Nein Undertaker..
Du hast keinen Denkfehler...
Aber sowohl Punkt 1 wie auch Punkt 2 setzten vorraus, das dein System schon wieder läuft... BZW der abgesicherte Modus wieder läuft...
Und, sofern ich jetzt keinen Denkfehler habe, klappt das bei vielen halt nicht so ohne weiteres...
Bei Trojanerbefahl startet der normale Modus eigentlich gar nicht, und der abgesicherte Modus halt bei einigen Varianten nicht.
Und das klappt dann manchmal erst, wenn man mit ner Bootcd gearbeitet hat, oder die Platte extern irgendwo dran hat...
Und verzeih mir, wenn ich jetzt nen Denkfehler habe, will ja keinen durcheinander bringen...
Und deswgen hab ich ja auch extra nochmal gesagt, das sich das ggf. nicht auf den Verschlüsselungstrojaner bezieht, sondern auch mal eher auf den BKA Trojaner..
Wobei ich jetzt schon 2 Bekannte hatte, die sich angeblich den Verschlüsselungstrojaner eingefangen haben, wo der abgesicherte Modus nicht ging. Die haben dann mit KIS Bootcd das System bereinigt und danach gebootet. Und es waren keine Daten verschlüsselt... Somit eine "alte" Version evt. Aber der abgesicherte Modus verursachte immer noch einen Bluescreen.. Normaler Modus lief einwandfrei.. Abgesichert Bluescreen...
Somit Daten gesichert und neu installiert.. Und leider ist derTrojaner nicht mehr vorhanden, ansonsten hätte ich den auch mal gesendet...
Und ich wollte das eigentlich nur erwähnen, weil ja auch nicht alle wissen, welchen Trojaner sie sich eingefangen haben.. Und Verschlüsselungstrojaner nennen sich mittlerweile mehr...
Also..
Sollte keine Diskussion werden, sondern eigentlich nur nen Hinweis
Sorry...

Ok..
Hast gewonnen

Meiner Meinung nach könnte man das aber evt. auch noch dazu schreiben zu den Startinfos...:duck:

hallo!
ich habe meinen pc schon vor ein paar tagen infiziert, antivir hat den trojaner gefunden und ihn in quarantäne gesteckt, dann hab ich ihn gelöscht
dann kam das fenster, das hier auch oben auf der seite ist, ich solle 100 euro oder so zahlen, und dass ich mich auf einer seite mit pornografischen inhalten infiziert hätte. da stand, ich soll den pc auf keinen fall ausmachen, aber dann ist er von selbst ausgegangen. ich hatte auch ein bitte lesen dokument auf dem desktop, das hab ich auch gelöscht ohne reinzuschaun. dann ist erstmal nichts passiert, dann ist mir aufgefallen, dass ich keine pdf dateien mehr öffnen konnte, aber alles andere schon, jetzt gehn auch die bilder und worddokumente nicht mehr, es kommt immer die meldung, die dateien könnten nicht geöffnet werden, weil sie beschädigt sind oder weil dieser typ nicht zum programm passt.
ich habe alle tools durchprobiert, und keins hat geholfen (ich bin mir aber auch nicht sicher, ob ich alles richtig gemahct hab, ich hab keine ahnung)
könnt ihr mir bitte helfen??? ich weiß nicht, was ich jetz tun soll!
gibt es irgendwelche menschen, die sowas auch professionell machen, falls ich es sekbst nicht hinkrieg??
hilfe!

PS: die dateien heißen alle noch genau so wie vorher

Zitat:

Zitat von maxwell373

ich habe alle tools durchprobiert, und keins hat geholfen (ich bin mir aber auch nicht sicher, ob ich alles richtig gemahct hab, ich hab keine ahnung)

moin moin maxwell,
welche Tools hast Du ausprobiert?
Wenn es die acht Tools sind, die oben unter dem Punkt 3 im ersten Link genannt sind Übersicht der 8 Entschlüsselungs-Tools, dann können die bei der Verschlüsselungsvariante Deiner Dateien nicht helfen.

Zitat:

könnt ihr mir bitte helfen??? ich weiß nicht, was ich jetz tun soll!

Nein, bis auf die Möglichkeiten die im zweiten Link unter Punkt 3, Daten retten nach Verschlüsselungstrojaner, genannt werden, gibt es z.Z. keine Alternative.
Zuerst würde ich die Suche nach Schattenkopien empfehlen, siehe dazu die Aussagen zum Shadow Explorer.

Zitat:

gibt es irgendwelche menschen, die sowas auch professionell machen, falls ich es sekbst nicht hinkrieg??
hilfe!

Sicherlich gibt es die, aber mehr als die hier vorgestellten Möglichkeiten bleibt denen auch nicht.
Eine echte Entschlüsselung ist derzeit nicht möglich.

Volker

Zitat:

Zitat von Undertaker

Nein, bis auf die Möglichkeiten die im zweiten Link unter Punkt 3, Daten retten nach Verschlüsselungstrojaner, genannt werden, gibt es z.Z. keine Alternative.
Zuerst würde ich die Suche nach Schattenkopien empfehlen, siehe dazu die Aussagen zum Shadow Explorer.

Der Hinweis auf die Schattenkopien ist sicher sehr nützlich, nur ist halt die Frage, wie man als Laie an die rankommt.

Zunächst hat man ja die Situation, daß man den Rechner ob dieser netten, aber sinnfreien Zahlungsaufforderung nur ein- und wieder ausschalten kann. Sinnfreie Zahlungsaufforderung, weil man auf die Zahlung hin bestenfalls das bekommt, was man nicht auf eigene Initiative - Boot-CD - auch haben kann, von Datenrekonvertierung war ja bei der Vielzahl der Infektionsfälle bisher keine Rede. Zudem bleibt danach das System infiziert, wenn man nichts macht außer zu zahlen, man sollte also damit rechnen, alsbald wieder um Geld gebeten zu werden.

Nimmt man eine der verschiedentlich angebotenen Notfall-CDs, die zumeist auf irgendeiner Linux-Distribution basieren, so wird die logischerweise die Windows-Wiederherstellungspunkte nicht finden. Ich habe bspw. die infizierte Festplatte ausgebaut und betreibe den Rechner über eine USB-Festplatte mit einem Ubuntu 12.04 64bit und da fehlt eben der Menuepunkt "Vorgängerversionen" aus leicht nachvollziehbaren Gründen.
Es stellt sich da auch die Frage, ob das anders wäre, wenn man den Rechner von einem fremden Windows-System (bspw. der Betriebssystem-CD, falls man eine hat) booten würde. Findet ein Windows 7 64bit Schattenkopien auf einer als pures Datenlaufwerk gemounteten Platte?

Zitat:

Sicherlich gibt es die, aber mehr als die hier vorgestellten Möglichkeiten bleibt denen auch nicht. Eine echte Entschlüsselung ist derzeit nicht möglich.

Das Problem ist ja (und das ist jetzt kein Vorwurf an Euch), daß viele Leute auf den von Euch aufgezeigten Wegen aus dem einen oder anderen Grund scheitern. Die Virenprogrammierer sind ja nun keine kleinen Jungs, die irgendwo einen Baukasten aus dem Supermarktregal gegriffen und den haben machen lassen.

Es ist also nicht abwegig, sich nach Leuten umzusehen, die Eure Rezepte umsetzen können, sofern einem das nicht selbst gelingt und das nach Lage der Dinge derzeit technisch bestmögliche Arbeitsergebnis die Investition wert ist, die deren Beauftragung bedeutet.

Dieses nach Lage der Dinge derzeit bestmögliche Arbeitsergebnis wird sich, da muß ich Volker Recht geben, nicht nur marginal von dem unterscheiden, was auf den Internetseiten der diversen Datenretter (und vielleicht auch von deren Angestellten am Telefon) versprochen wird, der Rechnungsbetrag vermutlich aber nicht. Wenn diese Leute sich nicht in ihren AGB gegen alle (un)denkbaren Eventualitäten absichern würden, wären sie längst nicht mehr am Markt.

Nebenbei soll noch die Anmerkung gestattet sein, daß man sich wirklich den Inhalt aller Verzeichnisse auf der infizierten Platte anschauen sollte. Bei meiner ist (aus welchen Gründen auch immer) ein doch beträchtlicher Teil der Datenbestände unverschlüsselt geblieben.

Zitat:

Zitat von Peter I.

Der Hinweis auf die Schattenkopien ist sicher sehr nützlich, nur ist halt die Frage, wie man als Laie an die rankommt.

Zunächst hat man ja die Situation, daß man den Rechner ob dieser netten, aber sinnfreien Zahlungsaufforderung nur ein- und wieder ausschalten kann.

Richtig, und solange man den Trojaner unbehelligt läßt, wird sich an dieser Situation auch nichts ändern.
Da maxwell sein System wieder booten kann, ist davon auszugehen, dass AVIRA sein Werk getan hat.
Damit hat er auch wieder Zugriff auf eine mögliche Schattenkopie.

Natürlich ist es denkbar, wenn nicht sogar wahrscheinlich, dass noch Reste des Trojaners und Einträge in der Registry vorhanden sind.

Insofern hätte mein erster Rat an maxwell lauten müssen, einen persönlichen Thread zur individuellen Hilfe bei der Säuberung seines PCs zu starten.

Also @maxwell373, wenn Du das hier liest, folge dem Link Thema starten und lasse Dir bei der Säuberung Deines Systems helfen.
Die Datenrekonstruktion kommt danach.

Volker

@Shravaka,
ok, soweit ist das alles nix Neues.
Was ist konkret Dein Anliegen?
Soll der Rechner gesäubert werden, willst Du die Unmenge Fotos und Musik rekonstruieren oder willst Du auf die nahe Zukunft warten?

Volker

Den Trojaner habe ich, mehr oder weniger beabsichtigt, entfernt. Die Registry ist sauber, keine Reste mehr vorhanden denke ich.

Mein Ziel ist, die Daten irgendwie zu entschlüsseln. Musik schön und gut, wichtig sind mir die Bilder (viele persönliche Fotos) und Dokumente, welche Notizen für die Uni enthalten, sowie alte Hausarbeiten.

Habe eben mit ihr gesprochen, sie würde vermutlich den verschlüsselten Kram löschen und versuchen sich bei Bekannten den Kram wieder zusammen zu suchen. Schön doof, wer kein Backup hat..
Ich habe ihr geraten, die verschlüsselten Dateien zumindest auf einem Träger zu behalten und mir zu überlassen. Ich bin geduldiger, zumal es mich aufregt, wenn solche Dreckssäcke mit ihrem Werk durchkommen.

Zitat:

Zitat von Shravaka

Den Trojaner habe ich, mehr oder weniger beabsichtigt, entfernt. Die Registry ist sauber, keine Reste mehr vorhanden denke ich.

Mein Ziel ist, die Daten irgendwie zu entschlüsseln. Musik schön und gut, wichtig sind mir die Bilder (viele persönliche Fotos) und Dokumente, welche Notizen für die Uni enthalten, sowie alte Hausarbeiten.

Habe eben mit ihr gesprochen, sie würde vermutlich den verschlüsselten Kram löschen und versuchen sich bei Bekannten den Kram wieder zusammen zu suchen. Schön doof, wer kein Backup hat..
Ich habe ihr geraten, die verschlüsselten Dateien zumindest auf einem Träger zu behalten und mir zu überlassen. Ich bin geduldiger, zumal es mich aufregt, wenn solche Dreckssäcke mit ihrem Werk durchkommen.

Wenn du Win7 noch nciht neu isntalliert hast, hast du schonmal probiert mit ShadwoExplorer zu arbeiten ?

Zitat:

Zitat von Shravaka

Mein Ziel ist, die Daten irgendwie zu entschlüsseln.

Ich will Dich ja nicht entmutigen, aber mit einer Entschlüsselung wird das wohl ein Langzeitprojekt ohne Erfolgsgarantie.

Aber für eine Rekuonstruktion einiger Dateien bestehen gute Chancen.

Wie schon von seeadler genannt, zuerst mit dem Shadowexplorer nach Schattenkiopien suchen.

Für JPG-Dateien versuche JPGSnoop, mehr Erfolg verspricht JPG-Recovery, ist als Vollversion aber kostenpflichtig.

Bei Musikdateien, speziell MP3s, hilft das bloße Anfügen der Extension, um die Dateien wiedergabefähig zu machen. Umbenennen ist dann Handarbeit.

Bei Dokumenten, vor allem wenn sie OLE-Objekte enthalten, sieht es momentan mit einer befriedigenden Rekonstruktion eher mau aus.

Volker

Entmutigen lass ich mich so schnell nicht, bin schonmal froh, dass ich nicht das ganze Ding plattgemacht habe

ShadowExplorer werde ich dementsprechend bald ausprobieren, danke für den Hinweis. Warum ich das noch nicht gemacht habe..? Habe heute den Laptop erstmal wieder an die Besitzerin ausgehändigt, da sie auf ihn angewiesen ist.

Was JPG-Recovery angeht, so schaue ich mal im Laufe des Tages. Habe mir einige verschlüsselte Daten auf eine CD gebrannt und mitgenommen.
Kurze und vielleich dumme Frage dazu: Infektionsgefahr besteht hier doch nicht mehr, oder.? Inzwischen wundert mich nicht mehr viel^^

Die Mp3s sind zum Glück kein Problem, die komplette Mediathek hat sie scheinbar vorher einem Freund gegeben.

Mal schauen was zu retten ist, auf jeden Fall für die schnellen Ratschläge

Pace
Theo

@ Undertaker (oder sonstwer der sich damit befassen kann/möchte)...

Ich war eben wieder auf einem System drauf das die BKA-Sperrseite hatte. Keine Verschlüsselung, nichts weiter unbekannte besonders an Daten - nur reguläres wie ein Startmenüeintrag, etc..
Einzig ungewöhnliches, eine Datei namens "loc_pyt_0_kroj.pad" mit 4,29MB Größe in C:\ProgramData.
Entsprechend habe ich diese Datei mal gesichert, aber den Inhalt kann ich nicht lesen. Noch dazu ist ein großteil der Datei (aus der Sicht des "Editor-Programms" von Windows 7) einfach nur leer?!

Wenn jemand Interesse hat...einfach melden.


Grüße,
Wavetable

moin moin snoopy,
markusg sammelt solche Anhänge.
Hier der Link: Sendet uns die Viren

Volker

hab ich doch...siehe erster Satz

Hallo Ich bin seit ca einer Woche mit so etwas infiziert und habe echt keine ahnung von dem bitte um schnelle Hilfe.

Es sind wichtige datein auf dem pc und ich kann nichts machen bin zur zeit mit dem befallenen PC im abgesicherten Modus

LG
DonPhil