|
Zitat:
habe versucht Dir eine Mail mit dem zip. Anhang zu schicken, ist aber als Spam zurück gekommen. Ich nutze arcor. Kurzer Hinweis von Dir und schick sie erneut. Gruß Jörg |
Zitat:
dieses Verhalten hat bisher nur ein Betroffener gemeldet. In fast allen, der seit Mitte Mai gemeldeten Fälle werden die Dateien tatsächlich von 0000h bis 2fffh verschlüsselt. Wenn dem so ist wie Du beschreibst, dann würde ich dem Kunden die Daten erstmal sichern und eventuell die passenden Extensions anfügen bzw sie in entsprechende Unterverzeichnisse legen. Die Zuordnung sinnvoller Namen muß der Kunde dann schon allein machen, entweder einzeln manuell oder mit üblichen Tools zur Mehrfachumbenennun. Gruß Volker |
hallo matkuni leider funktionort deine 0.5.3 version net mehr zum entschlüsseln hast du ein tipp was ich jetzt machen kann |
Zitat:
die mit den locked oder die mit Buchstabensalat? |
hey markusg! erstmal danke für deine schnelle antwort und vor allem deine super arbeit hier!!!! also einige meiner dateien lassen sich nicht mehr öffnen und sind umbenannt (beliebige buchstabenreihen). darunter sind fotos, exceltabellen, präsentationen und normale word dateien. da ich natürlich die originale nicht nocheinmal hab, kann ich den schlüssel wohl nicht anwenden, oder? lg |
Zitat:
Was du probieren kannst, sofern du Vista oder Windows7 hast, ist das Programm ShadowExplorer. Bringt aber auch dann nur was, wenn die Funktion Schattenkopien nicht ausgestellt wurde. |
hi skss bei mp3s und bildern sind die ersten 3 bzw 6 kb nicht von nöten, deswegen kann man sie umbenennen und es passt, verschlüsselt sind immer nur die ersten teile der datei. bitte stelle mir aber die infektionsquelle zu (mail) @seismo65 dann ist das ok machs einfach bei der nächsten mail. @alex2539 lies doch bitte einfach mal ne seite vorher, ich denke das wissen die autoren schon seit 3 wochen :-) |
Hy markusg! "bei mp3s und bildern sind die ersten 3 bzw 6 kb nicht von nöten, deswegen kann man sie umbenennen und es passt, verschlüsselt sind immer nur die ersten teile der datei". Weisst du aich wie das mit den .avi oder pdf und word dokumente aussieht? Mfg |
Hallo Zusammen, @Markus: Ich habe dir grade meine Infizierte Mail geschickt. Es ist wohl der "neue" Verschlüsselungs Trojaner. Hier mal ein Beispiel des Treibens: Original: "Electro & House.png" Verschlüsselt: "tQssyxOTUEfJDGAt" Wenn ich die Datei wieder in png umbenne funktioniert diese auch teilweise. Das gleiche gilt für MP3 Dateien. Ich kann sie zwar einfach durch hinzufügen von .mp3 lesbar machen aber auch nur für den WMP. iTunes liest sie leider nicht. Das Backup der meisten Daten ist kein Problem. Nur leider wurden auch meine Videos der GoPro verschlüsselt. Hier habe ich absolut kein Backup und wäre für Hilfe sehr dankbar. Achja, das infizierte Windoof hat ich platt gemacht da ich vorher auf einem anderen Board war und dies die dort beste Option war ... Danke und Gruß Michael |
hallo erst mal @29101984 dein tipp ist jan net schlecht leider kann ich die daten dann net öffnen @markusg ich hab dir eine e-mail geschick mit der version des trojaners der mein pc befallen hatt hoffe es hilt dir weiter mfg alex |
Zitat:
Welcher tipp?? |
@29101984 er meint das mit dem umbenennen der dateien. ich glaub bei andern dateien klappts nicht. @Michael B sag bitte nciht es war vista oder höher, denn da hätten wir mit shadow explorer arbeiten können, nu heißts abwarten |
Ich wende Euer Entschlüsselungstool unter Windows 7 an, wobei ich die verschlüsselte Datei mit der auf externer Festplatte gespeicherten gleichen Datei vergleichen lasse. Es kommt aber nie ein Schlüssel zustande, egal ob die Datei passt oder als "zu groß" bezeichnet wird. Dass es die gleiche Datei ist, sehe ich am Speicherungsdatum und Uhrzeit, die gleich ist (allerdings um 1 Stunde verschoben - wegen Sommerzeit?). Das Entschlüsseln klappt also nicht. Was kann ich noch tun? Vielen Dank im Voraus. |
moin moin, wie sieht denn so eine verschlüsselte Datei bei Dir aus, so locked-xxxxxxxx.yyy.zzzz oder so DFtzGBNhzjZ? |
Hallo ihr, ich habe ALLE 82 Seiten intensiv gelesen, den Decrypt Helper ausprobiert und mir den Virus per Email mit Zahlungsaufforderungsfenster am 23.5. eingefangen. Per neuem Wiederherstellungszeitpunkt konnte ich den PC wieder nutzen, Tage später waren plötzlich ALLE Dateien verschlüsselt, jedoch weder mit dem Text locked ... oder Buchstabensalat. Die Dateien und Bilder haben noch die Orginalnamen, lassen sich aber nicht öffnen mit dem Hinweis:Das Foto oder Video kann nicht geöffnet werden. Möglicherweise wird die Datei nicht unterstützt oder sie ist beschädigt. Keine Datei, Foto, Dokument, Musik, einfach nichts lässt sich öffnen. Bei Ausprobieren des Decrypt Helpers konnte kein Schlüssel gefunden werden, jedoch konnte ich bei ganz wenigen Dateien eine Umbenennung erkennen die zb. wie folgt aussieht (3 beispiele) 401585_383324231709959_100000971556866_1059687_1378247662_n.jpg 529903_218429634937849_100003124427322_369911_1604766634_n.jpg 535220_303733256375864_100002175776220_691943_1919792557_n.jpg Hab ich es hier mit dem gleichen Virus zu tun? Muss ich abwarten oder gibt es bereits hilfe oder ist bei jemand anderem der gleiche Fall eingetroffen ...sprich - nichts lässt sich mehr öffnen - die meisten dateinamen sind gleich geblieben - wenige dateinamen wurden verändert (lange zahlenfolge siehe beispiele) vielen dank im voraus, annie ps: ich find es auch klasse, was hier geleistet wird. das muss man echt honorieren! Nachtrag: Die Mail kam am 25.05. Ich hatte sie geöffnet, weil ich dachte, es wäre von der Abzockerfirma, die mich schon seit Monaten belästigt. Fragte mich, was die schon wieder wollen. Absender und Betreff scot@edmondfaithbible.com Zahlungsaufforderung nach Vertragsbruch 23.05.2012 Sehr geehrte Damen und Herren, in Bezug auf unsere Rechnung Nr.: 78586755 und unsere 1. sowie auch unsere 2. Mahnung mussten wir heute feststellen, dass Ihre Zahlung bei uns noch immer nicht beglichen ist. Dies bedeutet einen einseitigen Vertragsbruch Ihrerseits. Nach geltendem Recht könnten wir die offene Forderung bereits jetzt bei Gericht anmelden. Wir geben Ihnen jedoch trotzdem noch eine letzte Möglichkeit, Ihre vertragliche Verpflichtung zu erfüllen, indem Sie unverzüglich die ausstehende Summe in Höhe von 959.00 EURO an uns zur Zahlung bringen. Die Rechnung und die Bestelleinzelheiten finden Sie im beigefügtem Dokument Nach geltendem Recht sind wir befugt, die anfallenden Kosten geltend zu machen. Alle bereits angefallenen und noch entstehenden Kosten (Mahnkosten, Rechtsanwalts- und Gerichtskosten) gehen zu Ihren Lasten. Vermeiden Sie unnötigen Ärger und weitere Kosten und erfüllen Sie den mit uns abgeschlossenen Vertrag! Wuotu-Multimedia Aktiengesellschaft mit Sitz in Bremen Vorstand: Renate Lechner, Sabine Schmidt Aufsichtsratsvorsitzender: Klaus Schuster Amtsgericht: Bielefeld 51849 |
So zum Beispiel: DFtzGBNhzjZ |
@eikewolff, ich möchte wetten, Du hast vor Deinem ersten Beitrag nichts, was bisher hier geschrieben wurde, gelesen. Du wüsstest sonst, dass die o. g. Tools für andere Dateien gedacht sind und bei Dir nicht helfen. |
Ich habe mit Malwarebits den Trojaner rausgeworfen, aber alle Dateinamen sind verschlüsselt und die Inhalte auch. Ich habe mehrere Entschlüsselungsprogramme ausprobiert, bisher ohne Erfolg. Es gelingt mir noch nicht einmal, den Namen des Dokuments wiederherzustellen, vom Inhalt ganz zu schweigen. |
Da siehst Du es selbst, für die Verschlüsselungsvariante, die bei Dir vorliegt, gibt es noch kein Heilmittel. Allein die hier beschriebenen Tools könnten Teile Deiner Daten rekonstruieren. |
Zitat:
Das mit ShadowExplorer wird doch (denke ich) nicht funktionieren weil ich das infizierte Windows geplättet habe, richtig ? :rolleyes: Ich habe grade die Platte D ordentlich durchsucht. Scheinbar ist er nicht ganz fertig geworden. Vielleicht ist es hilfreich: Die Verschlüsselung ist alphabetisch über die Platte gegangen. Es sind noch einige Dateien vorhanden und nicht verschlüsselt. Alle Dateien in den Ordnern VIDEO_TS blieben unverschlüsselt. Gruß Michael |
Lieber Undertaker, ich habe - wie ich auch in meinem Posting erwähnt hatte - A L L E 82 Seiten sowie Links zu anderen Threats ausführlich gelesen ( nicht nur überflogen), hat Stunden gedauert. Ebefalls weiss ich, dass man die Dateien/Mail an Markus schicken soll. Weiss jedoch gar nicht, wie ich die Mail umwandeln soll. Lg Annie |
@markusg ich hab dir heute eine verdätige e-mail geschiekct zur analyse die hete ich ich heute im e-mail kasten ich hoffe sie hilft dir weiter |
Hallo. Hab mich hier extra angemeldet und wollte mal fragen wie lange es ungefähr dauern wird bis ein entschlüsselungsprogramm für die 2.Generation des Virus entwickelt wurde, kann man das ungefähr sagen. Eine weitere Frage habe ich noch und zwar glaube ich, dass auf meiner externen Festplatte noch der windows lizens virus drauf ist. Wie kann meine externe am besten bereinigen, ohne das mein rechner wieder befallen wird? Danke schonmal |
Zitat:
Was soll eine solche Frage? Zitat:
Zitat:
|
Zitat:
Ich frage, weil ich die Dateien momentan brauche (Arbeit/Schule) Hätte ja sein können, dass schon mehr bekannt ist. Ich habe die Festplatte gescannt und hatte den Security Shield Virus dort auch noch drauf. |
Zitat:
Er soll Dir nur solange auf den Geist gehen, bis Du die Software kaufst. Ein gutes Antivirenprogramm sollte ihn entfernen können. |
Eventuell blöde Frage, wirkt oder kann man das tool auch bei einem 64 Bit Windows 7 einsetzen ? Besten Dank im voraus !:confused: |
Hallo bin steffen aus Maloorca, sag mir wie du mir helfen koenntest. Bin vielleicht zu dumm dafuer. Habe hier locked files ohne ende. Waere echt dankbar. die sehen so aus ob video oder jpg oder xls.locked-2012-04-04 13.37.23.jpg.zyfc |
Zitat:
Nutze dann eines der o. g. acht Tools. Volker |
...Datensicherung ist ne feine Sache, klar! Nur wenn die dann auch so aussieht: LKJAslajLJAsjAO :headbang: Gruss Micha nur mal so, tolle Arbeit die hier geleistet wird! :daumenhoc Ein Wunsch - bei den Tools wäre es schön wenn man erkennen könnte dass diese aktualisiert wurden(Version/Datum). Gruss Micha |
Zitat:
klar, darum habe ich auch das hier geschrieben. Gruß Volker |
Hallo bei DecryptHelper werde ich erst nach der Verschlüsselten Datei gefragt und dann nach der Originalen wie soll das gehen wenn die Originale verschlüsselt ist ?? Was muss ich genau machen ??? Hallo bei Decrypt werde ich erst nach der Verschlüsselten Datei gefragt und dann an nach der Originalen wie soll das gehen wenn die Original Datei Verschlüsselt ist ???? |
Zitat:
Gruß DevilTH Bsp. Windows-Standardbilder und Hintergründe... Größe der Dateien sind identisch |
Zitat:
Zitat:
Jetzt kommt immer bei mir die Fehler Meldung Schlüssel kann nicht bestimmt werden ! |
Zitat:
|
Zitat:
Sehr schön, da bin ich mal sprachlos! Die SecureZone hab ich immer ignoriert weil sie mir zu viel Speicher schluckte. Bei der akt. Bedrohungssituation müsste ich das natürlich mal überdenken. Frage ist nur, ob das Acronis nicht auch den Virus und die verschlüsselten Datein mit sicher?!? Gruss Micha |
Zitat:
Gruß DevilTH |
Zitat:
Damit kannst Du zu jeder Zeit ein sauberes System recovern. Ein weiteres Backup sollte nur die Daten betreffen und in einem Turnus erfolgen, den man für angemessen hält. Bei den Daten kann sich ein Virus schlecht verstecken. Ach ja, Speicherplatz, ich habe hier jetzt so um die 8 Terra und trotzdem nie genug. :) Man muß sich ihn halt abringen. Volker |
Zitat:
|
Zitat:
|
Zitat:
Enweder steht im Dateinamen jetzt irgendwo locked mit drin, oder die Dateien sehen so ähnlich aus DFghrEc.Bei ersterem hast du nochrecht gute Chancen bei zweiterem z.Zt. nur ShadowExplorer. Gruß DevilTH |
Hallooo, also ich habe jetzt alle tools ausprobiert, und alle funktionieren (nachdem einer unserer alten Fileserver teilweise davon befallen wurde). Aber: keines dieser tools funktioniert bei Excel files die mit einem Passwort geschützt waren, durch Excel 2007, also mit der eingebauten Passwortfunktion in Excel. Ich konnte eine original Datei aufspüren und dadurch einen Decrypt key erzeugen. Wie gesagt, alle tools funktionieren für alle Dateien, aber eben nicht für Passwort geschützte Excel Files. Irgendjemand der mir damit helfen kann und eine Lösung hat? Vielen vielen Dank -Martin |
@martinret, gute Frage, ist bisher noch nicht drüber diskutiert worden. Ein Tip wäre, nen Versuch mit einem Excel Passwortremover zu starten. Berichte auf jeden Fall über Ergebnisse. Gruß Volker |
Hallo Wollte mal fragen wie das mit Avira ransom file unlocker funktioniert. Man muss ja eine verschlüsselte Datei auswählen. Nur bei mir findet der keine. Bei scarcrypt konnte ich schon einen Schlüssel generieren, nur der Schlüssel konnte nirgendswo drauf angewendet werden. Also es konnte kein Verzeichnis widerhergestellt werden. Würde mich über Antworten freuen ;) lg |
Hallo Freunde, durch einen Virus hatte ich jetzt verschlüsselten Dateien Zbs (locked-CIMG0001.JPG.yrnq)! bitte Hilfen Sie mir ! Danke |
Zitat:
bei Deiner Art der Verschlüsselung betehen gute Chancen, wenn nicht gar alle, zumindest einen Teil der Dateien zurück zu erhalten. Dazu brauchst Du aber Vergleichsoriginale. In Deinem Beispiel die CIMG0001.JPG. Je mehr Originale der verschlüsselten Dateien Du auf CDs, Backups oder von wo auch immer auftreiben kannst, desto besser die Chancen. Es ist durchaus möglich, dass Dir ein Dateipaar alle Dateien zurück bringt. Nutze zum Entschlüsseln eines der oben genannten acht Tools. Ich habe gute Erfahrungen mit scareUncrypt gemacht. Weiterhin empfehle ich Dir, eine Sicherungskoie Deiner verschlüsselten Dateien anzulegen, falls etwas schief geht, z.B. gelöscht wird. Die Tools sind hinreichend beschrieben, sodass ich hier nicht näher darauf eingehen muß. Ich wünsche Dir viel Erfolg. Gruß Volker Zitat:
sehen die verschlüsselten dateien so aus wie sie von aladdin455, also fangen die mit locked- an? Wenn nicht, helfen die oben genannten Tools nicht, da die Verschlüsselungsvariante eine andere ist. Gruß Volker |
Zitat:
ne meine Dateien heißen alle, "ruOodvALsrJgLsfQy" oder "DpsTjvTAUDQrDLqQOE", also so nach dem Klein/Groß-Buchstaben Muster. "Locked-" Dateinamen oder Dateitypen habe ich nirgendwo gefunden. Denke dann muss ich wohl das System neu aufspielen. Danke bis hier hin ;) |
Hallo, auch ich habe diesen Verschlüsserung-Trojaner.Kann mir jemand sagen, wie ich den Decrypthelper 0.5 downloade? Es funktioniert bei mir leider nicht. Danke |
Zitat:
was funktioniert nicht? Also der obige Downloadlink klappt wunderbar. Volker |
Zitat:
Du könntest höchstens mal noch den ShadowExplorer probieren.. Bringt aber nur was, wenn du Vista oder Win7 hast, und die Funktion aktiviert war. |
Hallo zusammen, habe wie seeadler seit gestern das gleiche Problem. Habe noch die verseuchte mail bei web.de und im Ordner Benutzer\appdata\roaming\eine ähnlichen Ordner mit einer *.exe entsprechend passender Urhzeit zur verseuchten mail. wäre dies hilfreich? Willkürliche Dateinamen der verschlüsselten Dateien ohne definierbare Endung. Habe alle Partitionen geklont, log`s erstellt. Die Tools "scareUncrypt" und Pandaunranson generieren zwar einen Key, kann damit aber keine Dateien entschlüsseln. wobei Panda noch einen Reg-schlüssel generiert,wenn ich es richtig deute. Würde mir eine vor Monaten gemachte sicherung der sys-Partition helfen? für die bisherige Arbeit hier und eventuelle Hilfe vorab schon mal danke |
Hallo an alle Geschädigten ! Ich will hiermit nur eine Erfolgsmeldung abgeben, vielleicht macht es ja anderen "Befallenen" Mut. Mit der Version 0.5.3 von Matthias hat es wunderbar geklappt - alle verschlüsselten Dateien (und es waren sehr viele, primär pdf, jpg und doc) sind in kurzer Zeit wieder hergestellt worden. Und zwar über die Variante "Ordner entschlüsseln". Ich habe gehört, dass es sich bei mir glücklicherweise um die "sanftere" Version des Trojaners gehandelt hätte, der sich per e-mail-Anhang eingenistet hatte. Alle Dateien wurden umbenannt wie folgt: Original: Bild.jpg Verschlüsselt: locked-Bild.jpg.wxyz (wxyz steht stellvertretend für beliebige nicht oder selten wiederkehrende Buchstaben-Kombinationen). ______________ Ein großer Dank an Matthias! Gruß an alle L. |
Zitat:
klar hilft die, allerdings gehen dabei alle, nach der Sicherung angelegten Dateien, verloren. Verschlüsselte Dateien auf anderen Partitionen, die nicht Bestandteil des Backups sind bleiben verschlüsselt. . . . - Zitat:
hast Du alle Dateien geprüft? Das Anlegen der Dateien mit Originalnamen sagt noch nicht aus, dass diese auch als brauchbare Dateien wiederhergestellt wurden Gruß Volker |
Wenn du Win7 oder vista Zitat:
|
Zitat:
Aber bevor ich so eine Erfolgsmeldung loslasse, prüfe ich natürlich, ob alles lesbar ist. Und ich habe bisher keine Probleme festgestellt. Noch was: Da ich direkt auf c: auch einige Dateien hatte, habe ich dem Entschlüsseler irgendwann c: als Ordner genannt - und er hat dann sowohl diese Einzeldateien als auch alle Dateien in den Ordnern auf c: (einschl. Unterordner) entschlüsselt. Also alles in einem Rutsch!. Gruß Lutz |
Lutz, dann gratuliere ich Dir zur erfolgreichen Wiederherstellung. Und wenn das Deine Dateien waren, dann paß bei zukünftigen Aktionen etwas besser darauf auf. :abklatsch: In diesem Sinne, viel Glück. Volker |
Zitat:
Es ist ja auch eine ziemlich fiese Masche, e-mails zu verschicken mit einer recht professionell aussehenden Bestätigung einer Bestellung, an die man sich zwar nicht erinnert, die andererseits aber vielleicht auch durch einen versehentlichen Klick af irgendeinen Button entstanden sein kann. Unsicher, wie man dann ist, öffnet man den Anhang - und es ist passiert. Na ja, wie heißt es so richtig: Durch Schaden wird man klug. (Anderes Beispiel: Bevor mir folgendes passiert ist, habe ich es auch für undenkbar gehalten: Man hat mir mal in Italien aus dem Portemonnaie, das ich in der Hand hielt, 50 € "gezupft", ohne dass ich es gemerkt habe!) Ich werde also demnächst noch vorsichtiger sein. Gruß Lutz |
Hallo zusammen. Ich komme nicht weiter. Habe mittlerweile gefühlte tausendmal probiert einen Schlüssel herzustellen, aber bekomme es nicht. Das Problem ist, dass die Beispielbilder von Vista komischerweise auf dem PC nicht verschlüsselt sind und ich habe keine Idee, welche Dateien ich sonst nehmen könnte um die Verschlüsselung aufzuheben. Bitte um Hilfe :) Danke |
Zitat:
aber meine Sicherung von C:\ ist Monate alt. daher meine Frage nach der Nützlichkeit. Würde in dem Falle wohl eher nichts bringen, da system so weit wieder läuft. bis auf eigene Dokumente, Office-Outlook; Mozilla. Wobei ich für Mozilaa wohl noch gute Chancen sehe durch neuinstall, da Profilordner serarat abgelegt sind, könnte ich zurück kopieren. Die von mir gefunden XXX.exe in appdata ist von anderem pc von Avira free als Trojaner TR/Jrik.Pandora gemeldet wurden. Auf meinem Pc wird dies von Avira ignoriert. |
@Andie, hast Du schon mal nach Schattenkopien geschaut? Mit Win7 hast Du da gute Chancen, falls die Option Schattenkopien aktiviert ist. Das gilt gerade für C: Schau mal hier nach Shadow Explorer und da steht auch was zu Outlook. Volker |
vielleicht noch ales Ergänzung: Ich hatte ein Mail von flirt-fever und habe dummerweise den Anhang geöffnet. Habe als ich mitbekam, dass es ein trojaner ist, den PC sofotrt ausgemacht und die maleware durchlaufen lassen und den trojaner gelöscht... erst dann habe ich festgestellt, dass ich die dateien nicht mehr öffnen kann und habe dann hier gelesen was los ist. Nun habe ich Dateien, die alle von dem Trojaner umbenannt worden sind und komme nicht weiter. Sie heißen zum Beispiel: vNraQlOXLtyUoxOJeUGjX UQGjfLsqyUoGAVXvsr erTTuDgpvGqfosAA NTuDgXLsqUoxxAfnsqr Die Dateien sind für mich von großer Bedeutung und ich weiß nicht wie ich die wiederherstellen kann und ich wie vorgehen soll. Habe es schon mit den oben empfohlenen DecrypHelper probiert, aber da kommt immer dass kein Schlüssel generiert werden kann. Vielen Dank schonmal im Vorraus. Bin über jede Antwort dankbar, denn ich sitze nun schon seit 2 Tagen vor den Dateien und komme einfach nicht weiter. Danke Hier noch die LogDatei : Malwarebytes Anti-Malware 1.61.0.1400 www.malwarebytes.org Datenbank Version: v2012.06.06.04 Windows Vista x86 NTFS Internet Explorer 8.0.6001.18904 Mathias ***** :: MATHIAS-PC [Administrator] 06.06.2012 16:04:04 mbam-log-2012-06-06 (16-04-04).txt Art des Suchlaufs: Quick-Scan Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 190583 Laufzeit: 4 Minute(n), 55 Sekunde(n) Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: 1 HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|{BDF217F2-19ED-E600-7386-26E33C69460F} (Trojan.Agent) -> Daten: C:\Users\Mathias *******\AppData\Roaming\Microsoft\IdentityCRL\temp\odbcconf.exe -> Erfolgreich gelöscht und in Quarantäne gestellt. Infizierte Dateiobjekte der Registrierung: 0 (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateien: 7 C:\Users\Mathias ******\AppData\Roaming\Microsoft\IdentityCRL\temp\odbcconf.exe (Trojan.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Users\Mathias ******\Desktop\DecryptHelper-0.5.3.exe (Trojan.FakeAlert) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\$Recycle.Bin\S-1-5-21-737281456-2051379455-4103084561-1000\$RRHTGAZ\Mitgliedschaft 2012 .com (Trojan.Agent.SZ) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\$Recycle.Bin\S-1-5-21-737281456-2051379455-4103084561-1000\$RSHQTSJ\Mitgliedschaft 2012 .com (Trojan.Agent.SZ) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Users\Mathias ******\AppData\Local\Temp\onoyebxmgz.pre (Trojan.WinLock) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Users\Mathias ******\Downloads\SoftonicDownloader_fuer_driver-genius.exe (PUP.OfferBundler.ST) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Users\Mathias ******\Downloads\SoftonicDownloader_fuer_easycleaner.exe (PUP.OfferBundler.ST) -> Erfolgreich gelöscht und in Quarantäne gestellt. (Ende) |
Macht ihr euch überhaupt die Mühe, auch nur ein klein wenig mal mit zulesen ?? @seeker19 Bei der Verschlüsselung gibt es noch nix für die entschlüsselung.. Das einzige was du probieren kanst, da du Vista hast, könntest du evt. Glück haben, wäre das Programm ShadowExplorer. Funktioniert aber auch nur, wenn die Funktion Schattenkopie in Windows an war. Das Programm findest du als Link nem Post vor deinem, oder oben unter Übersicht der 8 Tools. |
Also, ich bin wieder im rechner drin .... vielen dank für die hinweis wegen Kaspersky. Ich habe nach dem scan einiges gefunden und gelöscht. Die text datei werde ich hier gleich noch mit posten. Kann das sein, das die exe datei mit einer "codierung" in system32 ordner der verschlüsselungs index ist? Ich werde nun eine kopie aller dateien (scheinbar alles auf dem desktop nur (musik, bilder etc)) machen. Zitat:
vielen dank erstmal wieder :-) |
Zitat:
was ist denn die "Funktion Schattenkopie"? Wo kann ich schauen ob diese an war? Das Program hab ich schon runtergeladen, komme damit allerding nicht so wirklich klar. :( Danke schonmal |
Zitat:
Also was soll man noch machen wenn nichtmal ein Schritt-für-Schritt-Video hilft. Volker |
Das tut mir leid, das hatte ich nicht gefunden. Hatte nur ein englischsprachiges gefunden, wo ich nicht allzu viel verstand. Ich habe nachgeschaut und feststellen müssen, dass die Schattenkopie nicht angestellt waren. Da ich auch nicht den Prefix "locked" habe, stehen die Chancen sehr schlecht, oder? Eine ganz blöde Frage hätte ich noch: Würde es sich lohnen, sich nochmal den Trojaner draufzuziehen damit man den Prefix "locked" erhält, denn dann würden die anderen Tools von oben ja greifen. Oder ist das sinnlos, weil sie dann sozusagen "Doppelt verschlüsselt" wären? Ich frage deswegen so dumm, weil die Dateien echt wichtig sind... Es handelt sich um meine Doktorarbeit, die zwar noch nicht fertig war, aber dennoch schon über 100 Seiten beiinhaltete und alle möglichen Quellen dazu... Deswegen ist es für mich von großer Bedeutung! Danke :) |
Nach momentanen Stand hast du keine möglichkeit. Kannst eigentlich nur deine Daten sichern, und warten, bzw hoffen das noch was kommt. |
Zitat:
Bei JPGs kann noch was gehen und bei PDF teilweise. Du kannst nur sichern und auf bessere Zeiten hoffen. Zitat:
Ich nehme Deinen Personalausweis und mache aus sebastian seeker ---> ferdinand keeser. Nun bittest u @seeadler das wieder in Ordnung zu bringen. Der macht nun aus ferdinand keeser ---> klaus-ferdinand keeser-flop Wer soll glauben, dass Du eigentlich sebastian seeker heißt? |
Zitat:
Zitat:
Danke. |
Zitat:
|
Hallo an alle, vorallem an die Experten, habe mir am 31.05. die 2. Generation in folgender Variante eingehandelt: - Dateinamen alle in Buchstabensalat ohne Endung umbenannt - Bilder kann ich durch Anfügen des entsprechenden Anhangs teilweise, zumindest als Vorschau, sehen aber nicht öffnen, da "fehlerhaft oder zu groß" - Word, Exel usw. geht auf diese Weise nicht MSE hat folgende Schädlinge erkannt und entfernt: - Trojan:Win32/Matsnu -schwerwiegend - Exploit:Java/Blacole.AK -schwerwiegend - Exploit:Java/Block -schwerwiegend - Exploit:Java/CVE-2010-0840.NE -schwerwiegend Die Verursacher-Mail ist leider nicht mehr da. Ich möchte gerne mit nützlichen und sinnvollen Informationen weiterhelfen. Deshalb will ich euch nicht mit Allem zuposten, was ich habe. Sagt, was ihr wissen müsst. Ich habe gestern nochmals 2 solcher Mails erhalten und möchte sie Markus zur Verfügung stellen. Ich bin bei Freenet, da geht das mit speichern als .eml nicht. Kann ich diese Mails einfach normal weiterleiten? |
hallo zusammen, auch mich hat es erwischt. :pfui: jetzt habe ich mir hier die beispielsbilder im forum runtergeladen und versuche verzweifelt diesen schlüssel zu generieren. aber es klappt nicht :-( ich habe hier wirklich an die 50 seiten gelen aber ich verstehe es nicht. kann mir jemand erklären was ich zu tun habe? kenne mich sowas absolut nicht aus. natürlich habe ich auch nie eine datensicherung gemacht. sei es mir eine lehre. werde das in zukunft machen. aber wie komme ich jetzt an meine bilder ran?? bitte helft mir? da sind die letzten 10 jahre drauf. die können doch nicht einfach so weg sein.. und wie ich sehe haben hier ja auch welche erfolg. danke im voraus... hier noch die txt aus meinem 2ten lauf.. die erste hab ich leider nicht gespeichert. wusste nicht das die von bedeutung sind Malwarebytes Anti-Malware (Test) 1.61.0.1400 www.malwarebytes.org Datenbank Version: v2012.06.05.06 Windows XP Service Pack 3 x86 NTFS Internet Explorer 8.0.6001.18702 sebastian :: SEBASTIAN_MOBIL [Administrator] Schutz: Aktiviert 06.06.2012 07:28:30 mbam-log-2012-06-06 (07-28-30).txt Art des Suchlaufs: Vollständiger Suchlauf Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 398881 Laufzeit: 2 Stunde(n), 6 Minute(n), 16 Sekunde(n) Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: 1 HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|DisableRegedit (Hijack.Regedit) -> Daten: 1 -> Erfolgreich gelöscht und in Quarantäne gestellt. Infizierte Dateiobjekte der Registrierung: 1 HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|DisableRegistryTools (PUM.Hijack.Regedit) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt. Infizierte Verzeichnisse: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateien: 0 (Keine bösartigen Objekte gefunden) (Ende) |
Noch was, bin mir nicht sicher ob mein post gelesen wurde ... Ich habe möglicherweise was gefunden, 2 dateien die SEHR ahnlich sind. Beide stammen vom 30.05, das eine wurde downloadet um 17:34, das andere abgespeichert um 17:44. Das erste ist 22679/24576 bytes, das 2 21955/24576 bytes gross (größe/größe auf datenträger) - wie wahrscheinlich ist das das selber datei? Mussen die dateinamen gleich gewesen sein? |
Ach noch was, die Outlook Datei habe ich durch Umbennen in die Originalbezeichnung auch wieder hinbekommen. Und noch eine Frage: Macht es momentan Sinn ein eigenes Thema zu eröffnen? |
basti08 wenn du soviel gelesen hast, warum schreibst du dann nicht, welche Verschlüsselung du dir eingefangen hast ? die mit locked im Dateinamen, oder die mit reinem Buchstabensalat ? ingo_2810 HAst du mai probiert mit ShadowExplorer zu Arbeiten ? Und das hier soll bei Bildern wohl auch noch gehen: hxxp://www.trojaner-board.de/115183-neue-verschluesselungs-trojaner-variante-umlauf-54.html#post840582 |
so es hat geklappt.. aber nur mit den pdf´s.. und zwar so: ich hatte eine pdf datei die gelocked war. locked-zeugnisse.pdf.dhyk auf einem usb stick hatte ich noch eine kopie davon zeugnisse.pdf bei haben die gleich größe. daraus konnte ich den schlüssel erstellen. 1000 dank für das programm das hier zur verfügung gestellt wird. dann hab ich es bei einer locked jpg datei versucht. dort ging es soweit das die datei entsperrt wurde. aber es sind keine bilddaten mehr vorhanden. also wenn ich das bild öffne kommt die meldung: keine vorschau verfügbar.. wie komme ich an die jpg? muss ich da aus einem jpg einen schlüssel erstellen. kann es leider nicht testen da ich keins da habe... |
|
Zitat:
hallo seeadler.. danke für deine antwort.. ich habe die locked... wie oben beschrieben bin ich mit den pdfs auch klar gekommen.. was mache ich jetzt mit den jpg dateien??? |
seeadler habe ich versucht. Beim Öffnen des Programms war aber alles leer. Möglicherweise gar lief das vorher gar nicht??? |
Zitat:
höre bzw. lese ich aus deiner antwort das ich mir einen schlüssel aus einem jpg erzeugen muss um jpgs zu entsperren? das heißt für jedes dateiformat einen eigenen schlüssel? |
Zitat:
habe schon nach Schattenkopien gesucht, da ich den Hinweis auf Shadow Explorer auch schon gelesen hatte, aber leider keine Kopien gefunden. Daher meine Frage nach dem Sinn eines uralten Image., da ich mir ziemlich sicher bin, dass Schattenkopien aktiviert waren, aber nicht mehr auffindbar. möchte noch erwähnen das beim Virus-boot ein chkdsk auf der 3. von meinen 4 Partitionen durchgeführt wurde und viele Änderungen vorgenommen wurden. Habe vorhin Avast vor windows scannen lassen und viele Fehler wurden gefunden. Mit Warmstart-abbruch dann von Windows Startprobleme beheben lassen. Und siehe da: office wieder funktionsfähig. Werde nun von Office zur Aktivierung aufgefordert. Alte- nicht verschlüsselte Dokumente-Dateien lassen sich problemlos in allen Office-progs starten, auch Outlook. Wäre jetzt meine Frage, ob es Sinn macht Schattenkopien zu suchen; und wo eventuell, da das System soweit wieder läuft und auch Avast nunmehr noch 4 Infektionen im Gegensatz zu Avira gefunden und beseitigt hat. Ich glaube das Virus verschlüsselt nur "eigene dokumente" und entsprechende Pfade, da auch meine Kopien des Ordners auf der anderen Partition davon betroffen sind. ebenso wurde auch der Ordner meiner Reserveplatte sofort bei Anschluss verschlüsselt. |
@ ingo Dann würde ich sagen, war die Schattenkopie ausgemacht... Für Bilder soll das evt. noch gehen: http://www.trojaner-board.de/115183-...tml#post840582 @basti kann ich dir leider nicht sagen, aber du kannst ja auch mal den Bilderlink probieren... |
bin ich im falschen film oder so? |
@ Seeadler Danke für den Tipp. Habe ich noch nicht probiert, ist auch nicht sooo wichtig, weil ich fast alle noch auf Handy oder einem anderen Rechner habe. Aber ich werde es bei Gelegenheit mal ausprobieren. |
Zitat:
ARD oder ZDF, kläre mich mal auf. Was soll ich mit Deinem Text anfangen? |
@ Undertaker Ich denke es geht drum, dass er auf den Text noch keine Antwort bekommen hat: Zitat:
Ist aber auch nur ins blaue geraten... |
Na ja, verstehe das trotzdem nicht. Sind die nun verschlüsselt oder nicht? Der Timestamp sagt garnix, manche sind vom 1.5.1602. Wenn zwei Dateien annähern groß sind, dann belegen sie die gleiche Anzahl Cluster auf der HDD, was ist da besonderes? Wo die Dateien lagen ist auch nicht erwähnt. Selbst wenn es Kopien der selben Datei sein solten, was sagt das aus? Ich wüsste nicht, was ich darauf antworten sollte. |
Ich habe auch das Glück, nun dieses Problem zu haben. Ich habe bis jetzt noch keine andere Originaldatei gefunden. Ich wollte hierfür eigentlich die Windows Beispielfotos nehmen, nur sind diese natürlich auf dem infizierten Rechner nicht (!) verschlüsselt. Was nun?! |
hi wie sehen deine verschlüsselten dateien aus? umbenannt wenn ja wie, welches betriebssystem? infektionsquelle noch vorhanden? an solchen mails mit rechnung, mahnung und sonstigen anhängen, von unbekannten absendern bin ich interessiert. wenn du ein mail programm nutzt, dann mail markieren, rechtsklick, speichern unter, typ: .eml einstellen. dann bitte lesen: markusg - trojaner-board.de und mir die soeben erstellte datei zukommen lassen. wenn du deine mails über den browser abrufst, sag mir mal welchen anbieter du nutzt, dann geht das ein bisschen anders. bitte warne freunde, bekannte, verwante etc vor dieser masche, und lasse ihnen ruhig diese mail adresse zukommen. sie können dann dorthin solche verdächtigen mails senden. diese helfen uns dann, angemessen auf neue bedrohungen zu reagieren, da diese schadsoftware auch updates erhält ist das wichtig. |
emmm.. das ist jetzt ne dorfe frage aber nochmal woher soll man die originaldateien bekommen? |
Zitat:
Bzw die paar Posts vor deinem, wo die auch verlinkt sind ? Naja.. Da du dies alles gewissenhaft überlesen hast, und wohl auch sonst keine Chance hast an die Daten zu kommen: hxxp://www.trojaner-board.de/114115-wiederherstellung-verschluesselten-dateien-rechnung-exe-realtecdriver-exe-schadsoftware-7.html#post820441 |
ich hab hier namlich ein pc von einen bekannten, der kein backup ausgefuhrt hat und anscheinend hat sein xp noch nicht mal die backup utility.. gibts irgendeine moglichkeit die dateien zu retten? seeadler schuldigung mein deutsch ist auch nicht perfekt und vielleicht hab ich was nicht richtig verstanden aber was zu mir ruberkommt ist, das man die original dateien haben muss.. |
Dann nochmal kurz auf den Punkt gebracht, was auf den vorherigen 89 Seiten so im groben diskutiert wird und was irgendwie immer ignoriert wird..... Es kommt auf die verschlüsselung an die du hast. ist es was mit locked stehen die Chancen noch gut.. ist es nen einfacher Buchstabensalat, wirst du wohl kaum ne Chance haben, zumindest im moment nicht. Und ja, du brauchst die Originaldateien. Und ich würde dir empfehlen, zumindest mal die Links anzuschauen, die oben über den Thread stehen. |
seeadler danke dir, hab ich ja ein paar links gekuckt, hab gehofft vielleicht gibt es eine losung auch ohne das man die original dateien hat.. und ja Buchstabensalat ist richtig.. hab ich mit DecryptHelfer und die xp beispielbilder versucht und das ergebnis ist "der schluessel konnte nicht bestimmt werden".. ich kann schon mal nachvollziehen dass es dich irritiert immer wieder die gleichen bloeden Fragen hier zu sehen, aber ich schwore ich haette die Frage nie gestellt ohne mir die linx anzukucken und versuchen was in meine Macht steht (was ja anscheinend nicht viel ist).. verzeihung mister |
Zitat:
also - wie von mir schon früher erwähnt - hatte ich auch die "locked"-Version des Trojaners. Aber nachdem ich den Schlüssel über eine jpg-Datei erzeugt hatte, war damit alles (jpg, pdf, doc) zu entschlüsseln, und zwar anz einfach über "Ordner entschlüsseln". Müsste bei Dir doch eigentlich auch funktionieren, oder? Lutz |
seeker19, habe das selbe Problem mit dem Buchstabensalat...würde sagen, einfach abwarten, es wird schon eine Lösung geben... hast du alle vorgeschlagenen Tools ausprobiert? |
Zitat:
seitens der Programmierer des Trojaner Boards und den mitarbeitetenden Programmierern anderer Boards wird es für verschlüsselte Dateien der Form FGHtzHJZuFGh in absehbarer Zeit kein Tool geben, dass a la decrypthelper universell entschlüsselt . Insofern bleiben nur die bereits bekannten Tools, die bei einigen Dateiformaten zum Erfolg führen. Gruß Volker |
Zitat:
Die mp3 dateien kann man die einfach umbennen und als .mp3 speichern... |
Liebes Forum, mich hat es auch erwischt, ich habe/hatte den Gema Trojaner. Nun startet mein Starmoney nicht mehr, ich vermute, auch dort sind Dateien, die zum Starten notwendig sind, verschlüsselt. Diese liegen unter c: im Verzeichnis Prigramm Data. Mit dem Entschlüsselungsprogramm kann ich diesen Ordner aber nicht sehen/laden. Was kann ich da tun? DANKE Marion |
@ miha http://www.trojaner-board.de/115183-...tml#post840582 Das mal testen... Und wenn du win7 oder vista hast, könntest du auch noch mal mit ShadowExplorer probieren @Prusseliese Es kann sein, dass ich mich jetzt täusche, aber wenn du wirklich den GEMA hattest, verschlüsselt der eigentlich keine Daten, und somit dürfte das Problem evt. noch woanders liegen. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 12:28 Uhr. |
Copyright ©2000-2025, Trojaner-Board