ComputerBase Menü
Aktuelles

Festplatten scheinbar nicht mehr im System vorhanden nach Virenbefall

H

horsti123

Newbie
Registriert
Apr. 2009
Beiträge
4
Hi,

ich hab mir heute mittag nen Trojaner eingefangen, den ich nach einigem Kämpfen schließlich beseitigen konnte. Seitdem sind meine Festplatten in eine unheimliche Grauzone gerutscht. Ich kann sie ganz normal ansprechen, Programme starten, etc, allerdings scheinen sie auf Systemebene irgendwie nicht zu existieren. Ich habe drei Festplatten und sechs Partitionen.

HDD Health kann nichts auslesen. Die Windows-Fehlerüberprüfung startet gar nicht erst, sondern sagt direkt "Windows konnte die Überprüfung des Datenträgers nicht abschließen." Die Datenträgerverwaltung zeigt mir nur optische Laufwerke an. HD Tune sagt direkt beim Start "No disks found". Smartmontools kann auch nicht zugreifen.

Wenn ich mir die Eigenschaften der physikalischen Platten ansehe, bekomme ich nur folgendes unter Volumes:

Code: 
Datenträger: Datenträger
Typ: Unbekannt
Status: Nicht lesbar
Partitionstyp: Nicht anwendbar
Speicherkapazität: 0MB
Verfügbarer Speicher: 0MB
Reservierter Speicher: 0MB


TestDisk findet auf jeder Platte genau eine Partition. Wenn ich irgendeine davon bis "Analyse" durchgehe, bekomme ich nur "Partition: Read error". Wenn ich dann Quicksearch wähle, schließt das Programm mit folgendem Fehler:

Code: 
   3 [main] testdisk_win 2364 _cygtls::handle_exceptions: Exception: STATUS_ACCESS_VIOLATION

  29032 [main] testdisk_win 2364 open_stackdumpfile: Dumping stack trace to testdisk_win.exe.stackdump

Ich habe also wirklich viele Programme ausprobiert, um dem Problem beizukommen, aber alles ohne Erfolg. Die Sache übersteigt meinen Horizont inzwischen bei weitem und ich bin wirklich mit meinem Latein am Ende. Ich hoffe, dass vielleicht jemand eine Idee hat, die mich irgendwie weiterbringt.

Viele Grüße
 
Naja. Entweder hat da wer die Daten gezielt gemüllt (in der internen Filesystemstruktur Pointer auf Bereiche, die es nicht gibt, gesetzt) oder die Platten mit DCO oder HPA künstlich verkleinert, und es kann deswegen auf weiter hinten liegenden Bereichen nicht mehr zugegriffen werden (access violation). Oder irgendwelche Systemkomponenten sind verändert worden.
Kann "GetDataBack for NTFS" nähere Auskunft geben, wie es mit der Struktur aussieht?

Sinnvoll wäre, die Platten abzuklemmen, und auf irgendeiner anderen ein neues System aufzubauen, mit dem man dann auf den Platten Nachschau halten kann
 
Zuletzt bearbeitet:
Setze mir mal einen Screen von deiner Datenträgerverwaltung.
Mache mal im linken Fenster Rechtsklick und schaue mal ob du die Option initialisiseren siehst?

Viele Grüße

Fiona
 
Hi,

erstmal danke für die Antworten. Wenn ich die DTV rechtsklicke, sehe ich Datenträger neu einlesen, was dem wohl am nächsten kommt. Da passiert zwar kurz etwas, aber es ändert sich gar nichts. (Ich benutze übrigens Windows XP, nur um die Kommunikation zu erleichtern.)

Das GetDataBack ist tatsächlich das erste Programm, das alle meine logischen Laufwerke anzeigt. (Ich sehe einen Schimmer der Hoffnung am Horizont.) Allerdings will es dann meine Daten retten, aber die müssen im eigentlichen Sinne gar nicht gerettet werden.

Das mit dem Umbauen hatte ich mir auch schon überlegt, allerdings habe ich ein wenig Angst, dass die Platten momentan nur noch wegen ihres "Bekanntseins" in meinem System funktionieren und nach Umbau irgendwie vollständig verschwinden.
 

Anhänge

  • datentraegerverwaltung.jpg
    datentraegerverwaltung.jpg
    10,8 KB · Aufrufe: 181
Das GetDataBack ist tatsächlich das erste Programm, das alle meine logischen Laufwerke anzeigt. (Ich sehe einen Schimmer der Hoffnung am Horizont.) Allerdings will es dann meine Daten retten, aber die müssen im eigentlichen Sinne gar nicht gerettet werden.
Zum Vergrößern anklicken....
Es ging nur darum, herauszufinden, wo der Wurm steckt.
GetDataBack hat seine eigene Zugriffsmethode auf physischer Ebene, während alles andere mit den Filesystemroutinen des Betriebssystemes arbeitet.
Wenn Du der Infektion des Systemes mit keinen anderen Mitteln beikommst, ist die sicherste Variante, die Platten während der Installation eines Neusystemes auf eine weitere(alte kleine) Platte mal abzuklemmen - Die Daten drauf verschwinden nicht von selbst. Falls Du bisher auf ein Reboot des Systemes verzichtet hast, mach einfach Power-Off ohne es runterzufahren. Wenn am neuen System dann mal alle Schutzmaßnamen (AV) getroffen sind, kannst Du die eigenen Daten von der alten Systemplatte abziehen und dann die betroffene Partition komplett löschen und dann neuinstallieren.
 
Teile mal mit, wie die Festplatte im Gerätemenager unter Laufwerke gelistet ist?
Auch prüfe mal die Treiber vom Kontroller??
Erst wenn die Festplatten richtig erkannt werden, kannst du Zugriff über die Datenträgerverwaltung bekommen.
Teste auchmal ob Testdisk die Festplatten in der Laufwerksauswahl anzeigt?
Ich setze dir mal eine Standard-Diagnose;
Mache mal eine Diagnose nach dieser Anleitung;

Lade dir mal Testdisk Version 6.11 beta für Windows.
Link dazu gibt es hier;
https://www.computerbase.de/downloads/systemtools/festplatten/testdisk/
Starte Testdisk bestätige bei dem Log-Datei-Screen mit Enter, wähle deine betroffene Festplatte aus und bestätige mit Enter, bestätige bei Partition Table Typ Intel, bestätige bei Analyse mit Enter und setze mir einen Screenshot.
Bestätige auch bei Quick Search mit Enter (wenn nötig wegen Vista-check mit y) und setze mir auch den Screen.
Markiere mal die betroffenen Partitionen und drücke p auf der Tastatur ob deine Daten angezeigt werden oder eine Fehlermeldung.
Zurück kommst du mit q drücken.

Wenn keine Partition mit Daten gefunden wurde;
Bestätige weiter bis du zum Menü kommst wo unten steht [Quit] Deeper [Search] [Write] und gehe mit dem Pfeil auf [Deeper Search] (tiefere Suche) und lasse es laufen.
Setze mir auch einen Screenshot.
Die betroffene Partition sollte wenn du den Screen machst markiert sein.

Markiere mal die betroffenen Partitionen und drücke p auf der Tastatur ob deine Daten angezeigt werden oder eine Fehlermeldung.
Zurück kommst du mit q drücken.

Viele Grüße

Fiona
 
Die Festplatten tauchen im Gerätemanager auf und die Controller scheinen auch in Ordnung zu sein. Die logischen Laufwerke auf den Platten kann ich mir, wie im ersten Post beschrieben, allerdings nicht anzeigen lassen.

Zu TestDisk: Bis "Deep Search" komme ich gar nicht, weil das Programm schon bei der "Quick Search" abstürzt.

Screens zu beidem im Anhang.
 

Anhänge

  • laufwerke.jpg
    laufwerke.jpg
    10,7 KB · Aufrufe: 161
  • testdisk.jpg
    testdisk.jpg
    30,6 KB · Aufrufe: 159
TestDisk stürzt wahrscheinlich wegen einen Speicherfehler ab?
Bug in Testdisk vermute ich nicht, da es keinen weiteren Fall gibt?
Setze mit mal einen Screen von deiner Datenträgerverwaltung, um den Zustand zu überprüfen?

Viele Grüße

Fiona
 
Zuletzt bearbeitet:
Hallo , Ich habe eine Frage

Mit testdisk komme ich nicht weiter, ich bekomme zwar von testdisk die formatierte Partitionen angezeigt.die Auflistung funktioniert von den Dateien auch. aber die eine Partition die ich zuletzt mittels Image übergespielt habe, NICHT.

Dies heißt ich bekomme ältere Partitionen wiederhergestellt, die letzte aber nicht.

Kann jemand weiterhelfen.
 
Setze mit mal einen Screen von deiner Datenträgerverwaltung, um den Zustand zu überprüfen?
Zum Vergrößern anklicken....

Hängt doch an Post #4. Da sind nur optische Laufwerke zu sehen. Und RAM hab ich schon mit Memtest geprüft, da ist alles in Ordnung. Vermutlich ist der Fehler nur nicht bekannt, weil normalerweise Festplatten nicht so zerstört sind wie meine :(

Ich hab meine Platten wieder!

Nachdem ich ca. das tausendeste Trojaner-Entfernungsprogramm installiert hatte, wurde mir offenbart, dass ich immer noch infiziert war. TrojanRemover heißt mein Retter. In windows\system32\ waren immer noch Files drin, die alle möglichen Programme nicht gefunden haben.

Es waren vier Stück und der Name war ofv[10-15 Zeichen]. Ich sag mal wenn man sie hat, erkennt man sie, weil die Namen doch sehr auffällig sind. Im abgesicherten Modus hab ich dann noch den temp-Ordner meines eigentlichen Nutzerprofils geleert, was etwas schwieriger war, wegen der Zugriffsberechtigungen. Auch dort waren dann noch irgendwelche .exe-Dateien zu finden, die ich im normalen Windowsbetrieb nicht zu sehen bekam (und meine Antiviren-Programme anscheinend auch nicht...).

Jedenfalls scheinen die Geschichten im system32 irgendwas veranstaltet zu haben, das diese ganze Geschichte ausgelöst hat.

Auf jeden Fall scheint mein System wieder lauffähig zu sein. Ich danke allen für ihre Hilfe und hoffe, dass ich vielleicht den anderen, die das selbe Problem haben, damit helfen konnte.

Viele Grüße
 
Super!:D
Hat wunderbar funktioniert. Dank Trojan Remover läuft mein Windows wie neu aufgesetzt.
Vielen Dank für die Hilfe.

Gruß
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

W
Nach Platten-Kopie sind beide Festplatten nicht mehr "lesbar"
Antworten
4
Aufrufe
2.512
Wollie
W
S
Linux erkennt Soundkarte im Live-System, nach Installation jedoch nicht mehr
2
Antworten
32
Aufrufe
5.782
Benjamin6972
Benjamin6972
X
Festplatten werden nach Tausch nicht mehr im UEFI erkannt
Antworten
2
Aufrufe
1.387
Mr.Smith
Mr.Smith
C
System fährt nach Bitdefender Rescue Scan nicht mehr hoch
Antworten
3
Aufrufe
1.617
caymanseb
C
N
SSD (Win7-32) jetzt RAW, BS OK?
Antworten
5
Aufrufe
2.347
Fiona
F

Passend zum Thema

Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz