Daten verschlüsselt nach Virus+TestDisk

[helpmeplz]

Hi,
Erstmal danke hier ans Forum. V.a. an Fiona für die Anleitung von Test Disk.

Vermutlich durch ein Virenbefall wurde meine Partition als unformatiert angezeigt. Bei Test Disk hatte ich im Advanced/Boot-Menü folgenden Fehler:

"Sectors are not identical"

Nach Anleitung bin ich dann auf [Backup BS] gegangen und schwups war die Platte wieder zugänglich.

Einige Dateien sind jetzt jedoch verschlüsselt. Da ich die Platte in einen anderen PC eingebaut habe, komme ich jetzt nicht an die Daten ran. Will ich von der Platte starten auf der die verschl. Daten sind bricht Windows den Startvorgang ab. Aus Sicherheitsgründen wie er schreibt. Ich solle die Platte auf Viren überprüfen und chdsk /f ausführen, um zu checken ob die Platte defekt ist...
Ist die Verschlüsselung möglicherweise auch eine Schutzfunktion von Windows ,um eine Verbreitung des Virus auf andere Systeme zu verhindern?
Hab mittlerweile AntiVir drüberlaufen lassen, der einiges gefunden hat. Abgesicherter Modus auch probiert.

Die Festplatte mit den verschl. Daten sieht so aus...

System (I: ) 8GB Win XP Prof ohne SP drauf,paar unwichtige Daten
Volum (J: ) 20GB leere Partition
Programme (K: ) 46.5GB /19.5 frei Win XP Prof ohne SP, z.T.verschlüsselte Daten

..und läuft in einem PC auf dem Windows XP Prof mit SP2 installiert ist.
Ein Backup(Acronis TrueImage) der betroffen Platte habe ich schon gemacht.
Ne Idee wie ich an die Daten rankomme?!?

Schönen Abend wünsche ich.

 

[HisN]

Wenn der Virus die Daten verschlüsselt hat und nicht Du bist Du angeschissen.

 

[helpmeplz]

Also Rechtsklick auf Datei /Eigenschaften/ Erweitert/ Details sagt mir, dass der Benutzer,der auf dem System von (K: ) installiert ist "unerkannt auf die Datei zugreifen kann".

 

[Mueli]

Melde Dich doch mal als Administrator an und überprüfe die Rechte, hier könntest Du sie auch neu zuweisen. Bist Du sicher, dass die Dateien verschlüsselt sind und nicht nur def. sind? Bei vielen Dateien kann man im Header den Typ (Archive, Bilder etc.) erkennen und wenn der noch im Klartext vorhanden ist, sind sie eher korrumpiert und nicht verschlüsselt.

 

[helpmeplz]

Kann ja wie gesagt nicht von der Platte booten. Somit mich dor auch nicht als Admin einloggen.
Ob die Daten wirklich verschlüsselt sind weiß ich nicht. Werden halt grün markiert angezeigt. Und unter Rechtsclick/Eigenschaften/Erweitert ist ein Häckchen bei verschlüsselt. Das Problem liegt wohl darin,dass AntiVir zwar Viren gefunden hat, sie aber nicht richtig entfernen konnte. Hab gerade nochmal durchsuchen lassen : 25 Funde! .... Hier mal die Log-file:Weiss halt nicht welcher Virus für die blockierten Daten verantwortlich ist.Ein paar sitzten bestimmt schon ewig fest ohne bemerbaren Schaden gemacht zu haben..

Beginne mit der Suche in 'K:\' <Programme>
K:\Dokumente und Einstellungen\****\Desktop\burn4free_setup.exe
[WARNUNG] Die Datei konnte nicht geöffnet werden!
K:\Dokumente und Einstellungen\****\Desktop\icq5_1_german_setup.exe
[WARNUNG] Die Datei konnte nicht geöffnet werden!
K:\Dokumente und Einstellungen\****\Desktop\bildbearbeitung\gimp-2.4.0-i586-setup.exe
[WARNUNG] Die Datei konnte nicht geöffnet werden!


K:\Programme\Gemeinsame Dateien\Yazzle1162OinAdmin.exe
[FUND] Ist das Trojanische Pferd TR/Dldr.PurityScan.EG.8
[INFO] Eine Sicherungskopie wurde unter dem Namen 47ce43d2.qua erstellt ( QUARANTÄNE )
K:\RECYCLER\S-1-5-21-1993962763-688789844-1060284298-1003\Dg250.exe
[WARNUNG] Die Datei konnte nicht geöffnet werden!
K:\RECYCLER\S-1-5-21-1993962763-688789844-1060284298-1003\Dg5.exe
[WARNUNG] Die Datei konnte nicht geöffnet werden!
K:\WINDOWS\bck1.dat
[FUND] Ist das Trojanische Pferd TR/Dropper.Gen
[INFO] Eine Sicherungskopie wurde unter dem Namen 47bf45cb.qua erstellt ( QUARANTÄNE )
K:\WINDOWS\kurlmon.dll
[FUND] Ist das Trojanische Pferd TR/Spy.ProAg.21.3.B
[INFO] Eine Sicherungskopie wurde unter dem Namen 47c645e0.qua erstellt ( QUARANTÄNE )
K:\WINDOWS\Q817606.log:hphyl
[FUND] Ist das Trojanische Pferd TR/Dldr.Age.bc.19.A
[INFO] Eine Sicherungskopie wurde unter dem Namen 478545a4.qua erstellt ( QUARANTÄNE )
K:\WINDOWS\qservice.exe
[FUND] Ist das Trojanische Pferd TR/Spy.ProAg.21.3.A
[INFO] Eine Sicherungskopie wurde unter dem Namen 47b945df.qua erstellt ( QUARANTÄNE )
K:\WINDOWS\services.dll
[FUND] Ist das Trojanische Pferd TR/Spy.ProAgen.21.3
[INFO] Eine Sicherungskopie wurde unter dem Namen 47c645d2.qua erstellt ( QUARANTÄNE )
K:\WINDOWS\services.exe
[WARNUNG] Die Datei konnte nicht geöffnet werden!
K:\WINDOWS\sessmgr.setup.log:sjsrht
[FUND] Ist das Trojanische Pferd TR/Dldr.Age.bc.19.A
[INFO] Eine Sicherungskopie wurde unter dem Namen 47c745d2.qua erstellt ( QUARANTÄNE )
K:\WINDOWS\setuplog.txt:dkvcdo
[FUND] Ist das Trojanische Pferd TR/Agent.BI
[INFO] Eine Sicherungskopie wurde unter dem Namen 47c845d3.qua erstellt ( QUARANTÄNE )
K:\WINDOWS\tsoc.logeefsu
[FUND] Ist das Trojanische Pferd TR/Agent.BI
[INFO] Eine Sicherungskopie wurde unter dem Namen 47c345e2.qua erstellt ( QUARANTÄNE )
K:\WINDOWS\$NtUninstallKB828741$\catsrv.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
K:\WINDOWS\$NtUninstallKB828741$\catsrvut.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
K:\WINDOWS\$NtUninstallKB828741$\clbcatex.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
K:\WINDOWS\$NtUninstallKB828741$\clbcatq.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
K:\WINDOWS\$NtUninstallKB828741$\colbact.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
K:\WINDOWS\$NtUninstallKB828741$\comadmin.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!

usw.usw.. Datei konnte nicht geöffnet werden


K:\WINDOWS\Downloaded Program Files\popcaploader.dll
[FUND] Enthält Erkennungsmuster des SPR/Dldr.PopCap.A-Programmes
[INFO] Eine Sicherungskopie wurde unter dem Namen 47c445f1.qua erstellt ( QUARANTÄNE )
K:\WINDOWS\Help\CHMHelp.chm
[FUND] Ist das Trojanische Pferd TR/Spy.Suspect.1
[INFO] Eine Sicherungskopie wurde unter dem Namen 47a14613.qua erstellt ( QUARANTÄNE )
K:\WINDOWS\system\sservice.exe
[WARNUNG] Die Datei konnte nicht geöffnet werden!
K:\WINDOWS\system32:waaa.dll
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
[INFO] Eine Sicherungskopie wurde unter dem Namen 47c74725.qua erstellt ( QUARANTÄNE )
K:\WINDOWS\system32\drvnux.dll
[FUND] Ist das Trojanische Pferd TR/Crypt.PEC2X.Gen
[INFO] Eine Sicherungskopie wurde unter dem Namen 47ca4729.qua erstellt ( QUARANTÄNE )
K:\WINDOWS\system32\fservice.exe
[WARNUNG] Die Datei konnte nicht geöffnet werden!
K:\WINDOWS\system32\HookApi.dll
[FUND] Ist das Trojanische Pferd TR/Spy.ProAge.p.1.B
[INFO] Eine Sicherungskopie wurde unter dem Namen 47c3472a.qua erstellt ( QUARANTÄNE )
K:\WINDOWS\system32\reginv.dll
[FUND] Ist das Trojanische Pferd TR/Drop.Agent.co.2
[INFO] Eine Sicherungskopie wurde unter dem Namen 47bb473a.qua erstellt ( QUARANTÄNE )
K:\WINDOWS\system32\system43.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.NSAnti.Gen
[INFO] Eine Sicherungskopie wurde unter dem Namen 47c74754.qua erstellt ( QUARANTÄNE )
K:\WINDOWS\system32\tuvwxxv.dll
[FUND] Ist das Trojanische Pferd TR/Agent.37376
[INFO] Eine Sicherungskopie wurde unter dem Namen 47ca4752.qua erstellt ( QUARANTÄNE )
K:\WINDOWS\system32\winkey.dll
[FUND] Ist das Trojanische Pferd TR/Spy.ProAgen.20.B
[INFO] Eine Sicherungskopie wurde unter dem Namen 47c24749.qua erstellt ( QUARANTÄNE )
K:\WINDOWS\system32\winpyl32.dll
[FUND] Ist das Trojanische Pferd TR/Crypt.PEC2X.Gen
[INFO] Eine Sicherungskopie wurde unter dem Namen 47c2474a.qua erstellt ( QUARANTÄNE )
K:\WINDOWS\system32\xpdx.sys
[FUND] Ist das Trojanische Pferd TR/Rootkit.Gen
[INFO] Eine Sicherungskopie wurde unter dem Namen 47b84753.qua erstellt ( QUARANTÄNE )
K:\WINDOWS\system32\drivers\runtime2.sys
[FUND] Ist das Trojanische Pferd TR/Rootkit.Gen
[INFO] Eine Sicherungskopie wurde unter dem Namen 47c2479c.qua erstellt ( QUARANTÄNE )
K:\WINDOWS\system32\drivers\secdrv.sys
[FUND] Enthält Erkennungsmuster des Rootkits RKIT/Ntech.I
[INFO] Eine Sicherungskopie wurde unter dem Namen 47b7478c.qua erstellt ( QUARANTÄNE )
K:\WINDOWS\system32\vgfddwtv\vgfddwtv2.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.XDR.Gen
[INFO] Eine Sicherungskopie wurde unter dem Namen 47ba479f.qua erstellt ( QUARANTÄNE )
K:\WINDOWS\system32\vgfddwtv\vgfddwtv3.exe
[FUND] Enthält Erkennungsmuster des SPR/Dldr.UltimateFix.D-Programmes
[INFO] Eine Sicherungskopie wurde unter dem Namen 46dfeba8.qua erstellt ( QUARANTÄNE )
K:\WINDOWS\Temp\startdrv.exe
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Ntech.V
[INFO] Eine Sicherungskopie wurde unter dem Namen 47b547b2.qua erstellt ( QUARANTÄNE )


Ende des Suchlaufs: Montag, 3. Dezember 2007 19:14
Benötigte Zeit: 35:33 min



25 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
25 Dateien wurden in die Quarantäne verschoben
47 Dateien konnten nicht durchsucht werden
47 Warnungen