Shadow Explorer funktioniert leider auch nicht.

Ich habe Verschlüsselungen von vielen Dateien, die Wichtigsten sind .doc und vor allem .dbf (Kundenkartei und Praxisprogramm) seit gestriger Email auf einem Kunden-PC.

Habe gerade ein sample mit Beispielbild (infiziert und sauber) vom Windows Beispielbild "desert.jpg" per Mail an virus@ versandt, inkl. der Email worüber der Virus verschickt wurde.

Leider wurde der Virus aber vom AVG direkt gelöscht, wodurch die Mail nun ohne Anhang ist :-(

Keine hier beschriebene Hilfe funktioniert, auch kein Decrypter oder Ähnliches.

Die Dateien sind auch nicht umbenannt worden, sie heissen wie immer aber beim öffnen der DBF-Dateien ist in den ersten Zeilen nur chinesischer Buchstabensalat hinzugefügt worden (teilweise ist auch der komplette Inhalt bei manchen Dateien nun chinesisch), z.B. "⎓⭮⵵鞫摒ሓ뷷ꥹ헐ሲ囹知�躩㕋氊諣濛绡옒�鴀윝阜ऽ".

Wäre klasse, wenn es einen Lösungsansatz dazu gibt oder Hilfestellung. Die Datensicherung ist ne Woche alt und der Praxisbetrieb des Kunden steht solang still bis alles nachgearbeitet wurde.

PS: Malwarebytes Antimalware und Dr. Web finden keine Viren mehr auf dem PC.

Danke im Voraus

Mfg

Chris

Wenn keines der Tools funktioniert, bleibt nix anderes übrig wie abwarten und Tee trinken, was aber wohl nicht mehr zum Erfolg führen wird.
Somit sollte sich die Praxis damit abfinden, die Woche nachzuarbeiten...
Wobei da sowieso die Frage ist.. Ne Praxis die keine tägliche Datensicherung macht.. Aber ich weiß, das ne andere Schiene...

Hallo Seeadler! Danke für die Frage. Die befallene Dateien sind ohne Dateianhang (Doc, BMP etc.) da ist nur Kauderwelsch
Schönen Abend noch! Gruß Hans

@Mitarius,
welches Betriebssystem?
Bei Win7 oder Vista schau mal nach Schattenkopien.
Ansonsten probiere mal herkömmliche Tools, z. B.:

DBF Recovery ist ein leistungsstarkes Werkzeug zur Wiederherstellung beschdigter DBF Dateien. Repariere DBF Datenbanken. Stelle DBF Dateien wieder her.

oder

DBF repair tool - Recovery Toolbox for DBF. .dbf repair, .dbf recovery, dbf recover, dbf fix, download repair dbf. How to repair a corrupted DBF file by VSPro?

google halt mal.

Wenn's nicht klappt, müssen halt Nachtschichten ran um Daten neu einzugeben.
Vielleicht sogar der bessere Lerneffekt, was Datensicherung betrifft.

Volker

echt super ding! hab gerade das Notebook(Win7) vom Kumpel bekommen.
alles super verschlüsselt! keine der 8 Tools läuft wie bei dem rest auch!
denke hier handelt es sich auch um die neue Version (adjsfgldjDDda) ohne "locked-".
Doof ist nur das der Kumpel mein DJ für die meine Hochzeit am Wochenende ist.

es liegt mir nun viel daran, irgendwie etwas wieder zu bekommen. Aus der ShadowCopy etwas weiderholen bringt mich nicht weiter! Kann ich irgendwie behlflich sein??


mfg
stony007_deg

@stony007_deg,

verstehe ich das richtig, dass er als DJ hauptsächlich an den MP3 interessiert ist?
Wenn ja, hast Du gute Chancen, folge dem Link oben unter Pkt.3.

Volker

nicht wirklich! es geht um die ganzenProgramme welcher er da auf dem Teil drauf hat (Software TurnTables etc...)

das is aber schon echt ne viese Nummer das Teil...

hallo und eine frage an die experten (bin nur laie),

bin seit 30.05. mit den buchstabensalat-virus infiziert, habe alles gelesen und verfolge alles nahezu time-genau.
bin durch einen post auf die suche gegangen und habe "Aidfile Recovery Software" gefunden.

jetzt die frage: kennt sich jemand damit aus? oder hat es schon mal probiert?

Hier kam ja oft die frage: wie erkenne ich beim salat ohne endungen um welchen dateityp es sich handelt: doc, xls, jpg usw.

der download und scannen ist kostenfrei und hat auf meinem rechner ca. 9000 dateien analysiert und die richtigen dateitypen auch so benannt und fein säuberlich aufgelistet.

es gibt auch noch eine kostenlose vorschauoption, die einem die datei und die entsprechende HEXE mit allen details anzeigt. hexe funzt, vorschau nur bei einigen bildern.

um die dateien zu recovern oder neu zu speichern muss man aber ca. 70 € löhnen und ich weiss nicht, ob das was bringt. da es bei mir auch nicht so dramatisch ist, verzichte ich darauf. aber wenn jemand es sich leisten kann, will oder unbedingt muss... nur ne idee.

mal sehen, was die experten sagen...

Gefragt ob ne Recoverysoftware was bringt, habe ich mich auch schon öfter. Aber immer wieder verworfen, da ich der Meinung war, dass die Daten ja nicht gelöscht oder formatiert worden, sondern nur unbenannt. Aber wenn das Programm die richtig anzeigt, wäre es ja wirklich mal nen Versuch wert..
Muß sich dann wohl nur noch einer finden, der es mal riskiert...

@seeadler
lol

und was sagen nun die experten?

Hallo, liebe Computerexperten. Ich habe mich durch eure Diskussionsseiten geklickt und habe trotzdem keine Lösung für mein Entschlüsselungs-Problem gefunden. Ich habe die 2 infizieten Datein gelöscht und folgenden Bericht erhalten:

Datenbank Version: v2012.06.15.07

Windows 7 Service Pack 1 x86 NTFS
Internet Explorer 9.0.8112.16421
Lini :: TOPPI [Administrator]

15.06.2012 20:33:25
mbam-log-2012-06-15 (20-33-25).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 314107
Laufzeit: 1 Stunde(n), 17 Minute(n), 27 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 2
C:\Users\Lini\Desktop\DecryptHelper-0.5.2.exe (Trojan.FakeAlert) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Lini\Downloads\DecryptHelper-0.5.2.exe (Trojan.FakeAlert) -> Erfolgreich gelöscht und in Quarantäne gestellt.

Aber die Entschlüsselung will einfach nciht gelingen. Ich habe eine Originaldatei und eine Verschlüsselte. Also Größe passt - er kann nur trotzdem keinen Schlüssel herstellen...
HILFE.... meine Masterarbeit liegt verschlüsselt auf dem Rechner und ich bekomm langsam echt PANIK!!!

Kann mir jemand helfen???
Liebe Grüße

Naja..
Wenn ich mich recht entsinne, bist du mit deiner Logfile hier im vollkommen falschen Thread..
Und dann wurde eigentlich das gelöscht, was dir helfen sollte..
Aber wenn du dich so durch die Diskussionsseiten geklickt hast, frage ich mich, WARUM du nicht mit angibst, wie deine verschlüsselten Dateien aussehen ?
Und ob du den schon probiert hast, mit dem ShadowExplorer zu arbeiten ?

So sehen sie aus:
yedLXUgptQldQjdrEsfET und ich hab Windows7 und ich welchen Thread soll ich besser gehen?
Und das mit dem ShadowExplorer habe ich noch nicht versucht. :heulen:

Hallo Beatrice,
welche zwei infizierten Dateien hast Du gelöscht?
Bereits zwei Dateien vor dem Suchlauf oder die oben dargestellten?

Die DecryptHelper-0.5.2.exe ist nicht der Bösewicht, sie gehört eher zu den Guten.

Zur Entschlüsselung der Dateien siehe im Top-Frame Hinweise unter Punkt 3 nach.

Volker

Er hat mir Anfang keinerlei infizierte Datein aufgezeigt. Erst als ich eine Systemwiederherstellung gemacht habe, hat er mir diese angezeigt. Ich hab schon gesehen, dass die eigentlich zu den Guten gehören :)
Ich hab schon etliche Male das so versucht, werd aber nochmal auf Punkt 3 gehen..

Der Schadow-Explorer, also das Fenster, das sich dann öffnet, ist bei mir komplett leer...

Also ich habe das auch mit der Video-Anleitung (http://www.trojaner-board.de/116851-...strojaner.html) versucht, aber bei mir zeigt er dann keinerlei Vorgängerversionen an!!!

Einzeln mit Loadgdateien nach Vorgbae besser hier:
http://www.trojaner-board.de/log-analyse-auswertung/

Aber wenn du mit ShadowExplorer nix mehr findest, bleibt dir nur noch den Hinweis von Undertaker zu folgen, und die Tools für die Dateiweiderherstellung aus Link 3 auszuprobieren..

Das habe ich auch schon versucht..geht auch nciht!!!

Es geht hauptsächlich um Deine Masterarbeit?

Ich denke mal, das sind Office-Dateien, oder?

Wenn ja, hast Du wenig Chancen.
Da bist Du schneller am Ziel, wenn du Alles, seit dem Stand der letzten Datensicherung, neu schreibst.

Volker

Servus...

Meiner war ja einer der ersten die wohl hier betroffen waren. Ich hab den Rechner Betriebssystem XP mithilfe von 2 Freunden die im IT Bereich Studieren wieder alle Daten Retten können .

Wir wollen jetzt einen versuch machen und mit einer Alten Festplatte den Virus draufspielen um diesen dann noch einmal zu Säubern.


Wir benötigen daher bitte noch einmal die Email wo dieser Virus als anhang dabei ist .
Kann sein das es Zufall war das die beiden es geschafft haben ,aber um das jetzt zu Testen bitte ich darum mit mir über PN Kontakt aufzunehmen...weil ich diese Virus datei benötige

Falls ihr Minecraft installiert hattet, die .jar dateien sind bei mir verschlüsselt, also einfach nochmal starten, Force Update anwählen, und ihr habt Originaldateien! :)

Problem ist: ich hab die neue Version, die Dateien heißen jetzt "xsxyVotAdLGqVEsjdn" oder so, ich konnte anhand der Größe herausfinden, welche welche ist, aber der DecryptHelper kann die neuen ja leider nicht entschlüsseln... :(

lg TeNNoX :party:

Hallo Asoka,
da ich am Samstag echt Panik bekommen habe, hab ich den PC zu einem "Pc-Spezialisten-Laden" gebracht, weil ich noch nicht mal genau wusste, ob der Virus noch drauf ist, weil meine Programme den von Anfang an nicht erkannt haben. Am Donnerstag bekomme ich ihn also ohne Virus weiter. Sorry, dass ich den euch dann nciht mehr schicken kann. Und der PC Typ meinte auch, er sähe für meine Arbeit schlecht aus :(

Hallo Leute, ich hab das selbe Problem. Ich hab den Trojaner ''Trojan-Ransom.Win32.Gimemo'' mit Kaspersky Rescue Disk 10 wegbekommen, nur kann ich all meine daten nicht entschlüsseln. Habe es mit der Schattenkopie schon versucht, es geht nicht. Jetzt habe ich die Idee mit dem Decrypt Helper von schwini ausprobieren wollen, nur weiss ich garnicht welches foto oder welches lied welches ist, da die dateinamen so aussehen: aDoAyoVsGVDpTDgJu. Kann also den Schlüssel garnicht erzeugen, kann mir da jmd weiterhelfen? :) LG

Jo.. Die Funktion des Lesens...

Für die Version die du hast, gibt es noch kein Tool...
Das einzige was du im moent noch probieren kannst, ist folgendes:
http://www.trojaner-board.de/116851-...strojaner.html

Ist aber genauso wie der Rest oben über dem Thread als Hinweis verlinkt...

Ja Sorry, jetzt grade hab ichs auch gelesen :( Klappt alles nicht, abwarten und Tee trinken. Jetzt wo der Trojaner weg ist, kann ich den Pc normal nutzen oder muss ich auf irgend etwas achten? (Außer nicht wieder so dämlich zu sein, ne Mahnungs-mail zu öffnen)

Naja..
Was so unter Punkt2 steht hast du dann doch jetzt auch gelesen, oder ?

Hallo Leute, habe das gleiche Problem wie "Kati1601".:heulen:

Hat jemand schon eine Lösung gefunden?
Wenn jemand von Euch an einem Tool zur Entschlüsselung arbeitet, hätte ich viele Dateien im verschlüsseltem und passendem original Zustand zu bieten.

LG

Hast Du schon etwas von einer Lösung gelesen?

Volker

Leider nicht Volker!

Aber wenn sich jemand mit der Lösung des Problems befasst, hätte ich Daten für ihn, wenn er welche bräuchte.

LG

Hallo zusammen,
für eine Lösung des noch offenen Problemes siehe Floranus und Kati usw... wäre ich auch sehr dankbar... :-(

Grüße

Hallo zuammen,

ich hoffe das ich mit meiner Frage hier richtig bin und diese nicht schon zigmal beantwortet wurde. Ansonsten schonmal grosses Sorry.

Also ich habe mir auch diesen 'tollen' Verschluesslungstrojaner eingefangen, was mich dabei allerdings wundert, ich habe keine fremde Mail geoeffnet. Die einzigen Anhaenge bei Mails, die ich bekommen habe, waren die mir bekannter Versandhaeuser (wo ich auch wirklich was bestellt hatte) und am Freitag ein openoffice-Dokument, auch einer mir bekannten Firma. Ich hab also keine Ahnung woher ich mir den Trojaner gefangen habe.

Aber nun zu meiner eigentlichen Frage:

Das Dateien, die mit einer Gross-Kleinbuchstabenkombi verschuesselt sind, noch nicht wieder entschluesselt werden koennen habe ich rausgelesen. Da reicht es also wenn ich die auf der FP lasse und die Zeit abwarte und darauf hoffe, dass es iwann eine Loesung gibt?

Bei den anderen Dateien, steht der richtigte Dateiname da, aber halt Erstelldatum vom 13.02.1601. Wenn ich diese Bilder nun mittels eine Unlockprogramms wieder herstellen will, reicht es da aus, ein Bild zu haben um fuer saemtliche Ordner die Bilder wiederzubekommen oder muss aus jedem Bilderordner ein Bild vorhanden sein? Und reicht es aus, wenn ich eines der Originalbilder, die ich per ftp-Server hochgeladen hatte fuer eine Webseite, wieder zurueckhole und es damit versuche? Der Name waere ja dann gleich. Auch die Groesse usw. stimmen, da das Bild vor dem Hochladen nicht bearbeitet wurde.

Vielen Dank schonmal fuer eure Antworten.

Hallo Xynthia,
das ist das zweite mal, dass ich von einer Infektion, ohne bewusstes Ausführen einer Datei als Mailanhang, höre.
Es wäre sehr interessant, den Infektionsweg zu ergründen.
Du hast nichts dazu gesagt, ob der Ucash-Screen angezeigt wurde und ob Du etwas gegen den Trojaner getan hast.
Ich gehe erstmal davon aus, dass der Trojaner noch auf Deinem System ist.
Zuerst sollte also der Rechner gesäubert werden.
Gehe also zuerst nach dem im Punkt 1, ganz oben unter Hinweise, vor.
Lade Malwarebytes runter und scanne das System.
Noch nichts löschen, nur in Quarantäne schicken.
Dann starte ein eigenes Thema, wie oben beschrieben.

Zu Deinen verschlüsselten Dateien:
Deiner Beschreibung nach, handelt es sich um eine 12k-Verschlüsselung.
Originaldateien in Verbindung mit der dazugehörigen verschlüsselten Datei bringen nichts.
Die daraus generierten Schlüssel sind anders codiert und nur 3kB groß.
Zur Datenwiederherstellung lese die Möglichkeiten, die unter Punkt 3 verlinkt sind.

http://www.trojaner-board.de/116851-...strojaner.html

Selbstverständlich kannst Du die Dateien auch sichern und auf ein Tool der Entschlüsselung hoffen.

Volker

Gibt es eine Möglichkeit per brute-force eine Datei zu entschlüsseln, es geht wirklich nur um eine Datei, die wichtig ist, sind so 10MB Daten...

Bei AES256 wir das wohl ein Weilchen dauern. Ein paar Leben später könntest Du dann Glück haben :-).

Schau mal hier: Brute-Force-Attacke und Passwortlnge

Nein!

In Deinen bisherigen Beiträgen hast Du noch nichts über die Datei selbst gesagt.
Um welches Dateiformat geht es eigentlich?
Welches Betriebssystem?
Was hast Du bisher versucht, beispielsweise über Schattenkopien?
Du hast ja noch nichtmal was zur Verschlüsselungsvariante gesagt.

Wenn Du auf ein Entschlüsselungstool für die 12k-Version wartest, wird das wahrscheinlich eine sehr lange Wartezeit.

Volker

Es handelt sich um eine Datenbank, Betriebssystem WinXP, es ist die 12k-Version

Und was sagt der Shadow Explorer?
Eine Datenbank wird in der Regel oft aktualisiert, schon mal nach gelöschten Vorgängern gesucht?
Welches Datenbankformat?
Laß Dir doch nicht alles einzeln aus der Nase ziehen, echt ätzend.

Schadow explorer funktioniert doch unter xp nicht...
Gelöschte Vorgänge gesucht, aber keine verwendbare dabei...
Datenbankformat ist .gdb , also nichts verbreitetes...

Gäbe es da eine Möglichkeit das außer brute-force zu bekommen, hätte ich da denk ich schon was gefunden, habe ja schon alles probiert...

Oh sorry, Du hast natürlich Recht, mein Fehler.
Das kommt vor, wenn man mit der Beantwortung mehrerer Beiträge beschäftigt ist.

*.gdb, Borland InterBase oder Firebird.
Vielleicht kann Dir der Support des Applikationsherstellers helfen.
Eventuell sieht der eine Möglichkeit zur Rekonstruktion.

Volker

Aber brute-force geht garnicht? habe einen recht schnellen Rechner, den ich ein paar Monate dafür arbeiten lassen könnte :-D

@ Black-ZeRo

Hast Du meinen Beitrag ignoriert?

Quelle:

hxxp://www.1pw.de/brute-force.html

nicht wirklich, konnte damit nur nichts anfangen ;-D
Wie lang würde es denn rein theoretisch dauern?

Mh, leg mich bitte nicht auf die Anzahl der Nullen fest... warscheinlich 30 Millionen oder 30 Mrd. oder 30 Billionen Jahre!?

Über den mathematischen Weg kann man sich sicher ein paar Tausend Jahre sparen. :lach:

Hilft Dir das jetzt weiter? :lach:

PS: Aber vielleicht landet man auch schon beim 1. Versuch einen Treffer. Die Möglichkeit besteht natürlich, wenn auch SEHR gering.

Hallo zusammen. Möchte mich noch einmal für alle Tips und Anregungen bedanken. Habe die JPG-Bilder wieder alle herstellen können. Mit JPEG Recovery Pro 5 kein Problem. Ist zwar etwas teuer, aber hat sich gelohnt, waren ja tausende von Urlaubsbildern weg. Der Trojaner war die 12kB Version und die kleinen Programme waren da ja überfordert.
Also erst einmal Danke an das Board.

Ukasch Code an software-update@inbox.lt
 

Habe vor einigen Tagen einen PC von Bekannten bekommen mit dem og. beschriebenen Problem Verschlüsselungs-Trojaner. Nach PC-Start kommt die Seite mit der UCash-Aufforderung und dann reagiert der PC nicht mehr.
Der Rechner läuft mit Win XP Prof. und der Trojaner wurde vermutlich am 12.06.2012 mit einem Rechnungs-Anhang an einer Mail geladen.
Ich habe die Festplatte nun an einem Win 7 System extern angeschlossen und mit Malwarebytes vollständig geprüft - jedoch wurde kein Trojaner gefunden.
Die Datei-Namen auf der Festplatte sind zum Teil durch wilde Buchstabenfolgen ersetzt und das Erstelldatum auf den 13. Februar 1601 gesetzt. In den betroffenen Verzeichnissen sind nur einige Dateien vom Typ .inf .dat .bin .ini scheinbar nicht verändert.
Im Temp-Verzeichnis habe ich Dateien gefunden, welche zum warscheinlichen Zeitpunkt der Änderungen angelegt wurden:

B4F02758323053570000.$02
B4F02758323053570000.$$0
B4F027583230535700006461
Desk.$00

Im Verzeichnis C:\Dokumente und Einstellungen\Desktop habe ich eine Datei ACHTUNG-LESEN.txt gefunden mit dem Inhalt:

Sehr geehrte Damen und Herren,
anscheinend wurde das Update Programm vollständig unterbrochen. Jetzt kann das Virus nur manuell beseitigt werden. Dies brauchen Sie um Ihre Dateien benutzen zu können. Falls Sie also die gesperrten Daten brauchen, senden Sie uns bitte 200 Euro Ukash Code an die Email: software-update@inbox.lt, so bald dieser Code geprüft wurde, erhalten Sie ein Update Programm. Falls Sie Ihre Daten nicht brauchen raten wir Ihnen dringend Ihren Computer zu formatieren um den Virus vollständig zu entfernen. Ukash können Sie an einer beliebigen Tankstelle erwerben und auch in mehreren Internetcafes in Ihrer Nähe.
mfG Ihr Security Team

Vieleicht helfen diese Informationen etwas weiter bei der Suche nach einer Lösung.

moin moin,
wenn der XP-Rechner mit dieser HDD noch das o. g. Verhalten zeigt, dann ist er nicht virenfrei.
Welche Verhaltensauffälligkeiten zeigt der Rechner noch?
Ist er noch im abgesicherten Modus bootbar?
Hast Du Zugriff auf den Taskmanager und Regedit?
Welches Interesse besteht an den verschlüsselten Daten?

Das sind typische Anzeichen für eine Trojanerversion, die die ersten 12k einer Datei überschreibt und damit verschlüsselt.
Bei dieser Verschlüsselung helfen die oben unter Hinweise beschriebenen acht Tools nicht.

Auch das ist symptomatisch für den Verschlüsselungstrojaner der Version 1.o4.xx oder höher.
Die Datei *.$02 enthält die Informationen über die Verschlüsselung jeder einzelnen Datei, einschließlich Klarnamen und Schlüssel.
Die Datei selbst ist doppelt verschlüsselt und der Schlüssel wurde auf einen externen Server ausgelagert.

Weniger, aber trotzdem Danke.

Volker

ich habe den eueren virus und habe 2 gleiche dateien und sagt findet den schlüssel nicht ?
kann einer helfen?

moin moin,
es ist nicht unser Virus, im Gegenteil, wir versuchen dagegen anzukämpfen.
Lies bitte, unter welchen Bedingungen die Tools mit den Dateipaaren erfolgreich eingesetzt werden können und ob die bei Dir vorliegende Verschlüsselungsvariante diesen Bedingungen entspricht.
Unter Punkt 3 in der Topbox (Hinweise) ist alles genau beschrieben.
Es ist müßig, stets das Gleiche zu wiederholen, nur weil die Lust zur Selbstinformation fehlt.

Volker

ich habe nicht gesagt das das euer virus ist ich habe denn neuen virus habe ich gesagt und ob ihr schon was dagegen habt wehre lieb
soooooooooorrryyyyyyyyyyyy verschriben ist mir kalr das es nicht euer ist sorrry sorrrryyy

Ok, meintest neueren..ok, konnte man aber auch anders auffassen ja...

Kann Dir trotzdem nicht folgen...welcher soll Deiner jetzt sein?

die bekante email verschlüsselt(pDvoUsUjEpNvXTs) habe das mit den 0.5.3 nach anleitung versucht zu machen fehlermeldung schlüssel nicht erkant das von gehe ich da von aus das es ein neuerer ist wo es noch kein program gibt kann euch gehren eine verschlüsselte datai und eine die ganz ist schicken

Öhm ja ok...ich weiß warum ich Dir nicht folgen kann, weil Du einfach zu konfus schreibst und ich zu alt und zu müde bin um mir das jetzt korrekt zu denken.

Ich nehme an dieser Hinweis hat noch Bestand und klinke mich jetzt hier aus.

So isses.

Nicht nötig.
Du kannst aber die Mail mit dem Virus im EML-Format speichern und an uns schicken.
Der Link steht gleich hier unter diesem Text.

habe sie nicht mehr leider

Hallo, ich habe da viele Fragen und auch Fragezeichen:kloppen::headbang:

1.) Mithilfe von Cosinus habe ich meinen Rechner von dem Trojaner befreit.

2.) Dann lese ich hier, dass man den Virus hier posten soll; ich weiß nicht wie ich das machen soll. Die Mail mit dem Dateianhang habe ich noch in meinem Postfach.

3.) vier .jpg - Dateien und ihr jeweils verschlüsseltes Pendant ("WckUshfgmvcoenDGKsvowf...." usw.) habe ich ausfindig gemacht.

Verstehe ich das richtig: Kann ich, mithilfe eines tools der 8 gezeigten, den Schlüssel erstellen, der aus Originaldatei die verschlüsselte Datei gemacht hat? Und der verschlüsselungsalgorithmus wird mithilfe eines dieser tools ausfindig gemacht?

Soll ich jetzt beispielsweise mit dem "DecryptHelper" dort die Originaldatei und die verschlüsselte Datei eingeben, und der "DecryptHelper" generiert dann einen Schlüssel, mit dem ich wieder entschlüsseln kann?

Also ich könnte es mir vorstellen, dass es so ähnlich irgendwie geht, aber da ich alles andere als Computerfreak bin, habe ich nicht die geringste Ahnung, wie ich nun vorgehen soll. Habe schon vieles durchgelesen, aber kapieren tu ich's nicht :confused:

Kann man davon ausgehen, dass .jpg-, .bmp-, .pdf-, .mp3- usw. - DAteien, alle mit einem anderen algorithmus verschlüsselt wurden? Oder dass sogar jede einzelne Datei einen anderen Verschlüsselungsalgorithmus "durchlaufen hat"?

Hallo Matthes,

Nein, nicht hier posten, sondern die Mail mit dem Virus als *.eml Datei speichern und an uns senden.
Nur zur Analyse der Entwicklung des Trojaners.

Nein, das verstehst Du falsch.
Oben unter Punkt 3 der Hinweise steht eindeutig:

Bei Dateien wie locked-<DATEINAME>.<ENDUNG>.wxyz entschlüsseln: Übersicht der 8 Entschlüsselungs-Tools

Deine Dateien sehen aber nicht so aus, sondern so: ("WckUshfgmvcoenDGKsvowf...." usw.)

Damit scheiden die 8 Tools zur Entschlüsselung aus.
Das ist aber schon hundertfach und eindeutig beschrieben.
Dir helfen nur die Möglichkeiten, die unter http://www.trojaner-board.de/116851-...strojaner.html beschrieben sind.

Nein, der Algorithmus ist der gleiche, wahrscheinlich RC4, wobei der Virus aber weiterentwickelt wird und die Verschlüsselung auch anders erfolgen kann.
Allerdings erhält jede Datei ihren eigenen Schlüssel, unabhängig vom Format.

Volker

Was ist eine .eml - Datei? Und wie geht sowas, eine .eml - Datei erstellen?:confused:

Manche Mailprogramme, wie TheBat! oder Outlook Express bieten die Möglichkeit die Mail als {Mailname}.eml zu speichern.
Also, Speichern unter --> eml.
Diese Datei dann als Anlage an die Adresse im Link mailen.
Wenn Dein Mailprogramm keine eml-Datei erzeugen kann, dann an die Adresse im Link weiterleiten.

Gruß Volker

Outlook und so benutze ich gar nicht. Hab deshalb jetzt einfach die beiden mails incl. Anhang an "virus@trojaner-board.de" weitergeleitet. Hoffe , dass das ok ist.

Der Rechner bootet wieder normal - ohne Fehlermeldungen.
Scheinbar sind keine system-wichtigen Dateien verschlüsselt worden.

Zum Zeitpunkt vor der "Reinigung" bootete der Rechner nicht im abgesicherten Modus und im normalen Modus wurde er ja gleich eingefroren, so daß Regedit und Taskmanager nicht möglichwaren.

Auf der Festplatte sind einige Bilder / Foto's gespeichert, für die es keine Sicherung gibt - aber soooo wichtig scheinen diese auch nicht.

Die Festplatte ist eine MAXTOR DiamondMax Plus 8 ATA/133 mit 40 GB.
Ich kann / darf euch diese überlassen, wenn sie für eine Analyse hilfreich ist.

MfG
NF-Olaf

Hallo Olaf,
für die Bilder, falls es sich um JPGs handelt, bestehhen berechtigte Chancen der Wiederherstellung.
Schau mal nach JPEGSnoop oder JPEG-Recovery unter http://www.trojaner-board.de/116851-...strojaner.html

Das mit der HDD ist mir unklar.
Ist das die noch befallene System-HDD?

Volker

Die HDD ist noch die originale mit den verschlüsselten Dateien - aber eben an einem Win7-PC als externe Platte angeschlossen und mit Malwarebytes geprüft - jedoch ohne den Virus zu finden.

LG Olaf

Dass Malwarebytes nix gefunden hat sagt noch nichts aus, wenn sie nicht als System gemountet ist, sondern nur an einem Win7-System hängt.
War Malwarebytes aktuell oder hast Du nur den Quick-Scan gemacht?

Wenn Du willst, kannst Du mir die Platte schicken.
Außerdem könnst Du mir die Datei B4F02758323053570000.$02 zukommen lassen.

Volker

Hallo Volker, danke für Deine Nachrichten, ein paar Fragen hätte ich noch:

ich habe vor wenigen Tagen beide Mails incl. Anhang einfach hier als Antwort an virus@trojaner-board.de geschickt, kam das an? Oder habsch da was falsch gemacht?

Ja, es scheint so, dass nix von alledem greift. Wie gesagt: Ein Mal hatte es geklappt, habe nur hinten ".jpg" angefügt, da wurde das Bild angezeigt. Jetzt kommt immer nur ne Fehlermeldung, es fehle ein grafikimportierer und so.

Den shadow-explorer, soll ich den, als Sicherungstool für meine Daten, vorsichtshalber auch installieren?



Also ich möchte sagen, dass ich ein beinahe absoluter Laie in Sachen Computer bin und deshalb die eine oder andere dämliche Frage stelle :wtf:

Mit shadow-explorer und den anderen tools konnte ich nix erreichen... also ich gehe mal davon aus, dass ich alles löschen kann, was der Trojaner da verschlüsselt hat, stimmt's?

Ich würde mir am Liebsten das komplette Betriebssystem neu drüberschmieren, da sich im Lauf der Jahre sowieso manch komische Spirenzchen des PC bemerkbar machen, Fehlermeldungen beim Runterfahren, langes verharren in unerkenntlichen Hintergrundtätigkeiten, dann immmer lange Zeit zum Hochfahren (jetzt nach der Trojaner - Attacke nochmal doppelt so lange mit lauten "Kratzern" in der Windows - Standard - Startmusik). Überhaupt ist er sehr lahm geworden. andere Anwendungen (z.B. das Fernsehbild) laufen auch nicht mehr "flüssig", sondern es stockt mal mehr, mal weniger. Der Willkommensbildschirm beim Hochfahren zeigt immernoch die durch den Trojaner veränderten Buttons (sind jetzt Schachfiguren), mit denen man sich auf dem entsprechenden Konto anmeldet.

Da hätte ich auch eine Frage dazu: Kann ich bei eBay eine sog. OEM - Version von WinXPprof besorgen, oder was soll ich machen?

Glücklicherweise habe ich viele Daten vorher gesichert und kann se dann neu druffspielen.

Vorletzte Frage: habe zu dem SATA-Systemlaufwerk eine weitere Festplatte über IDE-USB - Konverter installiert, eine von beiden hat nur die halbe Kapazität, also eine hat 40GB, die andere 80GB; Das System sollte auf die kleinere, kann/muss man das auch im BIOS einstellen?

Und noch als letztes: Wie tue ich die CD rein? Muss ich da - also zum drüberschmieren - einfach die WinXP - CD rein, im BIOS bootreihenfolge ändern, dass zuerst CD-ROM-Laufwerk steht, oder muss ich da manuell etwas formatieren?

P.P.S.: Möglicherweise muss ich mich an verschiedene Foren für das spezielle Problem jeweils wenden, ich weiss aber nicht, an welches, und dann kommen da wieder von irgendwelchen Moderatoren u.a. Leuten Shitstorms, dass man wieder mal einen crossposter gefunden hätte und so. Deshalb frage ich hier im Trojanerboard mal als erstes.

Hallo Matthes,
ich kümmere mich morgen Nachmittag um Dich, habe momentan noch etwas Streß mit einem Kfz-Schaden.

Volker

Der Shadow-Explorer ist kein Sicherheitstool, er erleichtert nur das Management der Schattenkopien.
Wenn Speicherplatz kein Problem ist, schadet er nicht.
Wichtiger ist, das Shadow-management grundsätzlich Deinen Bedürfnissen anzupassen. Standardmäßig wird es nur füe C:\ aktiviert.

Das hängt davon ab, welchen Stellenwert die daten für Dich haben.
Du kannst sie auch sichern und auf eine spätere Lösung hoffen, gelöscht ist irgendwann ganz weg und nicht rekonstruierbar.

Damit hättest Du auf jeden Fall ein sauberes System und kannst alle Treiber aktualisieren.

OEM steht für Original Equipment Manufacturer.
In diesem Fall wird Software durch den Lizenzgeber an Firmen verkauft, die diese mit ihrer Hardware an Endverbraucher als Bundle anbieten.
Die Lizenzbedingungen für diese Bundle-Produkte können von denen des Softwareherstellers abweichen.
Möglich ist auch ein sogenanntes Branding. Damit ist die Installation der Software nur auf herstellerspezifischer Hardware möglich.
Wer sicher gehen will, kauft eine Vollversion vom Lizenzgeber der Software, also hardwareunabhängig, muß aber dafür einen höheren Preis in kauf nehmen.

Das mußt Du mir näher erklären.
Heißt das, Du hast eine IDE-Platte über einen Konverter am USB hängen, also quasi als externe HDD?

Welche ist kleiner, die SATA oder die IDE?
Die Bootreihenfolge mußt Du selbstverständlich im BIOS festlegen.Nun kommt es noch darauf an, wie Du das mit dem IDE-USB Konverter gemeint hast.
Wenn das so ist wie ich es lese und wenn dann diese USB-HDD die kleinere ist, dann muss Dein BIOS das Booten von USB unterstützen.

So isses, wenn Du von CD bootest startet das Setup und vor der Installation legst Du dann das laufwerk fest.
Du hast dann die Möglichkeit dieses Laufwerk zu partitionieren und zu formatieren, was ich empfehle.

Volker

Hallo Volker :party: das freut mich ja riesig, dass Du mir so detailliert und umfangreich antwortest! Ich hatte schon Schiss, dass es nervt, wenn ich so laienhafte Fragen da stelle.

Also im Moment, bzw. so, wie der Rechner hierher ausgeliefert wurde, ist C: mein Systemlaufwerk, unpartitioniert, und hat 80GB. Die Festplatte (m. IDE - Schnittstelle), wo ich eingebaut habe und über IDE-zu-USB - Konverter betreibe, hat 40GB (das steht drauf, aber unter "Eigenschaften" werden da nur 31,4GB angezeigt:confused:). Diese - quasi externe - Festplatte über USB/IDE - Adapter habe ich erst nach dem Verschlüsselungstrojanerbefall eingebaut, sie ist also nicht kontaminiert.

Ja und neues Betriebssystem drüberschmieren wäre mir am liebsten, damit der Computer jungfräulich eine neue Ehe mit mir eingehen kann :-D Eine Original - Software von Microsoft wäre mir aber sehr zu teuer, deshalb dachte ich an so eine OEM - Version. Da muss ich aber auch eine Lizenz - Nummer oder so eingeben bei der Installation oder so, gäll?

Erst mal danke und Dir wünsche ich wenig Ärger mit dem KFZ - Schaden!

:party:

Hilfe !!!

ich krieg gleich noch n Anfall, virus is runter folglich meine bilder und doks auch. Hab ich sauber hinbekommen das ich mir den schlimmsten von allen nach hause hole :lach:

Hab euer Prog geladen, ich schnall das mit dem schlüssel nicht , ich brauch hilfe , am besten natürlich noch übern TeamViewer :lach:


Bitte bitte bitte fleh auf knien rutsch helft mir

Wie deutlich müssen die Hinweise oben eigentlich noch angebracht sein?! :wtf:

Eine Entschlüsselung ist unwahrscheinlich bis unmöglich!

hallo Julechan, armer Schatz, kann Dich gut verstehen, mir ging es auch so.:headbang:

Ja selbstverständlich, die OEM-Versionen haben eine legale Lizenz, die Du auf jeden Fall mitbekommen solltest.
Wichtig ist auch, dass die Version auf jedem System frei installierbar ist und kein Branding besitzt.

Volker

Ja und nun ?

hallo Volker,

habe gegoogelt, was branding sein soll, bin aber nicht fündig geworden. Bin dabei auf Retail und Bulk gestossen, aber mir ist das alles irgendwie zu hoch...

die Artikel bei eBay geben teilweise an, dass die Software auf jedem Rechner installierbar sein sollen.

Ben Cartright hat seinen Rindern das Brandzeichen der Bonanza-Ranch auf den Hintern gedrückt und sie somit als Bonanzaochsen gekennzeichnet. :blabla:

"Branding" heißt also so viel wie mit einem Zeichen versehen, in diesem Fall mit einem Zeichen eines bestimmten Herstellers der Hardware.
Aktuell ist Branding bei Mobiltelefonen beliebt.
Da schließt Du einen Vertrag mit einem Netzbetreiber und bekommst ein Handy.
Wenn Du dann den Netzbetreiber wechselst und dessen SIM-Karte in das Handy steckst, funktioniert es nicht.

Es gab eine Zeit, da haben Computerhersteller herstellerspezifische BIOS-Chips eingesetzt.
Das Betriebssystem (Windows) hat bei der Installation das BIOS abgefragt und wenn es nicht passte, konnte das Betriebssystem nicht installiert werden, es war also gebrandmarkt für Dell, Sony, Samsung oder weiß-der-Geier.
Es wäre also fatal, wenn Du ein Betriebssystem kaufst, dass nur auf einem Rechner eines bestimmten Herstellers installationsfähig ist.

Wenn der Händler garantiert, dass es überall installiert werden kann, ist das doch in Ordnung.

Volker

wenn jetzt dabei steht, dass der Lizenzaufkleber Abnutzungsspuren hat, wie soll ich das verstehen? Und dann steht bei manchen Angeboten noch dabei, dass (jederzeit ?) eine telefonische Aktivierung möglich sei, was heißt dass denn nun?:wtf:

Man, Du kannst Fragen stellen, ich kann da auch nur spekulieren.
Frag doch den Anbieter mal danach oder kaufe von einem Händler für etwas weniger als 50 Euro.

Volker

@Matthias
Das ganze geht ein wenig Offtopic..
Aber mal zur Info:

Es gibt "gebrandete" Lizenzaufkleber, da steht dann drauf von DELL , MEDION.....
Dann hast du normale OEM aufkleber, da steht dann Microsoft Windows drauf.
Abnutzungsspuren dürfte folgendes sein:
Die Lizeznaufkleber sind normalerweise auf dem PC festgeklebt, wenn diese abgemacht werden, kann es schonmal sein, dass dies nicht ganz ohne Riss oder so geht...

Betreff Aktivierung:
Normalerweise kannst du windows nach der Installation Online aktivieren, es kann aber mal sein, dass dies bei "gebrandeten" evt. nicht geht. Diese mußt du dann über eine kostenlose Windowshotline telefonisch aktivieren.

Was die Installation angeht, solche Keys gehen ohne Probleme.
im groben gibt es 2-3 Sachen..
1: Wenn es eine gebrandete ist, dann hast du unter Systemeigenschaften evt. den Hersteller stehen , stört absolut nicht
2: In der heutigen zeit installiert man XP eigentlich direkt mit Service Pack 3. Da kann es passieren, dass dies nicht geht, da die meisten Lizezenzen bei Ebay überwiegend mit SP2 sind. Damit kannst du es aber dann ohne Probleme installieren, und dann über Windows Update auf SP3 updaten
3: Du mußt eigentlich nur aufpassen, das es keine "Recovery CD" ist, den die sind fast immer Hardware gebunden.

So..
Ich würde sagen genug OffTopic, laßt uns wieder zum Thema zurück kehren !!

hallo seeadler,

ja, es hat sich nach offtopic entwickelt, war nicht meine absicht... wusste halt nicht was ich machen soll und wo ich sonst so fragen könnte... aber danke Dir für die Erklärungen! :abklatsch::party:

Ich habe einen kompletten Scan durchgeführt.

Wohin soll ich die Platte schicken ??
Die B4F02758323053570000.$02 ist auf der Platte vorhanden - Platte ist ausgebaut.

LG Olaf

moin moin Olaf,
ich schicke Dir eine PN.

Gruß Voker

Hallo matkuni,
ich habe vermutlich dasselbe Problem wie djbodo, ich habe mehrere Originaldateien die auch mit der Größe (exakte Bytezahl) mit den verschlüsselten Dateien übereinstimmen. Aber sie lassen sich nicht entschlüsseln.
Falls es sich hier auch um die Metadaten handelt dann wäre ich dir sehr verbunden wenn du eine Anleitung posten könntest in der du zeigst wie du den Key trotzdem generierst bzw. die andere Datei anpasst, dass die Metadaten gleich sind (kA wie du das gemacht hast).
hxxp://www.file-upload.net/download-4622457/Blaue-Berge.zip.html

Danke im vorhinein

LG Rooney

moin moin Rooney,
seit wann sind denn Deine Dateien verschlüsselt?
Eine Verschlüsselung der Form locked-{Dateiname}.{Ext}.{4Zeichen} ist in den
letzten zwei Monaten kaum noch aufgetaucht.

Falls partou kein Schlüssel zu erzeugen ist, hast Du eventuell eine der wenigen Versionen mit 6k-Verschlüsselung erwischt, anstatt die 3k-Variante.

Sehen deine Dateien aber so aus, TGBzuhjlkjnFG, helfen die Tools eh nicht.

Volker

Hi Undertaker,

naja dann sieht's schlecht aus für mich, da meine Datei "uTAxyxotTOpNDga" so heißt und die haben alle solche generierte Namen.
Gibt es irgendeine Möglichkeit die Dateien zu entschlüsseln? Mir ist auch die Dauer der Entschlüsselung egal, es muss nur funktionieren.

Danke dir!

LG Rooney

Nein, für diese 12k-Verschlüsselung gibt es keine Möglichkeit der Entschlüsselung.
Du kannst aber probieren, Dateien zu reparieren.
Gute Chancen bestehen bei MP3s und JPGs.
Klicke mal auf den Link Datenrettung --> HIER in meiner Signatur, dort kannst Du Dich über die Möglichkeiten informieren.

Volker

Hallo Forum, ich schreibe hier nur um Danke zu sagen. Ein Freund hatte sich auch diesen Trojaner eingefangen. Alle Bilddateien waren verschlüsselt nach dem Muster hjhijnkuKJHi ohne jpg Erweiterung. Nachdem ich ALLE Seiten gelesen habe (mühsam aber lehrreich) habe ich einige Tools ausprobiert. Mit JPEG Recovery Pro hatte ich Erfolg. An jede Datei ein jpg angehängt und dann entschlüsselt. Von ca 500 Dateien wurden nur 4 nicht wiederhergestellt. Also ein toller Erfolg. Nochmals vielen Dank an alle die das möglich machten. Karl

Hallo Karl,
hoffendlich hat Dein Freund Leeren aus der Misere gezogen und macht nun regelmäßig Kopien seiner wichtigen Daten.

Gruß Volker

Hallo Leute!

Meine Mutter bekam in den letzten Tagen auch einen "Rechnungs" Trojaner.
Die bezeichnung lt. Avira war Tr/spy.zbot.ekvz
Die Datenbank aus ELBA5 (Elektronikbanking) ist komplett Pfutsch.
Das was sie noch hat sind sehr viele persönliche Bilder und Geschäftliche Word, Excel u. PDF Dateien.
Die Bilder laßen sich alle nicht mehr öffnen, genauso wenig Videos.
Alle Word, Excel sowie PDF Dateien auch nicht mehr.
Bei den Word Dateien sagt MS Word immer "Dateikonvertierung von ...." egal welche Schrift man da nimmt bzw Region, es sind immer irgendwelche zusammengewürfelte Buchstaben. Probiert hätte ich noch Openoffice und Google Docs Reader.
Für mich sind die Dateien weniger verschlüßelt sondern eher komplett defekt.
Avira sprach nachdem er den Virus gefunden und ich ihn dann entfernt habe
auch noch Warnungen aus das von einigen Bildern der Archivheader defekt sei.
Vielleicht könnte mir da jemand recht geben ;) Denn ich habe einfach schon zuviel Zeit rein investiert.

Danke, MFG

Nö, dazu kann ich Dir ganz und garnicht Recht geben, ohne in die Dateien zu sehen.
So musst Du Dir diese Bestätigung bei einer Hellseherin oder einem Hellseher holen.

Volker

also ich habe auch diesen virus, alle meine 2000 bilder meiner tochter sind verschlüsselt- ich habe nun decrypt helper geladen und auch den avira. was ich nicht verstehe ich soll die verschlüsselte datei auswählen und dann die originale? die habe ich ja nicht mehr, wenn ich die hätte dann wäre es mir ja egal ob was verschlüsselt ist. was mache ich falsch?
Danke
PS Ich bin neu hier

Hm..
Nicht lesen ?

Es steht alles, ABER auch wirklich alles in dem Text über dem Thread...
Vorallem der Punkt unter 3 sollte hilfreich sein.

Hallo,

ich versuche schon seit über 4 Monaten, immer mit den hier genannten Tools, meine verschlüsselten Daten wiederherzustellen. Diese Tools meine ich:

http://www.trojaner-board.de/114783-...ubersicht.html

Komischerweise können die meisten Tools einen Schlüssel erstellen, jedoch kann ich die entschlüsselten Daten leider nicht öffnen.

Ich habe mir anschließend mal eine entschlüsselte XML-Datei mit Notepad++ angesehen. Siehe da, die ersten 50-80 Zeilen waren noch verschlüsselt, der Rest aber nicht.

Hat einer eine Idee, warum das so ist? Gibt es vielleicht ein Tool welches ich noch testen könnte? Habe den locked-dateiname.abc.xzvf Virus.

Hallo cimbo,
welche Tools hast Du probiert und welche erstellen keinen Schlüssel?
Woher nimmst Du die passenden Originaldateien?
Wieviel Dateipaare hast Du?
Stimmen die bitgenau mit den locked-Dateien überein?
50 bis 80 Zeilen ist ja ein Unterschied, Notpad hilft da wenig oder hat jede Zeile 16 Byte?.
Du brauchgst schon einen Hexeditor um zu sehen, wieviel Bytes verschlüsselt sind.
Letztendlich ist es auch möglich, dass Du eine Variante des Trojaners hast, der die ersten 6k einer Datei verschüsselt.
Eine solche Variante war kurzzeitig im Umlauf.
Eine echte Chance hast Du mit den Tools nur bei der 3k-Version des Trojaners.

Volker

also ich verstehe das ganze nicht.
Ich habe keine Originalen bilder nur verschlüsselte.
ich geb wie folgt vor.
nehme das Programm zum schlüssel erzeugen.
es kommt verschlüsselte datei wählen okay nehme weiuitfrioned
dann kommt originale wählen, da nehme ich das beispielbild,
dann kommt fehler datei ist entweder nicht gleich gross oder nicht die geliche datei. Na klar ist es nicht die gleiche.
Ich bin normal nicht blöd, was pc angeht. Aber ich glaube am einfachsten ist es solche leute einfach zu ........ :kloppen:
das heisst die bilder meiner tochter sind weg. ich möchte nur einmal so einen typen vor mir haben ich würde ihn ..........

Hallo gstevie, wenn ich Deinen Beitrag richtig lese, hast Du das gleich Problem vor dem ich stand. Hast Du schon JPEG Recovery Pro ausprobiert? Gruß Karl

hallo
ich lasse gerade easeus data durchlaufen ich blicke diese programme hier leider nicht. hast du deine bilder wieder zurück?

Ja, hat geklappt. Nur bei 4 von ca 500 nicht. Karl

Schick mir doch mal 2 per PN. Ich probier es dann aus.

Und du hast es mit recovery wieder bekommen? Waren die. Auch mit Endung fhhdfghhh oder so.

Ja, genau so. Buchstabensalat ohne Anhang.

moin moin,
was ist weiuitfrioned?
Willst Du damit den Namen der Datei beschreiben?
Wenn ja, dann helfen die acht Tools nicht und ich empfehle Dir, dem Rat auf Dein erstes Posting zu folgen und Punkt 3 der Hinweise zu studieren.

Volker

... ja mich hats auch erwischt , alle Exel endungen also (*.xls, *.xlsx) wurden entfernt, und die Dateien sind buchstabenwirrwarr wie zb.: "DueoVnsNggqQpvqDOgrX" eben OHNE !!! die *.xls oder *.xlsx endung.
Kann mir jemand helfen, betrifft sehr viele dateien die ich für meine Arbeit benötige.

Greetz JKj