Sry für den Doppelpost!

UPDATE:
Hab gerade einen alten Gamepatch gefunden, mir den runtergeladen und jetzt konnte ein Schlüssel erstellt werden!
Hoffentlich klappts!

UPDATE:

So ganz langsam lassen sich die Dateien "entLocken", funzt wirklich mit unterschiedlicher Schlüsselerstellung, habe noch andere Originaldateien per gesendete Objekt im Mailprogramm auf'm Exchange gefunden (als Anregung für andere, kommt man ja nicht gleich drauf )....
Bei XLS-Dateien habe ich immer jede 2. zurückbekommen (komisch), mal sehen ob sich die anderen auch noch knacken lassen, DOCS scheinen auch zu gehen..PDF bin ich gespannt..
Mal schauen was noch geht..

Da doch einige Probleme haben hier mal mein Lösungsweg. Der Unterschied ist das ich nicht mit Malwarebytes gearbeitet habe.
Die Kaspersky Rescue Disk rein und gebootet.
Updates geladen
Windowsunlocker ausgeführt.
Dann von Kaspersky aus die Virensuche durchgeführt.
Er hat alle Trojaner gefunden und entfernt.
Erst dann wieder in Windows gestartet.
Originaldatei irgendwo besorgt und mit dem DecryptHelper ist dann alles wieder sauber hergestellt worden. Auch eine externe Usb Platte auf der die Daten verschlüsselt waren ist wieder absolut sauber.
Ob es was zu sagen hat , das ich die Virensuche nicht mit Malwarebytes ausgeführt habe, weiß ich nicht. Wollte meine Weg aber mal schreiben. Ein Versuchs wärs ja wert.

woher willst du wissen, das nach kaspersky alles sauber ist...?
von diesen ganzen rettungs cds ala avira- kaspersky etc ist nicht unbedingt zu erwarten das sie den pc sauber bekommen, denn dass nen antimalware programm ne hundert prozentige erkennung hat ist mir neu.

Wollte ja nur den kleinen Unterschied in der Verfahrensweise beschreiben.
Anstatt Malwarebytes Kaspersky genommen.
Auf den Rechnern ist als Virenschutzsoftware Anti Vir installiert. Damit wurde nochmals ein Scan durchgeführt.
Auf jedenfall arbeiten die Rechner wieder absolut korrekt und ohne irgendwelche Probleme.

ChrisX
hast du die powerpoint datei noch?
dann mal hochladen bitte:
Trojaner-Board Upload Channel
wenn es eine mail war:
wenn du ein mail programm nutzt markiere die mail, datei speichern unter, typ:
.eml einstellen.
dann mail an:
http://markusg.trojaner-board.de
dort die soeben erstellte datei anhängen.
wenn du deine mails über den browser abrufst, sag mir mal welchen anbieter du nutzt, dann geht das ein bisschen anders.

auch zukünftige mails, von fremden, mit anhang, so an mich senden.

Hi!
Die Powerpoint + die dazugehörige gelockte Datei werden gerade hochgeladen (sind ca. 400MB)

Der Trojaner befand sich im Anhang einer Mail, versteckt in einer Powerpointpräsentation

Die entsprechende Mail wurde leider gelöscht.
Sobald wieder so eine Mail ankommen sollte, werde ich sie dir sofort weiterleiten!

Eine Frage noch:
Es sind noch eine Menge gelockter Files am PC, welche anscheinend nicht geunlockt werden können.

Gibt's da nen Trick, wie ich die wiederbekomme?

Danke!

na dafür gibts ja mehrere tools, eines wird sicher helfen :-)

hi,
ne 400 mb kann man nicht hochladen im upload channel.
sind die files wirklich noch gelockt und gibt es davon keine entschlüsselte kopie? denn der unlocker löscht nicht die gelockten files aus sicherheitsgründen.
ja, wenn wieder so ne mail ankommt, her damit.
bzw mal im papierkorb schauen, oder, falls du die über nen mail programm holst, mal im browser anmelden, denn häufig wird ne kopie auf dem web mailer server gelassen.

@markusg:
Sämtliche Dateien wurden geunlockt und sind wieder verfügbar!
Kontrolliere gerade, ob auch wirklich alle Dateien wieder vorhanden sind.
Bis jetzt sieht's aber gut aus!
Insgesamt wurden ~15k Dateien wiederhergestellt!

Ohne diesem Forum wäre ich verloren gewesen!

der dank geht aber an mathias :-)

Der Dank geht an alle, die das hier ermöglicht + Erfahrungsberichte gepostet haben!

Hallo an Alle,
ich habe das Problem, dass sämtliche Dateien verschlüsselt sind und ich natürlich keine Originaldatei habe. Kann ich nun überhaupt noch irgend etwas tun?
Über eine rsche Antwort würde ich mich sehr freuen.

Ich erläutere kurz meine vorgehensweise zum beheben des Trojaners und der Entschlüsselung der Daten.

Ich hab zuerst von Kaspersky (Avira geht auch) die Notfall-CD heruntergeladen und gebrannt. Dann habe ich die Disk in den "verseuchten PC" eingelegt und von der CD gebootet. Anschließend habe ich zu erst ein Update durchgeführt, sodass alles auf dem neuesten Stand ist, dann der komplett Scan. (Dauer ca 1-2 h) Es wurden 3 Trojaner gefunden und gelöscht.

Nachdem Scan konnte ich mich ganz normal an den PC anmelden und das Bild:



war nicht mehr da.

Wie sieht die verschlüsselt Datei aus? Ein Beispiel: locked.BlaueBerge.jpg.xyz

Um herauszufinden wieviele Dateien verschlüsselt wurden, habe ich einfach in der Suche "locked" eingegeben und die Festplatte ausgewählt, nach dem Suchdurchlauf hat er ungefähr 10380 Dateien gefunden.

Zum entschlüsseln der Dateien habe ich den DecryptHelper-0.5.3.jar von Matthias genommen. (Fettes Dankeschön an dieser Stelle )

Zum erstellen des Schlüssels habe ich die Originaldatei (Blaue Berge) die hier verfügbar ist heruntergeladen und genau die gleiche Datei (BlaueBerge) muss auch gelocked sein, um halt diesen Schlüssel zuerstellen. Dann einfach den Anweisungen folge leisten, wenn ihr auf den Button "Schlüssel erzeugen" klickt.



Dann habe ich einfach den Ordner (Festplatte C: ) ausgesucht und dann die Entschlüsselung gestartet, nach ca. 20-30 min wurden alle Dateien wiederhergestellt.

Wichtig ist das ihr die Daten vorher sichert. Safety First

So ich hoffe ich habe das verständlich erklärt.

gruß schwini


und viel erfolg dabei

Hallo Leute, ich hab das selbe Problem. Ich hab den Trojaner ''Trojan-Ransom.Win32.Gimemo'' mit Kaspersky Rescue Disk 10 wegbekommen, nur kann ich all meine daten nicht entschlüsseln. Habe es mit der Schattenkopie schon versucht, es geht nicht. Jetzt habe ich die Idee mit dem Decrypt Helper von schwini ausprobieren wollen, nur weiss ich garnicht welches foto oder welches lied welches ist, da die dateinamen so aussehen: aDoAyoVsGVDpTDgJu. Kann also den Schlüssel garnicht erzeugen, kann mir da jmd weiterhelfen? LG