Made my day!

Seit heute morgen bin ich auch Mitglied im Club. Erst die Rechnungsmail welche ich in geistiger Umnachtung geöffnet habe - selbstverständlich hatte ich sie vorher mit Kasperski überprüft :-(. Na ja dann der BKA hinweis und nun wie bekannt alles jpg. mp3, corel draw dateien, und auch sämliche Fonts im sdgdhshdwfiiw Format. So eine Scheiße. Zum Glück habe ich von den Bildern und Musik dateien Sicherungen. Allerdings sind ein paar PDF's und exel Dateien hops was besonders bei der EXEL datei doof ist. Zum einen kann ich Sie nicht mehr identifizieren und zu andern weiß ich nicht wie ich sie entschlüsseln soll. Ich schließe allerdings nicht aus das ich hier was überlesen habe :-). Vielleicht hat jemand ne Idee wie ich die Coreldateien wiederbeleben kann. Hat einer ne Ahnung was mit den Schriften ist?

LG

Arnd

Zitat:

Zitat von SLK-Arno

Hat einer ne Ahnung was mit den Schriften ist?

moin moin Arnd,
sind das selbst kreierte Fonts?
Wenn nicht, was hindert Dich daran die wieder neu zu installieren?
Für den Rest hat Dir @seeadler ja schon den Wink mit dem Holzhammer gegeben.

Und!
Schicke den Virus an marcusg!
Der Link zur Adresse steht gleich in meiner Signatur.

Volker

war mal so frei ein bild von GVU zu posten

"Ich schließe allerdings nicht aus das ich hier was überlesen habe :-) "

Wie wäre es den mal mit dem Text, der über dem Thread steht ?
Vorallem der Bereich
Daten retten nach Verschlüsselungstrojaner
??

@Bombenjaeger, nun höre endlich auf von Neue Verschlüsselungs-Trojaner Variante im Umlauf zu faseln.

Das ist alles schon bekannt, schau und poste hier.

Langsam geht es mir auf den Keks, dass Du die Foren zumüllst ohne einen essentiellen Beitrag zu den Diskussionen zu leisten.

Volker

@ Undertaker...
Da wäre jetzt aber doch eine Sache, die mich an dem Post von Bombe jetzt doch interessieren würde...
Ist das schon wieder SEIN PC ? Der, der schon gereinigt wurde, und ja doch so sicher ist, dass er sich das immer wieder einfängt ?

Sorry, ist OFFTOPIC, konnte ich mir jetzt aber nicht verkneifen..

@ undertaker :

kann man mit jpg recovery auch alles ausser jpg format was bilder angehen wieder retten oder gibt es dafür eine andere software ? woran merke ich wenn ich mit einer hexe editor eine datei auslese ob es sich um : tif,gif, etc an weiteren bild daten handelt ? verstehst du was ich meine ???

so wie ich es sehe kann jpg recovery nur jpg s retten aber was ist mit anderen bild formaten ????

danke

Zitat:

Zitat von bobby187

kann man mit jpg recovery auch alles ausser jpg format was bilder angehen wieder retten oder gibt es dafür eine andere software ? woran merke ich wenn ich mit einer hexe editor eine datei auslese ob es sich um : tif,gif, etc an weiteren bild daten handelt ? verstehst du was ich meine ???

Hallo bobby,
JPEG-Recovery kann außer JPG-Dateien noch einige RAW-Formate verschiedener Kamerahersteller restaurieren.
Zumindest soll es das können, getestet habe ich das noch nicht.
Formate wie *.bmp, *.tif oder '.gif verarbeitet das Tool nicht.

Eine JPG-Datei weist typische Marker auf, nach denen man mit einem Hexeditor suchen kann.
Diese Marker beginnen mit FFh.
Wenn also in mehr oder weniger regelmäßigen Abständen die Zeichenfolge FFxxh auftaucht, liegt die Vermutung nahe, dass es ein JPEG ist.
Sicher ist das aber nicht, da der typische Dateibeginn einer JPG-Datei,
FF D8 ---> Start Of Image,
FF DB ---> Definition der Quantisierungstabellen
vom Trojaner überschrieben wird.

Siehe auch meinen Beitrag hier: http://www.trojaner-board.de/115183-...tml#post853212

Volker

Zitat:

Hallo bobby,
JPEG-Recovery kann außer JPG-Dateien noch einige RAW-Formate verschiedener Kamerahersteller restaurieren.
Zumindest soll es das können, getestet habe ich das noch nicht.
Formate wie *.bmp, *.tif oder '.gif verarbeitet das Tool nicht.

Eine JPG-Datei weist typische Marker auf, nach denen man mit einem Hexeditor suchen kann.
Diese Marker beginnen mit FFh.
Wenn also in mehr oder weniger regelmäßigen Abständen die Zeichenfolge FFxxh auftaucht, liegt die Vermutung nahe, dass es ein JPEG ist.
Sicher ist das aber nicht, da der typische Dateibeginn einer JPG-Datei,
FF D8 ---> Start Of Image,
FF DB ---> Definition der Quantisierungstabellen
vom Trojaner überschrieben wird.

Siehe auch meinen Beitrag hier: http://www.trojaner-board.de/115183-...tml#post853212

Volker

ok....gibt es denn sowas wie jpg recovery für andere bildformate also tool mäßig ?

in deinem beitrag steht aber nur wie man jpg mit hexe editor auslesen kann aber nicht wie man es bei anderen formaten anwendet ? zb mp3 oder mpg woher man dann weiß dass es sich um eine mp3 handelt oder mpg etc....?

dann wollte ich noch was wissen....sagen wir mal ich habe eine musik datei weiß aber nicht ob es sich um eine mp3 oder mpg handelt und auch wenn ich jetzt die endung ändere geht es nicht wie kann ich anhand hexe editor herausfinden welche URSPRÜNGLICHE ENDUNG das mal hatte ?????????

UND sagen wir verzichten wir mal auf die musik datei sei es mp3 oder video clip....im aller schlimmsten falle kann ich ja durch den datei NAMEN das ja wieder besorgen......jetzt die frage : kann ich mit hexe auch URSPRÜNGLICHE DATEI NAMEN herauslesen oder was für möglichkeiten gibt es ?????

ich habe keine schatten kopien etc also ich will einfach nur wissen wie ich von einer verschüsselten datei einfach nur den URSPRÜNGLICHEN dateinamen herausfinden kann und von mir aus ist die datei zerschossen....ich will einfach den datei namen der musik datei wissen : zb. jahsghfghasHHGJGhjagjd ist die verschlüsselte datei und ich will ursprungs dateinamen von der datei herausfinden zb. billiejean_MJ.mp3 oder dr.alba_its_my_life.mp3 ( das sind nur beispiele )



Danke Volker

Zitat:

Zitat von bobby187

... also ich will einfach nur wissen wie ich von einer verschüsselten datei einfach nur den URSPRÜNGLICHEN dateinamen herausfinden kann

Das ist nach Aussagen der Delphi-Coder nur mit der *.$03 Datei möglich, die der Virus während der Verschlüsselung schreibt.
Hier ein Zitat aus dem Delphi-Forum:

Zitat:

Zitat von Marcu

Mit mehr Glück hättest du eine gelöschte $03-Datei finden können, welche im $user\temp-Verzeichnis lag. Dann hätte man den Dateien wenigstens ihren Orginalnamen zurückgeben können. Ohne die $03-Datei geht nicht einmal das.

Es gibt dazu auch ein Delphi-Script um die Daten auszulesen.
Allerdings habe ich bisher noch keine Info über eine erfolgreiche Rekonstruktion gelesen.
Ich bin da skeptisch, da ich nichtmal jemanden kenne, der diese $03 erfolgreich aus dem Temp-Verzeichnis retten konnte.

Meines Erachtens tendiert die Erfolgsaussicht, den verschlüsselten Dateinamen die Originalnamen zuzuordnen, real gegen Null.

Volker

Moin
.mpg, .avi etc. funktioniert doch sowieso nicht und bei .mp3 hört man ja, um was es sich handelt und muss dann halt jede einzelne Datei manuell umbenennen. Oder noch einfacher: Man legt halt die Original-CD, die man natürlich im Regal stehen hat (), ins Laufwerk und hat mit ein bisschen Aufwand seine Musiksammlung wieder auf dem Rechner.

bombi, schönes Bild. Du wirst noch berühmt, ich glaube ganz fest daran. Irgendwann entdeckst du eine Weltneuheit, da bin ich mir sicher, und dann kommst du ganz groß raus.

Zitat:

Zitat von Undertaker

Das ist nach Aussagen der Delphi-Coder nur mit der *.$03 Datei möglich, die der Virus während der Verschlüsselung schreibt.
Hier ein Zitat aus dem Delphi-Forum:



Es gibt dazu auch ein Delphi-Script um die Daten auszulesen.
Allerdings habe ich bisher noch keine Info über eine erfolgreiche Rekonstruktion gelesen.
Ich bin da skeptisch, da ich nichtmal jemanden kenne, der diese $03 erfolgreich aus dem Temp-Verzeichnis retten konnte.

Meines Erachtens tendiert die Erfolgsaussicht, den verschlüsselten Dateinamen die Originalnamen zuzuordnen, real gegen Null.

Volker

danke...wo finde ich genau dieses temp verzeichnis ?

@ Undertaker :

weisst du echt nicht ob es tools dafür gibt , die man wie jpg s recovery wieder gewinnen kann ? also zb. gif recovery etc. ???

danke

Zitat:

Zitat von Undertaker

Das ist nach Aussagen der Delphi-Coder nur mit der *.$03 Datei möglich, die der Virus während der Verschlüsselung schreibt.
Hier ein Zitat aus dem Delphi-Forum:



Es gibt dazu auch ein Delphi-Script um die Daten auszulesen.
Allerdings habe ich bisher noch keine Info über eine erfolgreiche Rekonstruktion gelesen.
Ich bin da skeptisch, da ich nichtmal jemanden kenne, der diese $03 erfolgreich aus dem Temp-Verzeichnis retten konnte.

Meines Erachtens tendiert die Erfolgsaussicht, den verschlüsselten Dateinamen die Originalnamen zuzuordnen, real gegen Null.

Volker

Hallo Volker,

bei mir ist es gelungen, aus der $03 Datei mit dem Delphi-Script eine txt-Datei mit den Ursprünglichen Dateinamen und den neu erstellten Dateinamen zu erstellen. Wer also die $03-Datei im Temp-Ordner findet hat mit dem Script schon einen Teilerfolg. Allerdings muss ich dazu feststellen, dass nach dem Befall der Rechner mit der Festplatte nur noch ein mal mit der Kaspersky-CD gestartet wurde zum entfernen des Trojaners und die Platte dann als zusätzliche in einen anderen Rechner gepackt habe um nichts weiter zu zerstören.

Gruß Peter

Hallo

Ich habe auch diesen Trojaner gehabt. Nun ist alles wieder gut,aber ich kann keine Bilder oder Dokumente mehr öffnen.Die Endungen sind da wie zum Beispiel jpeg, aber weder ind der miniaturansicht im ordner noch durch irgendein programm wie windows bildanzeige kann ich das bild sehen bzw öffnen.ist sehr wichtig,sind emotionale bilder und dokumente die ich unbedingt haben muss. bitte um hilfe!!!!

Tobi