Wurde vermutlich aufgrund des Befehls "bcdedit / set pciexpress forcedisable" gehackt?

rob94

Cadet 2nd Year
Registriert
Dez. 2022
Beiträge
16
Hey zusammen,
Ich hatte vor einigen Tagen aufgrund von Bluescreens und des Fehlercodes "Whea_uncorrectable_error" den cmd Befehl "bcdedit / set pciexpress forcedisable" angewendet, den ich aus einem Forum hatte.

Wenige Tage später öffneten sich auf einmal wild Programme und chinesische Schriftzeichen wurden wie von Geisterhand in die Windows Suche eingegeben.

Ich hab den PC und das W-Lan sofort abgeschaltet. Ich habe dann nochmal versucht anzumelden, allerdings wurden meine Eingaben im Login Screen immer wieder gelöscht, sodass ich mich nicht mehr einloggen konnte.

Das Problem an der ganzen Sache ist, dass ich kein Backup meiner Daten erstellt habe.

Daher wäre mein nächstes Vorgehen die 2te verbaute noch leere SSD aus dem infizierten Notebook wieder auszubauen und Windows 11 draufzuspielen. Danach von dieser zu booten, um zu schauen, ob meine Daten auf der infizierten SSD noch zugänglich oder schon verschlüsselt sind.

Passt das so?
Oder

  • ist die zweite SSD womöglich auch schon infiziert, obwohl keine Daten enthalten waren oder könnte sie infiziert werden, wenn der Hack durch den cmd Befehl verursacht wurde?
  • ist es evtl. sinnvoller einfach einen USB aufzusetzen?
  • wie kann ich das Netzwerk und anderen Gräte kontrollieren? Oder sind die sauber, da auch kein anderes Gerät bisher Auffälligkeiten gezeigt hat?


Danke für die Hilfe!

LG Rob
 
Boote mit einem Live Linux USB Stick und kopiere deine Daten. Mint, Zorin OS, Ubuntu o.Ä.

Ob hier ein Hack vorliegt ist aber nur eine Vermutung.
 
  • Gefällt mir
Reaktionen: Dr. McCoy
ich denke ein live linux von usb zu booten wäre die sinnvollste variante
 
  • Gefällt mir
Reaktionen: Dr. McCoy
Dein Vorgehen mit dem Anschließen der Festplatte an ein sauberes System ist richtig, alternativ könntest du auch ein Live Linux mit Antivirus von CD oder USB Stick booten. Damit kannst du dann alle Geräte durchscannen und Daten Kopien vornehmen.
Bcdedit hat mit dem Virenbefall aber nix zu tun.
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: DJServs
Hm, beim letzten Kunden mit ähnlichem Problem war einfach nur die Tastatur defekt, mit einem Live-Stick kann man das am Besten testen!
 
  • Gefällt mir
Reaktionen: Gurkenwasser, Dr. McCoy, madmax2010 und 2 andere
Das klingt für mich auch eher nach Tastaturfehler, hast du eine andere Tastatur die du ausprobieren kannst?
 
  • Gefällt mir
Reaktionen: DJServs, Gurkenwasser, Dr. McCoy und eine weitere Person
Der befehl 'sollte nicht das' auslösen - bcdedit macht dinge am boot loader - in diesem fall sieht es nach speziellen argumenten für die pcie devices aus. Jedoch live usb / oder auch ein ct desinfect/ andere virenschutz hersteller usb stick nehmen und system scannen / daten saven.

Pc neu aufsetzten würde ich zu 100% empfehlen - selbst der whea fehler kann durch software / treiber enstanden sein.

Generell würde ich empfehlen alle geräte mal mit einer solchen usb stick zu scannen (ct desinfect/etc) - hoffentlich verwendest du nicht ghost spectre/atlasOS... That would be fun

not
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: DJServs
rob94 schrieb:
bcdedit / set pciexpress forcedisable

Was hätte der Befehl normalerweise bewirken sollen und wo ist bei diesem Befehl die Verbindung mit Hackern zu sehen?

Das könntest du für die Unwissenden gerne in ein, zwei Sätzen in deinem Startpost noch erklären!
 
Ich glaube der te weiss nicht was der befehl macht - daher 'kann er es auch nicht richtig erklären' (just my guess)
https://learn.microsoft.com/de-de/w.../bcdedit-command-line-options?view=windows-10

Was ich gefunden habe (mit kurzer google suche) würde auf andere probleme schliessen (treiber/os etc), und absolut nicht auf - ich editiere bootmanager von windows - lol.
Sicher ist der befehl hat ihn nicht gehackt. Das ist schlicht unmöglich damit.

/E zweifle auch stark daran das der befehl überhaupt etwas ändert am bsod Whea_uncorrectable_error
 
  • Gefällt mir
Reaktionen: rob94 und Topinambur
Hey,
danke für eure Tipps.
Ich hab mich heute daran gemacht nen bootfähigen Linux Antivirus USB aufzusetzen. Allerdings bootet keiner der Sticks auf dem "infizierten" PC, auf zwei anderen PCs aber schon. Jetzt ist der Plan die leere SSD auszubauen und in meinen alten PC einzubauen, dann zu versuchen, ob die USBs sich da booten lassen, zu scannen und dann die SSD mit der Anti-Virensoftware über den USB zu beschreiben. Anschließend werde ich die SSD wieder in den infizierten PC einbauen und darüber booten. Auf den USBs hab ich Kasperky Rescue Disk laufen.

LG
 
Wenn aktiviert musst du secure boot abstellen oder in eine tiefern modus davon wechseln. Abstellen wäre das schnellste
 
Ist abgeschaltet komme trotzdem mit den USBs nicht rein.
 
Ja komm ich rein. Ist ein Captiva I63-851
Ergänzung ()

Zum Verständnis die USBs booten bis zur Spracheinstellung der Rescue Disk, ab dann bleibt der Bildschirm schwarz.
 
Ist es möglich die leere SSD vom Kaspersky Rescue USB, auf dem Gentoo läuft, bootfähig mit der Kaspersky iso zu beschreiben? Ich habe leere SSD jetzt nämlich aus dem "infizierten" PC ausgebaut und in den alten als einziges Speichermedium eingebaut. Ich boote somit über den Rescue Stick am alten PC.
 
So hat letztendlich mit der Avira Rescue Disk funktioniert. Es wurde allerdings kein Virus gefunden, weshalb ein Tastaturfehler, wie oben von einigen prophezeit,, sehr wahrscheinlich ist. Nichtsdestotrotz habe ich W11 neu aufgespielt.

Danke an alle nochmal für die Hilfe!
 
  • Gefällt mir
Reaktionen: Ja_Ge
Zurück
Oben