@stw:
Ja, wenn das stimmt hätte das BKA bei ner pre-boot Anmeldung den Heiner gezogen, es sei denn sie schaufeln nen mini Keylogger in den MBR, sofern das möglich ist.
Und ich glaube das ganze immer noch nicht.
Zum Topic:
SeraX kannst du mal bitte noch mit HD-Tach benchen?
@all:
Ich habe gestern (bis heute) das worst case scenario hinter mich gebracht, absolut ohne Datenverlust!
Ich denke die nun folgende Anleitung dürfte einigen helfen, wenns den mal soweit ist.
Kurzfassung:
- Windows zerschossen durch fehlerhaften Treiber
- Abgesichert ging auch nicht
- "Bug" gefunden (nach loginscreen auf F8 rumhämmern, während der F2 Meldung und man kann nach der Anmeldung von Diskette oder CD booten / Win R-Console geht auch, aber ein leeres C wird angezeigt)
- Notfalldecrypt
- Unverschlüsseltes Image aus Truecryptcontainer gefischt und auf unverschlüsselten Space gezogen
- Image eingespielt
- "Compusec MBR: No Loader" Meldung erhalten (womit ich allerdings gerechnet habe)
Nun gibt es 2 Möglichkeiten:
a) NinjaSecurity bzw. DiskFix Programme aus der Techgroup nutzen und MBR restoren (ideal, sofern es geht)
b) Acronis MBR/Track 0 aus dem unverschlüsselten Image einspielen (damit gibts nen Knaup MBR ohne Login usw, der aber funzt)
Ich habe b genommen, da ich gerade nicht an das MBR Backup konnte (nicht @home) und nicht mehr an die DiskFix Methode dachte.
- Windows gebootet (einbahnfrei!
)
- CompuSEC Service starten wollen / Fehlerinfo / in die Log geschaut -> MBR -_-
- NinjaSecurity Disk angefertigt, da ich nun ja Zugriff auf das Track 0 Backup im Compusec Ordner hatte
- Sector 0-62 wiederherstellt
- reboot
- Kein Loginscreen vorhanden (
)
- Windows bootet ganz normal
- Compusec Service gestartet -> Andere Fehlermeldung, aber das Auswahlfenster kam.
- Treiber deinstalliert
- reboot
- Compusec V5 installiert und alles
Die BESSERE Methode ist folgende (sollte theoretisch auch funktionieren).
- Windows tot (ja, ne is klar *g*)
- Verschlüsseltes 1:1 Image (Sektor für Sektor / z.B. mit Acronis 10 angelegt) einspielen
- Sich den defekten MBR anschauen
- Track 82 auf Track 1 (oder 0, bin mir grad net sicher) kopieren bzw. ne Sicherung mit NinjaSecuirty MBR Bootdisk einspielen -> Zu bekommen
*HIER*
- Alles
Ich hab mich nur für den rieeeeeeeeeeeeeeeßen Weg entschieden da mein 1:1 Image einen Monat alt war und das andere 3 Minuten. Der ganze Spaß hat nen Tag gedauert, da ich zeitweise nur nen Rechner mit USB 1.1 hier hatte und das Image ja nen paar GB hat. Der USB 2.0 Testrechner ist wegen dicken Kondis unter Last als abgestützt. -_-
Später gabs dann nen Testnotebook und die Sache ging ruck zuck.
Nacharbeiten wie folgt:
- Mit Gutmanns und Schneiders Methoden sämtlichen genutzten Speicherplatz & Cache (!) wo das unverschlüsselte Image lag platt gemacht (gesamt waren es dann 41 Durchläufe pro "kontaminiertem System", hat also etwas gedauert
)
Wäre ich beim BKA, hätte ich über die Daten die securityinfo.dat bekommen und wäre so ans verschlüsselte System bekommen. Ich wette eh das viele Deppen die File auf Diskette oder CD im Haus haben. -_-