Windows Windows - Datenverlust

Windows Betriebssystem
A

Aiphaton

Well-known member
Themenstarter
Registriert
25 Apr. 2009
Beiträge
3.376
Moin,
ich hab folgende Herausforderung. Gestern Abend den PC ausgeschaltet & heute früh war die Festplatte größtenteils leer. Möglicherweise ein Update, das ist zumindest am naheliegendsten. Worst case ein Virus? Im Endeffekt unklar.
Im Prinzip fehlen diverse Programme, den Explorer kann man nur noch via Taskmanager starten (das Startmenü hat sich auch ziemlich verändert - neuerdings ist da ein Linkedin-Link drin, der davor definitiv nicht da war). Explorer findet sich nicht mehr in der Windows-Suche. Usw. usf.. Sprich um ne Neuinstallation werde ich nicht herum kommen. Fraglich ist aber, ob es noch irgendwie möglich ist, die Daten doch irgendwie wiederherzustellen. Ein Backup gibt es, das ist aber nicht tagesaktuell und von daher wäre eine Wiederherstellung schon nett. Allerdings zeigt mir Windows (sowohl das von der SSD gestartete Windows, als auch eins, wenn ich die SSD extern anschließe), dass nur noch 254 GB belegt sind (statt fast 800 insgesamt).

Habt ihr da ne Idee/Erfahrungen?

Ach ja: Mir hat es sogar alle Daten in der Nextcloud, die mit dem Rechner verbunden war, entfernt. Sowohl lokal, als auch in der Nextcloud selbst. Wiederherstellung läuft, aber das ist schon etwas gruselig.
 
Lösung
Herr Moehre
Ssd extern anschließen und.mit Recuva dran gehen, ist ein kostenloses tool für Windows.
Damit kannst du gelöschte Daten suchen und wiederherstellen, so wenig wie möglich solltest du vorher an der Partition etwas getan haben, also nach Möglichkeit nicht weiter windows starten und runtefahren oder so.
Vorausgesetzt da war kein Bitlocker drauf..

Viel Glück
Ssd extern anschließen und.mit Recuva dran gehen, ist ein kostenloses tool für Windows.
Damit kannst du gelöschte Daten suchen und wiederherstellen, so wenig wie möglich solltest du vorher an der Partition etwas getan haben, also nach Möglichkeit nicht weiter windows starten und runtefahren oder so.
Vorausgesetzt da war kein Bitlocker drauf..

Viel Glück
 
Zuletzt bearbeitet:
Lösung
Herr Moehre schrieb:
Ssd extern anschließen und.mit Recuva dran gehen, ist ein kostenloses tool für Windows.
Zum Vergrößern anklicken....
Danke, läuft und mal schauen, was rauskommt.
Mornsgrans schrieb:
Zeigt die Ereignisanzeige etwas von nächtlichen Aktivitäten an?
Zum Vergrößern anklicken....
Hab nur so kurz wie möglich reingesehen. Kurz nachdem ich ungefähr schlafen gegangen war, hatte ich noch Aktivitäten in der Ereignisanzeige sehen können, wobei ich da wie gesagt, nicht zu tief reingegangen bin (System-User hat sich "eingeloggt" und sowas). Werde ich nach einer Wiederherstellung von Daten mal nachsehen.

Edit: Wo ich jetzt drüber nachdenke, gestern Abend hatte sich kurz vorm Schlafen der Browser bisl seltsam verhalten (alle Websites wurden erst ohne CSS geladen und erst nach einem Reload sahen sie wieder ok aus). War aber gestern sehr spät, als dass ich mir dabei was gedacht habe.
 
Zuletzt bearbeitet:
Vor allem sollest Du unter allen Umständen das Backup von der kompromittierten Maschine fernhalten - und sicherheitshalber vorerst von den anderen Maschinen in deinem Netz ebenfalls.
 
linrunner schrieb:
Vor allem sollest Du unter allen Umständen das Backup von der kompromittierten Maschine fernhalten - und sicherheitshalber vorerst von den anderen Maschinen in deinem Netz ebenfalls.
Zum Vergrößern anklicken....
Bereits erledigt :). War meine erste Sache, nachdem ich das Problem festgestellt hatte. Ich bin aktuell am Überlegen, wie ich nach Durchführung von Recuva vorgehen sollte. Muss ja auch den Rechner, auf dem ich das aktuell laufen lasse, als potentiell "versucht" ansehen & ihn entsprechend neu machen bzw. zumindest offline scannen, mal schauen, was sich da findet. Parallel muss ich ja die wiederhergestellten Daten (soll wohl noch 5h laufen, hat 2,5 Millionen gelöschte Daten gefunden) auch nochmal prüfen. Usw.. Ach ist das nervig.
 
Wenn du Glück hast, sind die Daten in ihrer ursprünglichen Ordnerstruktur.

Mit Pech, hast du ein Konvolut aus Dateinamenbuchstappensuppe im Hauptverzeichnismit z.T. noch brauchbaren Daten...
 
Ja aber von wann sind die? Tagesaktuell habe ich sie zum Beispiel auch nicht, aber man könnte halt auf einen bestimmten Punkt zurück.
 
Also,

wie andere hier schon schrieben: Richte den Rechner komplett neu ein, vom Netzwerk lässt Du diesem aber erst einmal getrennt! Danach, oder parallel dazu prüfst Du am besten deine Backups. Es könnte sein, dass diese bereits ebenso verseucht sind...

Wenn ich mir die Beiträge hier so ansehe, vermute ich, dass Du von einer bestimmten Art Malware betroffen bist... Verschlüsseln und ggf. unbrauchbar machen der Daten... Was hier nur fehlt, ist ein nettes Bild der Malware, welche zur Zahlung auffordert... Natürlich per BitCoin, bzw. Guthabenkarten, a`la PaySafe usw...

Das einmal meine zwei Cent zu diesen Ereignissen...
 
Ich würde sogar das Laufwerk auswechseln, dann könnte man ggf. die DATEN später noch nach Wiederherstellung übertragen
 
Mornsgrans schrieb:
Ich würde sogar das Laufwerk auswechseln, dann könnte man ggf. die DATEN später noch nach Wiederherstellung übertragen
Zum Vergrößern anklicken....
Falls vorhanden... Ja, hier denke ich in etwa ähnlich..

Ich würde ggf. sogar gnadenlos aussortieren! Das System ist ohnehin nicht mehr sicher!!!

Später, wenn das System wieder "VERTRAUENSWÜRDIG" ist, kann man das Laufwerk wieder ins Boot holen. Dieses aber mit SICHERHEIT nicht mehr unter ein Windows basiertes System...

Es gibt Linux Derivate, welche speziell für das beseitigen diverserver MalWare existieren.. Aber, das sollte ausreichend bekannt sein... ;)
 
AndreasBloechl schrieb:
Ja aber von wann sind die? Tagesaktuell habe ich sie zum Beispiel auch nicht, aber man könnte halt auf einen bestimmten Punkt zurück.
Zum Vergrößern anklicken....
Ja, ca. 1 Woche waren sie alt. Wollte den Sonntag nutzen um sie zu aktualisieren. War bisher nicht automatisiert, werde ich vermutlich ändern^^.
Gamepower schrieb:
Richte den Rechner komplett neu ein, vom Netzwerk lässt Du diesem aber erst einmal getrennt!
Zum Vergrößern anklicken....
Rechner ist mit einer anderen SSD neu eingerichtet, aktuell ohne Einspielung des Backups. Das werde ich in Ruhe nochmal durchscannen, inkl. Offlinescan.

Gamepower schrieb:
Verschlüsseln und ggf. unbrauchbar machen der Daten...
Zum Vergrößern anklicken....
Das verwirrt mich tatsächlich am meisten. Verschlüsseln, erpressen etc. - klar, ist aber nachvollziehbar und logisch (wenn auch ätzend). Die Daten wurden aber tatsächlich gelöscht. Weder verschlüsselt noch sonstwas. Ein Upload ist auch nicht erfolgt (hätte ich über die Fritzbox gesehen). Entweder hat sich da einfach nur wer ausprobiert - oder da ist was anderes schief gelaufen. Konnte auch sonst nichts seltsames bisher feststellen - PWs sind natürlich gewechselt, waren aber eh verschlüsselt im PW-Manager abgelegt.

Mornsgrans schrieb:
Ich würde sogar das Laufwerk auswechseln, dann könnte man ggf. die DATEN später noch nach Wiederherstellung übertragen
Zum Vergrößern anklicken....
Das ist tatsächlich auch mein Plan. Ich will auch ein wenig tiefer graben, was z.B. die Ereignisanzeige ausspuckt, ob ich mit dem Offline-Scan von Windows was finden kann - oder mit einer anderen Scan-Software. Malwarebytes z.B. kommt mir da in den Sinn. Oder was der Update Status sagt.
 
Man muss nichts in der Fritte Vertändern, um Chaos auf einem PC zu verursachen... Drive-By reicht dafür aus... Heisst also, ein manipulierter Link auf einer Webseite...

MalWare Bytes könnte hier helfen... HiJackThis ebenso...

Manchmal gibt es bei einigen Zeitschriften ein startfähiges spezielles Linux, welches für die Viren-Malware Suche geeignet ist.. Ich glaube, Heise / CT hatte vor kurzem eine entsprechende Ausgabe hervor gebracht.. Hole Dir die Zeitschrift und lass die CD/ DVD arbeiten...
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
  • ok1.de
  • IT Refresh - IT Teile & mehr
  • thinkstore24.de
  • Preiswerte-IT - Gebrauchte Lenovo Notebooks kaufen

Werbung

Zurück
Oben