Infektion mit "Windows Recovery"

Hallo zusammen!

Ein Kumpel hat sich auf seinem XP-Rechner ein Schadprogramm eingefangen, das sich als "Windows Recovery"-Sicherheitsprogramm tarnt. Und leider hat er wohl auch noch eine "Fix Errors"-Taste gedrückt.

Im Ergebnis startete Windows zwar noch, war aber kaum zu gebrauchen. Firefox war unauffindbar, und auch die Eigenen Dateien waren verschwunden. Wie überhaupt die komplette zweite Platte, wo die Eigenen Dateien sind, leer angezeigt wurde.

Ich hab jetzt den Rechner hier, und zumindest schon mal festgestellt, daß die zweite Platte nicht leer ist. An einem anderen Rechner (mit einem CD-Notfall-Windows) werden noch die Dateien angezeigt. Offenbar hat das Schadprogramm sie nur ausgeblendet.

Jetzt ist die Frage, wie ich den Rechner desinfiziere. Im Netz wird das Programm Malwarebytes Antimalware empfohlen. Soll ich das auf dem infizierten System installieren oder besser die Platte an einem anderen Rechner anschließen und es von da versuchen?

Weiß jemand, ob man den Rechner auf diese Weise komplett wiederherstellen kann, oder ob das Programm nachhaltigen Schaden anrichtet? Neuinstallation ist natürlich auch eine Option, ich möchte aber Daten und Einstellungen nach Möglichkeit retten.

http://www.trojaner-board.de/96741-windows-recovery-entfernen.html

Hab das so bei einem Kumpel die Woche gut weg bekommen - auch mehrfache Nachscans mit anderen Scannern hatten dann nichts mehr zu bemängeln.

Das teil fixt auch nix das ist alles Fake
Dateien werden nur alle als System markiert -> Im Link gibts ein Tool das das wieder macht.

Hast du es im infizierten System selbst repariert, oder extern?

Ein Linux von CD oder USB Stick booten, die Daten sichern und alles plattmachen. Sicher ist sicher.

Direkt am System -> Im abgesicherten Modus da läd er das Teil nicht.

Tools waren die von der Seite -> Der Prozesskiller, Antimalware, unhide.

Dazu zusätzlich bin ich noch mit Spybot drüber und nochmal mit ein paar AV Scanner zur Sicherheit.

Generell bis ich eigentlich eher der Typ der sagt "mach alles Platt" aber in meinem Fall ging das bei meinem Kumpel nicht da er immer gerne von Zeitschriften DVDs Programme installiert und die Datenträger nun nicht mehr hat.

Danke erst mal!

http://www.chip.de/news/Windows-Repair-Getarnter-Virus-infiziert-Rechner_48075708.html

das hilft vllt auch weiter

Hm... Ich komme nicht in den abgesicherten Modus. Nicht mit F8 und nicht mit F5. Tastatur funktioniert aber.

Wie gehts noch?

Edit sagt: Hab's doch noch geschafft. War aber erstaunlich schwer. zweimal kam ich ins Auswahlmenü, konnte dort aber mit den Pfeiltasten nichts ausrichten. Beim dritten Mal klappte es. Jetzt läuft der Scan.

So!

Das scheint erst mal soweit geklappt zu haben. Die Kiste läuft wieder, und ich scanne gerade die Systemplatte noch mal extern an meinem Rechner nach verbliebenen Viren.

Da das Virus ja offenkundig die kompletten Eigenen Dateien "versteckt" hat, stellt sich mir jetzt die Frage, ob das noch mit anderen Dateien auf C:\ passiert sein kann? Und wenn ja, kann ich das irgendwie auf einen Rutsch rückgängig machen?

Kann ich eigentlich sicherheitshalber eine Reparaturinstallation machen, ohne Hardwaretreiber für Drucker, Scanner, etc. sowie Einstellungen fürs Internet (er hat einen WLAN-Stick und Zugangsdaten dazu eingerichtet) zu verlieren?