Danke für die schnelle Antwort, darkange. Meine Dateien wurden umbenannt in eine wahllose Abfolge von Buchstaben. Es wäre eine Katastrophe, wenn die Word-Dateien alle geschrottet wären, habe leider nur wenige Dateien auf anderen Medien gespeichert. Ich hoffe dann wenigstens, dass es doch irgendwann ein Unlocker-Programm gibt.

moin moin,
BackUp, ein schnuckliges Thema.

Der Sony VAIO meines Kundes hatte ja seitens der Werkskonfiguration seine versteckte Recoverpartition zur Wiederherstellung der Werkseinstellungen (F10). Der Virus hatte da keine Chance.
Ich denke hier liegt der Ansatzpunkt für relativ sichere Backups.
Backup and Restore von Acronis bietet beispielsweise auch die Option, die Sicherung auf eine spezielle Secure Zone zu legen.

Wenn es die Zeit zuläßt, werde ich den Virus auf einem so konfigurierten System mal testen.

Gruß Volker

Hallo zusammen,

bisher hatte ich leider mit allen hier aufgeführten Tipps wenig Erfolg. Nur ein paar Musikdateien habe ich durch Anfügen von "mp3" wieder herstellen können. Habe Windows XP, meine Dateien sind durch eine Buchstabenkette (ohne "locked" davor) umbenannt worden und nicht zu öffnen. Am wichtigsten ist die Wiederherstellung der Word-Dateien (habe Word 2003). Da funktioniert der Avira Unlocker bei mir nicht. Also, auf ein Update von Avira warten oder hat jemand noch einen anderen Tipp??

Grüße,
Manuela

Hallo an Alle Betroffenen.
Ich habe auch gerade so einen Trojaner beseitigt. Die Dateien waren im Schema fjXOodyasVAplDa verschlüsselt. Zum Glück lief der Dienst Windowswiederherstellung.
Dazu den Ordner mit den verschlüsselten Daten rechtsklicken-->Eigenschaften wählen dort den Reiter Vorgängerversionen klicken und ein Datum vor dem Trojanerbefall auswählen. Die Originaldateien werden zusätzlich zu den verschlüsselten Dateien zurückgeschrieben... alle Dateitypen bei mir.
Gruß DevilTH

PS:BS Windows7

Hallo DevilTH,

einen Wiederherstellungspunkt konnte man vor dem Trojanerbefall nicht finden. Ansonsten habe ich nur bei Eigenschaften die Reiter "Allgemein, Freigabe und Anpassen" finden können. Trotzdem danke für den Tipp!

Gruß,
Manuela

Zitat:

Zitat von Troja2012

Hallo DevilTH,

einen Wiederherstellungspunkt konnte man vor dem Trojanerbefall nicht finden. Ansonsten habe ich nur bei Eigenschaften die Reiter "Allgemein, Freigabe und Anpassen" finden können. Trotzdem danke für den Tipp!

Gruß,
Manuela

Liegt sicher daran, dass du Windows XP verwendest. Dort sind die von dir beschriebenen Reiter im Eigenschaften-Dialog noch geringer.

Gruß DevilTH

Tja, da kann man leider nichts machen. Ich hoffe dann auf ein Update eines Entschlüsselungsprogramms. Danke nochmal.

An ts2000 und Undertaker

vielen Dank für eure Antworten. Für ein Backup auf ein NAS würde ich einfach ein Backup Benutzer anlegen der als einziger im Backup-ordner auf dem NAS schreiben darf. Natürlich geht das nur mit Backupprogramme die sich mit anderen Benutzernamen am NAS anmelden können. Oder wo man vor dem Backup und nachdem Backup Befehle ausführen kann. Dann könnte ich "net use... verwenden".

Aber das mit der Secure Zone mit Acronis finde ich sehr interessant. Ich benützte Acronis um meine SSD Platte mit dem OS regelmäßig auf eine zweite normale HD zu sichern. (Ich traue den SSD's noch nicht richtig ;-).

Wäre toll wenn Du Undertaker dies testen kann und uns das Ergebnis mitteilst.

Wenn das klappen würde, könnte man mit Secure Zone auch eine USB-Platte als Backup benützen.

Nebenbei gibt es irgendwo ein Beispielskript mit dem man USB-Platte unter Windows mouten und demouten kann. Und falls das geht muss ich dann beim Start von Windows die Platte nicht immer über ein Skript gleich abmelden. Weil beim Start wird doch jede USB-Platte automatisch von Windows angemeldet.

gruss

alex

Hallo

Meine Freundin hat es heute leider auch erwischt,nichts ging mehr.Habe dann im abgesicherten Modus gestartet und hatte wohl Glück das keine einzige Datei verschlüsselt war. Vielleicht hat ja das Norton doch was gebracht. Gleich alles gesichert und jetzt mach ich mich mal ans Werk den Mist wieder runter zu bekommen !


Nur mal so zur Info für andere


Glück im Unglück

Hallo Leute,

meine Festplatte wurde ebenfalls komplett verschlüsselt. Musik, Bilder, Spiele - alles unbrauchbar.

Habe heute gemerkt, dass das Programm (Winamp), mit dem ich Musik wiedergebe, alles normal erkennt, wenn ich die Endung .mp3 anhänge.
Desweiteren habe ich gesehen, dass die Details der Datei (Eigenschaften -> Details) die normalen Informationen der Datei anzeigen, wenn man die Endung .mp3 anhängt.

Also könnte man anhand dieser Informationen ein Programm schreiben, was die kompletten Dateien, anhand dieser Informationen, herstellt.



Grüße!

@DevilTH,
kannst Du die verschlüsselten Dateien den jeweiligen Originalen zuordnen?
Ich denke mal, nur anhand der Größe wäre das möglich.
Könnte mir vorstellen, dass an passenden Paaren bei den Spezialisten hier Interesse besteht.

Gruß Volker

Die Dateien hatten am Ende die selbe Größe.
Gruß DevilTH

Zitat:

Zitat von DevilTH

Die Dateien hatten am Ende die selbe Größe.
Gruß DevilTH

Ja, dsas ist mir klar, aber welche ETZJHgjfcvjgTZUU gehört zu welchen Original?

Zitat:

Zitat von Undertaker

Ja, dsas ist mir klar, aber welche ETZJHgjfcvjgTZUU gehört zu welchen Original?

Die Wiederherstellung hat doch den Ordnerinhalt gesichert, deswegen habe ich jeweils den Ordner wiederherstellen lassen. Der Dateiname war mir in soweit egal. Die Anzahl und die Größe der Dateien nach der Herstellung waren identisch.
Gruß DEvilTH

Hallo,

mich hat es auch erwischt. Alle wichtigen privaten Daten wie Bewerbungen (besonders für mich wichtig) sind verschlüsselt mit einer Buchstaben-Zahlenkombination.
Anti-Malware habe ich nach der Anleitung hier im Forum auf meinen befallenen Laptop durchlaufen lassen, aber ich bekomme die Daten trotz Decrypter nicht entschlüsselt (obwohl ich eine Referenz-Datei gefunden habe). Der Decrypter teilt mit, dass kein Schlüssel erzeugt werden kann.

Sehr geehrte Kundin, sehr geehrter Kunde Frau "hier steht mein vollständiger Name",

unser Logistikpartner hat Ihr Paket mit der Auftrags-ID 39430612886 zur Lieferung an Hermes Versand übergeben.

Im Anhangsordner befindet sich die Abrechnung und die Zustelladresse als Druck-Datei. Sie dürfen die Rechnungsbestätigung jederzeit selbständig über den online Shop abrufen.

Folgende Angaben werden abgefragt:

- E-Mail-Adresse und die Bestellnummer oder
- die Auftrags-Nr. und die Geräte-Id

Auftragsnummer: 67506704213
Geräte Serien-Nr.: 94214823904
Buchungssumme: 136,20 Euro

Ihre Bestellung ist hiermit fertiggestellt.

Mit freundlichen Grüßen

Ihr Kundendienst

________________
Naeta Technik Online-Handel mit Sitz in Hamburg

Vorstand: Helmut Vogel, Maria Hofer
Aufsichtsratsvorsitzender: Dieter Huber
Amtsgericht: München 49413
_____________________________________

Genannte Email-Adresse: ciefer71@arcor.de

Dann mit anhängender Zip-Datei: Bestellung.zip

Betreff: Ihre Bestellung 122690234 "hier wieder mein kompletter Name"
Datum: Sat, 19. May 2012 04:16:01


So sah das bei mir aus.

Momentan scheinen wenigstens die wichtigsten Dateien mit dem ShadowExplorer 0.8 rettbar zu sein. Vielleicht hilft es ja auch bei euch?