Active KillDisk Malware?

[aveancor]

Hallo,

habe seit gestern ein seltsames Problem mit einem PC im Haushalt. Vielleicht kann mir von euch jemand helfen.

Begonnen hat alles damit, das am Desktop das Bild des öfteren "eingefroren" ist. Dachte mir Ok, dann machts halt einen Neustart, dann wirds schon wieder funzen. Dem war aber leider nicht so, denn das Problem bestand weiterhin, also noch ein Neustart. Nach dem zweiten Neustart dann ein Win10 Bluescreen mit Stop_code: dfscsys oder so ähnlich. So weit so schlecht. Es war dann doch schon etwas später und ich hatte keinen Bock mehr mich noch weiter damit auseinanderzusetzen. Ich hatte zu dem Zeitpunkt schon ein mulmiges Gefühl, da auf dem E-Mail-Programm auf besagtem Rechner genau an dem Tag eine Erpresser-Mail eingegangen war, allerding mit der klassischen "Habe deinen E-Mail-Account gehackt und schicke all deinen Email-Kontakten deinen Pornoverlauf, wenn nicht Bitcoin überwiesen in 48 Stunden"-Masche. Die Mail habe ich natürlich sofort gelöscht und auch keinen Link angeklickt. Wird halt ein Zufall gewesen sein, dachte ich und das Problem irgendwo anders liegen.

So, und jetzt kommt der seltsame Teil der Geschichte (zumindest für mich): Am nächten Tag, also heute, dann ein erneuter Startversuch des Rechners. Anstatt des Windows-Ladebildschirms war ein grüner Text auf schwarzem Bildschirm zu sehen (siehe Foto). Habe dann natürlich sofort Active KillDisk gegoogelt und zu meinem Erstaunen handelt es sich dabei anscheinend um eine Festplattenlösch-Software, mit der ich noch nie in meinem Leben etwas zu tun hatte (auch sonst niemand im Haus). Habe die Festplatte (SSD) 2013 neu gekauft, also auch ein Überbleibsel von einem Vorbesitzer ist auszuschließen.

Bin ich einer Malware zum Opfer gefallen? Habe keine Ahnung, wie ich mir die eingefangen haben könnte. Oder gibt es eine andere Erklärung dafür?

Vielen Dank im Voraus!

 

[borizb]

Die Geschichte klingt ziemlich abenteuerlich.

 

[JAIRBS]

Habe ich noch nie gesehen, sowas. Egal, Windows neu clean installieren und Backup der Daten zurückspielen. Alles andere wäre mir zu heiß.

 

[pvcf]

also da stimmt doch einiges nicht.
Warum steht da zB dass KillDisk erfolgreich 2017 ausgeführt worden ist ?
Ausserdem: angenommen die email war echt (was sie nicht war, ist eine Scareware email), also WENN sie echt wäre, würde sie doch nicht am selben Tag die Platte Wipen.. da gibts doch erst recht keine Bitcoins...
nene, mit der Email hats primär nix zu tun.

 

[Scirca]

Das sieht extrem danach aus, als ob du KillDisc LiveCD durchgejagt hast. Steht auch auch so dran, oben die Version der Software.
Dann die typische Linux Shell von LiveCDs welche Methode die Software benutzt hat.

und ganz am Ende success. Also erfolgreich, jo also die Platte wird sauber sein, nach britischem Militär Standard. Also sicherlich auch mehrmals überschrieben also eine Datenrettung wird auch nicht möglich sein. Tja ich hoffe mal du hast ein Backup weil die Platte ist sauber.

Ich mein der Text klingt nach dem typischen Layer8 Problem irgend eine Fehlerbeschreibung womit man gar nichts anfangen kann.

 

[EDV-Leiter]

Früher konnte man einmal das Windows Bootlogo austauschen, keine Ahnung ob das heute immer noch funktioniert.
Alternativ: Wenn man mit Adminrechten und ausgeschalteter UAC unterwegs ist, wäre es denkbar, daß eine bösartige Software am System rumpfuscht, also eventuell auch eine Preboot-Umgebung installiert, in der dann beliebige Software, etwa auch eine Software zum Plattenlöschen, ausgeführt wird.

 

[niteaholic]

Warum hast du es überhaupt solange durchlaufen lassen, wenn du nichts damit zu tun hast?

 

[SilenceIsGolden]

Reboote doch einfach mal. Wenn das BIOS das meldet, dass kein Betriebssystem gefunden wurde, ist die Platte wirklich leer. Das sieht aber eher danach aus, dass hier nur ein Bild angezeigt wird, da alte Softwareversion, Datum von 2017 und 1,5h Laufzeit, die hättest du ja bemerken müssen.

 

[Novocain]

KillDisk ist doch normalerweise in weißer Schrift und warum ist das Datum von 2017 ?

 

[User007]

Hi und willkommen im Forum...

Wieso sollte es unwahrscheinlich sein, sich mit einer E-Mail solche Mal-/Scare-Ware/Viren/PuP einzufangen, die andere Programme imitieren - als wenn's das noch nie gegeben hätt'.

Boote von einem anderen Datenträger (z. B. USB-Stick mit Win-Setup oder Linux-Distribution) und lass die Win-Installation der SSD prüfen - ggf. auch mal die Startreparatur bemühen, von daher wär' ein Win-Setup förderlich.

 

[MoGas]

Früher konnte man einmal das Windows Bootlogo austauschen, keine Ahnung ob das heute immer noch funktioniert.

Ja, das geht noch. Mein Mainboard macht das.

 

[User007]

Mein Mainboard macht das.

Das ist dann aber eine Funktion des BIOS/UEFI (da kann das Bootlogo des Mainboards angepasst werden - war mal für OEMs gedacht) - eine Austauschmöglichkeit für das Windows-Startlogo wär' mir nicht bekannt, ohne den Code von originären Windows-Dateien zu verändern bzw. diese auszutauschen.

 

[Novocain]

Gab da auch mal Tools von Mainboard Herstellern wenn mich nicht alles täuscht, unabhängig davon gehts auch manuell

YouTube

An dieser Stelle steht ein externer Inhalt von YouTube, der den Forumbeitrag ergänzt. Er kann mit einem Klick geladen und auch wieder ausgeblendet werden.

YouTube-Embeds laden

Ich bin damit einverstanden, dass YouTube-Embeds geladen werden. Dabei können personen­bezogene Daten an YouTube übermittelt werden. Mehr dazu in der Datenschutzerklärung.

YouTube-Embeds laden

Datenschutzerklärung

 

[aveancor]

Zunächst einmal möchte ich mich für die ganzen Antworten bedanken!

Hier ein Update von der aktuellen Situation:

Habe heute testweise ein paar Startversuche unternommen. Dabei ist mir aufgefallen, das die SSD-Festplatte mit Windows drauf manchmal im Bios angezeigt wird und dann wieder nicht (vl Wackelkontakt oder Platte selbst spinnt?). Immer wenn sie angezeigt wird und als 1st Bootdevice eingestell ist, komme ich in die erweiterten Startoptionen von Windows, bzw. die automatische Reparatur startet. Vollständig Hochfahren geht aber nicht.
Jetzt wirds interessant: Immer wenn die Windows-Festplatte spinnt kommt der besagte KillDisk-Schriftzug wie auf dem Foto. Aber auch nur dann, wenn eine bestimmte andere eingebaute Festplatte in der Bootreihenfolge aktiv ist. Auch wenn die besagte Festplatte als 1st Bootdevice eingestellt ist, kommt der Fehler.
Heißt das jetzt, das Bios versucht irgendetwas von dieser einen Festplatte zu booten, was dann zu diesem KillDisk-Schriftzug führt?

Die Mail dürfte tatächlich nichts damit zu zu haben, denke ich. Das war wohl einfach Zufall, was aber natürlich andere Schad-Quellen nicht ausschließt.

Was sagt ihr dazu?

 

[HisN]

Da gibt wohl langsam die 8 Jahre alte SSD auf.
Und ja, wenn die weg ist, dann versucht der Rechner wohl von der nächsten verbauten Platte (und/oder einem USB-Stick/CF-Card/SD-CARD/CD/DVD/BR) zu starten, auf der wohl im Bootblock Dein Killdisk steht.

 

[aveancor]

Habe mich auch schon geistig von der SSD verabschiedet😉.
Die Frage ist, wie kommt da KillDisk drauf? Macht Malware sowas? Wäre es denkbar, dass das vom Hersteller kommt? Hab diese Festplatte übrigends auch neu gekauft.

 

[pvcf]

Die Frage ist, wie kommt da KillDisk drauf? Macht Malware sowas? Wäre es denkbar, dass das vom Hersteller kommt? Hab diese Festplatte übrigends auch neu gekauft.

also ich hab mal bissl rumgegoogelt, und wie es scheint wärst du der erste der ein Virus eingefangen hätte, der Killdisk auf den PC lädt und ausführt.
Desweiteren erklärt das immernoch nicht das falsch Datum der Killdisk-message.
Da stimmt nachwievor was nicht.

Zuallerst: mach mal die SSD ab und schalte den PC ein, dann berichte mal was Passiert.

Als Zweites: SSD rein, andere Festplatte ab, dann berichte mal was Passiert.

Danach können wir weiter spekulieren was woher kommt und wo drauf ist.

 

[aveancor]

Hier das Ergebnis

• SSD ab -> KillDisk-Fehlerbildschirm
• SSD rein, andere FP ab -> Windows Automatische Rep. (nicht erfolgreich), kein hochfahren

Es kommt einzig darauf an, was gebootet wird!

Hab auch nachgeschaut, wann ich besagte Festplatte gekauft habe: April 2018. Das Datum für das angebliche wipen ist August oder September 2017. Ist relativ zeitnah, wenn man bedekt, dass die Festplatten vl ein Jahr irgendwo herumliegen bis zum Verkauf. Also vl doch vom Hersteller? Könnte es sein, rein hypothetisch, das die alte FP zu neuen zusammenflicken? Oder ist das komplett abwegig?

Nachtrag:
Das Poduktionsdatum ist der 27 Juli 2013, wie ich soeben nachgeschaut habe. Ich glaube jetzt kann man es sich schon denken...

 

[Sebbi]

Also vl doch vom Hersteller?

also wenn wird beim Hersteller gerade bei SSDs nur ein Secured Erease und der anschließende TRIM befehl gesendet, denn dieses Löschen nach militärischen Vorgaben würde nur die Zellen unnötig abnutzen.

das mit dem Datum wäre, auch wenn da 2017 steht, durchaus vorstellbar, wenn das übertragene Image zum löschen des Datenträgers diesen Zeitstempel hatte und dieser nicht durch das Löschsystem aktualisiert wurde.

Anyways, wenn diese Löschprogramm wirklich durchgelaufen ist, kannst du von dem Datenträger eh nichts mehr retten.
Allerdings würde ich dir dann nun empfehlen, dir die Herstellertools auf einen sauberen System zu laden, einen Bootdatenträger zu erstellen und dann damit zu booten. Dann frühst du auf der SSD ein Secure Erase und entsprechend einmal TRIM durch (in dem Zuge auch gleich ein Firmwareupdate) und installierst dein System frisch neu.

 

[pvcf]

also wenn wird beim Hersteller gerade bei SSDs nur ein Secured Erease und der anschließende TRIM befehl gesendet, denn dieses Löschen nach militärischen Vorgaben würde nur die Zellen unnötig abnutzen.

Der Killdiskscreen kommt von der anderen Festplatte, nicht von der SSD.
Sprich, der Händler welcher dem TE die FP als neu verkauft hat, hat ihn beschissen.

Ergänzung (23. März 2021)

Also vl doch vom Hersteller?

eher vom Händler, wird wohl ein Rückläufer gewesen sein.

Ergänzung (23. März 2021)

Könnte es sein, rein hypothetisch, das die alte FP zu neuen zusammenflicken?

Ne, aber wenn einer die vorher gekauft und benutzt hatte und dann zurückgeschickt hat, hat der die vorher wohl noch mit Killdisk klargemacht, und der Händler hat das ding als "Unbenutzt" wieder in den Verkauf gestellt.
Und anstatt das Ding dann als B-Ware oder Rückläufer verbilligt zu verkaufen, hat er es dir wohl als Neuwertig verkauft.