Trojaner-Board - Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware)

Trojaner-Board (https://www.trojaner-board.de/)

- Diskussionsforum (https://www.trojaner-board.de/diskussionsforum/)

- - Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware) (https://www.trojaner-board.de/114115-wiederherstellung-verschluesselten-dateien-rechnung-exe-realtecdriver-exe-schadsoftware.html)

@markusg
hab über den Rechner schon 3x das AV Programm laufen lassen. Das hat nichts mehr gefunden. Auch gebootet von der Rescue-CD und die Laufwerke abgescannt, nichts gefunden.

Mein AV hat die Schadsoftware ja erkannt, aber leider zu spät.

Was sollte man noch für ein Programm über die Laufwerke jagen? :confused:

Zitat:

Zitat von Juergen_B (Beitrag 820913)

Wurde denn die Schadsoftware erfolgreich gelöscht? Es sollten normalerweise 2 EXE-Dateien sein.

Ja, mein AV-Programm hat laut Log-Datei 2 EXE-Dateien im Modus "Echtzeit Datenschutz" gelöscht.
Trotz AV-Programm hat das Schadprogramm aber trotzdem voll zugeschlagen.

Zitat:

Zitat von Juergen_B (Beitrag 820918)

Ja, mein AV-Programm hat laut Log-Datei 2 EXE-Dateien im Modus "Echtzeit Datenschutz" gelöscht.
Trotz AV-Programm hat das Schadprogramm aber trotzdem voll zugeschlagen.

Wurde wahrscheinlich erst nach Aktualisierung der Virendefinitionen gefunden. Aber jetzt ist ja anscheinend alles wieder in Ordnung :)

Als ich die Schadsoftware in den Händen hatte, haben sie gerade mal fünf oder sechs der auf VirusTotal gelisteten Anti-Viren-Programme erkannt. Und das waren größtenteils Heuristiken.

EDIT für alle und wieder On-Topic:

Gibt's Feedback zur neuen Version? Funktioniert irgendetwas nicht oder läuft falsch?
Sonst implementiere ich noch das Logging...

jo, gibt jeden tag momentan so 1 2 neue samples, also noch ne relativ geringe routation.
ich bin mal gespannt wie das wird, wenn sie es enden.
deswegen will ich ja die mails immer haben, um zeitnahe reagieren zu können, heißt, dateien einsenden.

Zitat:

Zitat von matkuni (Beitrag 820923)

Gibt's Feedback zur neuen Version? Funktioniert irgendetwas nicht oder läuft falsch?
Sonst implementiere ich noch das Logging...

Wenn ich versuche, ganze Ordner zu entschlüsseln, wird dein Programm auf einmal inaktiv. Es entschlüsselt keine weiteren Dateien, der entsprechende Button bleibt deaktiviert, aber es tut sich nichts....

Ansonsten: herzlichen Dank für deine Arbeit! Meine Mutter schuldet dir schon jetzt mehrere Kästen Hopfenschorle :)

Zitat:

Zitat von Osterlaus (Beitrag 820940)

Nutzt du die letzte Version (DecryptHelper 0.5)?

Es gibt zur Zeit leider noch keine Aktivitätsanzeige.
Schau mal in den ausgewählten Ordner, wird da nicht vielleicht doch gearbeitet?

Zitat:

Zitat von matkuni (Beitrag 820941)

Nutzt du die letzte Version (DecryptHelper 0.5)?

Es gibt zur Zeit leider noch keine Aktivitätsanzeige.
Schau mal in den ausgewählten Ordner, wird da nicht vielleicht doch gearbeitet?

Ja, ich nutze 0.5 und es tut sich lange nichts - zum Schluss hats dann aber doch geklappt. Ein Aktivitätsanzeige wäre toll, so als große Textbox, in der die entschlüsselten Dateien aufgeführt werden.

hallo
hier sieht ja alles nach einer lösung aus nur scheine ich blond zu sein ^^
habe mir die programme runtergeladen und es auch versucht
decrypt helper 0.5 verlangt die orginaldatei wie und wo finde ich die denn sorry aber pc ist nicht so mein dinge aber man kann ja auch nicht mehr ohne^^

Zitat:

Zitat von stephan73 (Beitrag 820955)

Zum "Schlüssel erzeugen" muss eine von der Schadsoftware verschlüsselte Datei sowie das Original vorhanden sein.

Anbieten würden sich hier zum Beispiel vom Windows mitgelieferte Beispielbilder, eine Sicherung von einem Dokument/Bild von dir auf einem externen Datenträger oder eine Datei, die du per E-Mail verschickt oder ins Internet gestellt hast.
Wichtig ist, dass es wirklich die exakt gleiche Datei ist, die von der Schadsoftware verschlüsselt wurde.

Dieses Pärchen stellst du dem DecryptHelper zur Verfügung und er erzeugt dir deinen rechnerabhängigen Schlüssel, mit dem du die Dateien wiederherstellen kannst (nachdem du eine Sicherheitskopie angefertigt hast!)

ok soweit habe ich das verstanden ABER wenn ich das orginal hätte würde ich mir die bilder einfach wieder auf pc schieben

ich habe ca 10000 bilder auf pc alle von der digi cam rübergezogen und habe nie eine kopie gemacht

heisst das jetzt ich kann die bilder nicht mehr öffnen

vielen dank für die hilfe

Zitat:

Zitat von stephan73 (Beitrag 820973)

Du brauchst nur EIN Original um damit ALLE Dateien wiederherzustellen! :)
Irgendwo findest du doch sicher etwas. Es reicht wie gesagt eine einzige Datei.

Bin gerade dabei zu entsperren, nun fällt mir auf, das bei manchen ordner und dateien ein kleines vorhängeschloss davor ist. was bedeutet das?

hallo leute meine bilder kommen nach und nach wieder

super vielen dank

danke das es so ein forum gibt und leute die sich den a.... aufreissen für sowas

mit dem code wie ich die bilder entschlüsselt habe kann ich damit alles entschlüsseln was loked ist sprich auch meine musik ordner

DANKKKKKEEEEEEEEEEEEE

Version 0.5.1 ist veröffentlicht. Erzeugt jetzt bei Bedarf eine Logdatei mit dieser Struktur:

Code:

27.04.2012 21:10:48 FOLDER /Users/matthias/rescue3

27.04.2012 21:10:48 OK IMG_0324.JPG

27.04.2012 21:10:49 OK IMG_0327.JPG

27.04.2012 21:10:49 SKIP IMG_0372.JPG

27.04.2012 21:10:49 SKIP IMG_0373.JPG

27.04.2012 21:10:49 OK IMG_0374.JPG

27.04.2012 21:10:49 OK IMG_0376.JPG

27.04.2012 21:10:49 FOLDER /Users/matthias/rescue3/test1

27.04.2012 21:10:49 OK IMG_0358.JPG

27.04.2012 21:10:49 OK IMG_0361.JPG

27.04.2012 21:10:49 OK IMG_0371.JPG

27.04.2012 21:10:49 FOLDER /Users/matthias/rescue3/test1/test1a

27.04.2012 21:10:50 OK IMG_0332.JPG

27.04.2012 21:10:50 OK IMG_0357.JPG

27.04.2012 21:10:50 FOLDER /Users/matthias/rescue3/test2

27.04.2012 21:10:50 OK IMG_0328.JPG

27.04.2012 21:10:50 OK IMG_0330.JPG

Dort kann man jetzt endlich den aktuellen Fortschritt überprüfen. (SKIP = wurde überprungen, da originaler Dateiname bereits vergeben ist)
Ist über die bereits bekannten Downloadlinks verfügbar bzw. hier: DecryptHelper

Zitat:

Zitat von chip09 (Beitrag 821034)

Bin gerade dabei zu entsperren, nun fällt mir auf, das bei manchen ordner und dateien ein kleines vorhängeschloss davor ist. was bedeutet das?

Kannst du davon ein Bild hochladen?
Eventuell ist der Ordner schreibgeschützt. Bist du unter Linux/LiveCD?

Zitat:

Zitat von stephan73 (Beitrag 821059)

Freut mich :)
Nutzt du eine Version ab einschließlich 0.5? Damit geht's wesentlich schneller!

Hallo zusammen, bin einer von vielen Leidgenossen und kein Computerprofi. Ich habe decryptHelper 0,5 heruntergeladen, habe aber das Problem, dass bei Doppelklick sich meine Nokia Suit öffnet und in einem Fenster mich auffordert, das Gerät des decryptHelpers anzuschließen ?????
Was mach eich falsch - bitte um Hilfe
LG Michael

Hallo Ingmilu,

gleiches Problem hatte ich auch. Habe einfach die Nokia Suit gelöscht und danach hat alles funktioniert.

Zitat:

Zitat von ingmilu (Beitrag 821072)

Böse Nokia Suite! Klaut sich einfach die Dateiendung!

Versuchs mal mit der Eingabeaufforderung. Dort ins Verzeichnis von der DecryptHelper-0.5.jar wechseln und sie mit diesem Befehl starten:
java -jar DecryptHelper-0.5.jar

Update: Habe dir eine ausführbare Datei erstellt:
DecryptHelper.exe basiert auf Version 0.5.1 und prüft zusätzlich ob die benötigte Java Runtime installiert ist!

Sehr geehrter ,

Herzlichen Glückwunsch, Ihr Premiumemail Upgrade ist eingetragen worden.
357,59 Euro für Jahres Registrationsbeitrag werden Ihnen in kürze von Ihrem Bankkonto zu Last gelegt. Kontrollieren Sie die Vertragsdetails bitte dem Anhang, dort finden Sie auch den Formular über die Lastschriftabbuchung.

mit freudlichen Grüssen
Ihr Kundenservice

Vielen vielen Dank für Eure Hilfe, hat alles super zum ent"locked" funktioniert :-)

Frage noch, wielange soll die Sicherheitskopie der Locked Daten draufbleiben und kann man diese dann einfach löschen?

Hallo matkuni, vielen Dank für die super schnelle Antwort - du bnist ja offensichtlich permanent seit Tagen online. Das Öffnen hat jetzt super geklappt und der Computer arbeitet. Habe bisher 2 Fehlermeldungen erhalten - map failed und irgend etwas war zu klein - wir werden ja sehen. Jedenfalls vielen Dank vorerst.
LG michael

Hallo matkuni, bei mir hat alles geklappt - du bist ein Gott - vielen Dank
LG Michael

Schönen guten Abend,

ich habe gerade am Notebook meiner Eltern gesessen, die sich einen Verschlüsselungstrojaner eingefangen haben. Dank der Hilfe im Forum hier habe ich zumindest den Trojaner entfernen können und wieder Zugriff auf das Notebook. Bei der Entschlüsselung der Dateien habe ich allerdings Probleme. Die gespeicherten verschlüsselten Bilder sind alle nur ca. 50 kb groß. Wenn ich diese mit der Originaldatei "vergleichen" lasse, kommt immer die Fehlermeldung, dass die Dateien unterschiedlich groß sind. Hat jemand vielleicht eine Idee wie ich weiter vorgehen kann?

Vielen Dank im Voraus!

VG, Christoph

Zitat:

Zitat von matkuni (Beitrag 820539)

Netzlaufwerke sieht man nicht im Auswahldialog, oder?
"When it's done." ;)

Bitte auch hier die vollständige Fehlermeldung (einschließlich Fenstertitel und alles was noch so passen könnte). Oder am besten direkt ein Screenshot!

Okay Screenshot.. links die Dateien die ich nicht öffnen kann rechts meine Programliste

Vielen Dank erstmal für Eure hilfe kann dieses locked-... nicht mehr sehen
Grüße Melanie

Zitat:

Zitat von Tarja (Beitrag 821123)

Okay Screenshot.. links die Dateien die ich nicht öffnen kann rechts meine Programliste

Vielen Dank erstmal für Eure hilfe kann dieses locked-... nicht mehr sehen
Grüße Melanie

Hey, probiers mal mit dieser Version:
http://matthi.org/DecryptHelper.exe (basiert auf der aktuellsten Version und vereinfacht das Ausführen)

Zitat:

Zitat von hristo (Beitrag 821108)

Die verschlüsselte Datei muss exakt die gleiche Größe haben wie das Original.
Bist du sicher, dass du ein passendes Pärchen gefunden hast?

Zitat:

Zitat von chip09 (Beitrag 821088)

Bis du sicher bist, dass alle wiederhergestellten Dateien 100%ig korrekt sind ;)

Ich würde die nächsten Tage noch abwarten, ob Berichte von Nutzern auftauchen, die fehlerhafte Dateien erzeugt bekommen haben.
War mit der aktuellen Methode (0.4 / 0.5 und aktueller) bisher nicht der Fall.

Am besten wirklich alle äußerst wichtigen Dateien mal kontrollieren..

Zitat:

Zitat von Gibbemo (Beitrag 820548)

Hallo,

habe auch das Problem mit dem netten Verschlüsselungstrojaner. Leider komme ich mit dem Decrypter nicht zurecht. Auf dem PC selbst sind viele Dateien in unterschiedlichen Ordnern verschlüsselt. Zur Zeit scheitere ich schon daran einen Schlüssel zu erstellen oder zu laden.

Kann hier nochmal eine kurz erklären wie man das Tool Schritt für Schritt nutzt um zum Erfolg zu kommen?

Danke Gibbemo

Hallo nochmal,

auch ich möchte den Entwicklern DANKE sagen. Entschlüsseln der Dateien funktioniert einwandfrei. Und mit viel Arbeit und Zeit (Bezahlung von Kunden) bekommt man es in den Griff.

Gruß:Boogie:

Guten Abend!

Kannst du eine Flag einbauen, mit der bereits vorhandene wiederhergestellte Dateien
nochmal überschrieben werden? :)

Ja ich habe die Originaldatei aus einer Email. Die verschlüsselten Bilder sind alle nur noch um die 50kb groß. Das kann eigentlich nicht sein und hier liegt auch das Problem. Keine Ahnung wieso die Dateien nicht nur verschlüsselt sondern auch kleiner geworden sind.

@matkuni
dein Script lief gestern nacht bei mir.
Stichproben waren einwandfrei.
Es wurden auch meine Postscript-Schriften wiederhergestellt *.otf und *.ttf, wobei die Systemschriften (Windows) nicht gelocked waren, nur die Fonts in den Auftragsordnern.
Jetzt werde ich mein System bereinigen - wird sicher auch noch spassig.
Danke - Kompliment - meine kleine Welt dreht sich wieder! :taenzer:

Hallo ich habe auch das Problem mit dem entschlüßeln habe zwar einen Key mit einer Kranken und einer gesunden Datei erstellt es wurden auch alle Ordner wiederhergestellt doc,xls,pdf dateien wenn ich die aber aufrufe, kommt eine Schrift die mann nicht lessen kann ganz komische Zeichen was kann ich jetzt dagegen tun das ich die Dateien wieder lessen und bearbeiten kann.

Gruß
Rainer

Hallo zusammen,
Wahnsinn, was hier in kurzer Zeit auf die Beine gestellt wurde. Dafür schon mal vielen Dank! Gestern haben wir uns den Trojaner leider auch ins Haus geholt.
Aber leider funktioniert das mit der Entschlüsselung bei uns nicht. Ich weiß nicht, ob ich das ganze nicht vielleicht falsch verstehe und falsch mache. Man muss ja die locked-Datei erst anklicken, und dann die Originaldatei. Aber was denn für eine Originaldatei? Sind doch alle locked. Hab dann mal so ein Beispielbild abgespeichert. Aber das geht auch nicht. Da steht dann, das ist nicht das gleiche Paar oder hat eine verschiedene Größe. Ich verstehe es nicht.

Hallo matkuni ich möchte das Entschlüsselungsprogramm nutzen einer verschlüsselten Datei z. B. locked-abc.xls.efgb kann ich keine Originaldatei zuordnen. Wenn ich abc.xls eingebe erscheint: die Dateien sind unterschiedlich groß. Was ist der zu ladende Schlüssel?

Gruß und Dank im voraus hkhkl

Ja hallo zunächst Chapou, kein großer Virenscanner kann es bisher!
Ich habe alles durchgeführt erst Malwarebytes 4 Dateien gefunden (im abgesicherten Modus ging bei mir das starten noch) dann besser noch von Dr WEB Drwebcurlet erst damit ging ein start ohne Erpresserbildschirm, dann mit aviraunlocked einige Dateien die wichtigsten entschlüsselt alles geht. Jetzt mit Dercrypthelper die unwichtigen Dateien drüber, weil der in der lage ist die locked- Dateien nicht zu behalten. Was derzeit noch stört die Microsoft Officeprogramme lassen sich nicht richtig starten ein Instalationsvorgang wird gestartet wenn man den abbricht fahren die Office Programme runter?

@MatKuni
Jetzt mal ehrlich:
ich glaube Du hast mit deinem Script so manchen hier glücklich gemacht.
Ganz herzlichen Dank für Deine Mühe!
Ich kann grob erahnen, was es Dich an Arbeit gekostet hat.
Natürlich hätten wir alle ohne Internet und Mail keine Viren... um so toller finde ich Leistungen wie Deine.
Ich bin wirklich froh, auf Deinen Beitrag gestossen zu sein.

Herr KUNIG, Vielen Vielen Vielan Dank!

Über 600 Dateien Datenbanken, alles wieder so wie es sein soll!:dankeschoen::dankeschoen:

Natürlich auch ein großes Dankeschön an www.trojaner-board.de für die Unterstützung von Anfang bis zum Ende!

Ich muss mich auch bedanken, oder besser im Namen meines Kunden, der wird sich am Montag freuen.

Da haben wir echt Schwein gehabt,
das der Schöpfer so "faul" war um für alle Dateien den gleichen Key zu benutzen.

Richtiger wer es doch gewesen ein neues Schlüsselpaar beim infizieren zu erzeugen, den Privaten dann zum Autor zu schicken und restlos vom System Wipen.
Jetzt für jede Datei / Ordner nochmal zufällige Schlüssel generieren und diese dann mit dem Öffentlichen Schlüssel zu verschlüsseln.
Bei Zahlung gibt es dann vielleicht den Privaten zurück......
(oder habe ich da jetzt einen Denkfehler drin wo hier der "Fehler" des Autors lag ?)

oder er hatte wohl die CO2 Bilanz seines Treibens im Hinterkopf :crazy:

hatt doch nicht jeder den selben schlüssel.
außerdem ist das ja erst die erste version.
sie wird weiter entwickelt.
habe gestern eine version eingesendet, in der die möglichkeit besteht, die liste der verwendeten urls auszutauschen.
also der urls der cc server und der server, von denen die malware weitere malware downloaden kann.
da wird sicher noch einiges kommen.

Hallo zusammen

Danke für die geniale Arbeit alle meine Daten sind wieder zurück.
Ich habe mir Vergleichsdaten (Bilder aus dem Ordner Publik ) für XP Vista Win7 zusmmengestellt.
Wer welche braucht, helfe gern Pin mit e.mail Adresss. reicht oder kann ich die hier als zip ablegen?

:dankeschoen: matkuni und natürlich alle die an diesem genialen Tool mithelfen.
Ihr habt mir viel Zeit erspart und dass habe ich heute mit einem "Fuffi" als Spende für eure Arbeit belohnt. Ich weiss, wieviel Arbeit sowas kostet und bin froh, dass es so Leute wie Euch gibt.:daumenhoc
Gruss bummi-fix

Zitat:

Zitat von matkuni (Beitrag 821126)

Hey, probiers mal mit dieser Version:
hxxp://matthi.org/DecryptHelper.exe (basiert auf der aktuellsten Version und vereinfacht das Ausführen).

hi,

danke die Anwedung startet, aber leider zeigt mir das Program (habe jellyfish als Datei genommen) "Der Schlüssel konnte nicht bestimmt werden."

Gruß Melanie

Ich habe nur die kranken Dateien habe von einem Freund eine Kranke und gesunde Datei erhalten dann hat der den key generiert. Aber nach der entschlüßelung waren die Dateien zwar wieder im ursprungszustand aber Mann konte sie nicht mehr ließen was kann ich jetzt machen damit ich die Dateien wieder ließen kann.

Gruß
Rainer

INFO 1
Habe den Trojaner offensichtlich am 24.4. gefangen und relativ schnell mit Avira gescanned, deshalb ist Befall bei mir nicht 100% (dann erst nach 2 Tagen wieder am Rechner gewesen und das Chaos festgestellt)
Habe festgestellt, daß er beide Festplatten mit insgesamt 5 Partitionen gleichzeit verseucht hat, allerdings nur bis übergeordneter Ordner beginnend mit A bis D - also offensichtliche alphabethische Reihenfolge. Leider ist Dokumente und Einstellungen betroffen inkl. aller links.
Ebenso .dll, mdb und so weiter

INFO 2
Habe mit AVIRA-ransomeFileUnlocker test auf stick mit 3 Stück .jpg gemacht. Einzel-decrypt ist fehlgeschlagen (vielleicht Fehler von mir - er hat die gleiche datei mit zusatz "decrypted" am Ende des Namens vor der Endung gespeichert, diese hat sich nicht öffnen lassen), aber als ich "kompletten Ordner" angeklickt habe, hat das Programm innerhalb Sekunden die 3 Bilder von zusammen 10 MB wiederhergestellt.
Leider steht da jetzt das Datum vom 29.4. 2012 - speziell bei Fotos wäre mir das Original Datum der Datei lieber.
Habe dann leichtsinnigerweise das komplette Laufwerk "C" (Partition einer Festplatte) eingegeben: nach vielleicht 15 min bekam ich die Antwort "3048 files entschlüsselt".
Ich glaube aber, es hat nicht funktioniert: Bei xls bekomme ich nach wie vor Hyroglyphen, bei .doc die Meldung "Konverter kann nicht gestartet werden mswrd632.wpc"
Andere Dateien wie .dll, .db kann man so eh nicht testen.

FRAGE:
Kann ich da jetzt nochmal den "DecryptHelper" laufen lassen? Der Name der Original-Datei existiert ja jetzt wieder in den verseuchten Teilen des Laufwerks

vielen heißen Dank für dein Programm Matkuni, hat mir Zeit und Nerven gerettet.
Ich bin gerne bereit, dir per Paypal eine Anerkennung zu senden, wenn du mir deine Empfängeradresse zukommen läßt.

Ein Problem habe ich allerdings. Ich habe vor DecryptHelper 0.5 zuerst versucht mit Avira Ransom File Unlocker die Dateien zu retten, dummerweise auf der ganzen C Festplatte.
Da die Dateien aber danach erzeugt wurden, aber nicht lesbar sind, habe ich jetzt das Problem, dass ich den DecryptHelper 0.5 dafür verwenden will.

Da aber alle Dateien namentlichals angebliches Original entschlüsselt und schon erzeugt sind, findet DecryptHelper 0.5 natürlich nichts.
Ich müßte jetzt jede einzelne von Avira erzeugte "entschlüsselte" Originaldatei wieder löschen :-(

Gibt es eine Möglichkeit, irgendwie zu hinterlegen "trotzdem erzeugen", also überschreiben.
Das wäre ganz toll

Danke im voraus
zebulon0401

hi, kannst du mir mal von avira den verwendeten key hochladen, das verwendete original und die müll datei?
evtl. auch eine der gesperrten falls vorhanden.

Trojaner-Board Upload Channel
noch mal für alle, man entschlüsselt niemals am original, nur an nem backup.

Huhu!
Ja super..bei allen klappt das wieder,nur bei mir nich *bade ne Runde in Selbstmitleid.Hab es schon mit zwei Pärchen(eine infizierte Bilddatei und eine frisch aus der Camera) mit exakt der selben Größe mehrfach probiert,aber es kommt immer nur "Der Schlüssel konnte nicht bestimmt werden.Und was nu?Muß die Orginaldatei exakt den selben Namen haben,wie die infizierte?

Original, gesperrte und Mülldatei kann ich dir sofort hochladen, wo finde ich die Avira Keydatei?

geht auch erst mal so, lads mal bitte hoch.

Zitat:

Zitat von markusg (Beitrag 821589)

geht auch erst mal so, lads mal bitte hoch.

geschehen, wobei Original und gesperrte Datei identisch sind, aber die erzeugte eine andere als Beispiel. Es geht aber doch nur um den Schlüssel. oder?

weitergeleitet ich meld mich

...gut,gleicher Name bringt auch nix.

Zitat:

Zitat von Speasy (Beitrag 821586)

Kann mir irgendjemand sagen,was ich falsch mache,oder noch ausprobieren kann?
Ich verzeifel gleich.Ich kann bestimmt die nächsten zwei Wochen schreiben,wenn ich das nich wieder hin krieg:confused:

Speasy,

ich als Laie hatte es so verstanden, dass es die GLEICHE Datei sein muss.
Hatte bei mir auch gedauert, es zu verstehen.

Konnte mir helfen, indem ich das Original von einem Webserver nahm und die infizierte von der Festplatte. (Alternativ lies mal hier wegen Hintergrundpic von Windows)
Dann stimmten Größe und Inhalt überein

Ja ne...es ist das gleiche Bild ...einmal schon von der Camera runtergeladen auf die Festplatte (das bild ist gestern dann infiziert worden und gelockt.Das gleiche Foto habe ich dann heute nocheinmal runtergezogen.Also gleiche Größe,gleicher Inhalt.

Hallo zusammen

DecryptHelper von Matthias mit Vista Home und Windows XP verseuchten PC getestet läuft ohne Probleme als Vergleichdaten ein Bild aus dem öffentlichen Verzeichniss benutzt klasse dauerte nur etwas vor allem bei Videos :applaus::applaus::applaus::applaus::applaus::applaus::applaus::applaus:
das blieb mir erspart :headbang::confused:

:dankeschoen:
Pit

Bin heute und auch noch morgen mit Unikram beschäftigt und deshalb nur ein kurzes Update.

Zitat:

Zitat von zebulon0401 (Beitrag 821580)

Gibt es eine Möglichkeit, irgendwie zu hinterlegen "trotzdem erzeugen", also überschreiben.
Das wäre ganz toll

- Die Funktion "Existierende Dateien überschreiben" wurde hinzugefügt und macht genau das, was angefragt wurde ;)
- Zeilenumbrüche in der Logdatei sind nun auch unter Windows korrekt

http://matthi.org/DecryptHelper-0.5.2.jar
http://matthi.org/DecryptHelper-0.5.2.exe (für Leute, bei denen Jar-Dateien mit dem falschen Programm geöffnet werden)

Zitat:

Zitat von Speasy (Beitrag 821586)

Diese Fehlermeldung taucht auf, wenn zwar die Dateigröße die selbe ist, aber die Dateien nach dem Entschlüsseln trotzdem nicht 100%ig übereinstimmen.
Kann dadurch kommen, dass Metadaten (EXIF etc) geändert wurden, nachdem die Datei von der Kamera geladen wurde. Also ein anderes Pärchen suchen.

Es muss sich um die selbe Datei handeln - ohne irgendwelche Änderungen - damit lediglich die Differenz berechnet werden kann, die die Schadsoftware verursacht hat.

Zitat:

Zitat von Bernie1951 (Beitrag 821552)

FRAGE:
Kann ich da jetzt nochmal den "DecryptHelper" laufen lassen? Der Name der Original-Datei existiert ja jetzt wieder in den verseuchten Teilen des Laufwerks

Mit Version 0.5.2 ist dies möglich.
Aber auch der DecryptHelper wird deine Erstell-/Änderungszeitpunkte nicht wiederherstellen können. Eventuell kannst du diese aus den EXIF-Daten deiner Bilder auslesen.

Zitat:

@ matkuni
Erst Mal vielen Dank - werde die neue Version ausprobieren, spart mir auf jeden Fall jede Menge Zeit.
Exif Datei hat tatsächlich Original Datum

Habe einige Daten recovered mit 0.5.2 - hat fast alles geklappt, bis auf 2 exe (Steuerprogramm von Lexware). Ich warte erst Mal, bis ich alles fertig habe - kann auch an was Anderem hängen
Melde mich noch Mal

Matthes: Meld dich doch mal bei mir -
wir bauen hier an einander vorbei; das ist Perlen vor die Säue.
Ich habe derweil eine verifizierte Automatik für Win98 und WinXP, die keine 2 Dateien mehr benötigt.

Win7, Win2K und 2K3 sowie 2K8 kann ich leider erst am Mittwoch testen, daher ich Urlaub habe.

Kind Regards.

Oliver

@ bitfox
Oliver
ich habe XP und noch einige 1000 Dateien vor mir - soll ichs Mal Morgen testen?

Bernie

Hallo wir haben hier ein Problem beim Schlüssel erzeugen.
Egal welche Datei mann verwendet kommt immer der Fehler: Dateien unterschiedliche Göße.
Woran kann das liegen?
MfG
Marko

@zebulon0401
rückfrage avira:
> die Dateien sind wieder identisch.
> Scheinbar wurden also für den Key zweimal entschlüsselte Dateien oder zweimal verschlüsselte Dateien angegeben.
> Kannst du mir bitte die Dateien, die oben bei "Verschlüsselte Datei" und "Original Datei" stehen, besorgen (incl. Pfad).
> Könnte auch sein, dass bei "Original Datei" dann "<<<Bekannte Standard-Datei>>>" steht.
>

Es gelingt mir nicht den Schlüssel zu erzeugen. Gibt es unterschiedliche Verschlüsselungstrojaner. Meine verschlüsselten Dateien haben alle die zusätzliche Endung ".QWCiPhErEd" erhalten. Ich habe die Verion 0.5 benutzt.

habe alle meine locked-verschlüsselten Dateien mit dem decrythelper von matkuni entschüsseln können, herzlichen Dank für die gute Hilfe. Ein Hinweis zur Beschreibung, es sollte darauf hingewiesen werden, dass zur Erzeugung des Schlüssels eine unverschlüsselte Datei und eine identische verschlüsselte Datei benötigt werden und dass nach Erzeugung des Schlüssels nur ganze Ordner komplett entschlüsselt werden können.
Nochmals Dank und Gruß hkhkl

Zitat:

Zitat von matkuni (Beitrag 821718)

- Die Funktion "Existierende Dateien überschreiben" wurde hinzugefügt und macht genau das, was angefragt wurde ;)
- Zeilenumbrüche in der Logdatei sind nun auch unter Windows korrekt

hxxp://matthi.org/DecryptHelper-0.5.2.jar
hxxp://matthi.org/DecryptHelper-0.5.2.exe (für Leute, bei denen Jar-Dateien mit dem falschen Programm geöffnet werden)

DANKE matkuni, hat jetzt Super geklappt. Hast mir den A... gerettet, Spende ist unterwegs :applaus:

Hallo,

ich hatte auf einem Computer diesen verdammten Trojaner.

Dank Eurer Hilfe konnte ich alle Word, Excel und PDF Dateien wieder

entschlüsseln. Dabei war mir das Download Verzeichnis sehr hilfreich.

:taenzer:

Habe den "DecryptHelper von Matthias (DecryptHelper-0.5.2)" verwendet.
Es hatte erst nicht geklappt, dann habe ich den Key mit anderen Dateipaaren (Original und Infiziert) erneut erstellt und beim vierten mal hat es dann geklappt.
THX a lot!!

klasse.
evtl. solltest du dein tool mal in ein extra thema auslagern.

Hallo Herr Kunig,

Ihr Java Tool hat mir wirklich sehr geholfen. :daumenhoc
(Version 5.2 und aktuelles Java liegt vor)
Ich konnte damit alle Fotos, Musik und Dokumente rekonstruieren. :party:

Nur beim Factory Image hatte ich keine Erfolge.
Ich bekam eine Fehlermeldung.......siehe Bild. :confused:

Werde den Beitrag verfolgen und ich hoffe, daß es noch eine Version gibt,
die ein Image von einem MEDION Laptop (Cyberlink PowerRecovery Image)
erkennt und entschlüsseln kann.

:dankeschoen: Auf Alle Fälle nochmals Vielen DANK :dankeschoen:

Hey, kannst du die die Links zu den Beispiel-Bildern vielleicht auch für Windows XP posten?
Wäre dir sehr verbunden!
Gruss

Zitat:

Zitat von BITFOX (Beitrag 821999)

Hab ausserdem grade mal getestet -
Unter 2K3, Win7, WinXP läufts fehlerfrei ohne zwei Schlüsseldateien und automatisch.
Unter 2K8 und 2K werde ich das ganze dann ebenfalls am Mittwoch testen.

@bitfox

Hallo Oliver,
habe Dein Programm von heute Nacht getestet - OHNE ERFOLG.

Trotz mehrerer Versuche mit allen Varianten mit und ohne Häkchen, manchmal mit Felermeldung "Stack Überlauf"
Dabei fiel mir auf
1.) Datei 1 und Datei 2 - ist es egal, was Original und verschlüsselt ist? (habe beides erfolglos probiert).
2.) Das Programm schließt jedes Mal automatisch nach einem Versuch. Wenn man also 10 Versuche (oder aber auch 10 Main-Directories usw.) hat, dann startet man auch 10 Mal - das nervt dann.
Wie gesagt -bei mir liefs nicht.
Bernie

Zitat:

Zitat von wildlion80 (Beitrag 821975)

@MATKUNI und Kopie @wildlion80

Habe heute die letzte Version positiv an Stick getestet.
Dann FEHLSChLAG: es kam beim Häkchen "ganzer Ordner" Fehlermeldung "java.io.IOExeption: MAP failed"; nach 2 weiteren Versuchen habe ich oberste Ebene mit Häkchen für Single Datei probiert -2 x selbe Fehlemeldung.
Nach mehrmaligem Programm-Neustart und Sticktest habe ich es noch einmal probiert => OHNE PROBLEME

Habe dann 5 Festplatten/Partitionen decrypted - scheint alles zu funktionieren (mit und ohne Kopie, mit und ohne Original-Datei löschen).

Das fiel mir auf:
1. wenn Häkchen für kompletten Ordner gesetzt ist, geht das nur 1x, dann ist das Feld "Ordner" inaktiv, und man muß Prg schließen, neu öffnen neu Code laden.
2. die noch fehlende Fortschrittsanzeige ist teilweise durch das Feld "Ordner" ersetzt: es wird dann inaktiv, wenn die vorhergehende Operation abgschlossen ist.

Bernie

Entschlüsselung klappt nicht bei sehr großer Datei (> 1 GB)

Hallo Matthias,

bis jetzt klappt das Entschlüsseln mit deinem Tool (DANKE!).

Leider stürzt die aktuelle Version 0.5.2 bei einer Datei eines Mailordners von Pegasusmail andauernd ab.

Hier die Fehlermeldung des Programmes:

Code:

#

# A fatal error has been detected by the Java Runtime Environment:

#

#  EXCEPTION_ACCESS_VIOLATION (0xc0000005) at pc=0x75dccb6b, pid=5648, tid=5136

#

# JRE version: 6.0_31-b05

# Java VM: Java HotSpot(TM) Client VM (20.6-b01 mixed mode, sharing windows-x86 )

# Problematic frame:

# C  [ole32.dll+0x3cb6b]

#

# If you would like to submit a bug report, please visit:

#   hxxp://java.sun.com/webapps/bugreport/crash.jsp

# The crash happened outside the Java Virtual Machine in native code.

# See problematic frame for where to report the bug.

#
 

---------------  T H R E A D  ---------------
 

Current thread (0x01b38800):  JavaThread "AWT-EventQueue-0" [_thread_in_native, id=5136, stack(0x048c0000,0x04910000)]
 

siginfo: ExceptionCode=0xc0000005, writing address 0x00000028
 

Registers:

EAX=0x0490e920, EBX=0x75ec1458, ECX=0x00000000, EDX=0x00000000

ESP=0x0490e8f0, EBP=0x0490e8f8, ESI=0x0490e920, EDI=0x00000028

EIP=0x75dccb6b, EFLAGS=0x00010246
 

Top of Stack: (sp=0x0490e8f0)

0x0490e8f0:   08ffc000 08fcf4a0 0490e934 75dcb9cd

0x0490e900:   0490e920 0452fe94 08ffc000 00000000

0x0490e910:   00000000 0900b678 08fcf4a0 00000000

0x0490e920:   00002000 00001610 0f598f8e 332ca04d

0x0490e930:   c1291100 0490e950 75dcb7f3 045971d8

0x0490e940:   00000000 75ebaefe 0459da58 08ffc000

0x0490e950:   0490e99c 75e06cf5 c12911a8 0459da58

0x0490e960:   0459da58 0452fe94 758b0b36 00994358 
 

Instructions: (pc=0x75dccb6b)

0x75dccb4b:   00 83 60 24 00 5f 89 48 08 5e 5d c2 04 00 90 90

0x75dccb5b:   90 90 90 8b ff 55 8b ec 56 8b 75 08 57 8d 79 28

0x75dccb6b:   a5 a5 a5 a5 5f 5e 5d c2 04 00 ff 75 0c ff 75 08

0x75dccb7b:   e8 4c fe ff ff e9 67 eb ff ff 90 90 90 90 90 8b 
 
 

Register to memory mapping:
 

EAX=0x0490e920 is pointing into the stack for thread: 0x01b38800

EBX=0x75ec1458 is an unknown value

ECX=0x00000000 is an unknown value

EDX=0x00000000 is an unknown value

ESP=0x0490e8f0 is pointing into the stack for thread: 0x01b38800

EBP=0x0490e8f8 is pointing into the stack for thread: 0x01b38800

ESI=0x0490e920 is pointing into the stack for thread: 0x01b38800

EDI=0x00000028 is an unknown value
 
 

Stack: [0x048c0000,0x04910000],  sp=0x0490e8f0,  free space=314k

Native frames: (J=compiled Java code, j=interpreted, Vv=VM code, C=native code)

C  [ole32.dll+0x3cb6b]  CoRegisterChannelHook+0xaab

C  [ole32.dll+0x3b9cd]  CoGetComCatalog+0x2b3b

C  [ole32.dll+0x3b7f3]  CoGetComCatalog+0x2961

C  [ole32.dll+0x76cf5]  CoLockObjectExternal+0x22

C  [awt.dll+0x702a3]  Java_sun_awt_windows_WColor_getDefaultColor+0x2ae3

j  sun.awt.windows.WComponentPeer.removeNativeDropTarget()V+0

j  sun.awt.windows.WComponentPeer.removeDropTarget(Ljava/awt/dnd/DropTarget;)V+18

j  java.awt.dnd.DropTarget.removeNotify(Ljava/awt/peer/ComponentPeer;)V+15

j  java.awt.Component.removeNotify()V+211

j  java.awt.Container.removeNotify()V+71

j  javax.swing.JComponent.removeNotify()V+1

j  java.awt.Container.removeNotify()V+42

j  javax.swing.JComponent.removeNotify()V+1

j  java.awt.Container.removeNotify()V+42

j  javax.swing.JComponent.removeNotify()V+1

j  java.awt.Container.removeNotify()V+42

j  javax.swing.JComponent.removeNotify()V+1

j  javax.swing.JRootPane.removeNotify()V+1

j  java.awt.Container.removeAll()V+84

j  javax.swing.JFileChooser.showDialog(Ljava/awt/Component;Ljava/lang/String;)I+69

j  javax.swing.JFileChooser.showOpenDialog(Ljava/awt/Component;)I+8

j  org.matthi.decrypthelper.App$DecryptFolderAction.actionPerformed(Ljava/awt/event/ActionEvent;)V+104

j  javax.swing.AbstractButton.fireActionPerformed(Ljava/awt/event/ActionEvent;)V+84

j  javax.swing.AbstractButton$Handler.actionPerformed(Ljava/awt/event/ActionEvent;)V+5

j  javax.swing.DefaultButtonModel.fireActionPerformed(Ljava/awt/event/ActionEvent;)V+35

j  javax.swing.DefaultButtonModel.setPressed(Z)V+117

j  javax.swing.plaf.basic.BasicButtonListener.mouseReleased(Ljava/awt/event/MouseEvent;)V+35

j  java.awt.Component.processMouseEvent(Ljava/awt/event/MouseEvent;)V+64

j  javax.swing.JComponent.processMouseEvent(Ljava/awt/event/MouseEvent;)V+23

j  java.awt.Component.processEvent(Ljava/awt/AWTEvent;)V+81

j  java.awt.Container.processEvent(Ljava/awt/AWTEvent;)V+18

j  java.awt.Component.dispatchEventImpl(Ljava/awt/AWTEvent;)V+570

j  java.awt.Container.dispatchEventImpl(Ljava/awt/AWTEvent;)V+42

J  java.awt.LightweightDispatcher.retargetMouseEvent(Ljava/awt/Component;ILjava/awt/event/MouseEvent;)V

j  java.awt.LightweightDispatcher.dispatchEvent(Ljava/awt/AWTEvent;)Z+50

j  java.awt.Container.dispatchEventImpl(Ljava/awt/AWTEvent;)V+12

j  java.awt.Window.dispatchEventImpl(Ljava/awt/AWTEvent;)V+65

j  java.awt.Component.dispatchEvent(Ljava/awt/AWTEvent;)V+2

j  java.awt.EventQueue.dispatchEventImpl(Ljava/awt/AWTEvent;Ljava/lang/Object;)V+41

J  java.awt.EventQueue$1.run()Ljava/lang/Object;

V  [jvm.dll+0xfac3b]

V  [jvm.dll+0x18c3a1]

V  [jvm.dll+0xfacbd]

V  [jvm.dll+0xbb654]

C  [java.dll+0x102f]  Java_java_security_AccessController_doPrivileged__Ljava_security_PrivilegedAction_2Ljava_security_AccessControlContext_2+0x17

J  java.security.AccessControlContext$1.doIntersectionPrivilege(Ljava/security/PrivilegedAction;Ljava/security/AccessControlContext;Ljava/security/AccessControlContext;)Ljava/lang/Object;

j  java.awt.EventQueue$2.run()Ljava/lang/Void;+11

j  java.awt.EventQueue$2.run()Ljava/lang/Object;+1

v  ~StubRoutines::call_stub

V  [jvm.dll+0xfac3b]

V  [jvm.dll+0x18c3a1]

V  [jvm.dll+0xfacbd]

V  [jvm.dll+0xbb654]

C  [java.dll+0x102f]  Java_java_security_AccessController_doPrivileged__Ljava_security_PrivilegedAction_2Ljava_security_AccessControlContext_2+0x17

J  java.security.AccessControlContext$1.doIntersectionPrivilege(Ljava/security/PrivilegedAction;Ljava/security/AccessControlContext;Ljava/security/AccessControlContext;)Ljava/lang/Object;

J  java.awt.EventDispatchThread.pumpOneEventForFilters(I)Z

j  java.awt.EventDispatchThread.pumpEventsForHierarchy(ILjava/awt/Conditional;Ljava/awt/Component;)V+11

j  java.awt.EventDispatchThread.pumpEvents(ILjava/awt/Conditional;)V+4

j  java.awt.EventDispatchThread.pumpEvents(Ljava/awt/Conditional;)V+3

j  java.awt.EventDispatchThread.run()V+9

v  ~StubRoutines::call_stub

V  [jvm.dll+0xfac3b]

V  [jvm.dll+0x18c3a1]

V  [jvm.dll+0xfade1]

V  [jvm.dll+0xfae3b]

V  [jvm.dll+0xb5569]

V  [jvm.dll+0x118f14]

V  [jvm.dll+0x140ffc]

C  [msvcr71.dll+0x9565]  endthreadex+0xa0

C  [kernel32.dll+0x4d309]  BaseThreadInitThunk+0x12

C  [ntdll.dll+0x41603]  RtlInitializeExceptionChain+0x63

C  [ntdll.dll+0x415d6]  RtlInitializeExceptionChain+0x36
 

Java frames: (J=compiled Java code, j=interpreted, Vv=VM code)

j  sun.awt.windows.WComponentPeer.removeNativeDropTarget()V+0

j  sun.awt.windows.WComponentPeer.removeDropTarget(Ljava/awt/dnd/DropTarget;)V+18

j  java.awt.dnd.DropTarget.removeNotify(Ljava/awt/peer/ComponentPeer;)V+15

j  java.awt.Component.removeNotify()V+211

j  java.awt.Container.removeNotify()V+71

j  javax.swing.JComponent.removeNotify()V+1

j  java.awt.Container.removeNotify()V+42

j  javax.swing.JComponent.removeNotify()V+1

j  java.awt.Container.removeNotify()V+42

j  javax.swing.JComponent.removeNotify()V+1

j  java.awt.Container.removeNotify()V+42

j  javax.swing.JComponent.removeNotify()V+1

j  javax.swing.JRootPane.removeNotify()V+1

j  java.awt.Container.removeAll()V+84

j  javax.swing.JFileChooser.showDialog(Ljava/awt/Component;Ljava/lang/String;)I+69

j  javax.swing.JFileChooser.showOpenDialog(Ljava/awt/Component;)I+8

j  org.matthi.decrypthelper.App$DecryptFolderAction.actionPerformed(Ljava/awt/event/ActionEvent;)V+104

j  javax.swing.AbstractButton.fireActionPerformed(Ljava/awt/event/ActionEvent;)V+84

j  javax.swing.AbstractButton$Handler.actionPerformed(Ljava/awt/event/ActionEvent;)V+5

j  javax.swing.DefaultButtonModel.fireActionPerformed(Ljava/awt/event/ActionEvent;)V+35

j  javax.swing.DefaultButtonModel.setPressed(Z)V+117

j  javax.swing.plaf.basic.BasicButtonListener.mouseReleased(Ljava/awt/event/MouseEvent;)V+35

j  java.awt.Component.processMouseEvent(Ljava/awt/event/MouseEvent;)V+64

j  javax.swing.JComponent.processMouseEvent(Ljava/awt/event/MouseEvent;)V+23

j  java.awt.Component.processEvent(Ljava/awt/AWTEvent;)V+81

j  java.awt.Container.processEvent(Ljava/awt/AWTEvent;)V+18

j  java.awt.Component.dispatchEventImpl(Ljava/awt/AWTEvent;)V+570

j  java.awt.Container.dispatchEventImpl(Ljava/awt/AWTEvent;)V+42

J  java.awt.LightweightDispatcher.retargetMouseEvent(Ljava/awt/Component;ILjava/awt/event/MouseEvent;)V

j  java.awt.LightweightDispatcher.processMouseEvent(Ljava/awt/event/MouseEvent;)Z+139

j  java.awt.LightweightDispatcher.dispatchEvent(Ljava/awt/AWTEvent;)Z+50

j  java.awt.Container.dispatchEventImpl(Ljava/awt/AWTEvent;)V+12

j  java.awt.Window.dispatchEventImpl(Ljava/awt/AWTEvent;)V+65

j  java.awt.Component.dispatchEvent(Ljava/awt/AWTEvent;)V+2

j  java.awt.EventQueue.dispatchEventImpl(Ljava/awt/AWTEvent;Ljava/lang/Object;)V+41

J  java.awt.EventQueue$1.run()Ljava/lang/Object;

v  ~StubRoutines::call_stub

J  java.security.AccessController.doPrivileged(Ljava/security/PrivilegedAction;Ljava/security/AccessControlContext;)Ljava/lang/Object;

J  java.security.AccessControlContext$1.doIntersectionPrivilege(Ljava/security/PrivilegedAction;Ljava/security/AccessControlContext;Ljava/security/AccessControlContext;)Ljava/lang/Object;

j  java.security.AccessControlContext$1.doIntersectionPrivilege(Ljava/security/PrivilegedAction;Ljava/security/AccessControlContext;)Ljava/lang/Object;+6

j  java.awt.EventQueue$2.run()Ljava/lang/Void;+11

j  java.awt.EventQueue$2.run()Ljava/lang/Object;+1

v  ~StubRoutines::call_stub

J  java.security.AccessController.doPrivileged(Ljava/security/PrivilegedAction;Ljava/security/AccessControlContext;)Ljava/lang/Object;

J  java.security.AccessControlContext$1.doIntersectionPrivilege(Ljava/security/PrivilegedAction;Ljava/security/AccessControlContext;Ljava/security/AccessControlContext;)Ljava/lang/Object;

j  java.awt.EventQueue.dispatchEvent(Ljava/awt/AWTEvent;)V+73

J  java.awt.EventDispatchThread.pumpOneEventForFilters(I)Z

j  java.awt.EventDispatchThread.pumpEventsForFilter(ILjava/awt/Conditional;Ljava/awt/EventFilter;)V+30

j  java.awt.EventDispatchThread.pumpEventsForHierarchy(ILjava/awt/Conditional;Ljava/awt/Component;)V+11

j  java.awt.EventDispatchThread.pumpEvents(ILjava/awt/Conditional;)V+4

j  java.awt.EventDispatchThread.pumpEvents(Ljava/awt/Conditional;)V+3

j  java.awt.EventDispatchThread.run()V+9

v  ~StubRoutines::call_stub
 

---------------  P R O C E S S  ---------------
 

Java Threads: ( => current thread )

  0x01b56000 JavaThread "TimerQueue" daemon [_thread_blocked, id=5996, stack(0x09090000,0x090e0000)]

  0x044c5000 JavaThread "Swing-Shell" daemon [_thread_blocked, id=6052, stack(0x08b40000,0x08b90000)]

  0x04560400 JavaThread "D3D Screen Updater" daemon [_thread_blocked, id=1564, stack(0x08510000,0x08560000)]

  0x01ba9800 JavaThread "DestroyJavaVM" [_thread_blocked, id=360, stack(0x000c0000,0x00110000)]

=>0x01b38800 JavaThread "AWT-EventQueue-0" [_thread_in_native, id=5136, stack(0x048c0000,0x04910000)]

  0x01b38000 JavaThread "AWT-Windows" daemon [_thread_in_native, id=5360, stack(0x04870000,0x048c0000)]

  0x01b37c00 JavaThread "AWT-Shutdown" [_thread_blocked, id=5672, stack(0x04820000,0x04870000)]

  0x01b37400 JavaThread "Java2D Disposer" daemon [_thread_blocked, id=5564, stack(0x04790000,0x047e0000)]

  0x01aea000 JavaThread "Low Memory Detector" daemon [_thread_blocked, id=5524, stack(0x04420000,0x04470000)]

  0x01ae3800 JavaThread "C1 CompilerThread0" daemon [_thread_blocked, id=3596, stack(0x043d0000,0x04420000)]

  0x01ad8c00 JavaThread "Attach Listener" daemon [_thread_blocked, id=5836, stack(0x02350000,0x023a0000)]

  0x01ad7c00 JavaThread "Signal Dispatcher" daemon [_thread_blocked, id=5676, stack(0x02300000,0x02350000)]

  0x01ad2400 JavaThread "Finalizer" daemon [_thread_blocked, id=4128, stack(0x022b0000,0x02300000)]

  0x01acd400 JavaThread "Reference Handler" daemon [_thread_blocked, id=1520, stack(0x01bb0000,0x01c00000)]
 

Other Threads:

  0x01a8f800 VMThread [stack: 0x01650000,0x016a0000] [id=5736]

  0x01af2c00 WatcherThread [stack: 0x04470000,0x044c0000] [id=5256]
 

VM state:not at safepoint (normal execution)
 

VM Mutex/Monitor currently owned by a thread: None
 

Heap

 def new generation   total 4928K, used 1382K [0x24200000, 0x24750000, 0x29750000)

  eden space 4416K,  19% used [0x24200000, 0x242d9a20, 0x24650000)

  from space 512K, 100% used [0x24650000, 0x246d0000, 0x246d0000)

  to   space 512K,   0% used [0x246d0000, 0x246d0000, 0x24750000)

 tenured generation   total 10944K, used 1216K [0x29750000, 0x2a200000, 0x34200000)

   the space 10944K,  11% used [0x29750000, 0x29880378, 0x29880400, 0x2a200000)

 compacting perm gen  total 12288K, used 1645K [0x34200000, 0x34e00000, 0x38200000)

   the space 12288K,  13% used [0x34200000, 0x3439b798, 0x3439b800, 0x34e00000)

    ro space 10240K,  51% used [0x38200000, 0x3872e318, 0x3872e400, 0x38c00000)

    rw space 12288K,  55% used [0x38c00000, 0x3929a088, 0x3929a200, 0x39800000)
 

Code Cache  [0x023d0000, 0x024d8000, 0x043d0000)

 total_blobs=683 nmethods=467 adapters=152 free_code_cache=32481920 largest_free_block=0
 

Dynamic libraries:

0x00400000 - 0x00425000         C:\Program Files\Java\jre6\bin\javaw.exe

0x77040000 - 0x77168000         C:\Windows\system32\ntdll.dll

0x771c0000 - 0x7729c000         C:\Windows\system32\kernel32.dll

0x76f70000 - 0x77036000         C:\Windows\system32\ADVAPI32.dll

0x757b0000 - 0x75873000         C:\Windows\system32\RPCRT4.dll

0x75890000 - 0x7592d000         C:\Windows\system32\USER32.dll

0x75ee0000 - 0x75f2b000         C:\Windows\system32\GDI32.dll

0x75b80000 - 0x75b9e000         C:\Windows\system32\IMM32.DLL

0x75930000 - 0x759f8000         C:\Windows\system32\MSCTF.dll

0x75700000 - 0x757aa000         C:\Windows\system32\msvcrt.dll

0x77170000 - 0x77179000         C:\Windows\system32\LPK.DLL

0x76a80000 - 0x76afd000         C:\Windows\system32\USP10.dll

0x7c340000 - 0x7c396000         C:\Program Files\Java\jre6\bin\msvcr71.dll

0x6d7f0000 - 0x6da9f000         C:\Program Files\Java\jre6\bin\client\jvm.dll

0x74630000 - 0x74662000         C:\Windows\system32\WINMM.dll

0x75d90000 - 0x75ed5000         C:\Windows\system32\ole32.dll

0x76cc0000 - 0x76d4d000         C:\Windows\system32\OLEAUT32.dll

0x745f0000 - 0x7462e000         C:\Windows\system32\OLEACC.dll

0x75530000 - 0x7555c000         C:\Windows\system32\apphelp.dll

0x6d7a0000 - 0x6d7ac000         C:\Program Files\Java\jre6\bin\verify.dll

0x6d320000 - 0x6d33f000         C:\Program Files\Java\jre6\bin\java.dll

0x6d7e0000 - 0x6d7ef000         C:\Program Files\Java\jre6\bin\zip.dll

0x6d000000 - 0x6d14c000         C:\Program Files\Java\jre6\bin\awt.dll

0x6f6f0000 - 0x6f732000         C:\Windows\system32\WINSPOOL.DRV

0x74440000 - 0x745de000         C:\Windows\WinSxS\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.6002.18305_none_5cb72f2a088b0ed3\COMCTL32.dll

0x75b20000 - 0x75b79000         C:\Windows\system32\SHLWAPI.dll

0x70a10000 - 0x70a1c000         C:\Windows\system32\DWMAPI.DLL

0x6d230000 - 0x6d27f000         C:\Program Files\Java\jre6\bin\fontmanager.dll

0x6d4a0000 - 0x6d65a000         C:\Windows\system32\d3d9.dll

0x74dd0000 - 0x74dd8000         C:\Windows\system32\VERSION.dll

0x74100000 - 0x74106000         C:\Windows\system32\d3d8thk.dll

0x5ff10000 - 0x6021e000         C:\Windows\system32\atiumdag.dll

0x04bb0000 - 0x04f7b000         C:\Windows\system32\atiumdva.dll

0x75f30000 - 0x76a41000         C:\Windows\system32\shell32.dll

0x01b70000 - 0x01b83000         C:\Program Files\Java\jre6\bin\net.dll

0x77190000 - 0x771bd000         C:\Windows\system32\WS2_32.dll

0x75880000 - 0x75886000         C:\Windows\system32\NSI.dll

0x74de0000 - 0x74e1b000         C:\Windows\system32\mswsock.dll

0x74dc0000 - 0x74dc5000         C:\Windows\System32\wship6.dll

0x01b90000 - 0x01b99000         C:\Program Files\Java\jre6\bin\nio.dll

0x76ee0000 - 0x76f64000         C:\Windows\system32\CLBCatQ.DLL

0x76d50000 - 0x76eda000         C:\Windows\system32\SETUPAPI.dll

0x6e240000 - 0x6e463000         C:\Windows\system32\NetworkExplorer.dll

0x73d30000 - 0x73deb000         C:\Windows\system32\PROPSYS.dll

0x6fc90000 - 0x6fd9a000         C:\Windows\System32\shdocvw.dll

0x755b0000 - 0x755ce000         C:\Windows\system32\USERENV.dll

0x75590000 - 0x755a4000         C:\Windows\system32\Secur32.dll

0x75130000 - 0x75144000         C:\Windows\system32\MPR.dll

0x10000000 - 0x10014000         C:\Program Files\Common Files\Adobe\Adobe Drive CS4\AdobeDriveCS4_NP.dll

0x6a3b0000 - 0x6a3c3000         C:\Windows\System32\ntlanman.dll

0x75200000 - 0x75276000         C:\Windows\System32\NETAPI32.dll

0x75660000 - 0x75667000         C:\Windows\system32\PSAPI.DLL

0x6bb40000 - 0x6bb48000         C:\Windows\System32\drprov.dll

0x69860000 - 0x69872000         C:\Windows\System32\davclnt.dll

0x75030000 - 0x75122000         C:\Windows\System32\CRYPT32.dll

0x751c0000 - 0x751d2000         C:\Windows\System32\MSASN1.dll

0x6f810000 - 0x6f81b000         C:\Windows\system32\cscapi.dll

0x62f80000 - 0x631ee000         C:\Windows\system32\wpdshext.dll

0x73ef0000 - 0x7409b000         C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18342_none_9e54f8aaca13c773\gdiplus.dll

0x74740000 - 0x7477f000         C:\Windows\system32\UxTheme.dll

0x70b60000 - 0x70bb6000         C:\Windows\system32\PortableDeviceApi.dll

0x741d0000 - 0x741fd000         C:\Windows\system32\WINTRUST.dll

0x76a50000 - 0x76a7a000         C:\Windows\system32\imagehlp.dll

0x70160000 - 0x7018b000         C:\Windows\system32\PortableDeviceTypes.dll

0x64f20000 - 0x64f5f000         C:\Windows\system32\audiodev.dll

0x701e0000 - 0x7042b000         C:\Windows\system32\WMVCore.DLL

0x709b0000 - 0x709e9000         C:\Windows\system32\WMASF.DLL

0x6fb00000 - 0x6fb1f000         C:\Windows\system32\EhStorShell.dll

0x64fc0000 - 0x64fe0000         C:\Windows\System32\EhStorAPI.dll

0x701b0000 - 0x701b9000         C:\Windows\system32\LINKINFO.dll

0x74ab0000 - 0x74aeb000         C:\Windows\system32\rsaenh.dll
 

VM Arguments:

java_command: C:\Users\Markus\Downloads\DecryptHelper-0.5.2.jar

Launcher Type: SUN_STANDARD
 

Environment Variables:

CLASSPATH=.;C:\Program Files\Java\jre6\lib\ext\QTJava.zip

PATH=C:\Windows\system32;C:\Windows;C:\Windows\System32\Wbem;C:\Program Files\ATI Technologies\ATI.ACE\Core-Static;C:\Windows\System32\WindowsPowerShell\v1.0\;C:\Program Files\QuickTime\QTSystem\;C:\Program Files\Common Files\Nero\Lib\

USERNAME=Markus

OS=Windows_NT

PROCESSOR_IDENTIFIER=x86 Family 15 Model 104 Stepping 1, AuthenticAMD
 
 
 

---------------  S Y S T E M  ---------------
 

OS: Windows Vista Build 6002 Service Pack 2
 

CPU:total 2 (2 cores per cpu, 1 threads per core) family 15 model 104 stepping 1, cmov, cx8, fxsr, mmx, sse, sse2, sse3, mmxext, 3dnow, 3dnowext
 

Memory: 4k page, physical 3144152k(1898132k free), swap 6501836k(5113348k free)
 

vm_info: Java HotSpot(TM) Client VM (20.6-b01) for windows-x86 JRE (1.6.0_31-b05), built on Feb  3 2012 18:44:09 by "java_re" with MS VC++ 7.1 (VS2003)
 

time: Mon Apr 30 20:35:41 2012

elapsed time: 71 seconds

Woran kann das liegen und was kann man tun, damit der Ordner entschlüsselt wird?

Guten Abend an alle !

Ich habe ein grosses Problem. Habe mir auch diesen "Trojaner" eingefangen und das System komplett neu aufgespielt, soweit läuft auch alles wieder. Jetzt zu meinem Problem: Ich habe an meinen Rechner zwei weitere Festplatten angeschlossen auf denen sich alle meine Fotos und Videos befinden. Auf beiden Festplatten sind alle Dateien jetzt verschlüsselt. Ich habe hier gelesen das man zum entschlüsseln die Original Dateien benötigt aber diese habe ich nicht. Hilfe ! Bitte, kann mir hier jemand helfen?! Das sind die Fotos und Videos meines ganzen Lebens. Ich bedanke mich schon mal und wünsche noch einen schönen Abend !

Vorsicht!
Bei verschiedenen Laufwerken scheinen verschiedene Schlüssel benötigt zu werden - so gesehen bei einem MD8080.

Die externe Festplatte benötigte einen anderen Schlüssel -
die Geschichte mit den Beispieldateien klappt also somit nicht 100% zuverlässig.
Damit ist auch erklärt, warum bei einigen das Toll von Matthes oder mir läuft, bei anderen wieder nicht.

Interessanter Weise hat das Biest mit den Netzwerkshares dort beim Kunden gleiche Schlüssel genutzt. Es scheint also so, als würde der MBR, die Paritioninfo oder was auch immer als Komplement genutzt zu werden.
Laufwerke C: und D: (beide auf der gleichen physikalischen Platte) wurden ebenfalls mit ein und dem selben Schlüssel von Laufwerk C restored.

Grüße,

Olli

(Sorry, bei der Version von heute Mittag war ein Fehler drin. Das "Datei nicht gefunden." ist behoben... Nun werden Schlüssel wieder automatisch erstellt.)

Gibt es eine möglichkeit meine ganze C:/ Festplatte aufeinmal
alles durchlaufen zu lassen ? weil sonst hocke ich hier noch Jahre :/

Hallo , ich habe leider auch das problem das ich diesen Virus drauf hatte -.-
Habe nun das ganze system neu aufgespielt. Das schlimme an der sache ist das auch meine ganze externe betroffen ist ... wie kann ich die dateien wieder herstellen ich habe kein locked und das originale davon :confused:

Kann vielleicht jemand eine LOCKED von einem Windows 7 Beispielbild hocladen das ich gucken kann ob ich meine externe damit entschlüsseln kann ?

Beispiel-Bilder zu Windows 7 hab ich hier: http://www.trojaner-board.de/114115-...tml#post820441

wenn jemand noch zu XP und Vista welche hat, bitte melden...

Zitat:

Zitat von Quistian (Beitrag 822327)

Gibt es eine möglichkeit meine ganze C:/ Festplatte aufeinmal
alles durchlaufen zu lassen ? weil sonst hocke ich hier noch Jahre :/

Ja, natürlich geht das. Mit dem DecryptHelper von Matthias musst du dann "Ordner entschlüsseln" auswählen nachdem du Dir den Entschlüsselungscode erstellt hast. Und dann wählst du einfach die Partition C:\ als Ordner aus. Nun entschlüsselt er dort alles.

Beim Avira Ransom File Unlocker kannst du natürlich auch einfach dann die Partition C:\ auswählen.

Zitat:

Zitat von Nowotny (Beitrag 822365)

Ja auch gemerkt, aber ich lass es schon 2 Stunden laufen und hab kb wielange das noch läuft x.X es gibt ja keine Progressbar oder sowas

Beim Avira Ransom File Unlocker ist diese vorhanden.
Aber 2 Stunden kommen mir extrem lange vor.

Wieviel Gigabyte hast du denn zu entschlüsseln?

Zitat:

Zitat von Nowotny (Beitrag 822367)

Beim Avira Ransom File Unlocker ist diese vorhanden.
Aber 2 Stunden kommen mir extrem lange vor.

Wieviel Gigabyte hast du denn zu entschlüsseln?

~200GB muss es entschlüsseln

Wens interessiert was ich habe:
16GB Arbeitsspeicher 2133Mhz
AMD FX8 8150 auf Stufe 2 übertacktet

Ich denke du hast vorher von den verschlüsselten Dateien ein Backup gemacht oder?

Dann würde ich vllt. einfach mal ein anderes Tool benutzen, wie z.B. "Avira Ransom File Unlocker" oder das Tool von "Dr. Web".

Zitat:

Zitat von Nowotny (Beitrag 822370)

Dr Web Funktioniert nicht :/

Aber der Avira Ransom File Unlocker oder?

Was ist denn die Fehlermeldung?

Zitat:

Zitat von Nowotny (Beitrag 822375)

Aber der Avira Ransom File Unlocker oder?

Was ist denn die Fehlermeldung?

Keiner er entschlüsselt nur nicht

mit welchem tool arbeitest du nun im moment, mit avira, mit mathias tool?

Zitat:

Zitat von markusg (Beitrag 822382)

mit welchem tool arbeitest du nun im moment, mit avira, mit mathias tool?

mathias tool, es funktioniert auch einwandfrei :/
Nur sehe ich nicht wielange das noch dauert bis die 200GB durch sind...

wird schon n bissel dauern.
einfach mal abwarten :-)
das dauert ne weile.
hattest du meine aufforderung gelesen, die betroffenen mails weiter zu leiten?
wenn du die mail über ein mail programm erhalten hast.
öffne diese, datei speichern unter, dort als datei typ zb
.eml
wählen.
mail an:
http://markusg.trojaner-board.de
senden, und die so eben gespeicherte datei anhängen.
wenn du über ein web mailer gehst, bzw dessen internet seite, sag mir mal welchen bitte.

Wie hast du das genau gemacht? Bei mir funktioniert das Entschlüsseln einer 1,2 GB großen Mailordnerdatei nicht. Jedesmal der Hinweis: java.io.IOExeption: Map failed

Auch das Entschlüsseln der Datei nach Kopieren in einen separaten Ordner brachte nichts.

Alle anderen Dateien konnte ich entschlüsseln.

:/ Man kann keine Videos entcrypten -.-"

sicher kann man.
aber ohne genaue problem beschreibung deiner seits wird hier keiner arbeiten können.

Hallo, ich möchte gar nicht so viele Worte verlieren. Nur eines: Ich habe noch nie so schnelle, kompetente, nachvollziehbare Hilfe erfahren wie in diesem Forum. Ich habe sämtliche Dateien zurück. Ich kann gar nicht beschreiben wie glücklich ich bin. Ein kompletter Datenverlust wäre der Super-Gau gewesen. Diese Sch... war mir eine Lehre. Ab heute sicher ich meine Datren regelmäßig. Ich bedanke mich bei allen, die mir dabei geholfen haben und verbleibe
mit freundlichen Grüßen
Stefan P.
PS: Für einen kleinen Obolus benötige ich eine Bankverbindung.
D A N K E D A N K E D A N K E D A N K E D A N K E D A N K E D A N K E

Zitat:

Zitat von markusg (Beitrag 822475)

sicher kann man.
aber ohne genaue problem beschreibung deiner seits wird hier keiner arbeiten können.

Ne, es kommt dan ein Error:
java.io.IOException: Map failed

Zitat:

Zitat von Quistian (Beitrag 822531)

Ne, es kommt dan ein Error:
java.io.IOException: Map failed

@Quistian

Hatte mehrmals das gleiche Problem. Lies mal den unteren Teil meines Beitrags Nr. 271 an Matthias.
Kenne mich mit Java und details auch nicht aus - vielleicht war irgendeine Datei einfach nicht "verfügbar".
Starte einfach Programm neu und versuch es noch einmal. Ich habe in vielleicht 30 min Teile von 5 Partitionen (nacheinander) decrypted mit dem tool von Matthias!

Zuerst vielen Dank an Matthias Kunig für das Tool! :-)

Leider wurden von dem Trojaner auch eine Acronis Imagedatei (*.tib) verschlüsselt. :-(

Nun meine Frage...

Die verschlüsselte Datei war 9,5 GB groß. Nach der Entschlüsselung, welche DecryptHelper erfolgreich abgeschlossen hat, ist die Imagedatei nur noch 2,1 GB groß.
Ist das normal, dass die verschlüsselte Datei größer ist als die Ursprungsdatei? Bei den restlichen Dateitypen konnte ich das nicht feststellen.

Vielen Dank für das Feedback.
Zoobel

ich hoffe du hast an nem backup entschlüsselt und nicht an der original datei?
denn ich denke eig kaum das so ein unterschied dabei raus kommen sollte.

Hallo zusamme

anbei einige Vista Bilder aus dem Demo Ordner

Lieber Admin bitte die Vergleichsbilder an die richtige Stelle verschieben sollten noch mehr benötig werden ich habe welche von XP pr. Wundows7 Ultimat bescheidsagen

Danke

Pit

Habe nur noch die verschlüsselte Datei, welche ich natürlich vorher noch gesichert habe. Die restlichen Dateien auf der HD konnte ich alle entschlüsseln. Vielleicht gibt es noch eine Möglichkeit über Acronis die Datei zu prüfen, denn ich weis nicht wie groß die Datei vor dem verschlüsseln war. Will ja nicht gleich den Restore starten und dann habe ich danach keine System mehr drauf. :-)

leider bekomme ich bei AVI Dateien immer den Fehler:

"java.io.IOExeption: MAP failed"

Ich benutze DecryptHelper-0.5.2 und es wird immer eine Datei erzeigt mit temp am Schluss:
aus meinFilm.avi wird
meinFilm.avi7282129434688601377.tmp

woran kann das liegen?
#271 habe ich gelesen und den Tipp probiert, ohne Erfolg

Hallo,

warum sagt er bei mir datei ist keine zugelassenen größe? Also habe garkeinen plan wie es gehen soll. Bin anscheinend zu blöd dafür.

Bei mir klappt garnichts. :headbang:

Der Schlüssel hat eine ungültige Größe" kommt bei mir immer. Egal welche Datei ich entschlüsseln will. Es steht vor jeder datei ein locked.

Bitte um Hilfe!!!

MfG

ValRoss

nutzt du denn ein pärchen?
also verschlüsselte datei und unverschlüsselt müssen identisch sein.

Habe das Acronisimage nun überprüft. Leider ist die Datei defekt bzw. nicht komplett obwohl die Meldung vom DecryptHelper kommt Entschlüsslung erfolgreich abgeschlossen.

Kann mir jemand sagen ob es eine Größenbeschränkung vom DecryptHelper gibt?
Info vom Programmierer des Tools wäre perfekt! :-D

Nach dem Entschlüsseln habe ich folgende Dateien im Ordner:

- locked-19102010.tib.pppf (klar die veschlüsselte Version) >> 9.448.391KB
- 19102010.tib (entschüsselte Datei, leider zu klein) >> 2.097.152KB
- 19102010.tib4241831206482047645.tmp >> 0KB

Sieht aus wie DecryptHelper einfach abbricht, aber dennoch sagt es wäre erfolgreich entschlüsselt worden...

Gruss
Zoobel

Hallo kann mir bitte jemand helfen ich komme vorne und hinten nicht klar... frau eben mein Pc wurde auch von dem Trojaner befallen so ne dumme rechnung... nun sind alle datein verschlüßelt und ich weiß nicht wie das funktio0nieren soll. Auf meinem pc sind haufen Arbeiten und Fotos.

ValRoss welche windows Version xp Vista Win7 ?
und per pin deine mail Adress ich sende dir dann die Beispielbilder versuch es mal damit

mfg
Pit