Reparaturanleitungen für Dateien vom Verschlüsselungstrojaner "12 kB / neue Version"

leahciM

Hallo.

Ich möchte mal einen Thread eröffnen, in dem alle (funktionierenden) Reparaturanleitungen für Dateien veröffentlicht werden, die von dem Trojaner, der die ersten 12 kB verschlüsselt, beschädigt wurden.

Da die Tipps, die in diesem Thread http://www.trojaner-board.de/115183-...te-umlauf.html mittlerweile nur gefunden werden, wenn man alle Postings liest, wäre es schön, wenn in diesem Thread keine Meldungen von Verseuchungen gepostet werden, dafür gibts glaube ich passendere Stellen.



Microsoft Outlook
Diese Lösung sollte mindestens für Outlook-Datendateien ab Version 2003 evtl. früher gelten. Einfach ausprobieren.

Es gibt ein Tool von Microsoft, welches die Outlook-Datendatei scannt und reparieren kann. Da ja "nur" die ersten 12 kB verschlüsselt wurden, kann evtl. der Header wieder hergestellt werden. Das Tool heisst "scanpst.exe" und ist zu finden unterhalb "C:\Program Files\Common Files\System\MSMAPI\1031".

Eine Datendatei von 1,3 GB Größe, wurde wiederhergestellt. Ein weiter Post in oben abgegeben Thread beschreibt den gleichen Erfolg.

Die Outlook-Datei liegt (bei WinXP) in der Regel unter "C:\Dokumente und Einstellungen\Benutzer\Lokale Einstellungen\Anwendungsdaten\Microsoft\Outlook", bei Win7 "C:\Users\Benutzer\AppData\Local\Microsoft\Outlook", dort einfach die vorhandene(n) Datei(en) kopieren(!) und nach "Outlook.pst" umbenennen oder einfach ".pst" zum Dateinamen hinzufügen.
Dann das Tool starten und die eben umbenannte Datei auswählen.
Es kann sehr lange dauern und das Tool sieht dann so aus, als würde es hängen, einfach Ruhe bewahren und abwarten. Wenn "scanpst" die Datei nicht reparieren kann, meldet es das.
Nach der Reparatur kann Outlook gestartet werden.
Die Einstellungen zu Mail usw. hat Outlook je nach Version in der Registry abgelegt bzw. müssen von Hand neu eingegeben werden.



Mozilla Thunderbird
Man suche sein Profileverzeichnis in Win7 bei "C:\Users\Benutzer\AppData\Roaming\Thunderbird" und dort die "Local Folders". Da sind in der Regel die Maildateien. Es gibt immer zwei zusammengehörige Dateien, z. B. Inbox und Inbox.msf. Das gilt für Sent, Trash, usw.

Auch hier sollte man die Dateien für den Fall der Fälle kopieren und dann mit der Kopie arbeiten.

Nun öffne man mit einem Editor (z.B. Notepad++ o.ä.) diese Dateien.
Wenn man jetzt besagte 12288 Bytes runtergeht, muss man Inhalt in dieser Form finden:

Diese Datei ist dann eine Maildatei.

Da neue ankommende Mails immer unten angehängt werden, kann alles was über den angegebenen Zeilen steht, gelöscht werden. So kann man die Datei wiederherstellen.
Wenn ihr die Dateien dann in der Form "Maildatei1", "Maildatei2", usw. umbenennt und dann Thunderbird startet, findet ihr Ordner dieses Namens in der Oberfläche.
Dann die Mails in diesen Ordnern markieren und in die entsprechenden Ordner (Posteingang, gelöscht,... -diese wurden automatisch wieder angelegt) verschieben.

Die restlichen Einstellungen wie Mailadresse, Server, usw. müssen von Hand neu angelegt werden, das sie vermutlich zerstört wurden.



Ich wünsche viel Erfolg.

Michael