Win7 installation - zweite Festplatte mit Schadcode

[Beama]

Hallo zusammen,

ich packe es mal hier rein, da ich nicht weiß, wo es besser reinpasst.

Ich habe einen pc hier, bei dem Win 7 neuinstalliert werden soll. Bei der Gelegenheit soll auch eine neue größere SSD eingebaut werden (Systemplatte). Ein Grund für die Neuinstallation ist, das auf der alten Platte (auch SSD) ein Schadcode vorhanden ist. Soweit ich das beurteilen kann aber nichts wirklich gefährliches, eher aus dem Bereich der Adware / Malware.

Ich wäre jetzt so vorgegangen: Alte Platte abstöpseln, neue dran machen und Windows installieren und komplett einrichten/updaten.

Jetzt bin ich mir nicht sicher, ob ich die alte Platte auch noch mal dran machen kann, um private Daten rüber zu ziehen, Bilder, Dokumente etc. Von der Platte wir nicht gebootet und auch keine Anwendung gestartet.

Was meint ihr, wie ist das Sicherheitsrisiko bei diesem Vorgehen einzuschätzen? Wie wahrscheinlich ist es, das sich Schadcode über Platten hinweg fortsetzt? Ich habe von Schadcode gehört, der sich an beliebige ausführbare Dateien anhängt, aber wie sieht es bei einfachen persönlichen Daten aus?

Bitte nur fachliche Einschätzungen.

Danke

 

[Umbel]

"Ich hab von Bakterien gehört, die haben Fühler" =)

Wie soll man eine fachliche Einschätzung geben ohne zu wissen, um was für Schadcode es sich handelt? Klar können Viren und andere Schädlinge nicht nur auf eine Festplatte und/oder Installation begrenzt sein, aber ob das bei dir der Fall ist? Keine Ahnung!

Tipp: Nehme eine Live-CD, sichere darin die wichtigen Daten auf eine externe Festplatte, checke diese mit 1-2 Antivirus-Live-CDs und du bist auf der relativ sicheren Seite,

 

[DocWindows]

Du kannst die Platte ruhig dranstöpseln. Beim Kopieren sollte aber ein aktueller Virenscanner anwesend sein und optimalerweise auch ein zusätzlicher Malwarescanner (Malwarebytes.org). Beides auf Realtime Scan gestellt.

Alternativ kann man die befallene Platte auch vor dem Kopieren komplett mit beiden Tools durchscannen.

 

[Bagbag]

Theoretisch möglich, auch über Dokumente Schadcode zu verteilen, bspw. bei Visual Studio wird man gewarnt dass man die Projektmappe(!) (also quasi der Source Code) nicht öffnen soll, wenn man der Quelle nicht vertraut.

Wobei da Visual Studio etwas komplexer ist als einfache Bilder.

Insgesamt würde ich mir da aber keine Sorgen machen.

Wobei sowas auch mal ne gute Möglichkeit ist alles aufzuräumen.

 

[AdoK]

Die Vorgehensweise ist so OK.

Da du den von dir betitelten Schadcode nicht nennst, kann man nur allgemein darauf antworten. Es kann sein, dass der Schadcode auch die persönlichen Daten befallen hat, kann aber auch nicht sein.

Ich würde die persönlichen Daten vor dem rüberkopieren auf das neue LW noch einmal überprüfen lassen wollen, ob sie von Schadcode befallen sind oder nicht. Die Überprüfung würde ich auch noch mit dem alten LW machen wollen. Ebenso sicherheitshalber auch noch einmal nach dem das BS auf das neue LW installiert wurde und vor dem rüberkopieren auf das neue LW.

Wird da nichts gefunden, sollte man davon ausgehen können, dass die Daten einwandfrei sind.

 

[ds212+]

Alte SSD abklemmen, neue SSD dran und Windows installieren wäre die sicherste Methode, da man nicht aus Versehen von der alten SSD booten kann und/oder auch nicht aus Versehen eine EXE-Datei von dort starten kann.
Danach einfach die alte SSD wieder zusätzlich anklemmen (dies kann auch extern über einen USB-Adapter sein) und die persönlichen Daten rüberkopieren...

Nachtrag: upps, da waren welche schon schneller... :-)

 

[Beama]

Hi,

vielen Dank für die Einschätzung,

ich weiß das definitiv die Adware /Browser Hijacker iStartsurf installiert wurde, ob noch weitere Sachen bin ich mir noch nicht ganz sicher.

Bei den privaten Dateien handelt es sich um Bilder (jpeg) und office Dokumente, Excel, Word, PP.

Der Computer wurde auf meine Ansage nach dem Befall relativ schnell vom Netz getrennt, der Browser sofort komplett deinstalliert und der PC und dannn nicht mehr verwendet

 

[smuper]

Sie kann definitiv nicht durch ein reines anschließen übertragen werden.

Dafür müsstest du infizierte Dateien ausführen

Anschließen, mit 1-2 Scannern drüberschauen, fertig. Danach nur Dokumente/Media Daten übernehmen, keine Programme oder sonstige ausführbare Dateien wiederverwenden.

 

[firexs]

Umbel hat schon im 2. Post genau erklärt, wie du vorgehen solltest. Sprich per Live-CD die alte SSD scannen. Das würde ich sogar machen, bevor man mit der neuen SSD arbeitet (siehe auch Adoks Post).

lg
fire

edit: ignoriere bitte auch Falschaussagen, wie von smuper (bezogen auf den 1. Satz).

 

[Beama]

Habe gearde mal ein bisschen gegoogelt, welche Live CD gegen Malware im gesamten ist denn so empfehlenswert, gibt ja da viele verschiedene.

Habe selber mit noch keiner gearbeitet

 

[firexs]

Es gab mal die sog. Desinfect von c't. Die kostete nichts. Per Download kostet sie wohl 4,20eur.
Ansonsten gibt es auch Knoppix, das je nach Version verschiedene Scanner mitliefert. Das kostet dich nur einen Rohling.

lg
fire

 

[mfJade]

Von Kaspersky gibts auch eine :-)

 

[smuper]

So, mein lieber Herr firexs, jetzt wird es spannend.

Widerlege doch dann bitte auch meine "falsche" Aussage :-)
Es sind wohl wieder Security "Experten" unterwegs.

 

[Beama]

Ich bedanke mich schon mal für alle Infos,

habe jetzt nen Live CD System von Avira gefunden:
http://www.avira.com/de/download/product/avira-rescue-system

Ist vom 20.08.14 nicht mehr ganz taufrisch, sollte aber reichen oder?

Macht Sinn die erst vom neuen System aus zu brennen oder? Um wirklich sicher zu gehen.

 

[smuper]

@ firexs
Ich stecke sicherheitshalber noch mal die Rahmenbedingungen ab:

Windows 7 / infizierte SSD zusätzlich angeschlossen / egal ob im laufenden Betrieb oder vor dem Start /

Bitte zeige nun Angriffsvektoren auf und belege diese mit Quellen.

Ergänzung (4. September 2014)

Macht Sinn die erst vom neuen System aus zu brennen oder? Um wirklich sicher zu gehen.

Ja.

Ist vom 20.08.14 nicht mehr ganz taufrisch, sollte aber reichen oder?

Internetverbindung herstellen und vor dem Scan updaten lassen.

 

[Beama]

Ich sehe gerade, es gibt das Unterforum "Sicherheit", kann man verschieben, habe ich vorher irgendwie nicht gesehen, und mich schon gewundert das es so ein Unterforum nicht gibt^^ wollte fast schon schimpfen....

edit: Danke

 

[mfJade]

Ich würde, wie schon gesagt die von Kaspersky nehmen:

http://support.kaspersky.com/de/viruses/rescuedisk#downloads

Das kostenlose Avira ist ziemlicher Müll und wenn die Disk von denen genauso mies ist würd ich davon Abstand nehmen.

 

[Beama]

Was ich mich halt frage: wie bekomme ich so ne Live CD auf den neuesten Stand? Ich möchte ja den infizierten PC nicht unbedingt mit dem Internet verbinden, da ja eine potentielle Gefahr besteht, das ein Trojaner dann weitere Informationen sonst wo hin sendet.

Wenn ich die Live CD auf einem sicheren PC brenne, besteht da schon die Möglichkeit gleich die aktuellsten Signaturen einzubinden?

Oder muss ich das so verstehen, das die Internetverbindung nur zu dem Live System besteht und nicht zu dem zu prüfenden Medium an sich, und ich dann von dem Live System aus den Scanner updaten kann?

 

[smuper]

Während du von der Live System bootest ist das infizierte Betriebssystem nicht aktiv. So ist die Malware natürlich ebenfalls nicht in der Lage zu starten.

Du kannst also ohne Bedenken eine Internetverbindung herstellen während du im Live System bist.

 

[purzelbär]

Was ich mich halt frage: wie bekomme ich so ne Live CD auf den neuesten Stand? Ich möchte ja den infizierten PC nicht unbedingt mit dem Internet verbinden, da ja eine potentielle Gefahr besteht, das ein Trojaner dann weitere Informationen sonst wo hin sendet.

Brenn dir die Live CD deiner Wahl, lege die ins CD Fach und boote dann den Rechner von CD aus dann wird die Live CD die in den meisten Fällen auf Linux basiert, gestartet, mach ein Update der Signaturen Datenbank und prüfe dann damit die besagten Festplatten. Die Infizierung die ja noch auf der einen SSD sitzt, sollte so meiner Meinung nach nicht auf die neue SSD überspringen können weil du in dem Moment Dank der Antivirus Live CD mit einem Linux System die Festplatte überprüfst. Zu dem eigentlichen Schädling: es ist nicht sicher ob der von einer Antivirus Live CD erkannt wird wenn es Adware sein sollte. Deshalb ein alternativer/zusätzlicher Vorschlag: Hole dir AdwCleaner, packe es auf einen USB Stick, starte den PC mit der alten SSD im Abgesicherten Modus und mach dann eine Überprüfung in diesem Modus mit AdwCleaner auf dem USB Stick.

Während du von der Live System bootest ist das infizierte Betriebssystem nicht aktiv. So ist die Malware natürlich ebenfalls nicht in der Lage zu starten.

Du kannst also ohne Bedenken eine Internetverbindung herstellen während du im Live System bist.

Vollkommen richtig smuper.

Wenn ich die Live CD auf einem sicheren PC brenne, besteht da schon die Möglichkeit gleich die aktuellsten Signaturen einzubinden?

Oder muss ich das so verstehen, das die Internetverbindung nur zu dem Live System besteht und nicht zu dem zu prüfenden Medium an sich, und ich dann von dem Live System aus den Scanner updaten kann?

Die Signaturen der Antivirus Live CD's werden im Arbeitsspeicher des PC's geladen in dem die Antivirus Live CD gestartet/gebootet wird.