Dateilöschung herausfinden?

[simpliziss]

Hallo Ihr Lieben,

ich hatte gerade einen Virenüberfall bei einem Download. Der wurde auch von G-Data gemeldet. Da diese Biester aber einige Sekunden "aktiv" waren weiß ich nicht, ob sie zB Dateien gelöscht haben.

Darum meine Frage ob es ein Programm gibt, das feststellen kann, ob kürzlich Dateien gelöscht wurden.

Über die infizierte Partition habe ich bereits ein Image drübergebügelt.

Danke für Infos.

 

[thom53281]

Mit Datenrettungssoftware wie z. B.

You do not have permission to view link please Anmelden or Registrieren

kannst Du die entsprechende Partition nach allen gelöschten Dateien durchsuchen lassen, welche noch nicht mit neuen Dateien überschrieben wurden. Eine andere Möglichkeit wäre mir nicht bekannt.

In der Zwischenzeit solltest Du es allerdings vermeiden, Daten auf die entsprechende Partition zu schreiben. Jeder Schreibzugriff verringert die Chance, auf der Partition gelöschte Dateien wiederherzustellen. Bei einer SSD solltest Du es generell vermeiden, neue Daten zu schreiben, unabhängig von Partitionen.


Grüße
Thomas

 

[simpliziss]

Scheint noch alles vorhanden zu sein. Und vorsichtig mit dem Speichern war ich auch.

Danke

 

[gelöschter Benutzer]

Übrigens solltest du jetzt dein System neu installieren, falls tatsächlich Viren ausgeführt wurden. Bei einem reinen Download passiert natürlich nichts

Siehe auch hier: ngb-Leitfaden zur Rechnersicherheit //

You do not have permission to view link please Anmelden or Registrieren

 

[Kenobi van Gin]

@phre4k:

Über die infizierte Partition habe ich bereits ein Image drübergebügelt.

Interessant. Den Artikel guck ich mir mal an

[EDIT:]
Statt

Nach dem Installationsvorgang sollte man auf keinen Fall die Backup-Platte direkt anstecken – ein Virus könnte sich ja immer noch auf der externen Festplatte verstecken und das frische System erneut kompromittieren

würde ich doch an dieser Stelle

Falls es dann doch einmal soweit gekommen ist und man einen Befall bemerkt, sollte man auf keinen Fall ungestört mit dem System weiterarbeiten. Zuerst sollte man die wichtigsten Dateien schnell auf ein externes Speichermedium, zum Beispiel eine USB-Festplatte, sichern und dieses dann wieder vom Computer abziehen.

eher vorschlagen, dass selbiges unter einem Live-System passieren sollte. Weiter unten schreibst du das. Warum nicht bereits oben? Macht jemand sich in Realtime nach deiner Anleitung ans Werk, kann an dieser Stelle schon die externe Platte kompromittiert sein.

 

[simpliziss]

@ WanKenobi

Interessant. Den Artikel guck ich mir mal an

Welchen Artikel meinst Du?

Mit den folgenden Bemerkungen nach Deinem Edit komme ich auch nicht klar.

Statt.....
::::
würde ich doch an dieser Stelle...

??? Auf welche Quellen oder Texte berufst Du Dich da?

Ich arbeite gerne mit Images, die ich von einer sauberen Vorversin auf einer anderen Partition abgelegt habe und wenn mir dann irgendwas auf meiner Arbeitspartition nicht geheuer vorkommt bügele ich das saubere Image drüber.

Es ist ziemlich unwahrscheinlich, daß sich ein Virus in einem Image einnistet das sich auf einer anderen Partition befindet.

 

[gelöschter Benutzer]

Auf meinen Artikel, anscheinend. Ist wohl ein Zitat zu viel reingerutscht

Der ist auch nicht als Schritt-für-Schritt-Anleitung gedacht. Aber ja, da könnte ich noch einmal nachbessern. Die Datensicherung mit einem Live-Medium ist ja gerade in Anbetracht von BKA-Trojaner und anderer verschlüsselnder Ransomware sinnvoll. Werde mir mal überlegen, was ich am Artikel ändere. Danke für dein Feedback!

 

[Kenobi van Gin]

@simpliziss: Jo, dem phre4k sein verlinkter Artikel war gemeint. Aber dass ein Zitat zu viel drin sei kann ich nicht bestätigen
Das erste Zitat vom simpliziss bezieht sich auf phre4ks Aussage, der TS solle mal schnell Windows neu aufsetzen (weil: hat er ja im Prinzip schon gemacht). Und die anderen beiden Zitate beziehen sich auf den Artikel.
Ich meine nur, dass ich - anstatt zu schreiben, man solle eine möglicherweise kompromittierte Datensicherung erst zurückspielen, wenn ein Virenscanner installiert ist (was ja eh nicht zwangsläufig was bringen muss) - schreiben würde, die Datensicherung sollte unter einem Live-System (z.B. Linux) durchgeführt werden, damit die gesicherten Daten erst gar nicht kompromittiert werden.

Eben genau so, wies im ebenfalls verlinkten Leitfaden steht

Alles geklärt?


[EDIT:]
Achso. Die Verwirrung kommt daher, dass mein Interesse am Artikel unter dem Zitat vom TS steht. Eigentlich war das Zitat an phre4k adressiert aus oben genanntem Grund. Der Kommentar dadrunter sollte nur mein Interesse bekunden. Die beiden Sachen waren also unabhängig, was zugegebenermaßen nach dem Edit nicht mehr einwandfrei zu erkennen war