GoldenEye - MBR wiederherstellen und Win7 starten

[Heckflosse 10]

Hallo,

ich habe seit längerem einen PC zu Hause der sich Ende letzten Jahres mit GoldenEye infiziert hat. 

Manche Lösungen im Internet setzen einen Systemstart voraus. Dies im abgesicherten Modus.

Bei mir funktioniert der Start mit F8 nicht. 

Gibt es eine Möglichkeit den defekten MBR wieder zu reparieren so dass Win7 startet?

Danke.
Markus

 

[Dr.Melzer 191]

Was willst du denn erreichen?

 

Du weißt dass Golden Eye deine Daten verschlüsselt und dann deinen Bootsektor beim Neustart zerstört?

 

Hast du schon versucht den Rechner neu zu starten?

[testperson 1.674]

Hi,

 

vielleicht noch ein bisschen Geduld haben: https://www.heise.de/security/meldung/Master-Schluessel-der-Erpressungstrojaner-GoldenEye-Mischa-und-Petya-veroeffentlicht-3767637.html

Zumindest an deine Daten könntest du dann evtl. wieder ran kommen.

 

Gruß

Jan

[Heckflosse 10]

Danke für Eure Beiträge:

 

@Dr.Melzer

Viele Artikel im Netz beschreiben ein bootbares Win (abgesicherter Modus) und den Versuch der Datenwiederherstellung mit ShadowCopies oder Systemwiederherstellungspunkt.

Der Rechner wurde mehrfach neu gestartet. Kein F8 möglich.

 

@Jan

Super Hinweis. Dann mal warten bis eine Software entwickelt ist die den Master-Key verwendet und die Daten vielleicht entschlüsselt werden können. Hab jetzt alle relevanten Daten per Kaspersky Rescue-Disk auf eine externe Festplatte kopiert und alle gefunden Viren, Trojaner, etc. entfernt.

[Dr.Melzer 191]

 Hab jetzt alle relevanten Daten per Kaspersky Rescue-Disk auf eine externe Festplatte kopiert und alle gefunden Viren, Trojaner, etc. entfernt.

Wie viele Viren und Trojaner hast du denn gefunden?

[Heckflosse 10]

Waren zwischen 20 und 30. ...bewerbung.xls 

[Gulp 252]

Ganz ehrlich? Sowas will ich gar nicht starten können, da weiss man nie was nicht noch unentdeckt schlummert und einem das ganze Netz und/oder die restlichen Daten versauen kann. Bei so einem Fall würde ich allerhöchstens ein Image der Platte ziehen und aus diesem selektiv eventuell benötigte Daten extrahieren. Die orignale Platte wäre bei mir schnell neu formatiert und das nicht mit Schnellformat.

 

Grüsse

 

Gulp

[Heckflosse 10]

Die Kiste hängt natürlich offline. Eh klar.

[Gulp 252]

Wie gesagt, das würde mir nicht reichen ....... was willst Du damit denn machen? "Säubern?" Auch wenn Du irgendwann der Ansicht bist, der Rechner sei "sauber" kannst Du Dir nicht sicher sein und für immer offline hängen lassen kann ich nicht ganz glauben ...... was wenn eine Schadsoftware beim erfolgreichen Boot alles verschlüsselt, bevor Du irgendeine Säuberung beginnen kannst? Das wäre mir wie bereits erwähnt absolut zu unsicher. Man weiss nie was eine aktive Schadsoftware im Hintergrund so macht und im System hinterlässt, zumal wenn bereits eine Infektion stattgefunden hat. Nicht alles was man an Schadsoftware entdecken kann, ist auch alles was auf dem Rechner tatsächlich existiert, es gibt Virenschreiber, die wollen, das ein Virus oder ähnliches entdeckt wird um andere Schadsoftware an der Erkennung vorbeizuschleusen.

 

Bei einem von Malware befallenen System kann nicht mehr für dessen Sauberkeit garantiert werden und daher sollte ein solches System geplättet werden, Daten werden aus der Datensicherung wiederhergestellt (ja auch im privaten Bereich aus genau diesem Gund sinnvoll) und gut ist. Das maximal tolerierbare ist eine Extraktion von Nutzdaten aus einem Image mit einer entsprechenden möglichst mehrfachen Offline Überprüfung der Nutzdaten, möglichst über mehrere AntiViren Engines wie zB mit der c't desinfect CD.

 

Grüsse

 

Gulp

[schlingo 36]

Hallo :)

 

als Ergänzung:Was tun bei Kompromittierung des Systems?

 

Gruß Ingo

[Dr.Melzer 191]

Die Kiste hängt natürlich offline. Eh klar.

Ich kann Gulp nur zustimmen. Ein einmal so verseuchtes System wirst du nie mehr sauber bekommen. Alles was hilft ist Platte formatieren und neu aufsetzen.

 

Was willst du denn mit dem offline stehenden System noch machen?

 

BTW: sorge würd emir vor allem machen wie es sein kann dass 20 bis 30 mal diese Bewerbung.xls drauf hattest. Jede davon muss irgendein Held heruntergeladen und gespeichert haben. Die .xls File sind auch nur die Türöffner für den Trojaner. Wenn du nur diese Dateien gefunden und gelöscht hast ist der Trojaner noch drauf... ;-)

[Nimral 12]

... und selbst wenn Du es sauber bekommst, wirst Du Dich bei jeder Fehlfunktion der nächsten 18 Jahre fragen, ob das nicht eine Nebenwirkung der "Reparatur" sein könnte, und keiner wird Dir eine Antwort geben können. Wenn das Vertrauen zerstört ist, soll man sich trennen.

 

Ich stimme zu: kopiere Deine Daten, soweit sie noch zu retten sind, runter, und dann mach ihn platt. Oder, wenn Du an wichtige Daten nicht mehr rankommst, warte auf den Fix der da eventuell kommt.

 

Um den Rechner wieder nützen zu können würde ich ihm in diesem Fall eine andere Festplatte spendieren, und die eventuell "irgendwann" wiederherstellbare auf Lager legen.

Armin.

[Heckflosse 10]

Hallo,

natürlich wird das System neu installiert. Malwarebytes hat vor zwei Tagen eine Decryptor veröffentlich, werde ich am WE testen.

Gruß

[Nimral 12]

Lass hören was wird, interessiert mich, ob man die Dateien wirklich wieder entschlüsseln kann ...

[Heckflosse 10]

OK, mach ich. Werde heute Abend beginnen.