die beim Systemscann gefunden wurden, wurden auch in Quarantäne gesteckt (was immer das heißt, ich hoffe sie sind damit lahm gelegt).

Meine Überlegung:

Meine Festplatte habe ich in zwei Partitionen aufgeteilt:
- C: für alle Programme
- E: für meine Daten
Im Forum bin ich inzwischen auf viele Beiträge gestoßen, die alle darauf hinaus laufen, dass die Bereinigung aufwändig und nicht ohne Risiko für eine Neuinfektion ist. Daher habe ich mir folgendes Vorgehen überlegt:
1. Ich kaufe mir eine neue Festplatte (500 GB kosten nur noch um die 50Eu) und spiele alle meine Programme neu darauf (die gekauften von CD/DVD und freie aus dem Internet, z.B. von der chip-Seite). Die Partitionen werden auch wieder in C: und E: aufgeteilt.
2. Von der alten (verseuchten) Platte ziehe ich mir die Daten von E: auf die neue Platte (natürlich auch da auf E. Dazu stecke ich sie mit einem Adapter als externe Platte an eine USB-Schnittstelle. Sobald sie dran hängt, mache ich noch mal einen neuen Plattenscann zur Sicherheit.

Um in Zukunft schneller mit ähnlichen Situationen schneller fertig zu werden:
3. Die alte Platte wird komplett gelöscht (z. B. mit DBAN?) und formatiert.
4. Die neue Platte wird mit den Partitionen C: (Programme) und E: (Daten) auf die alte geklont, damit diese genauso aufgebaut ist, wie die neue.

Datensicherungen und ggf. Aktualisierung der Programme auf die alte Platte werden immer nur nach vollständigen Systemscann der neuen (aktuellen Arbeits-)Platte vorgenommen.
Für die tägliche, regelmäßige Datensicherung benutze ich sowieso eine andere externe Festplatte und einen alten XP-Rechner.
Tritt wieder ein Virenbefall auf, kann die dann verseuchte neue Platte wieder aus dem Rechner raus geschraubt werden, die alte (saubere) rein und in 5 Minuten ist man wieder arbeitsfähig. Die Daten können vom Backup auf den aktuellen Stand gebracht werden.
Die verseuchte neue Platte wird dann wie vorher die alte komplett bereinigt.

Was haltet Ihr von dem Vorgehen?

Wenn es sinnvoll ist, habe ich noch ein paar Fragen:
- Wenn ich meine Daten von der verseuchten Platte sichern und auf die neue spielen will, laufe ich dann nicht Gefahr, mir die Schadsoftware gleich wieder einzufangen.
Bei den Daten auf E: sind keine exe-Programme, sondern wie gesagt nur Daten (Word, Excel, Openoffice, pdf usw., aber auch eigene Makros für Office-Programme, Profile von Thunderbird, Firefox etc.). Wenn ich Virenprogrammierer wäre, würde ich meinen Dingern sagen, sie sollen sich überall verstecken, nicht nur unter ausführbaren Programmen (hier auf C. Reicht da ein Systemscan und ggf. Verschieben in Quarantäne aus, um die Daten sicher und sauber auf eine andere Platte zu ziehen?

- Offenbar gibt es Viren, die sich sogar im BIOS einnisten können. Woran erkenne ich die und wie kriege ich die raus? Inzwischen habe ich mir sogar einen neuen Laptop gekauft, weil der alte (mit der verseuchten Platte) nicht mehr startet. Kann ich mir die BIOS-Schadprogramme mit dem Überspielen der Daten von E: auch einfangen?

- Reicht es aus, die Partitionen der verseuchten Platte zu formatieren oder muß da DBAN oder ähnliches drüber laufen?

- Mit welchen Programmen kann man die Partitionen am besten (auch für den Laien durch-führbar) clonen, also das Betriebssystem und alle aufgespielten Programmen ausführbar auf eine andere Platte bringen? Da ich ja alles nur als Notfall-System verdoppele, dürften auch keine Schutzrechte verletzt werden.

Für Euer Bemühen danke ich im Voraus.
Gruß
Hermann

Zitat:

Was haltet Ihr von dem Vorgehen?

tönt nach nem guten Plan, auch wenn ich mir den Stress sparen würde und das Teil einfach bereingien würde

Zitat:

Wenn ich meine Daten von der verseuchten Platte sichern und auf die neue spielen will, laufe ich dann nicht Gefahr, mir die Schadsoftware gleich wieder einzufangen.

Nur bei Fileinfector oder Verschlüsselungstrojanern.

Zitat:

Bei den Daten auf E: sind keine exe-Programme, sondern wie gesagt nur Daten (Word, Excel, Openoffice, pdf usw., aber auch eigene Makros für Office-Programme, Profile von Thunderbird, Firefox etc.). Wenn ich Virenprogrammierer wäre, würde ich meinen Dingern sagen, sie sollen sich überall verstecken, nicht nur unter ausführbaren Programmen (hier auf C. Reicht da ein Systemscan und ggf. Verschieben in Quarantäne aus, um die Daten sicher und sauber auf eine andere Platte zu ziehen?

unwarscheinlich, MBAM und ein AV Programm sollten das bei einem Vollscan aber finden.

Zitat:

- Offenbar gibt es Viren, die sich sogar im BIOS einnisten können. Woran erkenne ich die und wie kriege ich die raus? Inzwischen habe ich mir sogar einen neuen Laptop gekauft, weil der alte (mit der verseuchten Platte) nicht mehr startet. Kann ich mir die BIOS-Schadprogramme mit dem Überspielen der Daten von E: auch einfangen?

MBR ja, BIOS gibt es nur wenige, was aber auch beides egal ist wenn du nur nicht ausführbare daten sicherst.

Zitat:

- Reicht es aus, die Partitionen der verseuchten Platte zu formatieren oder muß da DBAN oder ähnliches drüber laufen?

Normales Formatieren reicht.

Zitat:

- Mit welchen Programmen kann man die Partitionen am besten (auch für den Laien durch-führbar) clonen, also das Betriebssystem und alle aufgespielten Programmen ausführbar auf eine andere Platte bringen? Da ich ja alles nur als Notfall-System verdoppele, dürften auch keine Schutzrechte verletzt werden.

Acronis