Hallo,
ich/wir (genauer gesagt ein Freund) hats geschafft den PC "wieder zum laufen" zu bringen. Windows geht wieder ganz "normal". Es sind aber alle Dateien und Links(doc,xls,jpeg, etc.) nur noch als "wirre" Buchstabenkombinationen angegeben. Hab ich die Möglichkeit die Dateien wieder in ihrer ursprünglichen Form herzustellen.

Für eure Hilfe bedanke ich mich bereits vorab.

Gruß
Jo E.

Zitat:

Zitat von somejo

Hallo,
ich/wir (genauer gesagt ein Freund) hats geschafft den PC "wieder zum laufen" zu bringen. Windows geht wieder ganz "normal". Es sind aber alle Dateien und Links(doc,xls,jpeg, etc.) nur noch als "wirre" Buchstabenkombinationen angegeben. Hab ich die Möglichkeit die Dateien wieder in ihrer ursprünglichen Form herzustellen.

Für eure Hilfe bedanke ich mich bereits vorab.

Gruß
Jo E.

Hallo.....

....ich noch mal.

Ich hab jetzt mal noch weiter gestöbert.
Mit Maleware habe ich mal den Suchlauf gestartet.
Hier das Ergebnis:

Malwarebytes Anti-Malware 1.61.0.1400
www.malwarebytes.org

Datenbank Version: v2012.06.08.06

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
Besitzer :: PIRANHA [Administrator]

09.06.2012 01:47:02
mbam-log-2012-06-09 (01-47-02).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 208846
Laufzeit: 31 Minute(n), 1 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 3
HKCU\Software\Schmidt-Pro (Trojan.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe (Security.Hijack) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.exe (Security.Hijack) -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Registrierungswerte: 12
HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{F710FA10-2031-3106-8872-93A2B5C5C620} (Trojan.Agent) -> Daten: -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer|{F710FA10-2031-3106-8872-93A2B5C5C620} (Trojan.Agent) -> Daten: ৷ෲ -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer|{F710FA10-2031-3106-8872-93A2B5C5C620} (Trojan.Agent) -> Daten: ৷ෲ -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{02FFAC45-0B10-5633-4296-1801F1A36678} (Trojan.Agent) -> Daten: -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer|{02FFAC45-0B10-5633-4296-1801F1A36678} (Trojan.Agent) -> Daten: ഐ໲ -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer|{02FFAC45-0B10-5633-4296-1801F1A36678} (Trojan.Agent) -> Daten: ഐ໲ -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{F710FA10-2031-3106-8872-93A2B5C5C620} (Trojan.Agent) -> Daten: -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{02FFAC45-0B10-5633-4296-1801F1A36678} (Trojan.Agent) -> Daten: -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|DisableRegedit (Hijack.Regedit) -> Daten: 1 -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|vasja (Trojan.RansomP.Gen) -> Daten: C:\DOKUME~1\Besitzer\LOKALE~1\Temp\wpbt0.dll -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network|UID (Malware.Trace) -> Daten: PIRANHA_0013A53C -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|DisableRegedit (Hijack.Regedit) -> Daten: 1 -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateiobjekte der Registrierung: 3
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|DisableRegistryTools (PUM.Hijack.Regedit) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|DisableTaskMgr (PUM.Hijack.TaskManager) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|DisableTaskMgr (PUM.Hijack.TaskManager) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.

Infizierte Verzeichnisse: 1
C:\WINDOWS\system32\wsnpoem (Trojan.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateien: 1
C:\WINDOWS\system32\wsnpoem\audio.dll.cla (Trojan.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)


Nochmals, für die Hilfe bedanke ich mich bereits vorab.

Gruß
Jo E.[/QUOTE]

Zitat:

Zitat von somejo

Ich hab jetzt mal noch weiter gestöbert.

ich/wir (genauer gesagt ein Freund) hats geschafft den PC "wieder zum laufen" zu bringen. Windows geht wieder ganz "normal".

Es sind aber alle Dateien und Links(doc,xls,jpeg, etc.) nur noch als "wirre" Buchstabenkombinationen angegeben. Hab ich die Möglichkeit die Dateien wieder in ihrer ursprünglichen Form herzustellen.

mal ehrlich, willst du die Chance verpassen um die verschlüsselten Daten wiederherstellen zu können? dann mach weiter so!
zur Erinnerung:

Zitat:

Innerhalb der Betreuungszeit:
- ohne Abspräche bitte nicht auf eigene Faust handeln!- bei Problemen nachfragen.

zur Info:

Zitat:

Achtung!:
Keine Löschaktion vornehmen, sonst kann der Vorgang der Entschlüsselung der Daten im negativen Sinne beeinflussen bzw. beeinträchtigen!
Schon gelöschte Objekte dürfen nicht vom System (Festplatte) endgültig verbannen!

bei XP sieht sowieso eher schlecht aus!
Wir sind intensiv mit der Lösung beschäftigt, wird das aber noch einige Zeit in Anspruch nehmen. Bisher leider kein Schema entdecken können, wie die Virenprogrammierern mit den Daten umgegangen sind (vlt einfach nur gestört und umbenannt?). Leider mußt du damit rechnen, diese Änderung vlt so gut wie nie rückgängig zu machen können.
Zwar stehen versch. Entschlüsselungsprogramme von namhaften Virenprogramm Herstellern uns zur Verfügung, allerdings waren bisher alle Versuche erfolglos

► Da sieht man wieder einmal wie wichtig ist, um die regelmäßige Sicherung ihrer wichtigen Dateien zu kümmern bzw extern sichern. am besten 2x an verschiedenen Orten sichern! (externe Festplatte, USB-Stick, CD/DVD)!
- Externe Datenträger NUR bei Bedarf anschließen, also NICHT an den PC permanent anschließen!

beantworte mir bitte folgende Fragen:
► Welche Art und Weise wurden die Daten (Eigene Dateien wie Bilder, Dokumente, Musik etc) bereits verschlüsselt? Kannst Du ein Beispiel nennen? Dateiändung wurden zugefügt (z.B "locked- .wxyz"), oder nach einem Zufallsprinzip besteht ein Dateiname aus Groß und Kleinbuchstaben (wie z.B QsEEUTODXNVqyssQ)?
Nämlich manche Varianten lassen sich entschlüsseln, andere wieder leider nicht..

Hallo,
ja, nein, natürlich will ich die Chance nicht verpassen die Daten zu retten !!!
Der "ganze Mist" mit dem Trojaner ließ mir einfach keine Ruhe!!!!

Zu deiner Frage:
Alle Dateien bzw. Dateinamen (doc,xls.jpeg, etc....) wurden in sinnlose Buchstabenkombinationen aus Groß - und Kleinbuchstaben umgewandelt.
Davon betroffen sind auch meine Links/Verknüpfungen fürs Intenet.
(hier ein Beispiel für einen "Dateinamen" : EdeJxEdsJxEdeJxEdsJ oder dATrLdAarLdATr)

Bis bald, Gruß

Jo E.

Zitat:

Zitat von kira

mal ehrlich, willst du die Chance verpassen um die verschlüsselten Daten wiederherstellen zu können? dann mach weiter so!
zur Erinnerung:


zur Info:



bei XP sieht sowieso eher schlecht aus!
Wir sind intensiv mit der Lösung beschäftigt, wird das aber noch einige Zeit in Anspruch nehmen. Bisher leider kein Schema entdecken können, wie die Virenprogrammierern mit den Daten umgegangen sind (vlt einfach nur gestört und umbenannt?). Leider mußt du damit rechnen, diese Änderung vlt so gut wie nie rückgängig zu machen können.
Zwar stehen versch. Entschlüsselungsprogramme von namhaften Virenprogramm Herstellern uns zur Verfügung, allerdings waren bisher alle Versuche erfolglos

► Da sieht man wieder einmal wie wichtig ist, um die regelmäßige Sicherung ihrer wichtigen Dateien zu kümmern bzw extern sichern. am besten 2x an verschiedenen Orten sichern! (externe Festplatte, USB-Stick, CD/DVD)!
- Externe Datenträger NUR bei Bedarf anschließen, also NICHT an den PC permanent anschließen!

beantworte mir bitte folgende Fragen:
► Welche Art und Weise wurden die Daten (Eigene Dateien wie Bilder, Dokumente, Musik etc) bereits verschlüsselt? Kannst Du ein Beispiel nennen? Dateiändung wurden zugefügt (z.B "locked- .wxyz"), oder nach einem Zufallsprinzip besteht ein Dateiname aus Groß und Kleinbuchstaben (wie z.B QsEEUTODXNVqyssQ)?
Nämlich manche Varianten lassen sich entschlüsseln, andere wieder leider nicht..

habe es befürchtet...
Ich habe leider eine schlechte Nachricht für Dich:
Diese Art der Verschlüsselung ist momentan nicht reparierbar!


Also kommen folgende Möglichkeiten in Frage:
1.
Wenn die Daten Dir wichtig sind:
Die einzige Möglichkeit deine Daten zu retten ist (wenn schon dann irgendwann):
Festplatte ausbauen (also aufheben in den aktuellen Zustand) nicht mehr etwas löschen, ändern! eine neue Festplatte kaufen und einbauen, Windows drauf installieren damit Du am PC arbeiten kannst!
Die befallene Platte auf Seite legen und warten solange, bis es eine Lösung gibt

2.
kannst Du dann die hier vorgeschlagenen Methoden ausprobieren (Rechner vom Internet und Netzwerk trennen):
-> Outlook reparieren
-> So reparieren Sie beschädigte Word-Dokumente
-> unter dem Titel: Weitere Lösungsansätze

3.
Wenn Dir die Daten nicht wichtig sind, so kann ich Dir eher empfehlen die Festplatte formatieren und Windows neu einrichten

Hallo,

sorry antworte leider erst jetzt.
Ich war die Woche bei einer Fortbildung u. kann deshalb erst jetzt antworten.

Gibts wohl irgendwann (in absehbarer Zeit) überhaupt eine Chance die Verschlüsselung zu "knacken" und das Problem zu lösen ?? Bzw. wie hoch ist die Chance, daß es einen Lösung gibt ?
Wie lange kann es bis zu eine Lösung dauern ? Gibts hier Erfahrungswerte ?
Wenn es eine Lösung geben sollte, wie erfahre ich das dann ?
Hier sind ja mächtig viele Leute mit dem gleichen "Problem"!

Die Daten sind mir schon sehr wichtig. Es sind auch viele Bilder (Urlaube, Hochzeit, etc.) mit dabei die ich, wenn irgend möglich, schon wieder herstellen möchte.
Ich bin sogar im Äußersten bereit mit finanziellem Aufwand an der Lösung "mitzuwirken".
Mit PC - "Fachkenntnissen" ist es bei mir nicht so toll bestellt.

Vielen Dank für deine Antworten auf meine Fragen bereits vorab.

Gruß
Jo E.

Zitat:

Zitat von somejo

Gibts wohl irgendwann (in absehbarer Zeit) überhaupt eine Chance die Verschlüsselung zu "knacken" und das Problem zu lösen ?? Bzw. wie hoch ist die Chance, daß es einen Lösung gibt ?
Wie lange kann es bis zu eine Lösung dauern ? Gibts hier Erfahrungswerte ?

ich beführte nicht, klick hier und lies:-> Es tut mir leid. Kein Happy End!

Zitat:

Zitat von somejo

Wenn es eine Lösung geben sollte, wie erfahre ich das dann ?

bei uns zeitweise nachfragen...

Zitat:

Hier sind ja mächtig viele Leute mit dem gleichen "Problem"!

leider sehr viele reingefallen wenn ich so sagen darf. selbst ich auch 2x schon über GMX solche mails bekommen, aber als ich die Mailadresse von Absender gesehen habe, sofort gewußt was das ist und nur mit Rechtsklick in "Druckversion" die Mails gelesen und natürlich das Zip-Datei nicht angeklickt...

Zitat:

Die Daten sind mir schon sehr wichtig. Es sind auch viele Bilder (Urlaube, Hochzeit, etc.) mit dabei die ich, wenn irgend möglich, schon wieder herstellen möchte.

ich weiß ganz miese Sache ist und es tut mir für Dich und alle Hilfesuchenden Leid, dass wir zumindest momentan nicht helfen können

Zitat:

Ich bin sogar im Äußersten bereit mit finanziellem Aufwand an der Lösung "mitzuwirken".

wir werden dafür alles tun, vlt gibt es doch irgendwann einen Lösung. Also bitte die Festplatte auf Seite legen, nichts mehr etwas unternehmen!
Keine Löschaktion vornehmen, sonst kann der Vorgang der Entschlüsselung der Daten im negativen Sinne beeinflussen bzw. beeinträchtigen!
Schon gelöschte Objekte, vom System (Festplatte aber auch aus der Quarantäne v. div. Programme) nicht endgültig verbannen!

kannst Du wenn Du möchtest, noch die hier vorgeschlagenen Methoden ausprobieren :-> http://www.trojaner-board.de/116851-...strojaner.html