[5iR]

Hallo zusammen!
Eins vorweg: Falls dies das falsche Forum/Unterforum für meine Frage sein sollte, dann bitte veerschieben....

Eine Bekannte von mir hat sich einen neuen Facebook Virus eingefangen. Sie hat einen Link bekommen, dort draufgeklickt. Dann kam sie auf eine Website wo sie sich angeblich ein Foto runterladen sollte. Dies hat sie gemacht. Danach hat sich der PC sofort ausgeschaltet.

Wenn jetzt versucht wird, neu zu Starten, dann startet nur die Systemreparatur, die nicht erfolgreich verläuft.

Ich habe jetzt schon folgendes Probiert:

Mit win7 CD gestartet
- in der Eingabeaufforderung folgende Operationen:
- bootrec /fixmbr --> erfolgreich
- bootrec /fixboot --> nicht erfolgreich, es erscheint die Fehlermeldung, dass keine Windows 7 Installation gefunden werden kann
- bootrec /scanos --> keine Win-Installation gefunden

Die Optionen Systemabbild und Systemwiederherstellung können aufgrund von Fehlern nicht ausgeführt werden.

Ich habe eine Linux Distri von CD gebootet und kann dort auf die Festplatten und Daten zugreifen.

Es scheint so, als hätte der Virus irgendwie im Bootmanager rumgepfuscht, sodass der Bootmgr die Installation nichtmehr findet.

Hat jmd noch eine Idee, wie ich Windoof evtl. noch dazu bewegen könnte, zu starten? Der PC wird wahrscheinlich sowieso plattgemacht, allerdings währe eine Datensicherung mit Windows ein wenig komfortabler...

Bin für jede Idee dankbar

[Osiris1983]

Wenn ihr das OS eh neuaufspielen wollt würde ich zu einer Datensicherung mit deiner Linux Live CD raten - finde ich übrigens auch komfortabel.

Am besten probiert sie auch gleich eine Linux Distribution wie Debian, Ubuntu, Suse oder was auch immer... dann gibt es in Zukunft auch nicht solche Probleme

[theonesoap]

ehrlich wenn du mit deiner liveCD auf die daten zu greifen kannst dann ist doch gut mach nen backup und installier neu was willste dir denn anderen umstand jetz noch machen

wennde doch kein spass an deiner langenweile mehr hast dann lad dir nen [ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ] runter und starte den von cd und gut is ..


achja und erzähl mal deiner freundin das man das nicht macht

edit: achja und das sind keine neuen viren ^^ die geschichten sind schon so alt iwe man downloaden kann

[5iR]

Ja das habe ich ihr schon klargemacht. Ist übrigens nicht meine Freundin sondern eine gute Bekannte. Meine Freundin klickt sicher nicht auf solche Links.
Werd jetzt noch nachschaun, ob die Win Start Partition überhaupt als active gekennzeichnet ist und obs dann geht. Wenn nicht wird plattgemacht

[theonesoap]

platt machen ist immer gut

[thyriel]

und nach der neuinstallation spielst ihr am besten gleich mal WOT drauf und erklärst ihr sie darf auf nix mehr klicken wo ein roter / grauer Punkt daneben ist

[theonesoap]

einfach pc sperren und nur noch facebook zu lassen mehr braucht die eh nicht

[DarkProtector]

Die größte Hilfe ist Dateierweiterung einschalten und deiner Bekannten erklären das Bilder nicht mit .exe, .scr oder .bat enden!

[Osiris1983]

1. Platt machen
2. Konto mit eingeschränkten Rechten zum tagtäglichen Arbeiten und surfen erstellen
3. Firefox + NoS***** (und dann nicht alle Skripte erlauben, sondern immer nur die, die man braucht)
4. [ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ] aktivieren

[5iR]

Hmm, das ist echt hart...

Habe gradmal in der Diskpart die Platte angeschaut. Unter Status steht ungültig.
Wenn ich jetzt ne Partition auswähle heißt es, dass es sich um ein unbekanntes Dateisystem handelt, was u.a. daran liegen könnte, dass das Volume offline ist.

Hab dann mal Gparted über Linux aufgemacht...extrem seltsam:

4 Partitionen, die erste ist nur knapp 1000kb groß und wird als fehlerhaft angezeigt (mit !)
Die zweite ist die 100MB Part von Win7
Die dritte und vierte sind standardmäßige Partitionen.

Das Teil scheint echt übel gewesen zu sein, ka was es gemacht hat, aber es hat das Sys so zerschossen, dass die Eingabeaufforderung nichtmal mehr eine Win Installation findet....

Naja ich lasse sie jetzt mal die Daten soweit sichern und dann mach ich weiter. Falls jemandem noch eine Idee kommt...einfach raus damit. Das Sys wird zwar neu aufgesetzt, aber wäre schon interessant, was der Virus gemacht hat bzw. wie man es beheben kann

[DarkProtector]

Wenn es ein SystemFucker war, dann sehe ich deine Chance gleich 0, dass du es Rückgängig machen kannst. Kannst froh sein das du auf Daten zugreifen kannst, die Teile sind echt übel und nur auf Schaden ausgelegt.

[theonesoap]

das mit der 1mb partition kann aber auch einfach nen konfigurations fehler sein ..
das kenn ich noch aus der xp zeit vom offline rechner bei meinser schwester
da hatte im laden wo man den zusammengebaut und installiert hat iwie nen bisschen müll gemacht ..

[pablo.rodriguez]

diese 100 mb-Partition wird immer automatisch mit einer Win7-Installation angelegt. Meines Wissens werden dort Infos zum Bootmanager und auch zum Bitlocker gespeichert. Ach ja, auch die Startumgebung des Win7-Reparaturmodus befindet sich dort drinnen. Denke daher dass es was mit der 100 MB-Partition zu tun hat

Frage eins: ein Bitlocker war nicht aktiv, oder?
Frage zwei: Ist es Dir den möglich über ein XP-Medium zu booten und dort über die Reperaturkosole in die Eingabeaufforderung zu gelangen?
Frage drei: Habt Ihr an dieser Partition rumgespielt?

[theonesoap]

es gibt sone vista boot cd von der computerbild.. ist nen kleines windows reperatur system .. hat nix ausser mit dem design mit vosta zu tun ist nur zu der zeit entstanden .. wennde also lieber mit windows reparieren/backups machen willst -> use it

@pablo da ist diese eine 1000kb partition die ich eben meinte ich denke das das einfach nen fehler von dem war der beim installieren mit den partitionen jongliert hat
ich wette das die einfach ganz am anfang der tabelle liegt ..

ich bin mir jetz mal nicht ganz so sicher aber ist es nicht so das man die systempartitionen nicht verändern kann wenn windows gestartet ist ? wie siehts da mit schadsoftware aus? weil wenn die da ne 1000kb partition erstellt müssen ja logischer weise die systemdateien auch verschoben werden usw bin mir da jetz net so sicher ob das möglich ist ohne das win abspackt

[pablo.rodriguez]

@theonesoap

ne ne ... ich meine mit meinem Post ja gar nicht Deinen Post. Ich wollte auf diese 100MB-Partition raus. Dort werden in Windows7 meines Wissen drei Sachen gespeichert: Bootmanager, Bitdefender, Win7-Reperatur-Modus.
So wie der TE es beschreibt könnte es meiner Ansicht nach mit dieser Partition zusammenhängen. Gibt ja Leute die diese löschen oder ähnliches. Vielleicht hat Sie einfach so einen knax... aber ich hab diese Partition unter Verdacht. Natürlich hast Du recht dass es auch an der 1000KB-Partition liegen könnte.

[theonesoap]

ja das prblem wird sein das diepartition die erste in der tabelle ist und das der bootmanager auf der ersten partitioen liegen muss die in der ptabelle aufgeführt ist deswegen bootet das nicht mehr...
soll er mal versuchen die 1000kb partitioen wegzulöschen vielleicht funzt das dann weider mitm booten

[cxxh]

Ich hab mir jetzt ehrlich gesagt nicht die Mühe gemacht ALLE Beiträge zu lesen, aber ich hatte das Selbe, wie es oben beschrieben ist auch schon mehrmals, davon gibt es mehrere Varianten, die wohl am häufigsten verbreitete ist, das man im Chat eine Nachricht bekommt, in er dann folgendes Steht:

Hhahahahahahahahaha!!! bist du das? [LINK]

Ob die anzahl der "ha"'s stimmt weiß ich jetzt nicht, aber sonst so in etwa.

Wenn man auf den Link klickt, wird man nacheinander über 3 seiten geleitet, innerhalb von 3 sekunden, und man kann sogar, wenn man schnell genug ist, im Task Manager einen "svchost.exe" Prozess ausmachen, der da nun absolut nicht hingehört. Dieser macht sich nun in aller Eile daran die wichtigsten Eigenschaften des Systems, also MBR, startrelevante Windoof Dateien & co. zu zerschießen. Davon kriegt man natürlich nichts mit, aber dank Linux Boot DVD und einem Logging Programm, das die Aktionen glücklicherweise aufgezeichnet und in einer txt abgespeichert hat konnte man dies feststellen.

Das ganze ist, so wie es aussieht irreparabel, man muss leider alles sichern und den Pc platt machen, was ich nach so einem Absturz immer machen würde, da sonst noch Rückstände des Virus zurückbleiben könnten.

Mein Tipp (wie auch schon oben erwähnt): Mach eine "saubere" Windows Installation, das heißt: Dokumente und so weiter auf einer anderen Partition als das System, das erspart das lästige Backuppen. Desweiteren halt ein Standartbenutzerkonto zum täglichen Gebrauch, und ein Adminkonto, das man für Installationen usw. heranziehen kann.

Sooooo...
Ich glaube ich hab jetzt alles geschrieben was mir zu dem Theme einfällt.

Gruß
cxxh

[5iR]

Zitat:

Zitat von pablo.rodriguez

diese 100 mb-Partition wird immer automatisch mit einer Win7-Installation angelegt. Meines Wissens werden dort Infos zum Bootmanager und auch zum Bitlocker gespeichert. Ach ja, auch die Startumgebung des Win7-Reparaturmodus befindet sich dort drinnen. Denke daher dass es was mit der 100 MB-Partition zu tun hat

Wie nach dir schon gesagt, es handelt sich nicht um die 100mb Partition, sondern um eine dubiose 1000kb...

Frage eins: ein Bitlocker war nicht aktiv, oder?

Nein

Frage zwei: Ist es Dir den möglich über ein XP-Medium zu booten und dort über die Reperaturkosole in die Eingabeaufforderung zu gelangen?

Kein XP, sonder win7 64bit Pro installiert und ja, dort komme ich in die EF, wie im ersten Thread schon gepostet.

Frage drei: Habt Ihr an dieser Partition rumgespielt?


Nicht an der 100MB, sondern an der 1000kb, die hab ich mal gelöscht, aber ohne effekt, immer noch kein Bootmanager und keine gefundene Win install...

@Rest:

Ich hab jetzt alles ausprobiert, was in meiner Macht steht. War scheinbar ein übles Teil. Wir haben jetzt über ne Linux Live CD die platten mit 3 verschiedenen AKTUELLEN virenscannern gescannt, die Viren/Maleware gelöscht, dann Daten gesichert. Jetzt werden die Partitionen gelöscht und Win neu aufgespielt. Unter anderem mit den hier empfohlenen Sicherheitseinstellungen.

DANKE an alle, die versucht haben zu Helfen. Falls keiner mehr was kommentieren will oder eine definitve Lösung hat, kann der Tread geschlossen werden.

Gruß

[theonesoap]

also wenn du die 1000kb partitioen einfach löscht hilft das auch nicht viel weiter weil di wahrscheinlich als bootpartitioen markiert war.. du musst also wenn die 100 mb partitioen wieder als bootpartition markieren dann dürfte dein win wieder starten/booten wennde eh nach malware gecheckt hast usw kannzwar immernoch was drauf sein was ganz ganz neu ist aber ka musste selber entscheiden..könntest dir die arbeit der neuinstallation sparen und die zeit mit der freundin genießen;D

[5iR]

Hab die 100mb Part dann schon wieder als Boot-Part. angegeben, hat aber auch nix geholfen. Findet immer noch kein System. Rechner ist plattgemacht und wird neu aufgesetzt. Idiotensicher diesmal. Und es ist nicht meine, sonder EINE Freundin. Meine sitzt grad neben mir und schmunzelt über deinen Kommentar xD.

Gruß

[theonesoap]

deswegen hab ich ja auch nicht "mit deiner" sondern " mit DER" freundin geschrieben ^^ ist aber eigentlcih auch wurscht xD
du hättest den bootloader nochml fixenmüssen bzw wiederherstellen aber naja ist ja jetz vom tisch das prblm