wie komme ich im abgesucherten modus an Decrypter.jar (Javadatei)
oder in einfachen ausdrücken und schritten wie bekomme ich den decrypter drauf der vegeta hats mir netterweise versucht zu erklären aber ich bin da etwas hintendran-mit bitte um verständnis- oder wie bekomme ich diesen trojaner weg der locked etc mit dem 50,.euro zaheln produziert hat? ich habe otlpe installiert und eine otl.txt erzeugt aber jetzt hänge ich

Oh, hier steht ja doch mehr. Hatte vorhin nur die Seite 7 durchgelesen und nicht gesehen, dass es ja noch weiter geht

Zitat:

Zitat von iwsmueller

wie komme ich im abgesucherten modus an Decrypter.jar (Javadatei)
oder in einfachen ausdrücken und schritten wie bekomme ich den decrypter drauf der vegeta hats mir netterweise versucht zu erklären aber ich bin da etwas hintendran-mit bitte um verständnis- oder wie bekomme ich diesen trojaner weg der locked etc mit dem 50,.euro zaheln produziert hat? ich habe otlpe installiert und eine otl.txt erzeugt aber jetzt hänge ich

Erst muss die Schadsoftware bereinigt werden. Dazu bitte das übliche Verfahren im Log-Analyse und Auswertung-Bereich! (es müssen eigentlich nur 2 EXE-Dateien identifiziert und gelöscht werden)
Danach startet Windows wieder ohne Probleme und du kannst dich an die Wiederherstellung machen.

Zitat:

Zitat von rolles

bei mir entschlüsselt er bis jetzt alle dateien die ich ihm angebe. das programm hat sich allerdings auch schon 2 mal aufgehangen, wo ich es mit dem taskmanager schließen musste.
aber trotzdem hab mir durch das programm locker 2 wochen arbeit retten können.

Ist die Oberfläche eingefroren oder kam nur keine Bestätigung?
Ich gehe eher davon aus, dass das Programm noch nicht durchgelaufen ist.
Performance ist noch verbesserungswürdig und eine Fortschrittsbalken fehlt.

Zitat:

Zitat von Derben

Da bleibt wohl nichts anderes übrig als zu warten, dass die decrypt.jar rekursives Ordnerentschlüsseln anbietet :>

Ich wollte dafür ne batch schreiben, hab aber noch nicht herausgefunden wie ich der jar Parameter übergebe

Da wirst du leider keine Möglichkeit finden.
Nach kleinen Aufräumarbeiten wird es aber die nächste Funktion sein, die ich ergänze.

Zitat:

Zitat von iwsmueller

nein - bin erst seit heute nacht da- und habe das lockedproblem mit dem trojaner- die software ist drauf und nach der exedatei kommt dieser wrongkey

Steht da echt "wrong key"? Meine Fehlermeldungen sind deutsch.
Bitte die vollständige Meldung posten oder besser noch einen Screenshot anfügen.

Sieht aber eher nach einem Programm der Java-Installation aus.

Schadensbeseitigung klappt auch wunderbar mit KRD 10.

Wenn schon der Schöpfer hier ist, sag doch mal Bescheid, wann es v0.4 gibt in der ich sagen kann "Netzlaufwerk Y: bereinigen" ?

also ich habe die entschlüsselung laufen und funktioniert auf eiem 2. rechenr, die dateien per stick rüber und zurück, mein problem ich habe die oldtimersoftware ohne diese geht er nicht hoch, kann nur von der cd arbeiten habe aber olt.txt und extra.txt nach dem scan erhalten.ich kann auch nichts über den expleorer öffen also kein programm da windows blockiert ist.

Zitat:

Zitat von matkuni

Oh, hier steht ja doch mehr. Hatte vorhin nur die Seite 7 durchgelesen und nicht gesehen, dass es ja noch weiter geht



Erst muss die Schadsoftware bereinigt werden. Dazu bitte das übliche Verfahren im Log-Analyse und Auswertung-Bereich! (es müssen eigentlich nur 2 EXE-Dateien identifiziert und gelöscht werden)
Danach startet Windows wieder ohne Probleme und du kannst dich an die Wiederherstellung machen.



Ist die Oberfläche eingefroren oder kam nur keine Bestätigung?
Ich gehe eher davon aus, dass das Programm noch nicht durchgelaufen ist.
Performance ist noch verbesserungswürdig und eine Fortschrittsbalken fehlt.



Da wirst du leider keine Möglichkeit finden.
Nach kleinen Aufräumarbeiten wird es aber die nächste Funktion sein, die ich ergänze.



Steht da echt "wrong key"? Meine Fehlermeldungen sind deutsch.
Bitte die vollständige Meldung posten oder besser noch einen Screenshot anfügen.

Sieht aber eher nach einem Programm der Java-Installation aus.

Hallöchen.

Habe auf der Seite (Wiederherstellung der verschlüsselten Dateien nach Trojan.Encoder) alles so gemacht und läuft auch durch, allerdings werden keine Dateien Wiederhergestellt.

hxxp://www.fotos-hochladen.net/uploads/unbenannt1swzporfc7.jpg

Wie zu sehen, waren es mal alles PDF-Dateien. Bei wir war es ein Anhang in der E-Mail, das ich was gekauft hatte.
Nach Neustarten war Rechner durch Bild und Eingabe von Codes für Zahlung gesperrt.

So ging ich vor, um das zu beseitigen:

Zitat:

Daran zu Erkennen, das sich dieser immer unter: Windows 7 unter: C:\Users\Username\AppData\Roaming was ja dann unter Speicherort zu sehen ist.


...
Achtung! Der Bösewicht nennt sich jedes mal anders. Aber zu sehen im Systemstart, da er sich ja nur an diesen Tag Installiert hat.


...
Was wichtig ist,unter Start im Suchfenster eingeben: msconfig und dann Enter. Im neuen Fenster dann beim Reiter "Systemstart" diese Datei suchen: 783BE9DE Hacken entfernen und dann System neu Starten. So, das ding Speichert sich unter Windows 7 unter: C:\Users\Username\AppData\Roaming\Jfecaynxif. Diesen Löschen. Fertig!

Erst jetzt gemerkt, das seit dem PDF-Dateien und Bilder auf Desktop verschlüsselt sind und habe es mit dieser Anleitung versucht, aber es läuft durch, ändert aber nichts.
Zur Zeit läuft: Malwarebytes Anti-Malware durch, aber bis jetzt nichts gefunden.
Ach ja, wenn ich: Avira Ransom File Unlocker anklicke, stürzt Rechner ab und erzählt mir, das keine HDD da ist. Zwangsrunterfahren und neustarten reichte aus, habe das sofort gelöscht. Habe aber Windoof 7.

Wer weiß weiter? Die Forumsuche bringt mich ja nur hier her.

Danke für die Hilfe.
GLG........Diebaer

jotage53@terra.com.br
Sehr geehrte (namentlich genannt)

Sie haben sich für unseren Mail Upgrade angemeldet und wir sind stolz drauf Sie als unseren frischen Member zu begutachten Sie dürfen jetzt bis zu 300 Mitteilungen pro Monat gebührenfrei versenden und Ihr Speichervolumen wird grösser um 6 Gb.

149,99 Euro für Registrationsbeitrag werden Ihnen jede 12 Monate im Vorraus von Ihrem Bankkonto abgebucht. Entnehmen Sie die Vertragsdaten bitte dem Anhang, dort finden Sie auch die Erklärung für Ihre 2 Wochen Kündigungsfrist.

Mit freudlichen Grüssen
Ihr Kundenservice


Das war meine email.

Also ich habe alles Schritt für Schritt gemacht, Java runtergeladen etc. Einmal hatte ich Java 6 einmal Java 7 gut okay konnte die Dateien von dem decrypthelper kurz öffnen. Dann stand da irgenwo ich finde es leider nicht mehr "nur aktuelle Versionen" gut ich hab also Java 6 gelöscht, neugestartet und jetzt krieg ich das nicht mehr geöffnet. Ehrlich gesagt ist mir das alles ein wenig zu hoch. Alle Virenprogramme (Ccleaner, Avira DE-Cleaner, Malwarebytes) hab ich laufen lassen. Jetzt bin ich allerdings völlig aufgelaufen. Hab Windows 7.

Zitat:

Zitat von Qinjify

Schadensbeseitigung klappt auch wunderbar mit KRD 10.

Wenn schon der Schöpfer hier ist, sag doch mal Bescheid, wann es v0.4 gibt in der ich sagen kann "Netzlaufwerk Y: bereinigen" ?

Netzlaufwerke sieht man nicht im Auswahldialog, oder?
"When it's done."

Zitat:

Zitat von Tarja

Also ich habe alles Schritt für Schritt gemacht, Java runtergeladen etc. Einmal hatte ich Java 6 einmal Java 7 gut okay konnte die Dateien von dem decrypthelper kurz öffnen. Dann stand da irgenwo ich finde es leider nicht mehr "nur aktuelle Versionen" gut ich hab also Java 6 gelöscht, neugestartet und jetzt krieg ich das nicht mehr geöffnet. Ehrlich gesagt ist mir das alles ein wenig zu hoch. Alle Virenprogramme (Ccleaner, Avira DE-Cleaner, Malwarebytes) hab ich laufen lassen. Jetzt bin ich allerdings völlig aufgelaufen. Hab Windows 7.

Bitte auch hier die vollständige Fehlermeldung (einschließlich Fenstertitel und alles was noch so passen könnte). Oder am besten direkt ein Screenshot!

Ich hänge mich an Nowotny dran:
Suuuper - jetzt habe ich wenigstens was zu tun, wenn meine Frau Tatort schaut ;-).
und ich arbeite liebend gerne meine Bildordner einzeln durch, da weis ich wenigstens gleich, wenn mal was nicht funktioniert.
Unglaublich, was hier geleistet wurde.
Spannend wird noch, ob ich mein Backup-Laufwerk auch entschlüsseln kann - Danke!

TOOOOOP!!! Vielen Dank! ))

Zitat:

Zitat von matkuni

Netzlaufwerke sieht man nicht im Auswahldialog, oder?
"When it's done."



Bitte auch hier die vollständige Fehlermeldung (einschließlich Fenstertitel und alles was noch so passen könnte). Oder am besten direkt ein Screenshot!

Okay Screenshot.. links die Dateien die ich nicht öffnen kann rechts meine Programliste

Vielen Dank erstmal für Eure hilfe kann dieses locked-... nicht mehr sehen
Grüße Melanie

Zitat:

Zitat von Tarja

Okay Screenshot.. links die Dateien die ich nicht öffnen kann rechts meine Programliste

Vielen Dank erstmal für Eure hilfe kann dieses locked-... nicht mehr sehen
Grüße Melanie

Hey, probiers mal mit dieser Version:
http://matthi.org/DecryptHelper.exe (basiert auf der aktuellsten Version und vereinfacht das Ausführen)

Zitat:

Zitat von hristo

Schönen guten Abend,

ich habe gerade am Notebook meiner Eltern gesessen, die sich einen Verschlüsselungstrojaner eingefangen haben. Dank der Hilfe im Forum hier habe ich zumindest den Trojaner entfernen können und wieder Zugriff auf das Notebook. Bei der Entschlüsselung der Dateien habe ich allerdings Probleme. Die gespeicherten verschlüsselten Bilder sind alle nur ca. 50 kb groß. Wenn ich diese mit der Originaldatei "vergleichen" lasse, kommt immer die Fehlermeldung, dass die Dateien unterschiedlich groß sind. Hat jemand vielleicht eine Idee wie ich weiter vorgehen kann?

Vielen Dank im Voraus!

VG, Christoph

Die verschlüsselte Datei muss exakt die gleiche Größe haben wie das Original.
Bist du sicher, dass du ein passendes Pärchen gefunden hast?

Zitat:

Zitat von chip09

Vielen vielen Dank für Eure Hilfe, hat alles super zum ent"locked" funktioniert :-)

Frage noch, wielange soll die Sicherheitskopie der Locked Daten draufbleiben und kann man diese dann einfach löschen?

Bis du sicher bist, dass alle wiederhergestellten Dateien 100%ig korrekt sind

Ich würde die nächsten Tage noch abwarten, ob Berichte von Nutzern auftauchen, die fehlerhafte Dateien erzeugt bekommen haben.
War mit der aktuellen Methode (0.4 / 0.5 und aktueller) bisher nicht der Fall.

Am besten wirklich alle äußerst wichtigen Dateien mal kontrollieren..

Ja ich habe die Originaldatei aus einer Email. Die verschlüsselten Bilder sind alle nur noch um die 50kb groß. Das kann eigentlich nicht sein und hier liegt auch das Problem. Keine Ahnung wieso die Dateien nicht nur verschlüsselt sondern auch kleiner geworden sind.

@matkuni
dein Script lief gestern nacht bei mir.
Stichproben waren einwandfrei.
Es wurden auch meine Postscript-Schriften wiederhergestellt *.otf und *.ttf, wobei die Systemschriften (Windows) nicht gelocked waren, nur die Fonts in den Auftragsordnern.
Jetzt werde ich mein System bereinigen - wird sicher auch noch spassig.
Danke - Kompliment - meine kleine Welt dreht sich wieder!

Zitat:

Zitat von matkuni

Hey, probiers mal mit dieser Version:
hxxp://matthi.org/DecryptHelper.exe (basiert auf der aktuellsten Version und vereinfacht das Ausführen).

hi,

danke die Anwedung startet, aber leider zeigt mir das Program (habe jellyfish als Datei genommen) "Der Schlüssel konnte nicht bestimmt werden."

Gruß Melanie

Zitat:

Zitat von iwsmueller

wie komme ich im abgesucherten modus an Decrypter.jar (Javadatei)
oder in einfachen ausdrücken und schritten wie bekomme ich den decrypter drauf der vegeta hats mir netterweise versucht zu erklären aber ich bin da etwas hintendran-mit bitte um verständnis- oder wie bekomme ich diesen trojaner weg der locked etc mit dem 50,.euro zaheln produziert hat? ich habe otlpe installiert und eine otl.txt erzeugt aber jetzt hänge ich

Der Thread hier beschäftigt sich grad eig. nur mit dem Wiederherstellen der Korrumpirten Dateien.

Um den Virus zu entfernen sind wir so vorgegangen:

-> Entfernen des BKA-Virus
hxxp://www.redirect301.de/bundespolizei-trojaner-entfernen.html

-> Da wir aber nichts gefunden haben vermutlich, da der Virenscanner schon zugeschlagen hatte. Haben wir ein Recovery durchgeführt.

->Auch wieder Kommandozeile booten im Abgesicherten Modus und %systemroot%\system32\restore\rstrui.exe

->Anschliesend nochmal Virescanner laufen lassen.

Solltest du nicht weiterkommen, mache bitte in der entsprechenden Rubrik einen neuen Thread auf und schreib mir ne PN.

EDIT 1 -> Matkuni hat ein paar Beiträge vorher auch noch etwas zur Virenbeseitigung gesagt schau dir das auch mal noch an.

EDIT 2 -> Achja mir ist eben aufgefallen ^^.... ganz am anfang des Threads steht auch noch was dazu (Also oben in Hinweise)