Jump to content

Hilfe! Dringend! Virus / Trojaner auf der Speicherkarte


Empfohlene Beiträge

Werbung (verschwindet nach Registrierung)

Liebe Forenkollegen, ich brauche einen schnellen Rat von euch:

 

Meine Tochter zieht zur Zeit (wie so viele ihres Alters) durch Australien. Heute Morgen kam nun ein Hilferuf - sie hat sich anscheinend einen Trojaner (oder Virus?) auf der SD-Karte zugezogen. Sie hat die Karte in einem Internetcafe in einen PC gesteckt, um Bilder hochzuladen. Leider hatte ich vergessen, ihr einzutrichtern, daß sie vorher den Schreibschutzschieber auf "lock" stellen soll. Nun findet sie auf der Karte nur noch Verknüpfungs-Symbole. Antivir habe einen Trojaner gemeldet. Wenn sie die Karte in die Kamera schiebt, kann sie einige Bilder nicht mehr sehen, aber viele schon noch.

 

Aus der Ferne einen Reparaturversuch zu starten, finde ich etwas schwierig.

Meine erste Frage ist also: Kann mit den Daten auf der Karte noch etwas passieren, wenn sie die Karte nun nicht mehr benutzt und den Schreibschutz einschaltet? Ich nehme eigentlich an, daß dann auch nichts auf der Karte verändert wird. Dann könnte sie mit anderen Karten weiterfotografieren und wir würden später zuhause in Ruhe versuchen, etwas zu retten.

Dahin geht natürlich dann Frage 2: Kennt das jemand, und läßt sich da etwas retten, wenn ja, wie?

 

Viele Grüße

Reinhard

Link zum Beitrag
Auf anderen Seiten teilen

.. .

Aus der Ferne einen Reparaturversuch zu starten, finde ich etwas schwierig.

Meine erste Frage ist also: Kann mit den Daten auf der Karte noch etwas passieren, wenn sie die Karte nun nicht mehr benutzt und den Schreibschutz einschaltet? Ich nehme eigentlich an, daß dann auch nichts auf der Karte verändert wird. Dann könnte sie mit anderen Karten weiterfotografieren und wir würden später zuhause in Ruhe versuchen, etwas zu retten.

Dahin geht natürlich dann Frage 2: Kennt das jemand, und läßt sich da etwas retten, wenn ja, wie?

 

Viele Grüße

Reinhard

 

Hallo Reinhard,

 

retten kann man immer. Ich würde die Karte auf einem Mac bearbeiten, da es sich vermutlich um Viren handelt, die auf einem Mac OS mehr oder weniger "verhungern". Oder auf einem PC, dessen Besitzer sich gut auskennt und hinreichend Schutzmechanismen installiert hat. Zur Rekonstruktion der Bilder würde ich ein entsprechendes "Recovery Tool" einsetzen (gibt es von verschiedenen Herstellern) - damit sollte man gute Chancen haben,die Bilder wieder herzustellen. Karte aber ab jetzt (im Urlaub) nicht mehr verwenden.

 

 

Gruß Hans

Link zum Beitrag
Auf anderen Seiten teilen

Ich würde folgendes empfehlen:

 

  • Karte zerschneiden und in den Müll. - Ist am sichersten. Man weiß ja nicht, was wirklich drauf ist. Es können ja auch die Bilder schon geimpft sein.
  • Wenn Kind wieder daheim: ordentlich versohlen und nochmal Risiken des Netzes ausgiebig thematisieren.

Wenn man doch an den Bildern hängt. Risiko eingehen:

 

 

  • Karte in Quarantäne. Nicht mehr nutzen.
  • Karte kann ja auch per Post nach Hause kommen.
  • Nicht den Hauptrechner für sowas nehmen. Lieber ein Zweitgerät, dass zur Not als Opferanode herhalten kann.
  • Dann im abgesicherten Modus einen (aktuellen!!!) scanner drauflos lassen. Leider wird der hauptsächlich erst mal kaputtmachen.
  • Wenn der Virus runter ist, versuchen mit einer Rettungs SW was zu retten.
  • Wenn Kind wieder daheim: ordentlich versohlen und nochmal Risiken des Netzes ausgiebig thematisieren.

Ich würde letzteres aber nur sehr ungern machen wollen.

Link zum Beitrag
Auf anderen Seiten teilen

Hallo Reinhard,

 

erst einmal: keine Panik!

 

Was wirklich auf der Karte drauf ist, weiß erstmal niemand. Alle Spekulationes darüber sind auch müßig. Und ohne PC-Betriebssystem passiert auch auf der Karte nichts mehr.

 

1. Neue Karte kaufen und benutzen.

 

2. Die verdächtige Karte auf gar keinen Fall in DIY-Manier bearbeiten. (Ich bin ja vorsichtig/Ich weiß ja genau Bescheid/Mal gucken, wie toll mein Virenscanner damit fertig wird/ usw.)

 

3. Es gibt hier und in Australien Servicefirmen für Datenrekonstruktion, denen nicht infizierbare Maschinensysteme zur Verfügung stehen, die aber per Hex-Editor den ausführbaren Code eines Schädlings blockieren können - das hat aber Zeit, kostet auch Geld.

 

4. Die (noch) vorhandenen (in der Kamera sichtbaren) Bilder kann man auf DIN A4 ausdrucken lassen, einscannen und weiterbearbeiten.

Link zum Beitrag
Auf anderen Seiten teilen

Werbung (verschwindet nach Registrierung)

erste Massnahme ist klar:

 

- karte sichern (mit Schieber) und erstmal nicht benutzen

 

zuhause dann erstmal auf einem Linuxsystem ansehen, was noch zu sehen ist (zB ein Ubuntu Livesystem von der CD hochfahren oder als Zweitsystem installieren ... geht sehr einfach über "WUBI"

https://wiki.ubuntu.com/WubiGuide )

 

Unter Windows:

 

Bilder kopieren, die kopierten Bilder mit aktuellem Virenscanner bearbeiten ... evtl auch zusätzlich ein Tool wie den Stinger drüberlaufen lassen (modernere Antivirustechnologie, aber nur für begrenzte Menge an Schadsoftware ..

How to Use Stinger | McAfee Free Tools )

 

Wenn man so die Bilder sichern und retten kann, kann man die Karte dann auch in der Kamera formatieren.

 

 

Alternative:

 

Sicher ist man, wenn man den PC nicht normal bootet, sondern die Kaspersky Rettungs CD benutzt

 

Kaspersky Notfall-CD 10 herunterladen

Link zum Beitrag
Auf anderen Seiten teilen

Nur keine Panik.

 

Erstens wird der Virenscanner die Bedrohung wahrscheinlich beseitigt haben, dies kann die fehlenden Bilder erklären.

 

Zweitens kann nichts passieren, wenn man ein .JPG mit dem Befehl "Öffnen" in ein Bildbearbeitungsprogramm lädt, weil ein .JPG keinen ausführbaren Code enthält. (Es gab zwar einmal eine JPG-Sicherheitslücke in verschiedenen MS-Applikationen, aber das ist etliche Jahre her und bei aktuellen Systemen kein Thema.) Gefährlich ist hingegen "Ausführen"/Doppelklicken, weil sich hinter dem vermeintlichen Bild eine ausführbare Datei verstecken könnte (z. B. unter Windows mit Dateinamen à la "irgendwas.jpg.exe").

 

Drittens ist auch ein Fehlalarm nie komplett auszuschliessen, besonders wenn die Mustererkennung für unbekannte Viren eingeschaltet ist (in einem Internet-Café ist das wahrscheinlich der Fall). Ich hatte eine Zeitlang ständig Fehlalarme wegen eines angeblichen Virus im Quelltext eines Basic-Programms, das ich selber vor 20 Jahren geschrieben hatte.

 

Auf jeden Fall sollte man aber die Karte zur Seite legen und mit Schreibschutz versehen, bis das Problem gelöst ist und man sie neu formatieren kann.

Link zum Beitrag
Auf anderen Seiten teilen

Ich würde folgendes empfehlen:

 

  • Karte zerschneiden und in den Müll. - Ist am sichersten. Man weiß ja nicht, was wirklich drauf ist. Es können ja auch die Bilder schon geimpft sein.

Am besten verbrennen, nachher verbeitet sich der Virus noch via Tröpcheninfektion ;)

 

 

Scherz beiseite. Ich seh das ebenfalls nicht so kritisch, würde es aber dann doch meiden die Karte am Hauptsystem anzuschließen. Da ist Knoppix/Ubuntu/ und alle anderen CD bootfahigen Systeme absolut vorzuziehen.

 

 

Das einfachste ist: neue kaufen, kostet fast nöcht und dann zu Hause in Ruhe mal draufgucken.

Link zum Beitrag
Auf anderen Seiten teilen

Die Tipps mit anderem Betriebssystem etc. sind sicher nicht falsch, aber ich glaube, wer es mit den Bordmitteln von Windows oder OS X nicht hinbekommt bzw. sich nicht zutraut, echte JPEGs von Trojanern zu trennen, ohne den PC mit Viren zu verseuchen (also die grosse Mehrheit der Computerbenutzer), ist auch mit Linux schnell überfordert.

 

Mögliche Wege gibt es viele, sie hängen von den Kenntnissen des Benutzers ab und wie sicher man sich deren ist.

 

Ich würde daher einfach raten, einen kompetenten Kumpel zu fragen, der es sich zutraut (und auf seinem eigenen System macht ;) ).

Link zum Beitrag
Auf anderen Seiten teilen

Danke auch an Dan und Matthis. Wenn meine Tochter wieder da ist, werden wir sehen, was sich tun läßt. Linux-Lösungen hatte ich auch schon im Sinn. Mac wäre auch nicht schlecht, dann müsste ich mir endlich einen zulegen ;) (ich habe niemanden in der direkten Umgebung, der einen besitzt). Ein alter Rechner, der sowieso neu aufgesetzt werden soll, steht auch noch rum, das ist alles nicht so das Problem. Es geht vorrangig darum, möglichst viele Bilder zu retten. Meine Tochter ist bereits seit zwei Monaten in Australien unterwegs, war natürlich auch schon auf Fraser Island usw., da sammeln sich schon einige Bilder an, deren Verlust sie sehr bedauern würde. Bin gespannt, wie das ausgeht. Sie kommt aber erst im kommenden Frühjahr zurück, es ging mir mit meiner "Eilanfrage" vor allem darum, wie man jetzt den Schaden möglichst schnell begrenzt. Diesbezüglich konnte ich sie jetzt schon mal beruhigen.

 

Eine Frage habe ich noch: Wie schätzt ihr das ein: Ist es ein ausreichender Schutz, wenn man zum Hochladen an fremden PCs den Schieber seiner Speicherkarte auf "lock" stellt? Eigentlich dürften dann ja keine Schreibzugriffe mehr möglich sein, also auch nichts "böses" auf die Kamera gelangen.

 

Gruß

Reinhard

bearbeitet von leicanik
Link zum Beitrag
Auf anderen Seiten teilen

. . . . Wenn meine Tochter wieder da ist, werden wir sehen, was sich tun läßt. . . . . Es geht vorrangig darum, möglichst viele Bilder zu retten. . . . .

 

So lange es möglich ist die Speicherkarte ohne weitere Zugriffe wohl bewahrt zurück zu bringen besteht alle Hoffnung.

Eine Anfrage an c't kann eine weitere Hilfe zu Möglichkeiten und Kosten für professionelle Hilfe sein.

 

Ich habe vor vielen Jahren eine Menge Dias durch einen Brandschaden verloren. Viele Aufnahmen sehe ich noch immer genau vor dem geistigen Auge -

allein, sie lassen sich nicht mehr vorzeigen, vergrößern, ausdrucken, das ist der wahre Verlust.

 

So lang die Möglichkeit besteht die Aufnahmen zu retten, lasse es ruhig etwas kosten, was hätte ich dafür gegeben!

 

Grüße vom Maschsee

 

Henri

Link zum Beitrag
Auf anderen Seiten teilen

Eine Frage habe ich noch: Wie schätzt ihr das ein: Ist es ein ausreichender Schutz, wenn man zum Hochladen an fremden PCs den Schieber seiner Speicherkarte auf "lock" stellt? Eigentlich dürften dann ja keine Schreibzugriffe mehr möglich sein, also auch nichts "böses" auf die Kamera gelangen.

Theoretisch ist der Schreibschutz ein optionales Feature, in der Praxis wird er eigentlich immer unterstützt. (Der Schieber ist nur eine Markierung, die von einem Schalter im Kartenleser gelesen wird!)

Wenn er vorhanden ist, ist er in der Firmware oder im Gerätetreiber implementiert und dadurch hardwareabhängig, deshalb ist ziemlich unwahrscheinlich, dass ein Virus den Schreibschutz überwindet.

Link zum Beitrag
Auf anderen Seiten teilen

Aus der Ferne einen Reparaturversuch zu starten, finde ich etwas schwierig.

Meine erste Frage ist also: Kann mit den Daten auf der Karte noch etwas passieren, wenn sie die Karte nun nicht mehr benutzt und den Schreibschutz einschaltet?

 

Also wenn die Karte nicht benutzt wird ist es doch egal wie der Schreibschutz steht.

Wenn sie benutzt wird und das Gerät den Schreibschutz auch beachtet wird auf der Karte nichts geschrieben. Gelesen und ggf. weiter infiziert dagegen schon.

 

Dahin geht natürlich dann Frage 2: Kennt das jemand, und läßt sich da etwas retten, wenn ja, wie?

 

Die selben Tools die auch bei Kartendefekten noch was retten können können. Allerdings sollte ein für Viren nicht anfälliges System dazu verwendet werden.

 

Kaput schneiden muß man die Karte danach auch nicht. Ein formatieren (auf einem nicht anfälligen System, die Kamera selber sollte eigentlich auch gehen) reicht vollkommen aus um alles zu löschen. Wer besonders ängstlich ist kann auch alle Sektoren komplett überschreiben. Dann finden auch Analyse und Rettungstools später nichts mehr.

Link zum Beitrag
Auf anderen Seiten teilen

Meine Tochter ist bereits seit zwei Monaten in Australien unterwegs ...

 

Bin gespannt, wie das ausgeht.

 

Sie kommt aber erst im kommenden Frühjahr zurück ...

Du brauchst doch nicht bis zum Frühjahr warten, lass Dir die Karte schicken und komm mal kurz vorbei. ;)

Link zum Beitrag
Auf anderen Seiten teilen

Eine Frage habe ich noch: Wie schätzt ihr das ein: Ist es ein ausreichender Schutz, wenn man zum Hochladen an fremden PCs den Schieber seiner Speicherkarte auf "lock" stellt? Eigentlich dürften dann ja keine Schreibzugriffe mehr möglich sein, also auch nichts "böses" auf die Kamera gelangen.

Dieser Schreibschutz ist rein in Software implementiert, prinzipiell könnte den also ein ausgeklügelter Virus umgehen. Der Virus muss dazu allerdings aktiv auf dem lesenden PC laufen.

 

Viel problematischer ist es m.E., eine infizierte Karte in einen PC zu stecken, der nicht bombensicher konfiguriert ist. Der PC kann sich mit etwas Pech nämlich auch den Virus einfangen (Stichwort Autoplay). Da würde ich doch lieber einen Profi ranlassen oder mindestens eine bekannt gute Antiviren-Software, die von CD oder USB-Stick laufen kann.

Link zum Beitrag
Auf anderen Seiten teilen

(Der Schieber ist nur eine Markierung, die von einem Schalter im Kartenleser gelesen wird!)

Wenn er vorhanden ist, ist er in der Firmware oder im Gerätetreiber implementiert und dadurch hardwareabhängig, deshalb ist ziemlich unwahrscheinlich, dass ein Virus den Schreibschutz überwindet.

Firmware ist bei den heutzutage üblichen billigen USB Kartenlesern nicht vorhanden. Der Treiber läuft direkt auf dem PC und kann daher von einem Virus manipuliert werden.

Link zum Beitrag
Auf anderen Seiten teilen

Nochmals vielen Dank für eure vielen Hinweise. Ich sehe schon, so ganz eindeutig ist die Sache mit dem Schreibschutz nicht, aber immerhin besser als nichts. Daß der Schreibschutz bei einer nicht genutzten Karte nichts bewirkt, ist irgendwie auch klar, da hab' ich weiter oben wohl Mist geschrieben, Systemcam, du hast recht. Und klar, daß ich nicht naiv die Karte in ein ungeschütztes System stecken werde. Maxi, vielen Dank für die Einladung ;), aber ich werde meiner Tochter nicht vorschlagen, die Karte per Post zu senden. Am Ende geht sie dann noch verloren und ich bin schuld. Nee, das tu' ich mir nicht an :D. Ich werde euch aber in jedem Fall später berichten, wie die Sache ausgegangen ist.

 

Viele Grüße

Reinhard

Link zum Beitrag
Auf anderen Seiten teilen

Würde man die Kamera per mitgeliefertem Kabel an den PC anschließen, statt die SD Karte in den PC zu stecken, so würde doch voraussichtlich das kameraspezifische OS dazwischen hängen und der Virus könnte nicht übertragen werden. Oder?

Nein, das ist genauso wie mit einem Kartenreader,

aber es hilft den Autostart für Sticks usw. abzuschalten. Dann kann man auf dem Stick die Autorun.inf und alles, was kein Bild ist löschen.

Näheres steht hier:

Tipparchiv - Autorun/Autoplay gezielt für Laufwerkstypen oder -buchstaben abschalten - WinTotal.de

 

Gruß

Bernhard

Link zum Beitrag
Auf anderen Seiten teilen

Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren

Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können

Benutzerkonto erstellen

Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!

Neues Benutzerkonto erstellen

Anmelden

Du hast bereits ein Benutzerkonto? Melde dich hier an.

Jetzt anmelden
×
×
  • Neu erstellen...