Avira: (Win7) Trojaner "TR/Rogue.11186992" in "C:\Windows\Temp\44158_updater.exe" gefunden

mlewelt · 23.04.2014, 12:02

Wenn ich jetzt die QuickSearch starte, sucht er in utopisch langsamer geschwindigkeit die Platte ab.

cosinus · 23.04.2014, 12:13

Musste halt abwarten

mlewelt · 24.04.2014, 13:19

Soo war bis gerade eben weg, hatte den pc angelassen. also, während der search gab es 2 errors:

Als ich dann wiederkam war die Suche fertig, mit diesem Error:

EDIT:

Das grüne menü das erscheint wenn ich continue drücke zeigt drei partitionen an, alle mit total sinnloser zu kleiner gesamtgröße

cosinus · 24.04.2014, 14:53

Was soll dieser FAT16- und Linux-Typ der anderen beiden Partitionen? Das ist doch Murks, da müsste überall NTFS stehen.

Die Größenangabe ist nicht in Bytes sondern in Sektoren. Ein Sektor ist genau 512 Bytes groß, also die etwa 150 GB der alten WinXP-Partitionen kommen hin. Aber der Rest stimmt hinten und vorn nicht, Partitionstyp allein stimmt ja schon nicht.

mlewelt · 24.04.2014, 15:02

ja und jetzt?

wenn ich als typ EFI GPT gewählt habe wurde das korrekt (zumindest die größe) angezeigt.
Soll ich mal EFI GPT wählen und dann machen wir von da weiter?

cosinus · 24.04.2014, 15:09

EFI/GPT ist ein Partitionierungsschema, kein "Partitionstyp". Deine 2 TB Platte wurde doch mit dem MBR-Schema partitioniert und die darin enthaltenen Partitionen sind vom Typ NTFS, nicht FAT, Linux oder irgendwas anderes

mlewelt · 24.04.2014, 15:15

ja genau so sollte das sein^^ wie wir aber sehen ist es ja nichtmehr so^^
testdisk sagt es ist efi gpt und linux sagt es ist RAW. was jetzt tun?

cosinus · 24.04.2014, 15:24

Dann probier andere Tools zB Free Partition Recovery Software - EaseUS Partition Recovery.

mlewelt · 24.04.2014, 19:32

-_-

was ich außerdem nicht verstehe ist, warum windows mir die partition als OK aber RAW anzeigt, und die recovery mir die als NTFS o.O

Kann man nicht die RAW partition iwie wieder umschreiben in ne ntfs? combofix hat ja iwie auch sowas gemacht

Also, gibt es denn jetzt noch wege die Platte zu retten oder mindestens die daten iwie zu sichern? danach möchte ich die platte eh komplett frisch in mbr ntfs (wie es ja vor diesem dreckigen combofix war) konvertieren und formatieren, und dann meine system ssd ebenfalls ganz frisch machen und win 7 neu aufsetzen

Kanns sein dass Combofix die Platte iwie auf gpt umgeschrieben hat?

cosinus · 24.04.2014, 20:01

Zitat:

warum windows mir die partition als OK aber RAW anzeigt, und die recovery mir die als NTFS o.O

Ich vermute hier mal was, muss dazu aber etwas weiter ausholen:

Partitionstyp ist NTFS, wenn du zB fdisk aus der Linuxwelt nimmst und damit partitionierst, musst idR auch den Partitionstyp über einen zweistelligen Hex-Code angeben (Bespiele: 83=Linux, 07=NTFS, 8e=Linux LVM )

Das zum Partitionstyp. Über die Partition wird dann ein Dateisystem gelegt, wo man auch den Typ angeben muss zB NTFS, FAT16/FAT32 oder Linuxdateisysteme wie ext2/ext3/ext4

Willst du ein Linuxdateisystem erstellen, so sollte die Partition auf der das Dateisystem rauf soll vom Typ 83 sein. Für NTFS eben 07. Falls du unter Linux eine Partition zB mit dem Typ 83 versiehst diese aber mit FAT32 formatierst, so könnte Windows dieses Dateisystem eigentlich lesen, meckert aber rum weil es einen anderen Partitionstyp erwartet (kein 83 sondern den für FAT)

Windows erkennt wohl als Partitionstyp NTFS (7) aber das Dateisystem nicht. Vllt weil es irgendwo broken ist

Die Recover-Tools erkennen wohl noch den Partitionstyp als NTFS und zeigen auch deswegen ne NTFS Partition (ob sie das drauf liegende Dateisystem noch zu lesen/retten vermögen steht auf einem ganz anderen Blatt). Ich hab aber keinen blassen warum sie hier ne GPT Disk sehen (oder was auch immer das genau jetzt ist)

Und nein, Combofix hat da garantiert nix gemacht. Combofix hat noch nie an den Partitionen derart rumgefummelt und schon garnicht an Platten, die nur als reines Datenlager und nicht als Systempartitionsablage dienen.

Starte nochmal Linux, mach ne Konsole (shell oder auch Terminal genannt) auf und führe diesen Befehl aus:

Code:

ATTFilter

fdisk -lu

Dann seh ich was Linux als Partitionstyp sieht. (nach fdisk kommt ein Leerzeichen, dann Minus, kleines L (keine eins) und ein kleines U )
Poste die Ausgabe komplett in CODE-Tags

mlewelt · 24.04.2014, 20:10

Melde mich frisch aus live heraus^^

fdisk -lu output:

Code:

ATTFilter

Disk /dev/sda: 2000.4 GB, 2000398934016 bytes, 3907029168 sectors
Units = sectors of 1 * 512 = 512 bytes
Sector size (logical/physical): 512 bytes / 4096 bytes
I/O size (minimum/optimal): 4096 bytes / 4096 bytes
Disk label type: gpt


#         Start          End    Size  Type            Name
 1    307202048   3907026943    1.7T  Microsoft basic Basic data partition

Disk /dev/sdc: 15.5 GB, 15518924800 bytes, 30310400 sectors
Units = sectors of 1 * 512 = 512 bytes
Sector size (logical/physical): 512 bytes / 512 bytes
I/O size (minimum/optimal): 512 bytes / 512 bytes
Disk label type: dos
Disk identifier: 0x00000000

   Device Boot      Start         End      Blocks   Id  System
/dev/sdc1   *          63    30310370    15155154    c  W95 FAT32 (LBA)

nochmal zu combofix:
wie kann es dann sein das alles immer lief (hab auch nie was an der platte verändert), und direkt nach dem ausführen von combifox schmiert se ab?

cosinus · 24.04.2014, 20:20

Combofix hab ich schon mehrere hundert Male aufgegeben und du wärst der erste bei dem CF ne Datenplatte zerhagelt. Gut, absolut 100 % sicher kann man sie nie sein, ich da du erste wärst, bei dem CF angeblich schuld hat würde ich behaupten, dass es was anderes als CF war.

Linux erkennt auch ne GPT. Für GPT-Datenträger kommt unter Linux kein fdisk zum Einsatz sondern gdisk, mach daher mal diesen Befehl:

Code:

ATTFilter

gdisk /dev/sda -l

Und poste wieder die Ausgabe

mlewelt · 24.04.2014, 20:43

GPT fdisk (gdisk) version 0.8.6

Partition table scan:
MBR: protective
BSD: not present
APM: not present
GPT: present

Found valid GPT with protective MBR; using GPT.
Disk /dev/sda: 3907029168 sectors, 1.8 TiB
Logical sector size: 512 bytes
Disk identifier (GUID): DC68A2B9-1C27-4E8D-B44B-BCAD28DC5184
Partition table holds up to 128 entries
First usable sector is 34, last usable sector is 3907029134
Partitions will be aligned on 2048-sector boundaries
Total free space is 307204205 sectors (146.5 GiB)

Number Start (sector) End (sector) Size Code Name
1 307202048 3907026943 1.7 TiB 0700 Basic data partition

seid die platte nicht mehr geht wird übrigens kein trojaner mehr gefunden. kanns sein dass sich der trojaner irgendwie in die platte gefressen hat und combofix beim fixen die platte geschrottet hat, weil der trojaner schon was verändert hatte?

cosinus · 24.04.2014, 20:47

Dann ist es tatsächlich ein GPT-Datenträger. Willst du mit Testdisk weiter versuchen? Andere Freeware fällt mir so aus dem Stehgreif nicht ein, die GPT-Datenträger recovern könnte

mlewelt · 24.04.2014, 20:50

Da bin ich jetzt aber geschockt o.O
Nuja, wenn man das unmögliche beseitigt, muss das übrige, so unwahrscheinlich wie es auch ist, die wahrheit sein

<3

Jo, möchte es dann mit testdisk versuchen. Wie genau muss ich da denn jetzt vorgehen?

23.04.2014, 12:13	#32
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	$Avira: (Win7) Trojaner "TR/Rogue.11186992" in "C:\Windows\Temp\44158_updater.exe" gefunden - Standard$ Avira: (Win7) Trojaner "TR/Rogue.11186992" in "C:\Windows\Temp\44158_updater.exe" gefunden Musste halt abwarten __________________ __________________

24.04.2014, 15:24	#38
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	$Avira: (Win7) Trojaner "TR/Rogue.11186992" in "C:\Windows\Temp\44158_updater.exe" gefunden - Standard$ Avira: (Win7) Trojaner "TR/Rogue.11186992" in "C:\Windows\Temp\44158_updater.exe" gefunden Dann probier andere Tools zB Free Partition Recovery Software - EaseUS Partition Recovery. __________________ Logfiles bitte immer in CODE-Tags posten

Avira: (Win7) Trojaner "TR/Rogue.11186992" in "C:\Windows\Temp\44158_updater.exe" gefunden

Plagegeister aller Art und deren Bekämpfung: Avira: (Win7) Trojaner "TR/Rogue.11186992" in "C:\Windows\Temp\44158_updater.exe" gefunden