Zitat:

Zitat von Undertaker

Ja, dsas ist mir klar, aber welche ETZJHgjfcvjgTZUU gehört zu welchen Original?

Die Wiederherstellung hat doch den Ordnerinhalt gesichert, deswegen habe ich jeweils den Ordner wiederherstellen lassen. Der Dateiname war mir in soweit egal. Die Anzahl und die Größe der Dateien nach der Herstellung waren identisch.
Gruß DEvilTH

Hallo,

mich hat es auch erwischt. Alle wichtigen privaten Daten wie Bewerbungen (besonders für mich wichtig) sind verschlüsselt mit einer Buchstaben-Zahlenkombination.
Anti-Malware habe ich nach der Anleitung hier im Forum auf meinen befallenen Laptop durchlaufen lassen, aber ich bekomme die Daten trotz Decrypter nicht entschlüsselt (obwohl ich eine Referenz-Datei gefunden habe). Der Decrypter teilt mit, dass kein Schlüssel erzeugt werden kann.

Sehr geehrte Kundin, sehr geehrter Kunde Frau "hier steht mein vollständiger Name",

unser Logistikpartner hat Ihr Paket mit der Auftrags-ID 39430612886 zur Lieferung an Hermes Versand übergeben.

Im Anhangsordner befindet sich die Abrechnung und die Zustelladresse als Druck-Datei. Sie dürfen die Rechnungsbestätigung jederzeit selbständig über den online Shop abrufen.

Folgende Angaben werden abgefragt:

- E-Mail-Adresse und die Bestellnummer oder
- die Auftrags-Nr. und die Geräte-Id

Auftragsnummer: 67506704213
Geräte Serien-Nr.: 94214823904
Buchungssumme: 136,20 Euro

Ihre Bestellung ist hiermit fertiggestellt.

Mit freundlichen Grüßen

Ihr Kundendienst

________________
Naeta Technik Online-Handel mit Sitz in Hamburg

Vorstand: Helmut Vogel, Maria Hofer
Aufsichtsratsvorsitzender: Dieter Huber
Amtsgericht: München 49413
_____________________________________

Genannte Email-Adresse: ciefer71@arcor.de

Dann mit anhängender Zip-Datei: Bestellung.zip

Betreff: Ihre Bestellung 122690234 "hier wieder mein kompletter Name"
Datum: Sat, 19. May 2012 04:16:01


So sah das bei mir aus.

Momentan scheinen wenigstens die wichtigsten Dateien mit dem ShadowExplorer 0.8 rettbar zu sein. Vielleicht hilft es ja auch bei euch?

Hallo, ich habe auch den neuen Trojaner erwischt. Hat alle Daten verschlüsselt. Keine der hier aufgeführten "Reparaturmethoden" schlägt an.
Die email habe ich nicht mehr. Sie kam am 17.05.2012 und hat im email Ordner alle Einträge vom 17.05.2012 gelöscht.
Die überschriebenen Daten habe keine Endung. Egal ob JPG PDF MP3. Alle Ordner sind befallen. Den Trojaner haben wir durch verschiedene Reinigungsprogramme entfernen können. Die Verschlüsselung besteht jedoch weiterhin. Das System XP Serv Pack 3 startet wieder. Beim Hochfahren erhalten wir einen Fehler:SipaHost.exe - Komponente nicht gefunden. Die Anwendung konnte nicht gestartet werden, weil DVCCDBBasic100.dll nicht gefunden wurde." Wenn 15x OK gedrückt wird, verschwindet die Fehlermeldung. Einen Screenshot übersende ich. Weiterhin habe ich eine verschlüsselte Datei und eine Original Datei beigefügt. Die Größe der Dateien bleibt indentisch. Allerdings sind alle verschlüsselten Dateien "erstellt am 13. Februar 1601". Wichtig ist auch noch, dass es keinen Zugriff auf Wiederherstellungspunkte gibt. Es ist nicht möglich, vor der Infektion auf Wiederherstellungspunkte zuzugreifen. Vielleicht helfen diese Beobachtungen bei der Lösung des Problems

Hallo,

einige meiner Fotos konnte ich eben mit dem O&O MediaRecovery wieder reparieren.

LG Adhideva

Wenn jetzt noch jemand wüßte, wie man die Emails in Thunderbird wiederherstellt?

Scheinbar habe ich einen Weg gefunden: http://www.trojaner-board.de/115496-...erstellen.html

Ich hoffe, dass es klappt, was ich grade mache mit dem ShadowExplorer:

Leeren Ordner auf dem Desktop erstellen, dann über den ShadowExplorer die Thunderbird-Daten folgendermaßen finden:

C - Users - Medion (bei mir, bitte euren User selbst raussuchen) - AppData - Roaming - Thunderbird

und dann in den leeren Ordner exportieren.

Den Ordner z.B. auf eine leeren ext. Festplatte sichern.

Ich hoffe, dass ich dann die "kaputten Daten" mit den gesicherten Daten ersetzen kann.

Beim Thunderbird gibt es auch eine Lösung ohne Shadow.

Man suche sein Profileverzeichnis (C:\Users\Benutzer\AppData\Roaming\Thunderbird) und dort die "Local Folders". Da sind in der Regel die Maildateien. Es gibt immer zwei zusammengehörige Dateien, z. B. Inbox und Inbox.msf. Das gilt für Sent, Trash, usw.

Nun öffne man mit einem Editor (z.B. Notepad++ o.ä.) diese Dateien.
Wenn man nun besagte 12288 Bytes runtergeht, muss man Inhalt in dieser Form finden:

Code: Alles auswählenAufklappen

ATTFilter

From - Sun May 11 15:55:53 2008
X-Account-Key: account2
X-UIDL: 0MKqlY-1JvBvt2Qhw-0002qN
X-Mozilla-Status: 0000
X-Mozilla-Status2: 10000000
X-Mozilla-Keys:                                                                                 
Return-Path: <info@asdfg.de>
Delivery-Date: Sun, 11 May 2008 15:49:49 +0200
Received: from m2.goneo.de (m2.goneo.de [82.100.220.83])
	by mx.kundenserver.de (node=mxeu4) with ESMTP (Nemesis)
	id 0MKqlY-1JvBvt2Qhw-0002qN for asdfg@hjkl.de; Sun, 11 May 2008 15:49:49 +0200
Received: from localhost (localhost.goneo.de [127.0.0.1])
	by scan.goneo.de (Postfix) with ESMTP id 675DA130C7B
	for <asdfg@hjkl.de>; Sun, 11 May 2008 15:49:45 +0200 (CEST)
[..]
         

Diese Datei ist dann eine Maildatei.

Da neue Mails immer unten angehängt werden, kann alles was darüber steht, gelöscht werden. So kann man die Datei wiederherstellen.
Wenn ihr die Dateien dann in der Form "Maildatei1", "Maildatei2", usw. umbenennt und dann Thunderbird startet, findet ihr Ordner dieses Namens in der Oberfläche.
Dann diese Mails markieren und in die entsprechenden Ordner (Posteingang, gelöscht,... -diese automatisch wieder angelegt) verschieben.

Die restlichen Einstellungen wie Mailadresse, Server, usw. müssen von Hand neu angelegt werden, das sie vermutlich zerstört wurden.


Michael

An ts2000 und Undertaker

vielen Dank für eure Antworten. Für ein Backup auf ein NAS würde ich einfach ein Backup Benutzer anlegen der als einziger im Backup-ordner auf dem NAS schreiben darf. Natürlich geht das nur mit Backupprogramme die sich mit anderen Benutzernamen am NAS anmelden können. Oder wo man vor dem Backup und nachdem Backup Befehle ausführen kann. Dann könnte ich "net use... verwenden".

Aber das mit der Secure Zone mit Acronis finde ich sehr interessant. Ich benützte Acronis um meine SSD Platte mit dem OS regelmäßig auf eine zweite normale HD zu sichern. (Ich traue den SSD's noch nicht richtig ;-).

Wäre toll wenn Du Undertaker dies testen kann und uns das Ergebnis mitteilst.

Wenn das klappen würde, könnte man mit Secure Zone auch eine USB-Platte als Backup benützen.

Nebenbei gibt es irgendwo ein Beispielskript mit dem man USB-Platte unter Windows mouten und demouten kann. Und falls das geht muss ich dann beim Start von Windows die Platte nicht immer über ein Skript gleich abmelden. Weil beim Start wird doch jede USB-Platte automatisch von Windows angemeldet.

gruss

alex

Hallo

Ich habe mir gestern per Mail (GMX) ein Trojaner runtergeladen. Es war ein Mail wo drin stand das ich was erworben hätte und die einzelheiten zum kauf finden sie im Anhang. Der Anhang war ein Rar datei wo sich eine Mircosoft office 98 textdatei dein sollte. Also habe ich die Rar entpakt und die "Textdatei" probiert zu öffnen. Das ging nicht. Mein Rechner wurde darauf hin runter gefahrn und neu gestartet wo er gespeert war. Das hab ich hinbekommen. Indem ich über den abgesicherten Modus gegangen bin und eine Wiederherstellung durchgeführt habe. Ging der rechner auch da ist mir erst aufgefahln das alle TXT.JPG.RAR usw verschlüsselt worden sind. Hab mit ein programm den Dateicode der verschlüsselt Datei (ein Bild) und den Code einer originalen Datei vergleichen lassen. Da fiel mir auf das etwar 2% der verschlüselt datei immer der anfang anderes war. Das heisst 98 % sind gleich . So ich habe alle entschlüsselungsprogramme genutz aber keins ging. Kann mir da jemand helfen....

Meine Mail Masterbob11@gmx.de

Hallo Wolf,

bei funktionierte keines der Entschlüsselungsprogramme.
Ich hatte mir nach der Malware-Säuberung durch Anti-Malware den ShadowExplorer 0.8 (Edit: http://www.trojaner-board.de/115496-...erstellen.html) runtergeladen.
Unter File die befallene Festplatte (z.B. C: ) auswählen. Daneben kann man aus mehreren Daten, das gewünschte Datum (habe den Tag vor dem Befall ausgewählt) aussuchen. Klickt man mit rechter Maustaste auf einen Ordner, öffnet sich das Fenster "Export". Da drauf klicken, dann neuen Ordner erstellen, am besten auf einen externen Speicher (z.B. Festplatte) und das Programm arbeiten lassen. Wenn man den neuen Ordner öffnet, findet man seine Daten wieder.
Jetzt bin ich hingegangen und habe einen meiner befallenen z.B. Ordner ABC auf dem Desktop in einer neuen Ordner (benannt als Ordner ABC-gelocked, einfach nur zur Sicherheit) verschoben. Von der Festplatte habe ich dann den gesicherten, wiederhergestellten Ordner ABC auf den Desktop kopiert.
Ich bin mit den Ordnern von Firefox und von Thunderbird genauso verfahren und habe somit alle Einstellungen, Lesezeichen und Emails wieder erhalten, wie vor dem Befall.
Ich hoffe, dass hilft.

Hallo zusammen,

ich habe mir die verseuchten Dokumente mal mit einem Hex-Editor angesehen,

in diesem Fall sind es alles PDF-Dateien......

habe hier mal ein Bild der Testdatei:

in der linken Bildhälfte ist ein sauber erstelltes PDF-Dokument....auf der rechten Seite ein von uns verändertes PDF zu sehen......
wie man sehen kann reicht es aus wenn man in der ersten Zeile (siehe rechtes doc) die zuordnung ändert........
das so vermute ich mal hat dieser Virus auch gemacht......
ich bekomme heute einige org. verseuchte Dockumente....um zu sehen ob das in realen Fall auch genau so ist.

wenn ja.....gibt es eine Möglichkeit, die zwar sehr auswendig und auch nicht gerade jedem zu Empfehlen ist, zumindest die wichtigsten Documente zu retten.......

ob es jemals ein tool für sowas geben wird...steht zur Zeit noch in den Sternen.......so sehen wir das auf jeden Fall

Grüße
Didek

guten morgen,
ich habe meinen pc auf werkseinstellungen gesetzt und fange neu an.

EVTL. VON INTERESSE:
ich habe alle defekten dateien auf einen stick gezogen (falls mal was geht....)

EIN FOTO-ORDNER
ANNA >> 000000.jpg, al-001jpg - al-118jpg ist darauf.
eine kopie dieses ordners ist sauber und enthält die original fotos

sollte interesse bestehen, bitte melden.

einen schönen tag und liebe grüsse
monika

Hallo
ich habe heute morgen eine Mail erhalten, in welcher meine 4 Jährige Tochter vermerkt wurde mit Vor-und Nachnamen.
Ich habe diese geöffnet und die Datei geöffnet. Jedoch passierte rein gar nichts.
Habe alles in den Papierkorb verschoben.

Als ich dann meinen Laptop runtergefahren habe und ihn 20 min später wieder anmachen wollte erschien von "Windows" ein "Update"

Sehr geehrte/r Leana Erler,

Danke für ihren Vertrag mit Querstreifen, nachfolgend finden Sie Ihre Bezahbestätigung.

Ihre Transaktionsnummer: 070450401715
Artikel: 3ware 7283361787 5808,79 Euro
Rechnungsname: Leana Erler

Zahlungsmethode: Visa

Versandadresse und detaillierte Vertragsdaten finden Sie aus Vorsichtsgründen im zugefügten Ordner.

Die Überweisung wurde autorisiert und wird innerhalb 3 Tage abgetragen.
Rechnungseinzelheiten und Widerspruch Erklärung finden Sie im zugefügtem Zip Ordner.


Ihr Support-Team

Hoffmann GmbH
Audorfring 81
50435 Dortmund

Telefon: (+49) 927 1570980
(Mo-Fr 8.00 bis 18.00 Uhr, Sa 10.00 bis 18.00 Uhr)
Gesellschaftssitz ist Amorbach
Umsatzsteuer-ID: DE148803122
Geschäftsfuehrer: Frieda König










Was mach ich denn nun? Der Laptop gehört meinem Freund. Ich bin nun übergewechselt zum Rechner.
Ich bräuchte driiiingend Hilfe!!!!!

Danke
Jennifer

@ Jenna25.....
wenn du nach einigen sec., nachdem der PC hochgefahren ist, ein Fenster auf dem Schirm, mit dem Titel "Sie haben sich mit einem Windows Verschlüsselungs-Trojaner infiziert"?????, hast..... sieht es nicht gut für deinen PC aus.

Wenn du kein Backup des PC´s haben solltest, bzw. die Windows Wiederherstellungs-Optionen "nicht" aktiviert sind........ wird dir nicht viel anderes übrig bleiben als den PC Neu zu Installieren......
zu beachten ist auch noch, dass wenn du diesen Schädlich auf dem Pc hast, unter umständen alle deine Dokumente (Bilder, PDF usw.) auch in Mitleidenschaft gezogen worden sind........

wäre es möglich das du näheres zu dem Problem schreibst.......
z.B.
- wie sehen die Dateinamen deiner Dokumente jetzt aus (wie sahen sie vorher aus...(vorher: bild1.jpg...jetzt jdhgdhgd.kdas oder hasgdjhg usw.)
- was macht der PC nach den Hochfahren
- welchens Betriebssystem hast du (WinXp, Vista, Windows7....usw)
- hast du noch zugriff auf den PC
usw. usw


@golldy
es wäre sicher interessant.....verseuchte Dateien zu bekommen.....je mehr man zum Vergleich hat um so besser ist es eine Lösung zu finden

Grüße
Didek

Hat bei mir leider einen XP-Rechner, d.h. ohne Schattenkopien erwischt. Anbei ein Verschlüsselungspaar des Hintergrundbildes winter.jpg

@ Didek

Es ist der Laptop meines freundes. Dieser kommt erst spät Abends heim. Wo genau sich die Windows CD befindet weiß ich nicht.
Ich bin nun auf seinen Rechner übergewechselt.

Wenn ich den Laptop starte kommt, wie du schon genannt hast, das bild auf welchem steht : Sie haben sich mit einem Windows Verschlüsselungs Trojaner infiziert.

Und dann ein ewig langer Taxt und ganz unten soll man dann den 100 Euro Paysafe Card Code eingeben..... Was ich sicherlich nicht tun werde... -.-

Ich kenne mich mit all dem nicht wirklich so aus...Da sind Männer geschickter drin

Dennoch habe ich keinerlei Zugriff auf meinen Laptop. Da ständig diese Meldung erscheint....
Ich habe Windows 7 als Betriebssystem...
Wie gelang ich denn ins bios? (schreibt sich dies so) =)

Ich wäre wirklich dankbar für jede Hilfe, denn ich glaube ich hab mir da was ganz böses zugelegt