ComputerBase Menü
Aktuelles

Trojaner DR/spy.banc.ha.10.b > Festplatte RAW

I

IMorgothI

Newbie
Registriert
März 2006
Beiträge
6
Hallo.

Ich bräuchte auch individuelle Hilfe von euch. Das Problem ist folgendes:

Ich hab mir den Trojan Dropper: DR/spy.banc.ha.10.b eingefangen und kann seit dem nicht mehr auf meine 250 GB Maxtor Festplatte zugreifen. Zuerst hat mein Bios zwar die platte erkannt, doch das Windows (Winxp pro, SP2) nicht. Mittlerweile erkennt mein System zwar die festplatte, aber wenn ich sie im Explorer auswählen will, kommt die Meldung "Festplatte nicht formatiert, soll sie formatiert werden?" Und sie wird mit 0 MB angezeigt. Da hat mir wohl der virus den bootsektor zerstört oder etwas ähnliches.

Ich habe Testdisk probiert, aber komme damit noch nicht so zurecht und will nichts unüberlegtes damit machen.

Bitte um Hilfe, auf der platte sind relativ wichtige daten drauf die sich nach dem letzten backup angesammelt haben.

Es wäre ausserdem sehr wichtig dass ich die daten mit dem original dateinamen wieder bekomme, da das eine festplatte eines tonstudios mit cubase projekt dateien ist (.cpr) und alle wav dateien dafür ihren original namen haben müssen um damit kompatibel zu sein.

Gruß und Dank im Vorraus,

Morgi



EDIT: Hier noch ein Screenshot von dem was Testdisk über den Boot Sektor der festplatte sagt:

screen.JPG
 
Zuletzt bearbeitet:
Auf dem Bild sehe ich im Moment nur eine Fat16-Partition in der Partitionstabelle größer als 32 MB.
Die scheint ein Bootsektorproblem zu haben.
Lade dir mal die neueste Version von Testdisk.
Mir fehlen dann noch die Screens nach Proceed (Version 6.3) und nach der tieferen Suche.

Infos dazu hier;

Mache mir mal 3 Screenshots von Testdisk zur Diagnose.

Lade dir mal Testdisk Version 6.3 beta.
Link dazu gibt es hier;
http://www.cgsecurity.org/wiki/TestDisk_Download

Starte Testdisk, wähle deine betroffene Festplatte aus und bestätige mit Enter, bestätige bei Partition Table Typ Intel, bestätige bei Analyse mit Enter und setze mir einen Screenshot.

Bestätige bei Proceed und setze mir auch einen Screenshot.
Bestätige weiter bis du zum Menü kommst wo unten steht [Quit] [Search] [Write] und gehe mit dem Pfeil auf [Search] (tiefere Suche) und lasse es laufen.
Setze mir auch einen Screenshot.
Die betroffene Partition sollte wenn du den Screen machst markiert sein.

Markiere mal die betroffene Partition und drücke p auf der Tastatur ob deine Daten angezeigt werden oder eine Fehlermeldung.
Zurück kommst du mit q drücken.

Teile es erstmal mit.

Viele Grüße

Fiona
 
Hier ist ein Link zu den 3 screenshots. Der screenshot nach der tieferen Suche war identisch mit dem 2ten. Ich hoffe ich habe alles richtig gemacht beim scannen lassen.



http://home.arcor.de/imorgothi/Testdisk/

Ich komme gar nicht erst zu einem menü bei dem ich "write" auswählen kann. Da steht nur zur auswahl: "Quit" und "Search (tiefere suche)"

Dannach steht dort "No partition found or selected for recovery"

Gruß,

Morgi
 
Es wird keine Partition gefunden.
Sieht somit so aus das der Bootsektor und das Backup vom Bootsektor beschädigt sind.
Wenn du nur eine Partition Standard über die volle Festplattengröße hattest könnte man die manuell eingeben und versuchen einen Bootsektor zu schreiben.
Dazu müßtest du auch das Dateisystem wissen.
Ist aber nur ein Versuch!

Ansonsten mache mal eine Diagnose mit Datenrettungssoftware was an Daten angezeigt wird.

Link zu Datenrettungssoftware hier;
Freeware hat nicht immer gute Ergebnisse und ist deshalb kein Maßstab für eine Diagnose.
https://www.computerbase.de/forum/threads/faq-datenrettung-testdisk-anleitung.110869/#post-1109338

Gute Ergebnisse sind Restorer2000, Scavenger und Recover My Files.
Freeware hat nicht immer gute Ergebnisse.

Du kannst dir ja mal den kostengünstigen Restorer2000 Pro (Shareware 49.99 $ ca. 38 €) in der Testversion anschauen was der an Daten nach Diagnose anzeigt.
Hatte hier bereits gute Ergebnisse und macht auch wenig Probleme mit verschiedene Dateiformate.
In der Bedienung für einige ein wenig gewöhnungsbedürftig.
Daher noch ergänzende Hinweise wegen Bedienung.
Mache damit mal einen genauen Sektorscan.
Markiere die Festplatte und nicht eine Partition..
Scanne die Festplatte indem du auf das dritte Icon im Menü mit dem Laufwerkssymbol und dem Fernrohr gehst (Diese Option sucht nach Partitionen macht aber einen Sektorscan).
Hinterher kannst du oben im rechten Fenster in Restorer auf die Festplattensymbole (erkannte Partitionen) klicken und auf deine Daten untersuchen.
Wähle bitte zuerst die Laufwerkssymbole aus die deiner Partitionsgröße und Dateisystem entsprechen.
Da kannst du auch wenn im rechten Fenster mehrere angezeigt werden wechseln indem du in Restorer2000 im Menü oben ganz links auf das Laufwerkssysmbol klickst.
Dann kommst du wieder zurück und kannst im rechten Fenster das nächste Laufwerkssymbol zum untersuchen auf Daten auswählen.

Untersuche die mal und teile es mit.

Viele Grüße

Fiona
 
Zuletzt bearbeitet:
Ok, der scan von Restorer 2000 läuft gerade. Was meinst du mit manuell reparieren? Würde es Sinn machen, Mit hilfe der wiederherstellungskonsole den MBR zu reparieren? (/fixmbr) Mein alter herr hat exakt die gleiche festplatte wie ich. Könnte man den MBR von ihm backupen und dann den MBR auf meiner fesptplatte damit überschreiben? Der virus is leider so unbekannt, wenn man wüsste was der genau macht dann wäre es etwas einfacher denke ich. Die festplatte war auf NTFS formatiert. Ich habe auch schon den "RAW-Recovery modus" von "Ontrack Easy recovery" drüber laufen lassen, der hat zwar alle dateien gefunden, aber sie hatten nicht den original namen. Easy recovery kann dateien nicht mit den original namen wiederherstellen habe ich gelesen. Gibt es denn, sofern am MBR nichts mehr zu machen ist, irgendeine möglichkeit die .wav bzw .cpr dateien mit den original namen zu bergen? Eventuell von einer formatierten festplatte. Das formatieren sollte aber wirklich der letzte schritt sein den ich versuchen will, um dort daten zu bergen. Es gibt doch programme die dateien mit original namen bergen, bei denen der erste buchstabe dann ein Fragezeichen ist, oder? Ich habe das nur gehört und bin mir nicht sicher ob das geht.

Gruß und Dank,


Morgi

EDIT: Ja es war nur standardmäßig eine partition über die ganze festplatte. die festplatte wurde auch nie mehr formatiert, die ist erst einige monate jung.
 
Zuletzt bearbeitet:
UIUIUIUIUIUIUIUIUI

Nachdem scan mit restorer 2000 wurden mir in der NTFS partition alle dateien in dem ordner ROOT angezeigt sogar die original ordner usw. Was mach ich jetzt? kann ich das alles wiederherstellen?
 
Mit der Vollversion von Restorer kannst du die Daten samt Ordner markieren und mit Rechtsklick / recover auf einen anderes Laufwerk kopieren.
Dabei kannst du auch den Rootordner markieren.
Wie du es möchtest?
Restorer kostet ca. 38 €.

Wenn du die gesamte Struktur findest, ist es ein gutes Zeichen.
Wenn du die Partition in Testdisk eingibst besteht die Möglichkeit das du mit dem Versuch einen neuen Bootsektor zu schreiben die Festplatte wiederherstellen kannst.
Dabei werden auch Virusinfos überschrieben.
Dabei mußt du aber in Testdisk die genauen Partitionsinfos treffen.
Es darf kein einziger Sektor Unterschied sein.
Ich setze dir mal eine Standard-Struktur für eine Partition über die gesamte Festplatte.

Wenn das Dateisystem beschädigt ist und dabei keine Dateien angezeigt werden, dann solltest du zu Restorer greifen.

Achte dringend auf die Hinweise bei Bootsektorrecovery da nicht ungefährlich!

Ich gehe jetzt im Moment von einer primären Partition aus.
Wenn du weißt das es ein logisches Laufwerk war dann teile es dringendst mit.
Wird dann von mir angepasst.
Ist wichtig da es sonst auch nicht funktioniert!

Starte Testdisk und wähle wenn nötig deine Festplatte aus.
Bestätige dann bei Proceed und Partition Table Typ Intel jeweils mit Enter.
Bestätige bei Analyse und bei Proceed auch wieder mit Enter.
Drücke die Taste a für die manuelle Eingabe der Partition.
Gebe an dem Menü der Reihe nach folgendes ein;

[ Cylinders ] [ Heads ] [ Sectors ] [ Cylinders ] [ Heads ] [ Sectors ] [ Type ] [ Done ]
........0................1..............1..............30514........254............63...........07......[Enter]

Der Wert bei Type 07 ist für NTFS.

Wenn du die dann gespeichert hast mache bitte folgendes;
Setze die eingegebene Partition wenn nötig mit der Links und Rechtstaste auf der Tastatur auf P für primäre Partition (ist der Buchstabe ganz links).

Bestätige dann mit Enter.

Gehe auf Write bestätige mit Enter, y und Ok.
Jetzt wird die Partition in die Partitionstabelle eintragen.
Bestätige in Testdisk mit Quit.

Geht dann folgendermaßen mit dem Versuch einen neuen Bootsektor zu schreiben weiter;

Gehe mit dem Pfeil auf das Menü Advanced und bestätige mit Enter.
Deine eingegebene Partition muß ausgewählt sein.
Bestätige dann bei [Boot].
Gehe auf [Rebuild BS].
Das sollte nur oder höchstens einige Minuten laufen.
Wenn es länger braucht (Stunden etc.) ist es ein Hinweis auf ein beschädigtes Dateisystem.
Breche dann ab.
Dann hilft nur Datenrettungssoftware.
Es ist gefährlich einen defekten Bootsektor zu schreiben.
Wenn es normal durchläuft siehst du hinterher das Menü [ List ].
Bestätige dort bitte mit Enter.
Schaue ob dort deine Dateien angezeigt werden.
Ist ein sehr wichtiger Hinweis, daß der Extrapolated Bootsektor (so heißt der neu geschriebene) das Dateisystem richtig erkannt hat und somit auch die Dateien anzeigt.
Beende das Menü List dann einfach mit q drücken.
Dann siehst du bei Rebuild BS auch das Menü Write.
Gehe da nur drauf wenn du deine Dateien gesehen hast.
Wenn du bei List ein Error gesehen hast anstatt Dateien bestätige bitte auch nicht bei Write.
Ansonsten kannst du bei Write mit Enter und y bestätigen.

Starte im Fall neu und überprüfe das Ergebnis.

Achte auf jeden Fall auf chkdsk.
Führe daher erstmal kein chkdsk aus.
Die Partition ist beim nächsten Systemstart vorhanden.
Bei einem Fehler im Dateisystem kann daher Autochk (chkdsk) kommen.
Beende chkdsk damit es erstmal keine Änderungen an deine Daten vornimmt.
Geht normalerweise innerhalb von 10 Sekunden durch Tastendruck.
Dann hast du immer noch die Möglichkeit die mit Datenrettungssoftware ohne Änderung durch chkdsk wiederherzustellen.

Viele Grüße

Fiona
 
Kannes auch wenn ich die anweisung von dir genau befolge so weit kommen, dass die daten dann komplett verloren sind? wenn ja, dann traue ich mich das nicht, dann kaufe ich mir lieber für die paar euro das restorer 2000 programm. Aber dann hast du dir die mühe umsonst gemacht, die anleitung zu schreiben und ich hätte ein schlechtes gewissen :(
 
Mache dir mal keine Sorge um die Anleitung.
Deine Daten gehen vor.

Wenn du die Partition in die Partitionstabelle schreibst ist nur die Partition vorhanden.
Die hat aber keinen Bootsektor oder Dateisystem.
Windows kann dich aber fragen die zu formatieren was du sicherlich nicht machen sollst.
Ist nur ein normaler Vorgang.
Ist nicht kritisch.

Bootsektor schreiben kann kritisch sein.
Daher solltest du es nur machen wenn du deine Daten siehst.
Die Anleitung ist auch eine Diagnose.
Wenn du deine Daten nicht oder eine Fehlermeldung siehst sollst du nicht auf Write gehen und den Bootsektor schreiben.
Breche dann Testdisk einfach ab.
Dann hast du weiterhin nur eine unformatierte Partition.

Wenn du deine Daten siehst kannst du den Bootsektor schreiben.
Dabei achte da die Partition wieder voll vorhanden ist bei Systemstart auf chkdsk (Autochk kann automatisch bei einem Fehler im Dateisystem kommen).
Wenn du chkdsk wie erwähnst (nur im Fall wenn es kommen sollte was zumeist nicht der Fall ist aber trotzdem möglich wäre) abbrichst, dann nimmst du auch keine Änderungen an deinen Daten vor und kannst die immer noch mit Restorer wiederherstellen.

Trotzdem ist Restorer2000 eine einfache und sichere Alternative .
Teile es ruhig mit.

Viele Grüße

Fiona
 
Zuletzt bearbeitet:
Restorer 2000 konnte alle Daten mit original ordner struktur und original dateinamen wiederherstellen. Vielen, vielen Dank, Fiona. Ich hoffe das andere leute, die mit dem selben virus in berührung gekommen sind, diesen thread finden. Das Programm Restorer 2000 hat zu jeder geretteten datei, eine zusätzliche datei erstellt. <dateiname>.$data.KAVICHS. Kann ich diese dateien löschen?


Gruß und Dank,

Morgi
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

Bl4ck M4ch!n3
DR/Spy.Banc.ha.10.B
Antworten
1
Aufrufe
966
Sir_Sascha
Sir_Sascha

Passend zum Thema

Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz