ComputerBase Menü
Aktuelles

Systempartition mit Bitlocker im abgesicherten Modus

Brandkanne

Brandkanne

Lt. Commander
Registriert
Okt. 2010
Beiträge
1.308
Hallo, ich habe hier mal eine kleine Problemstellung für die Spezialisten in diesem Forum :)

Man ist mit einem Notebook an mich herangetreten auf dem die Systempartition mit Bitlocker verschlüsselt ist. Der Schlüssel ist auf einem USB-Stick hinterlegt, der auch vorhanden ist und zur Verfügung steht. Das Passwort selbst für Bitlocker habe ich allerdings nicht. Das Problem ist jetzt, dass sich auf dem Notebook ein BKA-Trojaner eingenistet hat, der (beim normalen Hochfahren) direkt nach der Anmeldung das Konto blockiert mit der freundlichen Bitte einen kleinen Obolus zu entrichten.

Der Trojaner soll jetzt natürlich runter vom System (oder Datensicherung), allerdings wird beim Anmeldeversuch im Abgesicherten Modus der USB-Stick nicht erkannt, so dass ich da nicht weiter komme.

Gibt es eine Möglichkeit von einem Live-Betriebssystem (Linux, etc.) auf die Bitlocker-behandelte Partition zuzugreifen?
Oder
Gibt es andere Lösungsansätze?

Meine Suche im WWW hat bis jetzt noch nicht den gewünschten Erfolg erzielt, daher hoffe ich auf Hilfe aus der Community. :)

Ein erstes Danke schon im Voraus. :)
 
Probiere es mal mir Abgesicherter Modus mit Eingabeaufforderung und in dem erscheinenden Fenster dann explorer.exe eingeben.
Alternative: von einem sauberen System die Kaspersky Rescue Disk 10 laden, als iso brennen damit starten, Virendatenbank aktualisieren und dann im Terminal windowsunlocker ausführen. Idealerweise dann danach gleich mit der Rescue Disk das System komplett scannen und dann entscheiden: entweder bereinigen oder das betroffene System neu aufsetzen.
Ob meine Vorschläge auch mit der von Bitlocker verschlüsselten Systempartition funktionieren weiß ich nicht.
Das Problem ist jetzt, dass sich auf dem Notebook ein BKA-Trojaner eingenistet hat, der (beim normalen Hochfahren) direkt nach der Anmeldung das Konto blockiert mit der freundlichen Bitte einen kleinen Obolus zu entrichten.
Zum Vergrößern anklicken....
Das müsstest du umgehen können mit Abgesicherter Modus mit Eingabeaufforderung, aber wie gesagt ich weiß nicht ob das auch mit verschlüsselten Partitionen geht.
 
Zuletzt bearbeitet:
Das mit der Kaspersky Rescue Disk wird nicht funktionieren. Was soll er denn auf ner Verschlüsselten Partition scannen? Er sieht da nur kaudawelsch.

Immo brauchst du eben das PW dann sollte der Rest ja kein Problem sein.
Übrigends, normal funktionieren USB Sticks auch im Abgesicherten Modus solange es USB 2.0 Ports sind.
 
Das mit der Kaspersky Rescue Disk wird nicht funktionieren. Was soll er denn auf ner Verschlüsselten Partition scannen? Er sieht da nur kaudawelsch.
Zum Vergrößern anklicken....
Ich hab ja geschrieben: mit verschlüsselten Partitionen kenne ich mich nicht aus. Also sollte er es meiner Meinung nach mit Abgesicherter Modus mit Eingabeauffordeung probieren, dann die Festplatte entschlüsseln und dann hat er wieder Zugriff darauf auch mit Scannern.
Übrigends, normal funktionieren USB Sticks auch im Abgesicherten Modus solange es USB 2.0 Ports sind.
Zum Vergrößern anklicken....
Abgesicherter Modus oder Abgesicherter Modus mit Netzwerktreibern kriegt er aber nicht gestartet wegen dem BKA Ransom, wenn überhaupt geht da nur der Abgesicherte Modus mit Eingabeaufforderung.
 
Also ich hab mich vllt. etwas ungünstig ausgedrückt.
Ich möchte im Abgesicherten Modus starten, komme aber nicht so weit. Nach dem Drücken von F8 beim Hochfahren sagt mir der Rechner, dass ich F8 für die erweiterten Bootoptionen gedrückt habe, dafür aber der Bitlocker-Schlüssel benötigt wird.

Diesen kann ich eingeben (den Schlüssel selbst hab ich aber nicht) oder vom Schlüssellaufwerk ausführen lassen. Bei der Laufwerksache startet der Rechner mit einem Bitlocker-Wiederherstellungsfenster neu und fordert mich auf das Schlüsselgerät auszuwählen. Dort wird mir aber weder USB-Stick noch irgend ein anderes Laufwerk angezeigt. Ports sind alle USB2.0.

Einfach eine Kaspersky-LiveCD geht leider nicht, weil betroffenes Laufwerk ja eben verschlüsselt ist und Kaspersky nicht drauf zugreifen kann.

Weitere Vorschläge ??
 
Versuch doch mal mit eingelegter Kaspersky Rescue Disk das System zu booten und wenn das geht, aktualisiere die Kaspersky Virendatenbank und gehe danach ins Terminal und führe dort den Befehl windowsunlocker aus denn damit werden die vom BKA Ransom angelegten Registryänderungen wieder korrigiert bzw gelöscht und beim nächsten Systemstart ist der Sperrbildschirm des BKA Ransoms weg. Ob das auch mit einer Bitlocker verschlüsselten Systempartition klappt, konnte ich auf die Schnelle mit Google nicht herausfinden.
 
purzelbär schrieb:
Versuch doch mal mit eingelegter Kaspersky Rescue Disk das System zu booten und wenn das geht, aktualisiere die Kaspersky Virendatenbank und gehe danach ins Terminal und führe dort den Befehl windowsunlocker aus denn damit werden die vom BKA Ransom angelegten Registryänderungen wieder korrigiert bzw gelöscht und beim nächsten Systemstart ist der Sperrbildschirm des BKA Ransoms weg. Ob das auch mit einer Bitlocker verschlüsselten Systempartition klappt, konnte ich auf die Schnelle mit Google nicht herausfinden.
Zum Vergrößern anklicken....

Nochmal, wie oben schon und wie schon 20 mal gesagt, DAS kann nicht funktionieren, die Partition ist verschlüsselt die Disk sieht da GARNICHTS. Die sieht da nichtmal das Windows installiert ist.

Brandkappe da bleibt dir nur das entschlüsseln mit dem Schlüssel selbst übrig. Anders kommste da wohl nicht voran.

Alternativ könntest du die Platte in ein anderes System hängen und dort dann entschlüsseln / die Starteinträge löschen. Das ist aber Gefummel und nicht ganz ungefährlich.

Hier Link zur Bitlocker FAQ, da steht drin wie.
http://technet.microsoft.com/de-de/library/hh831507.aspx
 
Zuletzt bearbeitet:
Alternativ könntest du die Platte in ein anderes System hängen und dort dann entschlüsseln / die Starteinträge löschen. Das ist aber Gefummel und nicht ganz ungefährlich.
Zum Vergrößern anklicken....
Und das soll funktionieren? denn nach wievor ist die Systempartition C mit Bitlocker verschlüsselt und der BKA Ransom verhindert ja ein starten im Abgesicherten Modus und somit werden wohl auch keine USB Ports erkannt? was nützt es dann die Festplatte in ein anderes System einubauen? Stünde da nicht Brandkanne vor dem gleichen Problem wie jetzt?
Alternativ könntest du die Platte in ein anderes System hängen und dort dann entschlüsseln
Zum Vergrößern anklicken....
Wenn das klappen würde, dann wäre Brandkanne ja geretttet und er hätte wieder Zugriff auf die Systempartition und könnte die bereinigen. Aber ob das geht die Festplatte in einem anderen System von der Bitlocker Verschlüsselung zu lösen, keine Ahnung dazu weiß ich nichts.
Ergänzung ()

die Starteinträge löschen. Das ist aber Gefummel und nicht ganz ungefährlich.
Zum Vergrößern anklicken....
Falls du das in Bezug auf das BKA Ransom meinst, das ist zu wenig und zu unsicher. Da sollte das System auf jeden Fall mit mindestens einem Scanner wie Malwarebytes bereinigt werden.
 
Zuletzt bearbeitet:
Man kann Bitlockerverschlüsselte Partitionen in anderen Rechnern entschlüsseln wenn man diese reinhängt und die Windowsversion dort Bitlocker unterstützt purzelbär. Und wenn du gelesen hättest was in der FAQ steht wüsstest du das und hättest dir deinen 2. Sinnlospost gespart. Wie du da nämlich schonwieder auf den Abgesicherten Modus kommst ist mir ein Rätsel... davon hab ich nicht die Bohne was geschrieben.
Ich schrieb klar in anderes System hängen und nicht davon booten...

Wie er letztlich dann den BKA killt nachdem die Platte entschlüsselt ist sei mal dahin gestellt, da gibts dann einige Varianten.
Er könnte auch den Lokalen Virenscanner nutzen und die Platte bereinigen etc. pp. Zugriff um das zutun hätte er jedenfalls.
 
Nicht streiten ;)

Danke auf jeden Fall für die Hinweise.
Festplatte an ein anderes System hängen und von dort entschlüsseln werde ich mal versuchen.

Im einfachsten Fall bekomme ich aber vielleicht noch den Schlüssel für die manuelle Eingabe zugespielt.

Danke soweit.
Für weitere heiße Tipps bin ich natürlich weiterhin offen.
 
Sobald es dir gelungen ist die verschlüsselte Systempartition zu entschlüsseln, solltest du damit beginnen das BKA Ransom zu entfernen/bekämpfen. Dazu würde ich zuerst Kaspersky Rescue Disk 10 verwenden mit besagtem Windows Unlocker und eine Komplett Scan mit dem Scanner dieser Rescue Disk oder alternativ der DE-Cleaner Rettungssystem-CD durchführen. Ist das gemacht würde ich mir noch Malwarebytes Free runterladen und installieren und damit eine Vollständige Überprüfung des Systems machen weil Malwarebytes spezialisiert ist auf die Bekämpfung von Ransoms und neuartiger Malware. Willst du jedoch das System eh formatieren, dann kannst du dir so manchen Scannereinsatz sparen.
 
Danke ;)

Die Entfernung selbst oder Sicherung der Daten (je nach Ausmaß und Erfolg) ist kein Problem. Mein Problem ist einzig und allein, dass ich nicht an Bitlocker vorbei komme. Aber sobald wie möglich versuche ich die Platte mit einem anderen Windows7-System zu entschlüsseln und säubern.
 
Ich dachte mittlerweile hast du die verschlüsselte Festplatte schon längst entsperrt bzw die Verschlüsselung aufgehoben :D :mussweg:
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

J
PC ist abgestürzt, startet nicht mehr richtig und ich komme nicht in den abgesicherten Modus
2
Antworten
27
Aufrufe
3.266
Joe93
J
S
Windows 7 Blue Screen beim Booten auch im abgesicherten Modus :/
Antworten
15
Aufrufe
803
Tulol
Tulol
T
Win 11 startet nur noch im abgesicherten Modus
Antworten
5
Aufrufe
780
Techflaws.org
T
HamMice
Keine Berechtigung im Abgesicherten Modus
Antworten
6
Aufrufe
341
redjack1000
R
plato333
  • Frage Frage
Warum geht im abgesicherten Modus meine Maus nicht mehr?
2
Antworten
20
Aufrufe
1.306
plato333
plato333
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 158 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz