Menü
Avatar von HandHeldBrick
  • HandHeldBrick

1 Beitrag seit 08.12.2016

Infektion mit Goldeneye, Task abgebrochen - Kann ich MBR und MFT noch retten?

Hallo zusammen,

auf einem PC wurde die Excel-Datei geöffnet und die Makros aktiviert. Weil der Rechner langsam wurde, sollte ich nachschauen. Ich habe im Taskmanager den verdächtigen Prozess rad(ZahlenUndBuchstaben).exe beendet und aus den Verzeichnissen Temp in Appdata und Roaming die Dateien gelöscht, die die Verschlüsselung vornehmen. Der Virus hatte zwar schon eine Handvoll Dateien auf den Netzlaufwerken verschlüsselt, aber da sind Backups vorhanden.

Der Rechner an sich ist jetzt vom Netzwerk getrennt, läuft aber noch, das heißt, ich kann noch auf alle Dateien zugreifen. Ich fürchte mich, ihn auszuschalten und zB per Knoppix die Daten der Platte zu sichern, weil ich nicht weiß, ob er dann bei einem erneueten Neustart von Windows 10 den MBR verschlüsselt. Momentan komme ich ja noch an alle Daten.

Ich versuche gerade noch, aus dem laufenden System ein Backup der Daten von C zu ziehen, danach würde ich im Notfall das System neu aufsetzen. Mir wäre es zwar lieber, wenn ich das nicht machen müsste, aber es ist natürlich sicherer.

Ich habe mit Bootice zwar den vorhandenen MBR (und PBR) gesichert, aber das war nach der Infektion (aber eben vor der Verschlüsselung des MBR). Bringt mir das was? Oder habe ich damit schon eine infizierte Version gesichert?

Ich bin für Vorschläge dankbar.

Bewerten
- +
Anzeige