Zitat:

Ich hab nie behauptet, dass ein einfaches Formatieren reiche, aber du hast meine Ausführungen mit dem Windows-Setup weggelassen!

Zitat:

Und bei MBR gibt es kein stark reinsetzen! Wenn du die ersten 512 Bytes einer MBR-Schema-HDD null, dann sieht die danach völlig leer aus! Und genau dieser MBR wird bei einem Windows-Setup auch neu geschrieben.

cosinus, so wie ich das bei dem einen User verstanden habe, konnte er nach dem formatieren der Festplatte das Setup der Windows CD nicht starten und Petya kam dem zuvor:

Zitat:

Anschließend wieder in das notebook eingebaut und jetzt wollte ich Win 7 neu installieren, wenn ich aber ins Bios will kommt wieder der Virendesktop!

Wie also hätte er den MBR mit dem Windows CD Setup neu schreiben sollen? Ausserdem vermute ich das selbst das petya im MBR überlebt, denn:

Zitat:

Anstelle von Dateien nacheinander Verschlüsselung, verweigert es den Zugriff auf das gesamte System von Low-Level-Strukturen auf der Scheibe angreifen. Die dies Autoren der Ransomware haben nicht nur ihre eigenen erstellt Bootloader , sondern auch einen kleinen Kern, der 32 Sektoren lang ist. Petja Dropper schreibt den bösartigen Code am Anfang der Platte. Die des betroffenen Systems Master Boot Record (MBR) wird von der benutzerdefinierten Bootloader überschrieben , die einen kleinen bösartigen Kernel lädt. Dann geht dieser Kernel mit weiteren Verschlüsselung. Petja Erpresserbrief heißt es, dass es die volle Platte verschlüsselt, aber das ist nicht wahr. Stattdessen verschlüsselt sie die Master File Table (MFT) , so dass das Dateisystem nicht lesbar ist.

Quelle: https://translate.google.de/translat...e/&prev=search

Zitat:

Zitat von purzelbär

cosinus, so wie ich das bei dem einen User verstanden habe, konnte er nach dem formatieren der Festplatte das Setup der Windows CD nicht starten und Petya kam dem zuvor: Wie also hätte er den MBR mit dem Windows CD Setup neu schreiben sollen? Ausserdem vermute ich das selbst das petya im MBR überlebt, denn: Quelle: https://translate.google.de/translat...e/&prev=search

Also nochmal, ganz von Anfang:

1.) User baut infizierte Platte aus
2.) schließt die Platte an einen anderen (nicht infizierten) Rechner (USB?) an
3.) löscht da die bestehenden Partitionen
4.) erstellt eine neue und formatiert diese

Das einzige was da im MBR geändert wird, ist die Partitionstabelle: Partitionen löschen und neu anlegen. Ein Format der Partitionen ändert nix am MBR. Wenn Partitionen gelöscht oder erstellt werden wird auch nur der Teil für die Partitionstabelle angefasst, mehr nicht, also nicht der Teil mit dem Bootloader. Deswegen ist es da auch folgerichtig, dass der Bootloader von Petya da noch drauf ist.

Das Teil kann aber niemals vor dem BIOS/POST erscheinen, da erst später versucht wird von einem Laufwerk wie Festplatte, DVD oder USB-Stick zu booten. Die Reihenfolge ist ja BIOS hinterlegt. Wenn der Schreiberling da meint, er wolle ins BIOS mit F1, sieht aber dann den petya, dann hat er bestimmt was falsch gemacht. Zu spät die Setuptaste (um ins BIOS zu kommen) gedrückt oder es war garnicht F1. Mit F1 kommt man auch meistens nicht ins Setup. Das ist aber vom Hersteller abhängig; ich kenne F2, F10 und ENTF (DEL), fürs Bootmenü F8, F11 oder F12. Aber F1 um ins BIOS zu kommen daran kann ich mich nicht entsinnen.

Vgl http://winfuture.de/videos/Software/So-funktioniert-der-Krypto-Trojaner-Petya-16005.html

1. Regel der Datenrettung: Nie auf dem Originaldatentraeger schreiben. Und nie meint nie ohne Ausnahme bis eine erfolgreiche Datenrettung abgeschlossen ist.

Aber korrekt ist, hat man keine alternativen Datentraeger und ist bereit Kompromisse einzugehen und die Daten erstmal abgeschrieben hat, dann ist alles, was man wiederbekommt ein Gewinn.

Bei Vorhandensein von mehreren Partitionen wuerde ich mir das von Malwarebytes.org vermittelte Wissen zunutze machen, und die originale Partitionstabelle von Hand wiederherstellen. Dann sind unter Umstaenden wenigstens die anderen Partitionen nutzbar.

Die Systempartition ist vermutlich Schrott, wenn nicht ein Wunder geschieht. Aber wir hatten ja schon ein oder zwei davon.