Beitrag gelöscht

@all, danke für e-mails, weiter so :-)
es wurde bereits nen sample mit neuen schadfunktionen gefunden, upgrade der verwendeten url list, von denen sie befehle bzw weitere malware laden kann.
also, weitere mails sind wichtig.
@mtx430
ist es dir möglich, die datei hochzuladen, die avira unlocker als reverenz für den unlock key gewählt hatt?

@Martin
findet der avira unlocker keine datei automatisch aus der sie den key generieren kann?

@ Martin

Hast du nicht ne musik datei die du zufällig auch noch auf dem handy oder cd oder so was hast? so hab ich es gemacht. und du solltest die die beiden datein auf nen stick oder so packen damit die verschlüsselte nicht ungewollt mitenschlüsselt wird. ich hab die beiden datein auf ne cd gebrannt dann kann gar nichts passieren. und du hast dann immer referenzmaterial wenn wieder mal passieren sollte oder nem freund bekannten wem auch immer

Danke für dieses Programm.
Das Programm hat mir jetzt schon bei mehreren Kunden PCs geholfen vor dem Formatieren wenigstens die Daten wiederherzustellen.

@AimAdvance Ich schätze mal es bringt dir nichts die locked datei von diesem Befall aufzubewahren. Ich denke es muss jedesmal ein neuer Key erstellt werden, weil der Trojaner die Schlüssel jedesmal neu generiert.

Hallo zusammen,

danke für eure Hilfe.
Ich habe es mit dem DecryptHelper0.5 hinbekommen. Text-, Tabellen- und Bilddokumente konnte ich alle wieder herstellen!

Gruß
Martin

noch mal an alle, es reicht nicht, die files zu entschlüsseln, ihr müsst noch eure pcs hier prüfen lassen!

mal ein hinweis.
der upload channel ist für angeforderte uploads da, nicht einfach was auf verdacht hochladen.
es ist natürlich in ordnung, hier ne problem beschreibung zu erstellen, und dann einen upload zu machen, so können wir zeitnahe reagieren.

@ hkhkl
du hast mir jetzt verschlüsselte files hochgeladen, aber ich benötige ein original + evtl. die von avira erstellte key datei.

hi
@mtx430
mal avira rückfrage:
> Wurden alle Bilder im gleichen Pfad infiziert?
> Die Datumsangaben von den locked Files in dem Archiv stimmen mit denen auf dem
> infizierten Rechner überein, oder?
> Wurde der Rechner vielleicht während des Lockens schnell ausgemacht und dann rebootet?
> Dann hätte er mit dem Crypten weitergemacht und eventuell einen anderen Schlüssel bekommen.

Zitat:

Zitat von markusg

hi
@mtx430
mal avira rückfrage:
> Wurden alle Bilder im gleichen Pfad infiziert?
> Die Datumsangaben von den locked Files in dem Archiv stimmen mit denen auf dem
> infizierten Rechner überein, oder?
> Wurde der Rechner vielleicht während des Lockens schnell ausgemacht und dann rebootet?
> Dann hätte er mit dem Crypten weitergemacht und eventuell einen anderen Schlüssel bekommen.

Ja, die locked Files sind einfach nur kopiert. Habe den PC irgendwann neugestartet. Aber erst nachdem dieser Screen erschienen ist. Die fehlerhafte Dateientschlüsselung zieht sich quer durch alle Ordner. Habe da kein Muster erkennen können.

Super Programm !

Ich habe mit deiner Version 0.5 die Masse der Daten wiederhergestellt, da der Rechner zwischenzeitlich ausgeschaltet wurde und wieder hochgefahren wurde, war der letzte Tip mit den anderen Schlüsseln Gold wert. Ich kann das also aus dieser Erfahrung nur bestätigen, der Code wird, wenn der Rechner neu gebootet wird, verändert - Abhilfe schafft natürlich eine Sortierung nach Änderungsdatum und dann mit unterschiedlichen Schlüsseln arbeiten.

1.) Deswegen kann ich nur voll zustimmen, eine Sicherung / ein Arbeiten mit Kopien der verschlüsselten Dateien ist unerlässlich!

2.) Die Software funktioniert fehlerfrei mit allen von mir wieder hergestellten Dateien!

(Anmerkung: das entfernen der Malware erfolgte vorab mit Malwarebytes wie von euch beschrieben)

kleiner Tip: oftmals existieren auf den Rechnern heruntergeladene Bilddateien aus dem Internet die eindeutige Bezeichnungen aufweisen, so wie hier: hxxp://www.malvorlagen.cc/images/malvorlage/Geschenk_1-671319.jpeg
diese Originaldateien sind leicht zu finden und dank markus steht somit einer Wiederherstellung nichts mehr im Wege...

Ein ganz großer Dank aus dem sonnigen Schwarzwald, nach einer durchgemachten Nacht ist die euphorie dank der gelungenen Datenrettung an einem Geschäftsrechner perfekt !

MfG

MerlinIR

hi,
natürlich macht das sinn, wenn du zb sicherheitskopieen anderer daten hast, kannst du die dann nutzen, um einen schlüssel zu erzeugen.
findet avira keine vergleichsdatei automatisch bei dir?
hast du nen zweiten pc mit möglichst dem selben betriebssystem?

nächste frage.
ich bin an der infektionsquelle interessiert, meistens e-mail
wenn du die über ein mail programm erhalten hast, öffne die mail, datei speichern unter, dann bei typ zb
.eml
einstellen.
neue mail an:
http://markusg.trojaner-board.de
dort die so eben gespeicherte mail anhängen.
falls du nen webmailer nutzt teile mir mit welchen.

Hi,

das heißt also, ich kopiere (über durchsuchen) einen verschlüsselten Ordner (mit Bildern) in die erste "Spalte" und irgendwelche (evt. aufm Stick) vorhandenen Originalbilder (die inhaltlich nicht den verschlüsselten entsprechen) in die Zweite Spalte?

Ja es war ne Mail mit Anhang einer "Rechnung" zip. genau wie überall beschrieben... Leider habe ich diese Mail nicht mehr...:-(

Hi Markus,

habe dir zwei Mails von unserer Buchhaltung weitergeleitet. Sind am Wochenende gekommen. Kommt von d***@n***.com