Como resgatar dados com segurança de um sistema infectado por cavalos de Troia?

Graças ao meu irmãozinho, conseguimos uma boa seleção de cavalos de Troia em nosso PC doméstico, um dos quais é o W32 / Murofet.A , um infectador de arquivos que já se espalhou por um bom número de .exes.
Como não é o único cavalo de Troia, decidimos apenas destruir completamente o disco rígido e reformatá-lo. Infelizmente, ainda há muitos dados que queremos salvar, como fotos, vídeos, documentos pessoais etc.
Agora, eu tenho um disco rígido externo de 2 TB, mas quero ter certeza de não carregar nenhum malware que esteja no PC doméstico, porque também tenho coisas pessoais no exterior (acima de 500gig, por isso não posso copiá-las em outro lugar por algum tempo).

Como eu melhor faria isso? Pensei em um stick de CD / USB ao vivo do Linux para inicializar, mas como ter certeza de não copiar nenhum dado infectado / limpar esses dados antes de copiá-los?
Se qualquer informação adicional for necessária, teremos prazer em fornecê-la. Desde já, obrigado.

Sua idéia de um CD ao vivo do Linux é boa.

O que eu faria é uma limpeza parcial do disco rígido primeiro para reduzir a chance de infectar alguma coisa.

Primeiro, exclua os arquivos que possam conter vírus - arquivos EXE, VBS, SCR, COM, BAT, CMD - basicamente qualquer coisa que possa ser executada diretamente.

# find /path/to/hard/drive -iname '*.exe' -iname '*.vbs' -iname '*.scr' -iname '*.com' -iname '*.cmd' -delete

Se houver outros tipos de arquivos que você sabe que não desejará copiar, também é possível excluir esses arquivos - arquivos como * .ocx, etc.

Em seguida, você pode fazer uma lista de todos os arquivos que acha que deseja manter:

# find /path/to/hard/drive -iname '*.txt' -iname '*.jpg' -iname '*.png' [...] >/tmp/keepfiles

Em seguida, você pode trabalhar manualmente nesse arquivo (/ tmp / keepfiles) removendo os arquivos que não deseja manter. Você pode remover praticamente qualquer coisa que não esteja no diretório / Users. O que resta pode ser copiado para o externo com uma quantidade razoável de confiança de que não está infectado. Ainda não está garantido.

# rsync -avP --include-file=/tmp/keepfiles /path/to/hard/drive /path/to/external/disk

Isso deve manter sua estrutura de diretórios existente na cópia. ¹

Feito isso, você pode remover a unidade externa, limpar o disco rígido e instalar o Windows novamente . Depois de fazer isso, instale um bom programa anti-malware - recomendo [Malware Bytes] [1], mas existem muitos outros bons por aí. Somente quando um desses programas estiver instalado, você deve considerar conectar a unidade externa.

Examine a unidade externa como a primeira coisa a fazer e faça uma boa varredura.

¹ Não testei esse comando, portanto, você pode precisar ajustá-lo para que ele funcione corretamente. Leia as páginas do manual.

Instale a unidade comprometida em um gabinete externo ou conecte-se a um sistema com boas ferramentas antivírus e antimalware. Digitalize completamente. Copie os arquivos e evite qualquer exe ou outros arquivos que possam conter malware.

Você está no caminho certo. Copie-o para um disco rígido externo com um CD de inicialização do Linux e digitalize-o com tudo o que puder.

Sou fã do Kit de resgate Trinity ( TRK Home ), mas sua milhagem pode variar.

tente usar o ComboFix ' http://www.bleepingcomputer.com/download/anti-virus/combofix

ele limpará seu sistema para que você possa transferir seus arquivos com segurança. Use-o no modo de segurança com rede, se puder