Hallo,
ich habe heute gemerkt dass mehrere Ordner einer Partition verschwunden sind. Habe zunächst die Systemwiederherstellung bemüht, diese hat auch die meisten Ordner wiederhergestellt, diese sind aber zum größten Teil leer, die Dateien können wohl nicht gerettet werden.
Mein erster Verdacht ist ein Trojaner über den sich jemand auf meinen Rechner eingeklinkt hat. Habe Avira AntiVir PersonalEdition mit den aktuellen Definitionen drauf, findet aber nichts.
Was sollte ich jetzt am besten tun?
hi,
Die Daten sind ev. noch auf der Platte. Siehe Datenrettung: FAQ:116
Mein erster Verdacht ist ein Trojaner
Wie kommst du auf einen solchen Verdacht?
Trojaner spionieren aus, löschen jedoch nix…
über den sich jemand auf
meinen Rechner eingeklinkt hat.
Recht unwarscheinlich, dass siche jemand Zugriff auf deinen PC verschafft um dann nur einige wenige Ordner zu löschen.
Habe Avira AntiVir
PersonalEdition mit den aktuellen Definitionen drauf, findet
aber nichts.
Einen anderen Virenkiller könntest ausprobieren.
Wenn dein PC wirklich einen Schädling hat, dann ist die sicherste Methode das herauszufinden, deine Fesplatte von einem sauberen PC scannen zu lassen, da Schädlinge heutzutage Virenkiller übernehmen um dir vorzugaukeln, dass dein System sauber ist.
lg,
fred
hi,
Die Daten sind ev. noch auf der Platte. Siehe Datenrettung:
FAQ:116
Danke, werde die Tools mal ausprobieren. Auf die Backdoor-Geschichte kam ich, weil sich vor ein paar Jahren schonmal jemand auf meinen PC eingeloggt hatte, auf der Festplatte ein bißchen Unordnung hinterließ und sogar eine Botschaft als txt-File hinterließ.
Gruß
seventh_son
Hallo seventh_son
ich habe heute gemerkt dass mehrere Ordner einer Partition
verschwunden sind. Habe zunächst die Systemwiederherstellung
bemüht, diese hat auch die meisten Ordner wiederhergestellt,
diese sind aber zum größten Teil leer, die Dateien können wohl
nicht gerettet werden.
Grundsätzliche Frage:
Warum benutzt du nicht das Image zur Wiederherstellung deiner Daten oder hast du keines angelegt?
Die Frage an meine Kristallkugel wird so beantwortet:
Vermutlich hast du an den Optionen deines Explorers herumgespielt und dabei Einstellungen vorgenommen, von denen du nicht weißt was sie bewirken.
Öffne Arbeitsplatz - Menü - Extras - Ordneroptionen - Register „Ansicht“
[] Erweiterungen bekannter Dateitypen ausblenden
[V] geschützte Systemdateien ausblenden
[V] Inhalte von Systemordnern anzeigen
(\*) Alle Dateien und Ordner anzeigen
Auf [Für alle übernehmen] klicken
Mein erster Verdacht ist ein Trojaner über den sich jemand auf
meinen Rechner eingeklinkt hat. Habe Avira AntiVir
PersonalEdition mit den aktuellen Definitionen drauf, findet
aber nichts.
Die Funktionsweise Trojanischer Pferde (Schadsoftware) wird hier http://de.wikipedia.org/wiki/Trojanisches_Pferd_%28C… beschrieben. Beseitigt wird sie nach dieser http://faq.jors.net/virus.html
Malware, welche Dateien und Verzeichnisse löscht gibt es seit vielen Jahren nicht mehr. Programmierer heutiger moderner Malware benutzten die vorgefundenen Daten. Aus dem Grund ist das von dir geschilderte Auftreten absurd und völlig veraltet. Veraltete Malware wird von jedem beliebigen Scanner gefunden.
Was sollte ich jetzt am besten tun?
Wenn nach obigen Einstellungen noch immer nicht alles gewünschte sichtbar wird, dann besitzt vermutlich dein Dateisystem einen schweren Schaden. Auch hier ist nach Sicherung aller von dir selbst angelegten Daten eine Neuinstallation angebracht. Imagingsoftware zukünftig benutzen. Kostenlos gibt es diese hier http://nu2german.de/ & http://tinyurl.com/g9xpd oder fast kostenlos in dieser Bebilderten http://tinyurl.com/y66thp
der hinterwäldler
–
Ich kann die Argumentation einiger User nicht verstehen.
Ca. 1,5 Mio kostenlosen Vollversionen, welche zum Erstellen
eines Partitionsbackup brauchbar waren, sind in deutschen
Restmülltonnen verschwunden. Selbst in dieser Minute lässt
sich mit ein klein wenig natürlicher Intelligenz ein brauchbares
Backupsystem aus dem Internet herunterladen und zusammenstellen.
Statt dessen werden Scanner, PFWs und Removertools „En gros“
verwendet.
Hallo seventh_son
Hallo Hinterwäldler,
Grundsätzliche Frage:
Warum benutzt du nicht das Image zur Wiederherstellung deiner
Daten oder hast du keines angelegt?
Ich habe kein Image dieser Partition, da erstens die Daten dort nicht so wichtig sind (keine Systempartition, fast nur Multimedia-Daten).
Die Frage an meine Kristallkugel wird so beantwortet:
Vermutlich hast du an den Optionen deines Explorers
herumgespielt und dabei Einstellungen vorgenommen, von denen
du nicht weißt was sie bewirken.
Öffne Arbeitsplatz - Menü - Extras - Ordneroptionen - Register
„Ansicht“[] Erweiterungen bekannter Dateitypen ausblenden
[V] geschützte Systemdateien ausblenden
[V] Inhalte von Systemordnern anzeigen
(*) Alle Dateien und Ordner anzeigenAuf [Für alle übernehmen] klicken
Nein das habe ich nicht, ich studiere Techn. Informatik und bin durchaus in der Lage mit einem Computer umzugehen. Es sind auch keine Systemdateien verschwunden sondern Videos, MP3s und co.
Malware, welche Dateien und Verzeichnisse löscht gibt es seit
vielen Jahren nicht mehr. Programmierer heutiger moderner
Malware benutzten die vorgefundenen Daten. Aus dem Grund ist
das von dir geschilderte Auftreten absurd und völlig veraltet.
Veraltete Malware wird von jedem beliebigen Scanner gefunden.
Bei mir hat sich vor Jahren mal etwas ähnliches ereignet. Der Eindringling hat mp3’s gelöscht und sogar eine Nachricht per txt.-File hinterlassen. Also ganz so abwegig scheint das ja nicht zu sein.
Ich glaube aber mittlerweile auch an einen Dateisystemfehler, auch wenn die Platte futschneu ist. Werde es mit einem Recovery-Tool versuchen.
Gruß
seventh_son
Hallo seventh_son
Ich habe kein Image dieser Partition, da erstens die Daten
dort nicht so wichtig sind (keine Systempartition, fast nur
Multimedia-Daten).
Wenn sie nicht wichtig sind?
Nein das habe ich nicht, ich studiere Techn. Informatik und
bin durchaus in der Lage mit einem Computer umzugehen. Es sind
auch keine Systemdateien verschwunden sondern Videos, MP3s und
co.
Dann müsste dir klar sein, das dies nicht so ohne weiteres möglich ist. Ich würde Malware grundsätzlich ausschließen. Ich tippe eher in diesem Fall auf einen Zugriff per Remote. Eigentlich ganz simpel und und du lößt das Problem, in dem du alle dafür verantwortlichen Dienste (Service) abschaltest. Zum weiterlesen: http://www.ntsvcfg.de/linkblock.html und in der Endkonsequenz http://www.ntsvcfg.de/
Bei mir hat sich vor Jahren mal etwas ähnliches ereignet. Der
Eindringling hat mp3’s gelöscht und sogar eine Nachricht per
txt.-File hinterlassen. Also ganz so abwegig scheint das ja
nicht zu sein.
Sowas ähnliches ist mir vor einigen Jahren auch passiert: http://tinyurl.com/y4haum Aus heutiger Sicht hat er einen Script in der Registry eingebunden, welcher jeweils nach meiner Einwahl ins Internet die aktuelle IP sendete. Fertig, damit kommt er zu jedem beliebigen Zeitpunkt in mein System, falls es aktiv mit dem Internet verbunden ist.
Ich glaube aber mittlerweile auch an einen Dateisystemfehler,
auch wenn die Platte futschneu ist. Werde es mit einem
Recovery-Tool versuchen.
Was willst du? Wenn wirklich ein Scriptkitty auf deinem System sein Unwesen treibt, würde ich zuerst mal den Verursacher suchen. http://www.HijackThis.de/ ist ein guter Ausgangspunkt. Auch TCPView, Processexplorer und AutoRuns von http://www.sysinternals.com sind geeignet. Falls du es wirklich mit einem Undelete versuchen willst, dann aber bitte nur mit http://www.sysinternals.com/Utilities/Fundelete.html
der hinterwäldler
–
Die Benutzung des IE wird nicht auf Unwissenheit seines Anwenders
zurückgeführt, sondern vielmehr auf dessen Bequemlichkeit und dem
frommen Wunsch, das ausgerechnet das eigene System von gefährlicher
Malware verschont bleibt.
Hallo,
Dann müsste dir klar sein, das dies nicht so ohne weiteres
möglich ist. Ich würde Malware grundsätzlich ausschließen. Ich
tippe eher in diesem Fall auf einen Zugriff per Remote.
Davon sprach ich die ganze Zeit. Ich ging nicht von Malware aus, sondern von einem Programm, was den Remote-Zugriff ermöglicht. Habe mich wohl nicht verständlich genug ausgedrückt.
Eigentlich ganz simpel und und du lößt das Problem, in dem du
alle dafür verantwortlichen Dienste (Service) abschaltest. Zum
weiterlesen: http://www.ntsvcfg.de/linkblock.html und in der
Endkonsequenz http://www.ntsvcfg.de/
Habe schon vor einiger Zeit nach einem Tip aus dem Internet die entsprechenden Ports gesperrt. Werde mir aber natürlich Deinen Ratschlag auch zu Gemüte führen.
Sowas ähnliches ist mir vor einigen Jahren auch passiert:
http://tinyurl.com/y4haum Aus heutiger Sicht hat er einen
Script in der Registry eingebunden, welcher jeweils nach
meiner Einwahl ins Internet die aktuelle IP sendete. Fertig,
damit kommt er zu jedem beliebigen Zeitpunkt in mein System,
falls es aktiv mit dem Internet verbunden ist.
So einfach geht das? Dann kann er aber doch nur auf die Freigaben zugreifen, oder? Ich bin davon ausgegangen dass sowas nur funktioniert wenn eine Art Client (ähnlich PCAnywhere) unbemerkt installiert wird.
Ich glaube aber mittlerweile auch an einen Dateisystemfehler,
auch wenn die Platte futschneu ist. Werde es mit einem
Recovery-Tool versuchen.Was willst du? Wenn wirklich ein Scriptkitty auf deinem System
sein Unwesen treibt, würde ich zuerst mal den Verursacher
suchen. http://www.HijackThis.de/ ist ein guter Ausgangspunkt.
Auch TCPView, Processexplorer und AutoRuns von
http://www.sysinternals.com sind geeignet. Falls du es
wirklich mit einem Undelete versuchen willst, dann aber bitte
nur mit http://www.sysinternals.com/Utilities/Fundelete.html
Sicher werde ich beide Möglichkeiten in Betracht ziehen und auch gegen einen möglichen Remote-Zugriff etwas tun.
Vielen Dank für Deine ausführliche Antwort und die Links.