Hallo,
Ich habe Windows XP,
Ich habe genau diesen Trojaner aus spam mail getroffen,
viele meine Daten auf dem PC sind unbenannt gegangen,
meistens url files, jpg, usw.
Bitte, helfen, wie kann ich Daten wiedereinstellen,
den ShadowExplorer passt nicht für XP
Computer habe ich schon von viren saubergemacht.


Guten Tag Nutzer Val Val ,

diese Mail wurde bei der Unterzeichnung von 1 O2 Mobilfunk Verträgen angegeben.
Die Simkarten wurden bei der Vertragsunterzeichnung abgegeben. Sicher ist es Ihnen entgangen, dass die Rechnungsfrist der nachfolgenden Rechnung abgelaufen ist. Auf zwei Erinnerungen haben Sie auch nicht reagiert.

Zwischensumme April: 920,92 Euro

Wir bitten Sie, den Gesamtbetrag in den nächsten 7 Tagen zu überweisen.

Die Telefone sollten an Ihre Adresse versendet werden. Leider waren mehrfache Zustellversuche nicht erfolgreich. Wir bitten Sie uns mitzuteilen was mit den beiden Handys (iPhone 4S) gemacht werden soll.

Im im zugefügten Ordner senden wir Ihnen die Unterlagen, die des Passkopie des Unterzeichners, die Rechnungen so wie die Gesprächsauflistung.
Teilen Sie uns bitte mit wo hin die Handys versendet werden sollen.

Mit besten Grüßen

Krämer GmbH
Dannerallee 64
Bremen

Telefon: (0900) 732 1651941
(Mo-Fr 8.00 bis 18.00 Uhr, Sa 10.00 bis 18.00 Uhr)
Gesellschaftssitz ist Abenberg
Umsatzsteuer-ID: DE661522680
Geschäftsfuehrer: Fabian Weiss

Zitat:

Zitat von reval

Hallo,
Ich habe Windows XP,
Ich habe genau diesen Trojaner aus spam mail getroffen,
viele meine Daten auf dem PC sind unbenannt gegangen,
meistens url files, jpg, usw.
Bitte, helfen, wie kann ich Daten wiedereinstellen,
den ShadowExplorer passt nicht für XP
Computer habe ich schon von viren saubergemacht.

moin moin reval,

bis auf die hier genannten Möglichkeiten und der Hinweise einiger Betroffener in ihren Beiträgen, gibt es momentan keine Lösung.

Volker

Zitat:

Zitat von Undertaker

moin moin reval,

bis auf die hier genannten Möglichkeiten und der Hinweise einiger Betroffener in ihren Beiträgen, gibt es momentan keine Lösung.

Volker

meine Files sind so umbenannt:

DeUVgrEnTptxuJqAel
gdxuvEjsDsUrgyEXaVt
grAqTpUfQvoneltGrOqj
jeVOEysetfrNqn
LlsdVgNonTpsGuvqjeD
lrAXeGsvrAyDpdVgJELT
neDUfuvEnsDtGr
nsDsxrgyApTVUJu
psfJgnAslVdrgnEX
svAsfJJLLllxxOgjjTT
uJojelsUrOqopaftJuLy
UrnasONAqaXdfQJEns
vAqapdfuJoneDsxrOqjX
VtvQLyDsGVONjnapUx
XdfOrEnaptGuJyAs

Zitat:

Zitat von Toschwil

Tipp: Wende Dich besser direkt an Advoweb( Hr. Meisner)! Falls die Anwältin vor kurzem ein Update eingespielt haben sollte, dann gibt es eine Sicherung der Datenbank. Gucke mal nach einem "sic" Ordner, dieser wird automatisch angelegt.
Man kann diese Datenbanksicherung auch automatisieren (mit Boardmitteln), so dass für Notfälle immer ein Backup vorhanden ist.
Viel Erfolg!

Habe schon mit einer Dame der Firma alles zusammen durchforstet, nichts vorhanden. Habe ihr erstmal das System neu aufgesetzt alles neu installiert und logischerweise eine Dasi automatisiert. Betreue die Dame erst seit dem Fall.
Dasi ist mein oberstes Gebot lieber einmal zufiel als zu wenig ^^
Die alte HDD habe ich als 2 fache Spiegelung und versuche auf einer wieder was herzustellen.
Der Tip mit Recuva funktionierte hier leider nicht genausowenig wie Schattenkopie. Der vorherige Systembetreuer hat ganze arbeit geleistet und alles was mit Sichern zu tun hat ausgestellt.
Es lebe Russisches Roulett.
Abwarten weiter probieren und Forum lesen der Kampf ist erst vorbei wenn alles probiert wurde :-)

Hilllfee habe vor 2 tagen einen trojaner Generic.dx!b2rk gehabt jetzt sind alle meine dateien verschlüßelt...
habe windows 7 mehr weiß ich nicht bin blond...
wie bekomme ich meine dateien wieder es ist sehr wichtig... schatten kopien wurden nicht erstellt!!!
danke im VR

Zitat:

Zitat von melanie2

jetzt sind alle meine dateien verschlüßelt...
habe windows 7 mehr weiß ich nicht bin blond...
wie bekomme ich meine dateien wieder es ist sehr wichtig...

Hallo melanie,
nun, die Haarfarbe sagt ja noch nix aus.
Trojaner gehabt? Wo ist er hin? Wer hat ihn verscheucht?
Wie sehen denn die verschlüsselten Daten aus?
Um welche Dateien handelt es sich hauptsächlich?

Wenn es so ist wie ich vermute, hilft nur ein Blick in das Top-Frame.
Dort gibt es den Punkt 3 und einen Link mit passendem Namen dazu.

Noch ein Rat, von sehr wichtigen Daten macht man mindestens eine Sicherheitskopie.

Volker

Hi,
beim rechner meiner freundin hat die neueste variante zugeschlagen. allerdings nur auf files mit ihrer ownership. dafür aber auch auf ihrem backup to disk folder.
ich habe alle üblichen tools schon durch, ich bekomme nicht mal die jpg's entschlüsselt, obwohl ich einige orginale noch habe, shadow copies sind keine vorhanden. ist jemand an ein paar jpg interressiert, sowohl original und encrypted?

Hallo sonshice

Ist auch echt so ein scheiss mit dem Verschlüsselungstrojaner
Ich wollte nur meine persönliche rhetorische Note dazugeben zu einem Text von dir, den ich vorhin nicht richtig einordnen konnte. Ist schon völlig ok was du hier machst, weiter so!

Und Herr Undertaker ja dem kann man garnicht genügend danken

Hallo studentl,
Ich habe hier Testordner mit verschlüsselten Dateien der unterschiedlichsten Formate.
Alle verschlüsselt in der Form erTGGbHzuGNHJ.

AVI, BMP, DOC, DWG, DXF, EXE, JPG, TXT, XLS und ZIP

Ich habe eben recoverMyFiles von GetData auf diese Ordner losgelassen.
Nicht eine einzige Datei wurde erkannt, geschweige denn wiederhergestellt.
Selbst nachdem ich den Dateien die entsprechende Extension verpasst habe, lief recoverMyFiles drüber weg.

Testweise habe ich dann einen Scan auf dem gesamten Laufwerk gemacht.
Dabei wurden jede Menge gelöschter Dateien gefunden, aber eben nur gelöschte.

Zur Kontrolle habe ich dann den gesamten Order der verschlüsselten Dateien, einschließlich Unterordner, auf einen Stick kopiert und wieder gelöscht.
Auf diesen Stick habe ich nochmals recoverMyFiles gehetzt.
Das Ergebnis:
Im root waren zwei verschlüsselte Dateien, recoverMyFiles hat beide wieder angezeigt, allerdings nach wie vor verschlüsselt.
Weiterhin wurden über 12000 verlorene Dateiengefunden und als TXT deklariert, keine größer als 1MB.
Aus dem Inhalt einiger dieser Textdateien kann man erkennen, dass sie Bestandteil einer AutoCAD DWG-Datei waren. Einige enthielten Textpassagen aber die meisten nur kryptische UDF8- und UDF16-Zeichen.
Meines Erachtens handelt es sich hier um die Inhalte der einzelnen Sektoren, ohne Zusammenhang.
recoverMyFiles tut ja in dem Modus auch nix anderes als andere RAW-Recovery Tools.

Wenn Du 90% der Dateien wiederbeleben konntest, mache mal einen Step by Step Beitrag, am besten mit Screenshots.
Bist Du Dir überhaupt sicher, dass es sich bei den wiederhergestellten Dateien um die Verschlüsselten handelt?
Oder kann es sein, dass das vorher gelöschte Vorversionen waren?

Irgendwie fehlt mir der Glaube, dass RAW.Recoverer die modifizierten 12k am Anfang einer jeden Datei so einfach wegstecken.
Es sei denn, die Daten haben eine Blockstruktur und man findet Einspungpunkte in den Blöcken, wie beispielsweise bei MP3s und JPGs.
Aber das ist ja bekannt und dafür gibt es schon Tools.

Wirklich wichtig wäre eine effektive Methode Office-Dateien wiederherzustellen.

Volker

Hallo an alle! Ich habe eine Frage:

Mein Netbook war vor ein paar Tagen auch mit dem neuen Verschlüsselungstrojaner infiziert, aufgrund eines E-Mail-Anhang's. Doch habe ich ein neues Windows installiert (von Win 7 Starter zu Win 7 Home Premium), da ich für das Poblem keine Nerven mehr aufbingen konnte und bald verzweifelt bin.
Vor dem Neuaufsetzen konnte ich unmittelbar nach dem Hochfahren des Netbooks, noch bevor das Trojanerbild erschien, ein USB Stick anschließen, auf dem ich 10-12 veschlüsselte Bilder kopieren konnte...
Kann ich diese Bilder (.jpg) im Nachhinein totzdem "irgendwie" encodieren?
Diese Bilder sind mir nämlich extrem wichtig...

PS: Ein Bilddatei sieht ungefähr so aus:

dGnHgHvjbhvjbhbJGHbmkHBKk (ohne Datei-Endung) (unter Typ steht "Datei")

Dankeschön!

Zitat:

Zitat von Lars1111

Hallo an alle! Ich habe eine Frage:

Mein Netbook war vor ein paar Tagen auch mit dem neuen Verschlüsselungstrojaner infiziert, aufgrund eines E-Mail-Anhang's. Doch habe ich ein neues Windows installiert (von Win 7 Starter zu Win 7 Home Premium), da ich für das Poblem keine Nerven mehr aufbingen konnte und bald verzweifelt bin.
Vor dem Neuaufsetzen konnte ich unmittelbar nach dem Hochfahren des Netbooks, noch bevor das Trojanerbild erschien, ein USB Stick anschließen, auf dem ich 10-12 veschlüsselte Bilder kopieren konnte...
Kann ich diese Bilder (.jpg) im Nachhinein totzdem "irgendwie" encodieren?
Diese Bilder sind mir nämlich extrem wichtig...

PS: Ein Bilddatei sieht ungefähr so aus:

dGnHgHvjbhvjbhbJGHbmkHBKk (ohne Datei-Endung) (unter Typ steht "Datei")

Dankeschön!

nein, das wird nicht mehr klappen. Der Virus setzt eine verschlüsselte Katalogdatei ins System die á la EABD420EEDFA2.$02 heißt. In dieser sind die Schlüssel zu jeder einzelnen Datei gelistet, die ganze Datei ist verschlüsselt.
Wenn es eine Chance gibt zur Rettung , dann nur mit dieser Datei.

Wenn die Bilder groß genug waren hast Du vielleicht eine Chance das der User Forrest74 was mit seiner Programmlizenz zur Rettung von JPG machen kann.

Hallo Lars,
hast Du die Möglichkeit die Bilder in ein Archiv zu packen und irgendwo hoch zu laden?
Dann schaun wir mal.

Volker

@Undertaker: Hallo! Könnte ich dir die Dateien (Bilder) per E-Mail schicken? Wüsste sonst nicht wie ich es anstellen soll. Sind nicht groß die Bilder, vielleicht 1-2 MB zusammen.

@deraddi:

heißt das, wenn ich die Datei .$02 gesichert habe, das ich den rechner neu aufsetzen kann und trotzdem irgendwann mal die chance besteht die betroffenen Dateien zu retten?

Danke Rainer


SORRY!
Erledigt da du es ja schon geschrieben hast!!! ;-)

Da war mein Kopf zu langsam am frühen morgen! :-(

Hallo,

ist vielleicht für jemanden von der "Analyse" interessant...

Ich habe gestern wieder bei einer "Kundin" die sich per Mail (PDF im Anhang) die Verschlüsselung eingefangen hatte.

Dabei bemerkte ich zumindest für mich zum ersten bei zwei Dinge die ich so noch nicht gesehen hatte:
1. Ein Verzeichnis mit *.exe-Dateien unter C:\Windows\Installer\{F0559C5E-7912-4391-B1A0-6B975F0E5064} mit mitunter einer Schaddatei namens "SHCT_TRAY_PROGRAMG_A10D8603999C4E9488776EF2533C58C9.exe"

2. Ein Verzeichnis unter C:\Users\"Benutzername"\# welches eigentlich versteckt markiert war.
Dies beinhaltet 4 Dateien...
MBX@6CC@A02740.###
MBX@6CC@A02770.###
MBX@40C@1FA2740.###
MBX@40C@1FA2770.###

Leider kann ich mit dem Inhalt nicht wirklich was anfangen. "Mal abgesehen von "This program cannot be run in DOS mode." - verstehe ich da leider nicht viel von. :-(
Vielleicht bilde ich mir was ein, aber in Datei 2 und 4 würde ich jeweils vermuten das es sich um eine "Schlüssel"zeile handelt. Aber wie gesagt, ich habe da keine wirkliche Ahnung von.

Gesichert wurden von mir der REG-Eintrag, dieser Ordner, der Ordner ausm Installer-Verz., die ACHTUNG-LESEN.txt vom Desktop, Ein Ordner mit EXE-Datei aus %APPDATA%.

Falls daran Interesse zur Analyse besteht...melden.^^


PS.: Ich hoffe ja eigentlich nicht der Entdecker einer ganz neuen Version geworden zu sein,...

Grüße,
Wavetable