Virus hat alle Dateien auf 0kb gesetzt

[der_Rusty]

Hallo!

Nach langer, erfolgloser Suche bin ich auf dieses Forum gestoßen.
In meiner Not platze ich hier einfach mal so rein.

Also,
ich hatte mir wohl einen Virus eingefangen. Norton schlug Alarm bei einer Datei Namens "SysDrefI.exe", konnte aber nicht reparieren oder löschen. Dann fing auf einmal die Festplatte an zu rattern und ich hatte gleich den (richtigen) Verdacht, daß nun meine Daten flöten gehen. Instinktiv startete ich den Taskmanager, um zu sehen, welches Prog da nun so aktiv ist. Richtig: SysDref.exe.
Ich habe sofort (naja, eben zu spät) den Prozess beendet.
Nun ist meine Datenpartition quasi leer und die Win-Partition "teilzerschossen".

Ich habe noch die kompletten Verzeichnisse und Dateien, jedoch ist alles auf 0kb gesetzt worden und ich kann nichts mehr damit anfangen.

Datanrettungstools habe ich schon einige versucht, ohne Erfolg. Die finden nur alte, tatsächlich gelöschte Dateien wieder. Die 0kb-Daten bleiben kaputt.

Ist da evtl. noch etwas zu retten?
Mein letztes Backup ich leider schon 3 Monate her und so habe ich einige hundert Fotos von meinen Kindern verloren.

Danke für Antworten

Der Rusty

 

[eigs]

Hi!

Wenn dir die Daten nicht so wichtig sind, dann versuche es weiter zu retten mit Dateiwiederherstellungsprogrammen. Denn wenn du es schon mit mehreren ohne Erfolg versucht hast, dann kannst du mehr ruinieren als was du wiederherstellen kannst.
Eine professionelle Datenrettungsfirma währe zu empfehlen, wenn du deine Daten wieder haben möchtest. Wird aber leider nicht so billig.
Ich würde diesen Beitrag nochmal hier posten und hoffen, dass dir jemand besser helfen kann als ich.

mfg eigs

 

[Fiona]

Benutze mal vorweg Photorec für deine Bilder.
Infos dazu sind weiter unten im Post.
Gehe auf File Opt und dekativiere unnötige Dateiformate.
Der Grund für Photorec ist, es macht einen intensiven Laufwerks und Sektorscan.
Es legt die gefundenen Dateien automatisch in einen Ordner mit Namen recup_dir ab.
Teste es.

Ansonsten mache mal einen Sektorscan in der Testversion wie mit Restorer2000 beschrieben, ob der was findet.
Nach dem löschen von Dateien ist es zumeist so das sich der Dateiname leider geändert haben kann.
Überprüfe aber das Eregbnis was du siehst.
Wäre zumindest für eine Diagnose wichtig.
Um Probleme von einem Benutzerkonto zu umgehen, scanne am besten mal im abgesicherten Modus und melde dich als Admin an.

Mache mal eine Diagnose mit Datenrettungssoftware als Shareware in der Testversion ob es die Dateien noch anzeigt.
Mache bitte wie nachfolgend beschrieben einen Sektorscan da der genauer ist.


Freeware hat nicht immer gute Ergebnisse und ist deshalb kein Maßstab für eine Diagnose.
https://www.computerbase.de/forum/threads/faq-datenrettung-testdisk-anleitung.110869/#post-1793553

Gute Ergebnisse sind Restorer2000, Scavenger und Recover it All.
Freeware hat nicht immer gute Ergebnisse.

Du kannst dir ja mal den kostengünstigen Restorer2000 Pro (Shareware 49.99 $ ca. 38 €) in der Testversion anschauen was der an Daten nach Diagnose anzeigt.
Hatte hier bereits gute Ergebnisse und macht auch wenig Probleme mit verschiedene Dateiformate.
In der Bedienung für einige ein wenig gewöhnungsbedürftig.
Daher noch ergänzende Hinweise wegen Bedienung.
Mache damit mal einen genauen Sektorscan.
Markiere die Festplatte und nicht deine Partition..
Scanne die Festplatte indem du auf das Icon im Menü mit dieser Uhr oder ähnlich gehst (Diese Option sucht nach Partitionen macht aber einen Sektorscan).
Hinterher kannst du oben im rechten Fenster in Restorer auf die Festplattensymbole (erkannte Partitionen) klicken und auf deine Daten untersuchen.
Wähle bitte zuerst die Laufwerkssymbole aus die deiner Partitionsgröße und Dateisystem entsprechen.
Da kannst du auch wenn im rechten Fenster mehrere angezeigt werden wechseln indem du in Restorer2000 im Menü oben ganz links auf das Laufwerkssysmbol klickst.
Dann kommst du wieder zurück und kannst im rechten Fenster das nächste Laufwerkssymbol zum untersuchen auf Daten auswählen.

Wenn du auf Dateinamen und die Ordnerstruktur keinen Wert legst, kannst du dir mal Photorec anschauen.
Lade dir im Fall mal die neueste Version von Testdisk beta 6.6 direkt von der Homepage.
Photorec befindet sich mit bei Testdisk im Ordner.
http://www.cgsecurity.org/wiki/TestDisk_Herunterladen

Grund ist eine neuere beta als die auf CB im Moment erhältliche.
Die neueste beta von Photorec hat einige Verbesserungen speziell bei fragmentierte Dateien.
Schaue dir dazu auch die Dateiformatunterstützung für die Wiederherstellung an, ob die dir ausreicht.

Du kannst auch Dateien damit woanders hinkopieren.
Infos über das kopieren hier;
https://www.computerbase.de/forum/threads/232924/
Infos;
https://www.computerbase.de/forum/t...ttet-was-mach-ich-falsch.226036/#post-2223465
Du kannst es auch unter File Opt einstellen nach was für Dateiformate Photorec suchen soll.
Infos über die Unterstützung separat nochmal hier;
http://www.cgsecurity.org/wiki/File_Formats_Recovered_By_PhotoRec

Viele Grüße

Fiona

 

[der_Rusty]

Hallo Fiona

Ich möchte mich nun endlich für Deine Antwort bedanken.
Es hat etwas gedauert, da ich zunächst mein System auf einer neuen Festplatte neu aufsetzen mußte, damit ich die evtl. wieder herstellbaren Dateien sicher abspeichern konnte.

Ich habe mir Testdisk beta 6.6 gezogen und mit Photorec ca 100 GB an Daten zurückgeholt.
Mir kam es ja hauptsächlich auf meine verlorenen Kinderfotos und ein paar Word-Dateien an. Auf eine Ordenerstruktur konnte ich verzichten, da ich ja immerhin noch ein Backup von vor drei Monaten hatte.
Im Gegensatz zu anderen Recovery-Progs habe ich mit Photorec warscheinlich sogut wie alle wichtigen JPGs wiederbekommen können. Über die EXIFs konnte ich das ursprüngliche Datum der Dateien rekonstruiren und mir so die wichtigen Foto heraussuchen.

Alles andere werde ich "von Hand" noch etwas durchstöbern müssen, aber das ist nicht so schlimm.

Also, recht vielen Dank für Deine Hilfe

Rusty