Zurück   Trojaner-Board > Malware entfernen > Diskussionsforum

Diskussionsforum: Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware)

Windows 7 Hier sind ausschließlich fachspezifische Diskussionen erwünscht. Bitte keine Log-Files, Hilferufe oder ähnliches posten. Themen zum "Trojaner entfernen" oder "Malware Probleme" dürfen hier nur diskutiert werden. Bereinigungen von nicht ausgebildeten Usern sind hier untersagt. Wenn du dir einen Virus doer Trojaner eingefangen hast, eröffne ein Thema in den Bereinigungsforen oben.

Thema geschlossen
Alt 16.07.2012, 17:13   #1051
austria
 
Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware) - Standard

Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware)



Zitat:
Zitat von KhaosKatze Beitrag anzeigen
Ok, meintest neueren..ok, konnte man aber auch anders auffassen ja...

Kann Dir trotzdem nicht folgen...welcher soll Deiner jetzt sein?
die bekante email verschlüsselt(pDvoUsUjEpNvXTs) habe das mit den 0.5.3 nach anleitung versucht zu machen fehlermeldung schlüssel nicht erkant das von gehe ich da von aus das es ein neuerer ist wo es noch kein program gibt kann euch gehren eine verschlüsselte datai und eine die ganz ist schicken

Alt 16.07.2012, 17:19   #1052
KhaosKatze
 
Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware) - Standard

Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware)



Öhm ja ok...ich weiß warum ich Dir nicht folgen kann, weil Du einfach zu konfus schreibst und ich zu alt und zu müde bin um mir das jetzt korrekt zu denken.

Zitat:
Lies bitte, unter welchen Bedingungen die Tools mit den Dateipaaren erfolgreich eingesetzt werden können und ob die bei Dir vorliegende Verschlüsselungsvariante diesen Bedingungen entspricht.
Unter Punkt 3 in der Topbox (Hinweise) ist alles genau beschrieben.
Ich nehme an dieser Hinweis hat noch Bestand und klinke mich jetzt hier aus.
__________________

__________________

Alt 16.07.2012, 17:38   #1053
Undertaker
/// Helfer-Team
 
Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware) - Standard

Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware)



Zitat:
Zitat von austria Beitrag anzeigen
...
gehe ich da von aus das es ein neuerer ist wo es noch kein program gibt
So isses.

Zitat:
Zitat von austria Beitrag anzeigen
kann euch gehren eine verschlüsselte datai und eine die ganz ist schicken
Nicht nötig.
Du kannst aber die Mail mit dem Virus im EML-Format speichern und an uns schicken.
Der Link steht gleich hier unter diesem Text.
__________________
__________________

Alt 16.07.2012, 19:11   #1054
austria
 
Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware) - Standard

Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware)



habe sie nicht mehr leider

Alt 18.07.2012, 00:27   #1055
Matthias_R.
 
Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware) - Icon32

Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware)



Hallo, ich habe da viele Fragen und auch Fragezeichen

1.) Mithilfe von Cosinus habe ich meinen Rechner von dem Trojaner befreit.

2.) Dann lese ich hier, dass man den Virus hier posten soll; ich weiß nicht wie ich das machen soll. Die Mail mit dem Dateianhang habe ich noch in meinem Postfach.

3.) vier .jpg - Dateien und ihr jeweils verschlüsseltes Pendant ("WckUshfgmvcoenDGKsvowf...." usw.) habe ich ausfindig gemacht.

Verstehe ich das richtig: Kann ich, mithilfe eines tools der 8 gezeigten, den Schlüssel erstellen, der aus Originaldatei die verschlüsselte Datei gemacht hat? Und der verschlüsselungsalgorithmus wird mithilfe eines dieser tools ausfindig gemacht?

Soll ich jetzt beispielsweise mit dem "DecryptHelper" dort die Originaldatei und die verschlüsselte Datei eingeben, und der "DecryptHelper" generiert dann einen Schlüssel, mit dem ich wieder entschlüsseln kann?

Also ich könnte es mir vorstellen, dass es so ähnlich irgendwie geht, aber da ich alles andere als Computerfreak bin, habe ich nicht die geringste Ahnung, wie ich nun vorgehen soll. Habe schon vieles durchgelesen, aber kapieren tu ich's nicht

Kann man davon ausgehen, dass .jpg-, .bmp-, .pdf-, .mp3- usw. - DAteien, alle mit einem anderen algorithmus verschlüsselt wurden? Oder dass sogar jede einzelne Datei einen anderen Verschlüsselungsalgorithmus "durchlaufen hat"?

__________________
Gruß von Matthes

Alt 18.07.2012, 10:20   #1056
Undertaker
/// Helfer-Team
 
Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware) - Standard

Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware)



Hallo Matthes,

Zitat:
Zitat von Matthias_R. Beitrag anzeigen
2.) Dann lese ich hier, dass man den Virus hier posten soll; ich weiß nicht wie ich das machen soll. Die Mail mit dem Dateianhang habe ich noch in meinem Postfach.
Nein, nicht hier posten, sondern die Mail mit dem Virus als *.eml Datei speichern und an uns senden.
Nur zur Analyse der Entwicklung des Trojaners.

Zitat:
Zitat von Matthias_R. Beitrag anzeigen
Verstehe ich das richtig: Kann ich, mithilfe eines tools der 8 gezeigten, den Schlüssel erstellen, der aus Originaldatei die verschlüsselte Datei gemacht hat? Und der verschlüsselungsalgorithmus wird mithilfe eines dieser tools ausfindig gemacht?
Nein, das verstehst Du falsch.
Oben unter Punkt 3 der Hinweise steht eindeutig:

Bei Dateien wie locked-<DATEINAME>.<ENDUNG>.wxyz entschlüsseln: Übersicht der 8 Entschlüsselungs-Tools

Deine Dateien sehen aber nicht so aus, sondern so: ("WckUshfgmvcoenDGKsvowf...." usw.)

Damit scheiden die 8 Tools zur Entschlüsselung aus.
Das ist aber schon hundertfach und eindeutig beschrieben.
Dir helfen nur die Möglichkeiten, die unter http://www.trojaner-board.de/116851-...strojaner.html beschrieben sind.

Zitat:
Zitat von Matthias_R. Beitrag anzeigen
Kann man davon ausgehen, dass .jpg-, .bmp-, .pdf-, .mp3- usw. - DAteien, alle mit einem anderen algorithmus verschlüsselt wurden? Oder dass sogar jede einzelne Datei einen anderen Verschlüsselungsalgorithmus "durchlaufen hat"?
Nein, der Algorithmus ist der gleiche, wahrscheinlich RC4, wobei der Virus aber weiterentwickelt wird und die Verschlüsselung auch anders erfolgen kann.
Allerdings erhält jede Datei ihren eigenen Schlüssel, unabhängig vom Format.

Volker
__________________
--> Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware)

Alt 18.07.2012, 19:55   #1057
Matthias_R.
 
Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware) - Icon32

Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware)



Was ist eine .eml - Datei? Und wie geht sowas, eine .eml - Datei erstellen?
__________________
Gruß von Matthes

Alt 18.07.2012, 21:56   #1058
Undertaker
/// Helfer-Team
 
Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware) - Standard

Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware)



Manche Mailprogramme, wie TheBat! oder Outlook Express bieten die Möglichkeit die Mail als {Mailname}.eml zu speichern.
Also, Speichern unter --> eml.
Diese Datei dann als Anlage an die Adresse im Link mailen.
Wenn Dein Mailprogramm keine eml-Datei erzeugen kann, dann an die Adresse im Link weiterleiten.

Gruß Volker
__________________
Das Board unterstützen

Datenrettung -->HIER!

Zitat der Woche: Die Gefahr, dass der Computer so wird wie der Mensch, ist nicht so groß wie die Gefahr, dass der Mensch so wird wie der Computer.

Alt 18.07.2012, 22:08   #1059
Matthias_R.
 
Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware) - Icon32

Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware)



Outlook und so benutze ich gar nicht. Hab deshalb jetzt einfach die beiden mails incl. Anhang an "virus@trojaner-board.de" weitergeleitet. Hoffe , dass das ok ist.
__________________
Gruß von Matthes

Alt 22.07.2012, 22:32   #1060
Olaf-NF
 
Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware) - Standard

Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware)



Zitat:
Zitat von Undertaker Beitrag anzeigen
wenn der XP-Rechner mit dieser HDD noch das o. g. Verhalten zeigt, dann ist er nicht virenfrei.
Der Rechner bootet wieder normal - ohne Fehlermeldungen.
Scheinbar sind keine system-wichtigen Dateien verschlüsselt worden.

Zitat:
Zitat von Undertaker Beitrag anzeigen
Welche Verhaltensauffälligkeiten zeigt der Rechner noch?
Ist er noch im abgesicherten Modus bootbar?
Hast Du Zugriff auf den Taskmanager und Regedit?
Zum Zeitpunkt vor der "Reinigung" bootete der Rechner nicht im abgesicherten Modus und im normalen Modus wurde er ja gleich eingefroren, so daß Regedit und Taskmanager nicht möglichwaren.

Zitat:
Zitat von Undertaker Beitrag anzeigen
Welches Interesse besteht an den verschlüsselten Daten?
Auf der Festplatte sind einige Bilder / Foto's gespeichert, für die es keine Sicherung gibt - aber soooo wichtig scheinen diese auch nicht.

Die Festplatte ist eine MAXTOR DiamondMax Plus 8 ATA/133 mit 40 GB.
Ich kann / darf euch diese überlassen, wenn sie für eine Analyse hilfreich ist.

MfG
NF-Olaf

Alt 22.07.2012, 22:47   #1061
Undertaker
/// Helfer-Team
 
Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware) - Standard

Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware)



Hallo Olaf,
für die Bilder, falls es sich um JPGs handelt, bestehhen berechtigte Chancen der Wiederherstellung.
Schau mal nach JPEGSnoop oder JPEG-Recovery unter http://www.trojaner-board.de/116851-...strojaner.html

Das mit der HDD ist mir unklar.
Ist das die noch befallene System-HDD?

Volker
__________________
Das Board unterstützen

Datenrettung -->HIER!

Zitat der Woche: Die Gefahr, dass der Computer so wird wie der Mensch, ist nicht so groß wie die Gefahr, dass der Mensch so wird wie der Computer.

Alt 22.07.2012, 23:21   #1062
Olaf-NF
 
Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware) - Standard

Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware)



Zitat:
Zitat von Undertaker Beitrag anzeigen
Das mit der HDD ist mir unklar.
Ist das die noch befallene System-HDD?
Die HDD ist noch die originale mit den verschlüsselten Dateien - aber eben an einem Win7-PC als externe Platte angeschlossen und mit Malwarebytes geprüft - jedoch ohne den Virus zu finden.

LG Olaf

Alt 22.07.2012, 23:35   #1063
Undertaker
/// Helfer-Team
 
Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware) - Standard

Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware)



Dass Malwarebytes nix gefunden hat sagt noch nichts aus, wenn sie nicht als System gemountet ist, sondern nur an einem Win7-System hängt.
War Malwarebytes aktuell oder hast Du nur den Quick-Scan gemacht?

Wenn Du willst, kannst Du mir die Platte schicken.
Außerdem könnst Du mir die Datei B4F02758323053570000.$02 zukommen lassen.

Volker
__________________
Das Board unterstützen

Datenrettung -->HIER!

Zitat der Woche: Die Gefahr, dass der Computer so wird wie der Mensch, ist nicht so groß wie die Gefahr, dass der Mensch so wird wie der Computer.

Alt 23.07.2012, 06:20   #1064
Matthias_R.
 
Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware) - Icon32

Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware)



Hallo Volker, danke für Deine Nachrichten, ein paar Fragen hätte ich noch:

Code:
ATTFilter
Nein, nicht hier posten, sondern die Mail mit dem Virus als *.eml Datei speichern und an uns senden.
Nur zur Analyse der Entwicklung des Trojaners.
         
ich habe vor wenigen Tagen beide Mails incl. Anhang einfach hier als Antwort an virus@trojaner-board.de geschickt, kam das an? Oder habsch da was falsch gemacht?

Code:
ATTFilter
Nein, das verstehst Du falsch.
Oben unter Punkt 3 der Hinweise steht eindeutig:

Bei Dateien wie locked-<DATEINAME>.<ENDUNG>.wxyz entschlüsseln: Übersicht der 8 Entschlüsselungs-Tools 

Deine Dateien sehen aber nicht so aus, sondern so: ("WckUshfgmvcoenDGKsvowf...." usw.)

Damit scheiden die 8 Tools zur Entschlüsselung aus.
Das ist aber schon hundertfach und eindeutig beschrieben.
Dir helfen nur die Möglichkeiten, die unter http://www.trojaner-board.de/116851-...strojaner.html beschrieben sind.
         
Ja, es scheint so, dass nix von alledem greift. Wie gesagt: Ein Mal hatte es geklappt, habe nur hinten ".jpg" angefügt, da wurde das Bild angezeigt. Jetzt kommt immer nur ne Fehlermeldung, es fehle ein grafikimportierer und so.

Den shadow-explorer, soll ich den, als Sicherungstool für meine Daten, vorsichtshalber auch installieren?



Code:
ATTFilter
Nein, der Algorithmus ist der gleiche, wahrscheinlich RC4, wobei der Virus aber weiterentwickelt wird und die Verschlüsselung auch anders erfolgen kann.
Allerdings erhält jede Datei ihren eigenen Schlüssel, unabhängig vom Format.

Volker[/QUOTE]
         
Also ich möchte sagen, dass ich ein beinahe absoluter Laie in Sachen Computer bin und deshalb die eine oder andere dämliche Frage stelle

Mit shadow-explorer und den anderen tools konnte ich nix erreichen... also ich gehe mal davon aus, dass ich alles löschen kann, was der Trojaner da verschlüsselt hat, stimmt's?

Ich würde mir am Liebsten das komplette Betriebssystem neu drüberschmieren, da sich im Lauf der Jahre sowieso manch komische Spirenzchen des PC bemerkbar machen, Fehlermeldungen beim Runterfahren, langes verharren in unerkenntlichen Hintergrundtätigkeiten, dann immmer lange Zeit zum Hochfahren (jetzt nach der Trojaner - Attacke nochmal doppelt so lange mit lauten "Kratzern" in der Windows - Standard - Startmusik). Überhaupt ist er sehr lahm geworden. andere Anwendungen (z.B. das Fernsehbild) laufen auch nicht mehr "flüssig", sondern es stockt mal mehr, mal weniger. Der Willkommensbildschirm beim Hochfahren zeigt immernoch die durch den Trojaner veränderten Buttons (sind jetzt Schachfiguren), mit denen man sich auf dem entsprechenden Konto anmeldet.

Da hätte ich auch eine Frage dazu: Kann ich bei eBay eine sog. OEM - Version von WinXPprof besorgen, oder was soll ich machen?

Glücklicherweise habe ich viele Daten vorher gesichert und kann se dann neu druffspielen.

Vorletzte Frage: habe zu dem SATA-Systemlaufwerk eine weitere Festplatte über IDE-USB - Konverter installiert, eine von beiden hat nur die halbe Kapazität, also eine hat 40GB, die andere 80GB; Das System sollte auf die kleinere, kann/muss man das auch im BIOS einstellen?

Und noch als letztes: Wie tue ich die CD rein? Muss ich da - also zum drüberschmieren - einfach die WinXP - CD rein, im BIOS bootreihenfolge ändern, dass zuerst CD-ROM-Laufwerk steht, oder muss ich da manuell etwas formatieren?

P.P.S.: Möglicherweise muss ich mich an verschiedene Foren für das spezielle Problem jeweils wenden, ich weiss aber nicht, an welches, und dann kommen da wieder von irgendwelchen Moderatoren u.a. Leuten Shitstorms, dass man wieder mal einen crossposter gefunden hätte und so. Deshalb frage ich hier im Trojanerboard mal als erstes.
__________________
Gruß von Matthes

Geändert von Matthias_R. (23.07.2012 um 06:41 Uhr) Grund: bessere lesbarkeit

Alt 23.07.2012, 07:00   #1065
LvW
 
Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware) - Standard

Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware)



Zitat:
Zitat von austria Beitrag anzeigen
ich habe nicht gesagt das das euer virus ist ich habe denn neuen virus habe ich gesagt und ob ihr schon was dagegen habt wehre lieb
soooooooooorrryyyyyyyyyyyy verschriben ist mir kalr das es nicht euer ist sorrry sorrrryyy
Virus auch in der Textverarbeitung?

Thema geschlossen

Themen zu Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware)
abrechnung.zip, applikation, beliebige, bytes, dateien verschlüsselt, decrypthelper, ebenfalls, locked, log-analyse und auswertung, neue, ransomware, realtecdriver, rechnung.exe, sie haben sich mit einen windows-verschlüsselungs trojaner infiziert, tr/crypt.xpack.gen, tr/injector.lo, trojan.crypt.ebj, trojan:w32/ransomcrypt, trojan:win32/ransom.opv, verschlüsselt, verschlüsselte dateien, verschlüsselung, wiederherstellung, windows update virus




Ähnliche Themen: Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware)


  1. Dateien (vermutl. durch Trojaner) verschlüsselt, wiederherstellung möglich?
    Plagegeister aller Art und deren Bekämpfung - 07.03.2015 (5)
  2. gefälschte Rechnung von Vodaphone mit falschem Link zur angeblichen .pdf-Rechnung
    Plagegeister aller Art und deren Bekämpfung - 18.12.2014 (9)
  3. Win 7 64Bit rECHNUNG:EXE TROJANER KEINE VERSCHLÜSSELTEN DATEIEN
    Log-Analyse und Auswertung - 04.05.2014 (7)
  4. Trojan.Ransomcrypt.F in c:\users\XXX\appdata\roaming\{112c4a02-1112-2f13-0e22-00181b0b15df}.exe: Wiederherstellung verschlüsselter Dateien
    Plagegeister aller Art und deren Bekämpfung - 21.09.2013 (5)
  5. Wiederherstellung von durch neuen Tojaner verschlüsselten Dateien
    Plagegeister aller Art und deren Bekämpfung - 06.03.2013 (15)
  6. Benötige Hilfe beim entschlüsseln meiner durch den Virus verschlüsselten Dateien
    Diskussionsforum - 29.01.2013 (4)
  7. Trojaner verschlüsselt Dateien und hängt Endung .police an - Wiederherstellung möglich?
    Plagegeister aller Art und deren Bekämpfung - 25.09.2012 (5)
  8. Bundestrojaner/Bundespolizei Virus mit verschlüsselten Dateien
    Plagegeister aller Art und deren Bekämpfung - 22.09.2012 (10)
  9. Dateien sind alle umbenannt in z.b. aeDepXDTssXlaTsX durch einen Anhang von einer E-Mail (Rechnung)
    Plagegeister aller Art und deren Bekämpfung - 05.09.2012 (1)
  10. Wiederherstellung/Entschlüsselung von Dateien
    Plagegeister aller Art und deren Bekämpfung - 07.06.2012 (5)
  11. (xpost) neuer Verschlüsselungstrojaner mit teils unveränderten aber trotzdem verschlüsselten Dateien
    Mülltonne - 07.06.2012 (3)
  12. Verschlüsselungstrojaner "Windows Update" (Rechnung.zip) incl. Sperrung aller Dateien
    Log-Analyse und Auswertung - 31.05.2012 (3)
  13. Trojaner? Rechnung.exe geöffnet aus Email, Dateien nun locked
    Plagegeister aller Art und deren Bekämpfung - 30.04.2012 (12)
  14. Aufnahme in "zu entschlüsselnde User"-Liste (Realtecdriver.exe / locked-?.wxyz)
    Log-Analyse und Auswertung - 27.04.2012 (2)
  15. Wiederherstellung der verschlüsselten Dateien nach Trojan.Encoder
    Anleitungen, FAQs & Links - 25.04.2012 (1)
  16. .exe-Dateien + Task-Manager öffnen nicht, Sys-Wiederherstellung klappt nicht
    Log-Analyse und Auswertung - 11.05.2011 (3)
  17. Erpressung mit verschlüsselten Dateien
    Plagegeister aller Art und deren Bekämpfung - 07.12.2010 (1)

Zum Thema Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware) - Zitat: Zitat von KhaosKatze Ok, meintest n eueren..ok, konnte man aber auch anders auffassen ja... Kann Dir trotzdem nicht folgen...welcher soll Deiner jetzt sein? die bekante email verschlüsselt(pDvoUsUjEpNvXTs) habe das - Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware)...
Archiv
Du betrachtest: Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware) auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.