Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Alles rund um Windows (https://www.trojaner-board.de/alles-rund-um-windows/)
-   -   Partition verschwunden (https://www.trojaner-board.de/123745-partition-verschwunden.html)

Dexterlabs 08.09.2012 16:31
Partition verschwunden
 
Hallo liebe Helfer,
ich bin dieser Tage Opfer des GVU-Trojaners geworden und bislang ist mir hier in diesem Thread von t'john beretis sehr gut geholfen worden.
Das Problem meiner verschwundenen Partition hat er jedoch nicht lösen können und mich daher hierher verwiesen.

Ich schildere daher nochmal kurz das Problem:
-Grundsätzlich hatte ich meine 500 GB Festplatte partitioniert in eine System-Partition (~70 GB) und eine Daten-Partition (der Rest, also: ~400 GB), auf die ich auch die Eigenen Dateien und so etwas verschoben habe, da im Idealfall bei einem Neu-Aufsetzen der System-Partition die Daten noch da sind.
-Nach Befall durch den Trojaner konnte ich durch den "Abmelden/Anmelden"-Trick nochmal kurz auf meine Daten zugreifen und habe das wichtigste gesichert. Dann musste ich schlafen, da ich am nächsten Morgen früh zur Arbeit musste.
-Beim nächsten Systemstart war die komplette D:\-Partition verschwunden. Kein Zugriff über Explerer, Links laufen ins Leere, etc.

Ich hätte gerne wieder Zugriff auf die Daten-Partition. Im Idealfall so, dass ich auch wieder an die Daten kann, weil ich wirklich nur das Allernötigste sichern konnte, aber z.B. meine komplette Musik-Sammlung (inkl. vieler Kauf-MP3s) noch auf der Platte ist.
Ist das irgendwie zu retten?

Hier mal die wichtigsten Infos, wie im Info-Thread gewünscht:

Code:
Betriebssystemname        Microsoft Windows 7 Professional
Version        6.1.7601 Service Pack 1 Build 7601
Zusätzliche Betriebssystembeschreibung        Nicht verfügbar
Betriebssystemhersteller        Microsoft Corporation
Systemname        *******
Systemhersteller        System manufacturer
Systemmodell        P5K-VM
Systemtyp        X86-basierter PC
Prozessor        Intel(R) Core(TM)2 Duo CPU    E6750  @ 2.66GHz, 2664 MHz, 2 Kern(e), 2 logische(r) Prozessor(en)
BIOS-Version/-Datum        American Megatrends Inc. 0602, 30.10.2007
SMBIOS-Version        2.4
Windows-Verzeichnis        C:\Windows
Systemverzeichnis        C:\Windows\system32
Startgerät        \Device\HarddiskVolume1
Gebietsschema        Deutschland
Hardwareabstraktionsebene        Version = "6.1.7601.17514"
Benutzername        ******
Zeitzone        Mitteleuropäische Sommerzeit
Installierter physikalischer Speicher (RAM)        3,00 GB
Gesamter realer Speicher        3,00 GB
Verfügbarer realer Speicher        1,63 GB
Gesamter virtueller Speicher        6,00 GB
Verfügbarer virtueller Speicher        4,08 GB
Größe der Auslagerungsdatei        3,00 GB
Auslagerungsdatei        C:\pagefile.sys
Bin nicht sicher, welche Hardware-Infos ihr braucht, die kann ich dann aber schnell nachschauen.

Vielen Dank schonmal

Shadow 08.09.2012 18:05
Was sagt die Datenträgerverwaltung?
Was sagt dein Backup? :pfeiff:

Dexterlabs 08.09.2012 20:55
Liste der Anhänge anzeigen (Anzahl: 1)
Zitat:
Zitat von Shadow (Beitrag 911130)
Was sagt die Datenträgerverwaltung?
Datenträgerverwaltung sieht aus wie im angehängten Bild.
Das was als D: angezeigt wird, ist ein USB-Stick, den er auf den Laufwerksbuchstaben gemountet hat.

Normalerweise müssten unter D: eben die grün ausgemalten 400 GB hängen, die eigentlich auch fast komplett voll sind, tw. mit wichtigen Daten. :-(


Zitat:
Was sagt dein Backup? :pfeiff:
Wie gesagt: habe in der Notsituation nur das Allerwichtigste sichern können. Das letzte vernünftige Backup ist paar Monate alt - ja ich weiß, häufiger Daten sichern...

Kurz gesagt: wenn ich die 400 GB der D:-Partition nicht wiederbekommen kann, ist schon einiges Wichtiges weg.

Miraculix1 09.09.2012 16:58
Hört sich im ersten Moment nach ner zerschossenen Partitionstabellle an, du könntest dir unter ner Live-CD von Ubuntu oder knoppix mal mit gparted ansehen ob und wie die Partition darunter erkannt wird, vllt hast du Glück und die flags wurden nur geändert, das es eine versteckte Partition ist.
Falls du Unter Linux darauf zugreifen kannst, könntest du die Daten die du noch haben willst auch einfach auf eine andere HD ziehen ;)

Gruß Mira

Dexterlabs 09.09.2012 23:36
Ok, danke. Das probiere ich dann mal aus. Gibt es dafür auch eine Anleitung? (Überprüfung mit gparted meine ich; die Anleitung für die Knoppix-CD habe ich gefunden).

Ich bin beruflich bis Mittwoch mittag weg, dann poste ich mal meine ersten Ergebnisse.

Vorab schonmal die Frage: Gibt es etwas, was ich auf jeden Fall vermeiden sollte, wenn mir meine Daten lieb sind?

Miraculix1 10.09.2012 15:14
Du solltest die Partition NICHT formatieren ;)
gparted ist ein Programm zur Partitionierung und Einrichtung der Festplatte, ging mir nur darum überhaupt erstmal zu sehen, ob die Partition noch erkannt wird.
Du kannst dir unter knoppix in der Konsole mit dem Befehl "fdisk -l" die Partitionen anzeigen lassen, über "mount /dev/sda2 /media/volume" kannst du die Partition mounten
sda steht für sata-festplatten und usb-sticks etc. wenns eine ide- Platte ist, heisst es normalerweise sdb und die 1, 2, 3 dahinter sind die Partitionen.
Alles was ich in "" geschrieben hab sind die Befehle, die musst du aber ohne die "" eingeben ;)
Gruß Mira

Dexterlabs 21.10.2012 13:18
Hallo miraculix,
viel Arbeit hat mich davon abgehalten, vorher an meinem System zu basteln.
Da ich aber irgendwann wieder meinen Hauptrechner funktionsfähig haben will, habe ich mich jetzt mal rangesetzt.
Start mit Knoppix-CD und eingeben von fdisk -l ergibt folgende Ausgabe:
Code:
Warning: ignoring extra data in partition table 5
Warning: ignoring extra data in partition table 5
Warning: invalid flag 0x0030 of partition table 5 will be corrected by w(rite)

Disk /dev/sda: 500.1 GB, 500107862016 bytes
255 heads, 63 sectors/track, 60801 cylinders, total 976773168 sectors
Units = sectors of 1 * 512 = 512 bytes
Sector size (logical/physical): 512 bytes / 512 bytes
I/O size (minimum/optimal): 512 bytes / 512 bytes
Disk identifier: 0x29f329f2

  Device Boot      Start        End      Blocks  Id  System
/dev/sda1  *          63  135868565    67934251+  7  HPFS/NTFS/exFAT
/dev/sda2      135868512  976768065  420449777    f  W95 Ext'd (LBA)
/dev/sda5  ?  140980320  2084515935  971767808  ff  BBT
Die Ausgaben für die anderen Laufwerke habe ich mal weggelassen.
Ich habe versucht sda2 zu mounten, aber da kam ich nicht weit, da er von mir wissen wollte, welches Dateisystem er nehmen soll und ich dann mal die Finger von gelassen habe, da ich nichts riskieren wollte.
Meine laienhaften Linus-Kenntnisse lassen für mich darauf schließen, dass bei meiner zweiten Partition (von dem Trojaner???) ein falsches Dateisystem eingetragen wurde und daher Windows keinen Zugriff hat.
Kann ich das über Knoppix beheben?
Viele Grüße und danke für weitere Hilfe


Alle Zeitangaben in WEZ +1. Es ist jetzt 04:18 Uhr.

Copyright ©2000-2024, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28