Komisches Verhalten einer SSD (Kingston SA400)

Hab am Wochenende den PC meiner Eltern mitgenommen, weil ich bei denen nicht weiter gekommen bin. Offensichtlich hat sich auf der Kiste ein Schädling breit gemacht und ich wollte den eben schnell bereinigen, klappt aber nicht. Und da komme ich auf den Punkt, wo ich das Problem habe. Die Kiste bootet problemlos, ich kann sie auch vom USB-Stick mit c't desinfect scannen und es wird auch böses Zeugs gefunden, alles auf 2 Ordner im Benutzerprofil verteilt. Aber viele Programme laufen fehlerhaft, die Kiste kommt nicht ins Internet und Daten bleiben nicht dauerhaft auf der Platte, als ob die Kiste nach einem Neustart oder Benutzerneuanmeldung mit einem alten Snapshot hochfährt. Mein eigenes Profil auf der SSD ist sauber, auch das des Adminaccounts, aber auch darin gelingt es nicht, irgendwelche Dateien dauerhaft anzulegen oder zu ändern. Und das auch aus der Shell unter desinfect vom USB-Stick gebootet, und auch wenn ich die SSD per USB bei mir dran hänge, die Änderung durchführe, die SSD wieder abziehe und erneut dran stecke, egal ob ich eine Datei anlege oder lösche, anschließend ist es wieder wie vorher.

Hab mir die SSD mal per SSD-Z angesehen, da heißt es SMART Staus Ok, und sie hat rund 6600 TB geschrieben (und 10000 TB gelesen), 160 Betriebstage und 2800 mal eingeschaltet. Aber es gelingt mir nicht, irgendwas am Inhalt auf der SSD zu ändern.

Ich vermute, die SSD (Kingston SA400) hat nun schon ein paar Jahre auf dem Buckel (schätzungsweise 4-5 Jahre, genauer kann ich es nicht mehr sagen, die Ordnerstrukturen wurden teils noch 2011 angelegt, hab beim letzten Umbau des PCs damals die vorige Platte auf die SSD geclont), dass die einfach am Ende ist und jegliche Schreiboperationen ignoriert. Kann das sein?

Trotz SMART Ok - ich habe mal gelesen, dass es früher SSDs gab, bei denen SMART und die Anzeige von Ersatzsektoren nicht richtig funktioniert.

Wie geschrieben, auch von dem USB-Stick mit desinfect, das ist ein Linux, lässt sich nix auf die SSD schreiben.

Naja, ich habe jetzt erstmal eine neue SSD (von WD) bestellt, gleich mal doppelt so groß, kostjanix, und versuche dann mal, rüberzuclonen. Wenn dann das Schreiben wieder klappt, dann muss es die alte SSD sein.

Zitat von Gardenman

BTW: Is das Clonen einer eventuell mit einem Schädlicng besiedelten Platte/SSD eine gute Idee?

Beachte den Spoiler im Ausgangsposting.

Mal ein Update. Die neue SSD kam etwas über eine Woche nach Bestellung endlich an, nachdem ich den Versender mal angeschrieben habe, wo sie bleibt. Kein kleiner Laden, aber irgendwie ging die Bestellung verbaselt.

Das Clonen der SSD war flugs erledigt, dann habe ich die neue SSD erstmal an meinen PC gehängt und das komplette Dateisystem auf Schädlinge scannen lassen und es wurden rund ein Dutzend ausführbare Dateien gefunden, wie schon zuvor festgestellt alles innerhalb des Benutzerpropfils, das Zeugs habe ich alles zur Prüfung nochmal zu Virustotal hochgeladen zum Gegencheck, und dann gelöscht. (zur Not ist ja mit der alten SSD noch alles da).

Eigentlich wollte ich die Kiste nochmal mit ctdesinfect booten und damit scannen, aber aus irgendnem Grund wollte der Mist-USB-Stick, auf dem das installiert istm nicht mehr gebootet, da hatte ich dann an dem Abend keinen Bock mehr, muss ich noch nachholen.

Dann habe ich den PC erstmal ohne Netzwerk mit der neuen SSD gestartet und siehe da, die ganzen Merkwürdigkeiten waren weg, Änderungen wurden wieder gespeichert, und es liefen auf den ersten Blick keine komischen Tasks mehr. Dann habe ich den Rechner da nochmal mit Malwarebyte ADW-Cleaner, McAfee Stinger und Spybot Search&Destroy nochmal durchgescannt und mit Spybot "immunisiert", das schreibt dann eine Hostsdatei, die bekannte schädliche URLs auf Localhost verbiegt. Dann habe ich alle installierten Browser und Thunderbird geöffnet, und nochmal geschaut, was für Addons drin sind, zumindestens das war sauber, Ublock-Origin war in Firefox auch da, habe aber mal alle Filterlistem aktiviert. Da auch Chrome und Chromium Edge installiert waren, gabs auch da gleich den uBlock. Auf weitere Blocker-Addons habe ich verzichtet, NoScrip, uMatrix usw. sind zu komplizert zu bedienen.

Dann habe ich den PC noch mit Autoruns von Sysinternals geprüft, und jeden Eintrag untersucht, man kann ja direkt aus Autoruns die Dateien nach Virustotal hochladen, soweit alles gut.

Was ich interessant fand, und ich habe darüber bisher nichts gefunden, ist dass dieser Schädling eine portable Version vom Thunderbird ins Profil (appdata/roaming/mozilla thunderbird) Ordner reingelegt hat, und eine zweite Desktop- und Startmenüverknüpfung angelegt hat, gestartet wurde dann je nachdem auf welches Icon man klickt, startete entweder das Original aus Programfiles, oder die eingeschleuste Version, und zwar mit dem norrmalen Benutzerprofil. Das ist natürlich hochgefährlich, weil diese wahrscheinlich modifizierte Version mindestens die Zugangsdaten zu den zwei hinterlegten Mailaccounts abgreifen kann, außerdem theoretisch sämtliche Mails und sonstige Daten von dem PC abgreifen kann. Das ist eine der Sachen, die ich jetzt noch machen muss, Passwort dort ändern, insofern haarig, weil das eine der Telekom- und das andere der Microsoft-Account ist, da hängt also ein bischen mehr dahinter. Die müssen nun geändert werden, ich hadere aber noch, ob ich den MS-Account über die Authentikator-App auf dem Smartphone noch absichere. Das funktioniert zwar gut, aber ob das für die Herrschaften auch bedienbar ist? Bei der Telekom kann man neben dem allgemeinen Passwort auch noch eins für Mailclients einrichten, ich weiß nicht, ob Vaddern das gemacht hat, ich vermute aber eher nicht. Da ich aber die Zugangsdaten dafür nicht habe, muss ich das mit ihm zusammen machen. Außerdem muss ich mal sehen, ob ich die Thunderbird-Entwickler erreichen kann, um denen mal diese portable Version zu geben, das interessiert die vielleicht. Den Ordner appdata/roaming/mozilla thunderbird selbst habe ich geleert, aber belassen, nur habe ich als Admin Vadders Benutzeraccount sämtliche Zugriffsrechte auf den Ordner entzogen, so dass sich dieser Schädling auf diese Weise nicht mehr so einfach einnisten kann, klar, könnte anderen Ordner nehmen, aber eben diesen nicht mehr, und ob das Ding so schlau ist, wer weis...

Zwischendurch habe ich noch WIndows 10 auf 20H2 upgedatet und noch eine ganze Reihe andere Programme auf den neuesten Stand gebracht, und als Alternative zu Office 2007 Libre-Office 7.1 installiert, mal sehen, ob das angenommen wird, ich glaubs aber eher nicht, denn das sieht ja ganz anders aus...

Außerdem will ich auf dem PC noch die "Software Restriction Policy" von Win 10 Pro aktivieren, da gibts auf schneegans.de eine gute Anleitung (Windows mit SAFER absichern), wie man das macht. Dann können als normaler Benutzer nur noch ausführbare Dateien aus per Richtlinie vorgegebenen Pfaden gestartet werden, alles andere wird blockiert. Dazu gehören c:\program files, c:\program files (x86) und natürlich c:\windows (mit ein paar Ausnahmen, also Unterordner, die dort für Benutzer tatsächlich beschreibbar sind...), das wären die Standardregeln, also quasi ein Whitelisting anhand von Pfaden. Aber ganz so einfach ist es nicht, denn es gibt durchaus auch legitime Programme, die aus dem Benutzerprofil unter c:\users\ und aus c:\appdata\ starten, und selbst Microsoft macht diesen Mist selbst, mit OneDrive, Teams, usw. und auch der Google-Chrome/Chromium-Edge-Update-Mechanismus starten von da, da muss ich zusätzliche Regeln erstellen, damit das alles reibungslos funktioniert. Wenn ich das alles gemacht habe, haben es Schädlinge, die aus dem normalen Benutzerkontext irgendwelche portablen Apps starten wollen, keine Chance mehr. Das ist noch etwas Handarbeit, bis es funktioniert, das Grundgerüst der dazu benötigten .reg Datei habe ich aber schon nach obiger Anleitung fertig. Besser als die Software Restriction Policy (SAFER) wäre zwar Applocker, aber das gibts nur in der Enterprise-Lizenz, da könnte ich es mir etwas einfacher machen, weil ich die zusätzlichen Pfade im Userprofil und Appdata nicht erst ermitteln müsste, sondern die Programme einfach per Herstellersignatur freigeben könnte.

Also, noch ein bischen was zu tun, bis die Kiste möglichst wasserdicht ist... Außerem will ich nochmal diese seltsamme portable Version von Thunderbird mit allen dlls zu Virustotal hochladen. Und ctdesinfect nicht zu vergessen...

Dateifehlermeldungen gab es garnicht, das Dateisystem ist völlig in Ordnung. Ich musste es ja vor dem Clonen checken, sonst hätte das nicht funktioniert.

Nein, das meine nicht. DIe Originaldateien unter c:\programme sind ja noch da und ließen sich updaten. Zusätzlich waren aber auch welche unter c:\benutzer\<benitzername>\appdata\roaming welche vorhanden, und die waren separat auf dem Desktop und im Startmenü verlinkt.

Ich gucke mal, sobald ich wieder an der Kiste weiter mache. Bin gerade unterwegs.