Hallo JohX,
das klingt sehr Interessant und ist ein wichtiger Hinweis für OO Nutzer.

Fragen:
Klappt das nur mit Bildern oder auch mit anderen eingebetteten Objekten?
Was versteht man unter einer ähnlichen OO-Datei, Anzahl der Bilder, Größe oder was?
Geht das auch, wenn ich eine "ähnliche Datei" im Nachhinein erstelle, also nach dem Befall?
Wie erkenne ich aus der Verschlüsselungsform RTfghzUJDFGUItz welches Original ähnlich ist?
Was ist, wenn kein Bild eingefügt ist?

Gruß Volker

ich habe hier nur eine größere Anzahl Rechnungen; vor dem ok des Kunden will ich auch nicht zu viel Arbeit reinstecken...

habe gerade mal mit einer leeren sxc (OO 1.x)-Datei versucht. Die Daten in den Feldern werden sauber angezeigt.
Logos fehlen (klar) aber Formatierungen, Formeln sehen gut aus.

s.o. statt der Grafik wird nur ein Platzhalter angezeigt, aber ansonsten scheints zu passen.

Ich hoffe ja immer noch, das wir aus der $02 die Dateinamen restaurieren können^^

Ich befürchte, das in dem Fall die Content.xml überschrieben wird, müsste man mal testen, einfach die ersten 3k einer Datei mit Nullen überschreiben.

PS: bisher nur mit OpenOffice 1.x-Calc-Dateien (scx) getestet; andere hab' ich nicht hier^^


Gruß
Joh

hmmm, wollte gerade mal testen <grrbmlgh>

die Rechnungsdatei ist ohne Bild gerade mal 10996 Bytes groß; da bleibt leider nix übrig, was nicht verschlüsselt ist.

Jochen

Klar, wer hofft das nicht.
Für die Klarnamen reicht doch aber die *.$03 und wenn ich marcu richtig vertehe, dann kann man die entschlüsseln.
Die Frage ist nur, ob sich der Aufwand lohnt.

Du meinst sicher die ersten 3k hex.

Volker

hatte nicht nachgeguckt und latürnich $02 und $03 verwexelt.
hmmm, ich denke für meinen Kunden lohnt sich der Aufwand schon^^

jepp, sonst wären mir 10k (dez) nicht zu wenig.

Jochen

Dann kontaktiere mal Marcu im Delphiboard und frage nach der Routine.
Du bist doch dort registriert.

Volker

Hallo Leute,

erst einmal ein großes Lob, super wie das hier alles erklärt wird! Danke!

Mein PC war auch vom Ransom Trojaner befallen habe den Trojaner entfernt und die Lock Dateien mitlerweile wieder entschlüßelt, hat alles super geklappt, leider habe ich den Dateinamen einer Datei vor dem Entschlüßeln geändert und somit wurde diese vom Decrypter nicht beachtet, sie ist aber immernoch verschlüßelt.
Ich habe aber bereits alle locked Dateien auf meinem PC gelöscht, heißt ich kann den Trick mit den Windows Bsp. Bildern nicht anwenden, da ich ja keine verschlüßelten Bsp Bilder mehr habe.
Könnte mir bitte jemand die verschlüßelten Bsp Bilder von Windows XP hochladen? Original gibts ja bereits zum Download.

Vielen vielen Dank!


//EDIT: Habe locked und dazugehörige originale hier im Board gefunden!

ICh habe aber ein weiteres Problem, da ich die zu entschlüßelnde Datei umbenannt habe findet der Decryptor sie nicht mehr, muss die Dateiendung bei .doc Dateien erfahren!
Vielen Dank!

Ich tip mal ins blaue...
Die eigentliche endung einer doc-Datei ist .doc ....

Wenn du beim abspeichern aber ein anderes Format genommen hast..
Office starten, Datei speicher als auswählen und da schauen, welche endungen dir Office noch so vorschlägt..
die kannst du dann ja der Reihe nach mal probieren...
.cod / .txt / .htm usw...

Hallo Leute

jetzt mal nix was hier zur weiterfindung beim trojaner führt, aber ne idee oder frage an alle - vorallem an die laien - die zum möglichen verursacher führen könnte???????????
Bei mir war es so, dass ich seit ca. märz permanent irgendwelche anrufe aus den gegenden von hamburg, stuttgardt, münchen wegen irgendwelchen zahlungen bzw. umtausch in abos oder ähnliches bekam. die kamen wöchentlich 8-10 mal. ich hab die immer brüsk abgewiesen oder einen spass draus gemacht, z.b. wenn die die bank wissen wollten: irische bank of idiots usw.

seit dem trojaner am 30.05. keine anrufe mehr!!!

ist anderen vielleicht ähnliches passiert? kergebe??? weitönnte hier ein zusammenhang bestehen??? bevor ich das an die staatsanwaltschaft

Bitte was?

Ist mir schon klar :rofl:
Ich meinte die Endung die der Trojaner anhängt!
locked-dateiname.doc.xyz und das xyz muss ich wissen!

Wozu?
Schon mal mit Zufallszeichen versucht?
Für den Schlüssel sind diese Zeichen nicht relevant.

Noch ne Frage, warum postest Du doppelt?

Volker

Hallo aus Hamburg!

Mein Name ist Frank. Auch ich bekomme seit Tagen diese Art von Mails mit einem Zip-Anhang. Natürlich öffne ich diese auf keinen Fall, denn es ist ja offensichtlich, dass hier Betrüger am Werk sind. Allerdings sollte doch jedem klar sein, dass es kein Gewerbe gibt, welches Mahnungen, Rechnungen o.ä. in Form von Zip-Dateien verschickt :stirn:

Die Texte sind grammatikalisch unkorrekt und amateurhaft dargestellt. Spätestens beim durchlesen einer solchen Mail, sollte jedem doch schon der gesunde Menschenverstand sagen, diese Art von Mails sofort zu löschen!

Ich werde werde weitere Recherchen anstreben und Anzeige gegen Unbekannt erstatten!

Hier das Beispiel einer Mail von heute. Wer die Rechtschreibfehler im folgendem Text findet, darf sie behalten :daumenhoc



Guten Morgen Frank ......... ,

sicherlich ist es Ihnen entgangen, dass die Zahlfrist der nachfolgenden Mahnung abgelaufen ist. Auf zwei Schreiben haben Sie ebenfalls nicht reagiert.

Ihre Bestellung: Dell Intaste ES
Artikelnummer: 9799203612258
Mänge: 4
Summe: 553,05 Euro

Aufgrund zusätzlicher Kosten anlässlich des Ausgleichs von Gebührenforderungen erheben wir Mahngebühren und Einschreibegebühren in der Höhe von 80.- Euro

Wir bitten Sie, den Gesamtbetrag in den nächsten 7 Tagen zu überweisen. Im Unglücksfall sehen wir uns leider gezwungen, ein Betreibungsverfahren in die Wege zu leiten und ein Inkasso Unternehmen für die weiteren Massnahmen zu beauftragen.

Sollte sich dieses Mahnungsschreiben mit der Zahlung des ausstehenden Betrags zeitlich überschnitten haben, so betrachten Sie dieses Schreiben bitte als gegenstandslos.

Anlagen:
- Zahlschein
- Bestellung

Mit besten Grüßen

Brauter GmbH
Hermannstal 93
Stuttgart

Telefon: (0180) 096 8103687
(Mo-Fr 8.00 bis 18.00 Uhr, Sa 10.00 bis 18.00 Uhr) Gesellschaftssitz ist Bad Bentheim
Umsatzsteuer-ID: DE350499612
Geschäftsfuehrer: Vanessa Albrecht

Uns hats auch erwischt, zum Glück existieren von den meisten Sachen ordentliche Sicherungen, der Schädling wurde entfernt. Nur war unsere Buchhalterin zwischen der letzten Sicherung und dem Befall da und hat den Jahresabschluss gemacht....das Sicherungsarchiv von Lexware Buchhalter ist beschädigt. Decrypthelper meint immer, der Schlüssel konnte nicht bestimmt werden.RecoveryTool for Zip hat auch nix geholfen.

Kann man irgendwie das beschädigte zip-File restaurieren? Oder kann mir jemand eine professionellen Datenrettungsdienst in Dresden empfehlen? Bin für jede Hilfe dankbar.

Hier wurde schonmal der Tipp gegeben, ob man bei beschädigten Lexware-Dateien sich nicht direkt an Lexware wenden kann. Hast du das schon gemacht?

ja, hab ich.
Die haben mit Teamviewer drüber geschaut und meinten dann, bei Beschädigungen des Zip-Verzeichnisses seien sie nicht zuständig, hier sollte ich erst einen professionellen datenrettungsdienst ranlassen und erst dann würden die versuchen, die Sicherung wieder einzuspielen.

hmmm, aus beschädigten zip-Dateien kannst du die einzelnen unbeschädigten Dateiteile einfach restaurieren.
Da es sich bei der Sicherung wahrscheinlich um etliche Dateien innerhalb einer zip handelt, würde ich erstmal diesen Weg nehmen.
Dann gucken, welche Dateien beschädigt sind und versuchen, diese aus der letzten Sicherung wiederherzustellen.
In der zip stehen glücklicherweise die Verwaltungsinformationen am Ende der Datei.

Gruß
Joh

Daas hatte ich der Lexware Hotline auch so gesagt, doch die meinten, da sich die zip nicht entpacken lies geht es nicht. Hab dann noch bissel mit dem recoverytool for zip rumgespielt und nachdeml es mir bei dem Wiederherstellungsprozess eine Fehlermeldung anzeigte, hab ich eine leere Sicherungsdatei erstellt und die Vergleichsdatei, um dem potentiellen Fachmann beides per Stick zukommen zu lassen. Dabei fiel mir auf, dass die Datei sich plötzlich ohne Fehlermeldung entpacken lies. ----> Es geht wieder, ein neu installiertes Lexware erkennt ohne zu Meckern meine Buchhaltung der letzten 6 Jahre inklusive dem gerade erst erstellten Jahresabschluss 2011.
Gott sei Dank! (und ich bin Atheist).

Vielen Dank auch an das Board!

Hallo
ich habe mir heute auch so einen trojaner mit einem mail (anhang geöffnet ich depp) eingefangen.
Komisch ist nur das ich das programm malwarebytes durchlaufen hab lassen aber nichts gefunden wurde!
Meine word und bilderdatein heisen immer noch gleich aber ich kann sie nicht öffnen!?
Kann jemand helfen weil so einfall hab ich hier nicht gefunden?!

LG

Ich hab schon geschrieben
Was für Virus Trojan ist bei mir?
Downloadlink entfernt
Was mach er noch, irgendwelche Info bitte!

Genau das haben auch schon mehrere gepostet...

Und da gilt genau das gleiche..
Oben den Text über den Thread mal Lesen ob davon evt. was hilft, ansonten abwarten und Tee trinken...



@reval
Hier dran hat sich NOCH NIX geändert:

Was soll der Link, soll sich jemand den Virus downloaden?
Oben, in der Topbox steht wie der Virus verschickt werden sollte und nicht, dass man den zum Download bei einem Filehoster hinterlegt.
Eventuell gibt es noch Leute, die laden ihn runter und starten das Teil.

Was soll er noch machen, solange er dort liegenbleibt, nix.
Wenn Du das File löscht, kann er garnix mehr anrichten.
Welche Infos erwartest Du denn noch?
Zu Deinen verschlüsselten Teilen habe ich Dir doch geantwortet.


Volker

Frage: Was ist noch blöder als den Anhang einer E-Mail unbedarft anzuklicken?
Antwort: Den Anhang, sprich Trojaner, bei einem Filehoster hochzuladen und dann in einem Forum zu veröffentlichen.
:balla:

Ist das nicht sogar strafbar?

Made my Day !

Allerdings würde ich in dem Zusammenhang hier mal davon ausgehen dass keiner so blöd ist das Ding bei sich zuhause zu starten.

Trotzdem wäre es gut wenn der Link wieder entfernt würde, es besteht immerhin ein gewisses Restrisiko dass ein netter Zeitgenosse das Teil auf den Rechner seiner Ex, seines Ex Chefs oder einer anderen Person bringt.. man lässt ja auch keine offenen Messer auf dem Kinderspielplatz rumliegen... oder ?

soweit ok...

aber bedenke, das da gerade jemand sein eingeklapptes Taschenmesser auf einen Spielplatz legt, der voller Glasscherben ist.
(ist immerhin 'ne zip-Datei in einer zip-Datei)

Joh

Edit: aber warum legt man seinen Ausweis neben das Taschenmesser?

OT
 

Über diesen Button können Beiträge gemeldet werden :)

Auweia, fehlt nur noch ein Autovergleich :lach:

Kommt schon:

Ich stelle mein Auto ja auch nicht mit steckendem Zündschlüssel am Kinderspielplatz ab. :party:

Wo bitte liegen hier die Glasscherben ? Soweit ich sehe entfernen die Mods alle gefährlichen Links ziemlich schnell.

Derjenige der das gepostet hat hat es ja nicht böse gemeint, es ist nur etwas fahrlässig.

Du hast allerdings Recht, es entspricht eher einem eingeklappten Taschenmesser auf einem Spielplatz. Allerdings würde ich auch kein eingeklapptes Taschenmesser auf dem Spielplatz liegen lassen, vor allem nicht wenn es so "scharf" ist wie dieser Trojaner...

Außerdem hast du dich hiermit verraten: du hast den Link also wirklich angeklickt.. aus dem Link selbst sah man gar nicht dass die Datei gezippt war...

Ich klicke solche Dinger gar nicht an..

Ich dachte auch mehr an die 7 Trojaner, die bei mir im Mail-Papierkorb schlummern und die drei, die meine Frau im Mailprogramm hat(te). Ich denke, in (fast) jedem Postfach liegen solche Altteile.
Vorgestern rief ein Kunde an, das seine Mitarbeiterin Ihm Matsnu weitergeleitet hat, weil die Rechnung ja wohl zum Chef gehört...Hat glücklicherweise keiner geöffnet.

PS, mal wieder OnTopic: verschlüsselt der Trojaner auch Daten auf freigegebenen (mit Laufwerksbuchstaben versehene) Netzwerklaufwerken?

Joh

Ja. Siehe die Erlebnisberichte weiter vorne hier im "Fred".

Markusg hat übrigens Interesse daran seine Sammlung dieser Trojaner zu erweitern.. vielleicht kontaktierst du ihn mal, er hat bestimmt Interesse an deiner Sammlung....

hab' ihm schon alle Dateien geschickt.
Das mit den Netzwerk-Laufwerken hab' ich wohl verpennt, danke.

Joh

So habe ich das auch gesehen.
Bei nachgewiesener Boshaftigkeit wären meine Wortwahl auch erheblich drastischer ausgefallen.

OT:
Da kann man ja fast neidisch werden.
In keinem meiner Postfächer ist je so eine Mail aufgetaucht.
Selbst im Postfach meiner Domain, die ich bei einem Low Budged Hoster habe und das ständig mit Angeboten zu Pills und akademischen Graden zugemüllt wird, habe ich je eine Mail mit so einem Anhang gefunden.
Ich muß jedesmal markusg um ein Exemplar ersuchen.
Mich würde mal die Häufigkeitsverteilung auf die Mailkontenanbieter interessieren.

Gruß Volker

Also ich habe nen Account bei
gmx.de, hotmail.com, arcor.de und freenet.de
Und ich habe noch auf keinem dieser Adressen so eine Email bekommen, noch nicht mal im Spamordner, da ich den auch regelmässig kontrolliere, da schon mal was falsch aussortiert wurde....
Ich bekomme da auch nur die nettesten angebote zwecks "gesundheit"....

möglicherweise ist es Ihnen entgangen, dass die Zahlfrist der nachfolgenden Buchung verstrichen ist. Auf zwei Erinnerungen haben Sie ebenfalls nicht reagiert.

Gelieferte Ware: Canon Intaste HH
Art. Nummer: 3849743028494
Anzahl: 1
Betrag: 543,89 Euro

Durch entstandene zusätzliche Kosten anlässlich des Ausgleichs von Gebührenforderungen erheben wir Mahngebühren und Einschreibegebühren in der Höhe von 60.- Euro

Wir bitten Sie, den ausstehenden Rechnungsbetrag in den nächsten 7 Tagen zu überweisen. Im Unglücksfall sehen wir uns leider gezwungen, ein Betreibungsverfahren in die Wege zu leiten und ein Inkasso Unternehmen für die weiteren Massnahmen zu beauftragen.

Sollte sich dieses Mahnungsschreiben mit der Zahlung des ausstehenden Betrags gekreuzt haben, so betrachten Sie dieses Mahnungsschreiben bitte als gegenstandslos.

Anlagen:
- Rechnung
- Lieferschein

Mit freundlichen Grüßen

Kaiser GmbH
Horner Stieg 66
Augsburg

Telefon: (0180) 935 2809917
(Mo-Fr 8.00 bis 18.00 Uhr, Sa 10.00 bis 18.00 Uhr)
Gesellschaftssitz ist Aulendorf
Umsatzsteuer-ID: DE248793022
Geschäftsfuehrer: Nora Winkler



Anhang ist eine zip

Allerdings nicht wie früher einfach gepackt sondern 2 x gepackt
die lernen dazu

escan hat nach dem ersten entpacken auf einer vm sofort zugeschlagen hab die original datei da wenn einer möchte
:kaffee:

moin moin,
ich sehe das schon als einen kleinen Erfolg.
Ein Klick mehr zum Nachdenken.

Den Trojaner schicke an @markusg, Link steht oben im Top-Frame.

Gruß Volker

habe fertig
arbeite gleichzeitig mit escan zusammen die suchen mitlerweile nach einer lösung:daumenhoc

Hallo Leute wie bekomme ich denn vom Notebook runter?

moin moin,
indem Du, wie oben im Top-Frame beschrieben, anfängst.
Zu empfehlen ist der Beginn mit Punkt 1.

Volker

Wo finde ich das bin neu hier

Du weiß schon wo oben ist? Oder müssen wir auch noch erklären wie du mit der Maus nach oben scollst? :pfeiff:

Ich will ja jetzt nicht meckern, da ich mich nicht unbeliebt machen möchte....
ABER...
Zu mit Punkt 1 anfangen:
Das klappt leider nur, wenn der PC noch im abgesicherten Modus mit Netzwerk startet...
Wenn ich den Trojaner drauf habe, klappt das im normalen Modus nicht.
Und leider gibt es auch Versionen, wo der abgesicherte Modus mit nem Bluescreen aufhört und somit auch nicht geht...
Da kann man dann mit ner BootCD von einem Virenhersteller arbeiten, oder die Platte ausbauen und evt. an nem zweiten Rechner scannen...
Und es danach nochmal mit Punkt 1 probieren...

Stimmt zwar, das es dann evt. nicht der Verschlüsselungstrojaner ist, aber evt. weiß das auch nciht jeder....

Super! Hat noch jemand ähnliche Erfahrungen, dann können wir ja Recuva in die Liste der Tools zur Datenrettung aufnehmen?!
Ich hab selber keine betroffenen Rechner da, sonst würde ich auch testen.

@seeadler,
das verstehe ich jetzt nicht ganz. :confused:

Wenn ich einmal hier im Forum bin, wie Erzangel, dann kann ich mich über die beiden Links im Punkt1 und den im Punkt 2 informieren.

Sollte es Probleme geben, kann ich ein Thema starten und meine Probleme dort schildern.

Vielleicht habe ich aber auch einen Denkfehler.

Volker

Nein Undertaker..
Du hast keinen Denkfehler...
Aber sowohl Punkt 1 wie auch Punkt 2 setzten vorraus, das dein System schon wieder läuft... BZW der abgesicherte Modus wieder läuft...
Und, sofern ich jetzt keinen Denkfehler habe, klappt das bei vielen halt nicht so ohne weiteres...
Bei Trojanerbefahl startet der normale Modus eigentlich gar nicht, und der abgesicherte Modus halt bei einigen Varianten nicht.
Und das klappt dann manchmal erst, wenn man mit ner Bootcd gearbeitet hat, oder die Platte extern irgendwo dran hat...
Und verzeih mir, wenn ich jetzt nen Denkfehler habe, will ja keinen durcheinander bringen...
Und deswgen hab ich ja auch extra nochmal gesagt, das sich das ggf. nicht auf den Verschlüsselungstrojaner bezieht, sondern auch mal eher auf den BKA Trojaner..
Wobei ich jetzt schon 2 Bekannte hatte, die sich angeblich den Verschlüsselungstrojaner eingefangen haben, wo der abgesicherte Modus nicht ging. Die haben dann mit KIS Bootcd das System bereinigt und danach gebootet. Und es waren keine Daten verschlüsselt... Somit eine "alte" Version evt. Aber der abgesicherte Modus verursachte immer noch einen Bluescreen.. Normaler Modus lief einwandfrei.. Abgesichert Bluescreen...
Somit Daten gesichert und neu installiert.. Und leider ist derTrojaner nicht mehr vorhanden, ansonsten hätte ich den auch mal gesendet...
Und ich wollte das eigentlich nur erwähnen, weil ja auch nicht alle wissen, welchen Trojaner sie sich eingefangen haben.. Und Verschlüsselungstrojaner nennen sich mittlerweile mehr...
Also..
Sollte keine Diskussion werden, sondern eigentlich nur nen Hinweis :D
Sorry...

moin moin pcab50,
ich habe es versucht, konnte es aber nicht reproduzieren.
Bei mir wurde keine verschlüsselte Datei wiederhergestellt.
Lediglich ältere, gelöschte Dateien wurden erkannt.
Ich habe daraufhin verschlüsselte Dateien gelöscht und versucht sie zu rekonstruieren.
Recuva hat allerdings nichts brauchbares wiederhergestellt, nur wieder die verschlüsselten Dateien.
Das hat noch nichts zu bedeuten, kann ja mein Fehler sein.
Ich habe aber die Vermutung, dass es sich bei der Rekonstruktion um Dateien handelt, die vor dem Befall gelöscht wurden
Solange es keiner verifiziert und bestätigt, bin ich skeptisch.

Volker

@seeadler,
warum sorry, Du mußt Dich doch nicht entschuldigen.
Zum Thema:
Du setzt voraus, dass man mit dem infizierten Rechner ins Netz muß.
Nein, kann ja auch mit einem Zweitrechner sein.
Wenn ich dann mein Thema starte und schildere, dass mit dem befallenen Rechner nix geht, wird man schon über eine BootCD zum Ziel geführt.
Da Erzangle hier im Forum war, konnte er sein Thema starten, unabhängig ob sein infizierter Rechner startet oder nicht.

Volker

Ok..
Hast gewonnen :D

Meiner Meinung nach könnte man das aber evt. auch noch dazu schreiben zu den Startinfos...:duck:

Datensicherung durch Löschen? Nun ja, wenn man hellsehen könnte, wäre das eine Option ...

:applaus:

Ja Peter, so blöd wie das klingt, aber wer kurz vor dem Öffnen des Anhangs seine Daten gelöscht hat, hat die allerbesten Chancen.
Es sei denn, er fuchtelt vor dem Restore unnütz auf der HDD rum.

Volker

Recuva !?
 

Recuva kann doch "nur" gelöschte Dateien wiederherstellen ! Wenn trotzdem das Wiederherstellen fast aller Dateien geklappt hat, kann es sein, daß der user vor Kurzem alle Dateien von einer Partition/Festplatte z.B. c: auf eine andere Partition/Festplatte d: verschoben hat. Beim Verschieben werden nämlich die Daten zuerst kopiert und dann die Quelldaten gelöscht. Diese gelöschten Quelldaten konnte recuva dann wiederherstellen.
Klappt aber nur, wenn die Daten auf andere Partitionen bzw. Festplatten verschoben wurden. Beim Verschieben innerhalb einer Partition wird leider nur das Inhaltsverzeichnis (MFT) verändert.

hallo!
ich habe meinen pc schon vor ein paar tagen infiziert, antivir hat den trojaner gefunden und ihn in quarantäne gesteckt, dann hab ich ihn gelöscht:(
dann kam das fenster, das hier auch oben auf der seite ist, ich solle 100 euro oder so zahlen, und dass ich mich auf einer seite mit pornografischen inhalten infiziert hätte. da stand, ich soll den pc auf keinen fall ausmachen, aber dann ist er von selbst ausgegangen. ich hatte auch ein bitte lesen dokument auf dem desktop, das hab ich auch gelöscht ohne reinzuschaun. dann ist erstmal nichts passiert, dann ist mir aufgefallen, dass ich keine pdf dateien mehr öffnen konnte, aber alles andere schon, jetzt gehn auch die bilder und worddokumente nicht mehr, es kommt immer die meldung, die dateien könnten nicht geöffnet werden, weil sie beschädigt sind oder weil dieser typ nicht zum programm passt.
ich habe alle tools durchprobiert, und keins hat geholfen (ich bin mir aber auch nicht sicher, ob ich alles richtig gemahct hab, ich hab keine ahnung:()
könnt ihr mir bitte helfen??? ich weiß nicht, was ich jetz tun soll!
gibt es irgendwelche menschen, die sowas auch professionell machen, falls ich es sekbst nicht hinkrieg??
hilfe!

PS: die dateien heißen alle noch genau so wie vorher

moin moin maxwell,
welche Tools hast Du ausprobiert?
Wenn es die acht Tools sind, die oben unter dem Punkt 3 im ersten Link genannt sind Übersicht der 8 Entschlüsselungs-Tools, dann können die bei der Verschlüsselungsvariante Deiner Dateien nicht helfen.

Nein, bis auf die Möglichkeiten die im zweiten Link unter Punkt 3, Daten retten nach Verschlüsselungstrojaner, genannt werden, gibt es z.Z. keine Alternative.
Zuerst würde ich die Suche nach Schattenkopien empfehlen, siehe dazu die Aussagen zum Shadow Explorer.

Sicherlich gibt es die, aber mehr als die hier vorgestellten Möglichkeiten bleibt denen auch nicht.
Eine echte Entschlüsselung ist derzeit nicht möglich.

Volker

Der Hinweis auf die Schattenkopien ist sicher sehr nützlich, nur ist halt die Frage, wie man als Laie an die rankommt.

Zunächst hat man ja die Situation, daß man den Rechner ob dieser netten, aber sinnfreien Zahlungsaufforderung nur ein- und wieder ausschalten kann. Sinnfreie Zahlungsaufforderung, weil man auf die Zahlung hin bestenfalls das bekommt, was man nicht auf eigene Initiative - Boot-CD - auch haben kann, von Datenrekonvertierung war ja bei der Vielzahl der Infektionsfälle bisher keine Rede. Zudem bleibt danach das System infiziert, wenn man nichts macht außer zu zahlen, man sollte also damit rechnen, alsbald wieder um Geld gebeten zu werden.

Nimmt man eine der verschiedentlich angebotenen Notfall-CDs, die zumeist auf irgendeiner Linux-Distribution basieren, so wird die logischerweise die Windows-Wiederherstellungspunkte nicht finden. Ich habe bspw. die infizierte Festplatte ausgebaut und betreibe den Rechner über eine USB-Festplatte mit einem Ubuntu 12.04 64bit und da fehlt eben der Menuepunkt "Vorgängerversionen" aus leicht nachvollziehbaren Gründen.
Es stellt sich da auch die Frage, ob das anders wäre, wenn man den Rechner von einem fremden Windows-System (bspw. der Betriebssystem-CD, falls man eine hat) booten würde. Findet ein Windows 7 64bit Schattenkopien auf einer als pures Datenlaufwerk gemounteten Platte?

Das Problem ist ja (und das ist jetzt kein Vorwurf an Euch), daß viele Leute auf den von Euch aufgezeigten Wegen aus dem einen oder anderen Grund scheitern. Die Virenprogrammierer sind ja nun keine kleinen Jungs, die irgendwo einen Baukasten aus dem Supermarktregal gegriffen und den haben machen lassen.

Es ist also nicht abwegig, sich nach Leuten umzusehen, die Eure Rezepte umsetzen können, sofern einem das nicht selbst gelingt und das nach Lage der Dinge derzeit technisch bestmögliche Arbeitsergebnis die Investition wert ist, die deren Beauftragung bedeutet.

Dieses nach Lage der Dinge derzeit bestmögliche Arbeitsergebnis wird sich, da muß ich Volker Recht geben, nicht nur marginal von dem unterscheiden, was auf den Internetseiten der diversen Datenretter (und vielleicht auch von deren Angestellten am Telefon) versprochen wird, der Rechnungsbetrag vermutlich aber nicht. Wenn diese Leute sich nicht in ihren AGB gegen alle (un)denkbaren Eventualitäten absichern würden, wären sie längst nicht mehr am Markt.

Nebenbei soll noch die Anmerkung gestattet sein, daß man sich wirklich den Inhalt aller Verzeichnisse auf der infizierten Platte anschauen sollte. Bei meiner ist (aus welchen Gründen auch immer) ein doch beträchtlicher Teil der Datenbestände unverschlüsselt geblieben.

Richtig, und solange man den Trojaner unbehelligt läßt, wird sich an dieser Situation auch nichts ändern.
Da maxwell sein System wieder booten kann, ist davon auszugehen, dass AVIRA sein Werk getan hat.
Damit hat er auch wieder Zugriff auf eine mögliche Schattenkopie.

Natürlich ist es denkbar, wenn nicht sogar wahrscheinlich, dass noch Reste des Trojaners und Einträge in der Registry vorhanden sind.

Insofern hätte mein erster Rat an maxwell lauten müssen, einen persönlichen Thread zur individuellen Hilfe bei der Säuberung seines PCs zu starten.

Also @maxwell373, wenn Du das hier liest, folge dem Link Thema starten und lasse Dir bei der Säuberung Deines Systems helfen.
Die Datenrekonstruktion kommt danach.

Volker

Also Recuva stellt die verschlüsselten Dateien nicht wieder her. Dateien die vorher gelöscht worden sind,zeigt es mir an und stellt es auch wieder her. Die verschlüsselten Datei leider nicht. Habe auch ähnliche Progs laufen lassen überall das gleiche.
Die nette Datei im Tmp Ordner hat er mir aber leider nicht angezeigt.
Also hinsetzen ein :party: und abwarten, und hoffen das alle danach endlich mal eine Datensicherung machen und nicht nachher so dastehem :headbang::heulen:

Und den Rechner vollkommen in Ruhe lassen, solange die Datensicherung läuft und die Sicherungsplatte angedockt ist ... (sprich bspw. mit dem e-mail-Briefkasten und anderen Programmen erst wieder rummachen, nachdem man die Datensicherungsplatte vom Rechner getrennt hat)

Hey ,

hätte da mal ne frage und zwar :

Da jpg , pdf , doc , mp3 ... etc.
im Hex jedesmal den selben Anfang haben
( Beispiel :
Jpg Anfang bei jedem Bild : 001
Pdf Anfang bei jedem Dokument : 002
Doc Anfang bei jedem Dokument : 003
mp3 Anfang bei jedem Dokument : 004
)

würde es doch reichen wenn man ein Programmm schreibt, in dessen man auswählen kann um welchen Datentyp es sich handelt, dann sucht das Programm in der Datei den jeweiligen Anfang ( bsp: 001 ) und löscht alles was VOR dem Code stand aus der Datei raus.

Da ja nur die ersten (12 ? ) kb verschlüsselt sind und der Rest erhalten bleibt müssten die Datein doch wieder lesbar sein.

Vorraussetzung ist dann hallt nur dass man weis um Welchen Datentyp es sich handelt, aber bei ein bisschen Ordnung sollte das ja das geringste Problem darstellen :daumenhoc

Falls ich falsch liege verbessert mich bitte (:

Grüße ans Board. Bin heute dazugestoßen, weil ich bisher nirgendwo sonst derartig ernsthafte Arbeit am Problem gefunden habe.

Eine Freundin gab mir vor kurzem ihren Laptop (Fujitsu mit Win7), weil sie sich 'irgend nen Virus gefangen' hat.

Hab so was ähnliches schonmal selbst gehabt, aber wesentlich harmloser. Schätze mal, ich habe diesen Ransom unterschätzt.

Habe zunächst mit der Kaspersky-Rescue gearbeitet, was jedoch keine Ergebnisse gebracht hat, da der intergrierte Virenscanner nichts gefunden hat.

Da hab ich mir gedacht, dass es was fieseres sein könnte.
Daher habe ich versucht mit einer Ubuntu-Live auf den Rechner zu kommen und ein paar Daten zu sichern, da auf dem Laptop eine Unmenge Fotos und Musik gespeichert sind. Jedoch keine Chance, bereits alles verschlüsselt.

Im abgesicherten Modus konnte ich schließlich den Rechner starten und siehe da: Textdokument auf dem Desktop. Nachdem ich von meinem Rechner aus gegoogelt habe, bin ich hier gelandet. Ich hoffe, dass hier jemand in naher Zukunft einen neuer Decoder basteln kann.

Ich möchte mithelfen so gut ich kann.

Was mir aufgefallen ist:

Ich habe leider keine Ahnung, was für Musikformate vorher auf dem Laptop waren, aber in den verschiedenen Alben sind fast alle Tracks verschlüsselt. Manche jedoch nicht (weder umbennant noch codiert), teilweise ganze Alben, teilweise einzelne Tracks in gemischten Ordnern. Was diese alle gemeinsam haben: Sie sind Mp3s. Hat jemand mal was ähnliches festgestellt? Ich bezweifle zwar, dass das von Bedeutung ist aber bin im Moment ratlos genug.

Hoffe, bald gute Neuigkeiten zu hören.

Pace
Shravaka

@Shravaka,
ok, soweit ist das alles nix Neues.
Was ist konkret Dein Anliegen?
Soll der Rechner gesäubert werden, willst Du die Unmenge Fotos und Musik rekonstruieren oder willst Du auf die nahe Zukunft warten?

Volker

Den Trojaner habe ich, mehr oder weniger beabsichtigt, entfernt. Die Registry ist sauber, keine Reste mehr vorhanden denke ich.

Mein Ziel ist, die Daten irgendwie zu entschlüsseln. Musik schön und gut, wichtig sind mir die Bilder (viele persönliche Fotos) und Dokumente, welche Notizen für die Uni enthalten, sowie alte Hausarbeiten.

Habe eben mit ihr gesprochen, sie würde vermutlich den verschlüsselten Kram löschen und versuchen sich bei Bekannten den Kram wieder zusammen zu suchen. Schön doof, wer kein Backup hat..
Ich habe ihr geraten, die verschlüsselten Dateien zumindest auf einem Träger zu behalten und mir zu überlassen. Ich bin geduldiger, zumal es mich aufregt, wenn solche Dreckssäcke mit ihrem Werk durchkommen.

Es hat nichts mit Unordnung zu tun, verschiedene Dateitypen (RAW und jpeg bspw.) in einem Verzeichnis liegen zu haben.

Wenn du Win7 noch nciht neu isntalliert hast, hast du schonmal probiert mit ShadwoExplorer zu arbeiten ?

Ich will Dich ja nicht entmutigen, aber mit einer Entschlüsselung wird das wohl ein Langzeitprojekt ohne Erfolgsgarantie.

Aber für eine Rekuonstruktion einiger Dateien bestehen gute Chancen.

Wie schon von seeadler genannt, zuerst mit dem Shadowexplorer nach Schattenkiopien suchen.

Für JPG-Dateien versuche JPGSnoop, mehr Erfolg verspricht JPG-Recovery, ist als Vollversion aber kostenpflichtig.

Bei Musikdateien, speziell MP3s, hilft das bloße Anfügen der Extension, um die Dateien wiedergabefähig zu machen. Umbenennen ist dann Handarbeit.

Bei Dokumenten, vor allem wenn sie OLE-Objekte enthalten, sieht es momentan mit einer befriedigenden Rekonstruktion eher mau aus.

Volker

Entmutigen lass ich mich so schnell nicht, bin schonmal froh, dass ich nicht das ganze Ding plattgemacht habe:kloppen:

ShadowExplorer werde ich dementsprechend bald ausprobieren, danke für den Hinweis. Warum ich das noch nicht gemacht habe..? Habe heute den Laptop erstmal wieder an die Besitzerin ausgehändigt, da sie auf ihn angewiesen ist.

Was JPG-Recovery angeht, so schaue ich mal im Laufe des Tages. Habe mir einige verschlüsselte Daten auf eine CD gebrannt und mitgenommen.
Kurze und vielleich dumme Frage dazu: Infektionsgefahr besteht hier doch nicht mehr, oder.? Inzwischen wundert mich nicht mehr viel^^

Die Mp3s sind zum Glück kein Problem, die komplette Mediathek hat sie scheinbar vorher einem Freund gegeben.

Mal schauen was zu retten ist, auf jeden Fall :dankeschoen: für die schnellen Ratschläge

Pace
Theo

@ Undertaker (oder sonstwer der sich damit befassen kann/möchte)...

Ich war eben wieder auf einem System drauf das die BKA-Sperrseite hatte. Keine Verschlüsselung, nichts weiter unbekannte besonders an Daten - nur reguläres wie ein Startmenüeintrag, etc..
Einzig ungewöhnliches, eine Datei namens "loc_pyt_0_kroj.pad" mit 4,29MB Größe in C:\ProgramData.
Entsprechend habe ich diese Datei mal gesichert, aber den Inhalt kann ich nicht lesen. Noch dazu ist ein großteil der Datei (aus der Sicht des "Editor-Programms" von Windows 7) einfach nur leer?!

Wenn jemand Interesse hat...einfach melden.


Grüße,
Wavetable

Hallo @all !

bin durchs Gulli-Board auf diese Trojaner aufmerksam geworden und hab jetzt meine Sammlung auch hingeschickt. Ich bekomme solche Mails übrigens erst, seitdem bei einem Bekannten der GMX-Account gehackt wurde und dadurch wahrscheinlich meine e-mail Adresse in ominösen Verteilern gelandet ist.

Also chronologische Abfolge war bei mir

09.05.2012 Account beim Bekannten gehackt

30.05.2012 email von santinah@libero.it
Betreff "xxx Abbuchung von Flirt Fever" (xxx ist mein Realname unter den mich mein Bekannter bei GMX gespeichert hat )
im Anhang Vertrag.zip 77kb

03.06.2012 email von carol.hindley@rogers.com
Betreff "Ihre Premium-Mitgliedschaft bei Flirtfever.de 03.06.2011"
im Anhang Mitglied.zip 45kb

06.06.2012 email von pphillips@mtnviewgotebo.k12.ok.us
Betreff "xxx Neue Bestellung 829253614390"
im Anhang Einzelheiten.zip 46kb

11.06.2012 email von martinag@core.com
Betreff "Bestellbestätigung für"
im Anhang Schreiben.zip 73kb

12.06.2012 email von khaisilk_temp@yahoo.co.jp
Betreff "Mahnung für xxx Artikel 3 059391310063"
im Anhang 12.06.2012.zip 73kb

21.06.2012 email von "Loteria National" apuestos@loterianational.com
Betreff "Re: Ihre Won ¬1,200,000.00"
im Anhang Ihre gewinnende Mitteilung.zip 3Mb

24.06.2012 email von "Loteria Nacional" Loterianacional1@mail.kz
Betreff "Ihre E-Mail Won 915,810 ¬, 00"
im Anhang Germ.pdf 87kb 2x

vielleicht kann jemand ja Schlüsse draus ziehen oder hat eine ähnliche Abfolge beobachtet ?

Gruss snoopydog

moin moin snoopy,
markusg sammelt solche Anhänge.
Hier der Link: Sendet uns die Viren

Volker

hab ich doch...siehe erster Satz ;)

Hallo Ich bin seit ca einer Woche mit so etwas infiziert und habe echt keine ahnung von dem bitte um schnelle Hilfe.

Es sind wichtige datein auf dem pc und ich kann nichts machen bin zur zeit mit dem befallenen PC im abgesicherten Modus

LG
DonPhil

Naja..
Schreiben klappt ja schon..
Wie wäre es jetzt noch mit lesen?
Mal geschaut, was über dem Thread steht ?
Ansonsten wie sieht den deine verschlüsselung aus?
Welches Windows?
Malwarebytes schon laufen lassen ?

Erstmal vielen Dank für Eure wertvollen Tipps, ich kann es kaum glauben, aber ich habe es geschafft mit ShadowExplorer alle Dateien die im Laufwerk "D" gespeichert sind wiederherzustellen.
das Windows7 Laptop eines Bekannten wurde am 22.06.2012 von diese neue Variante des Verschlüsselungs-Trojaners betroffen.
mit hilfe einer Linux Live Cd konnte ich feststellen dass fast alle Dateien (Bilder, Dokumente, Acronis backup ....) auf Laufwerk C und Laufwerk D verschlüsselt sind (beispiel: TxoXdJptaEoQUvpsnED . UvTVeXquOelXALNtQeD).

Ich bin wie folgt vorgegangen:
1- Ich habe mir Kaspersky Rescue Disk runtergeladen und per CD gebootet, einen kompletten Scan ausgeführt, alle Funde gelöscht (es waren ja eine ganze Menge)
2- Mit Kaspersky WindowsUnlocker die Windows-Sperre entschärft.
3. ShadowExplorer installiert und gestartet.
4. Laufwerk D gewählt und im Auswahlmenü der verfügbaren Schattenkopien das Datum 18.06.2012 ausgesucht.
5. Angezeigten Ordnern einzeln auf externe Festplatte exportiert.
Und das wars. Daten waren alle noch heil und funktionstüchtig.

Mit Laufwerk C ging das leider nicht, ShadowExplorer zeigt im Auswahlmenü der verfügbaren Schattenkopien nur das Datum von heute.
Ps: im Laufwerk D befand sich einen Ordner mit dem namem: "WindowsImageBackup" und einen Unterordner mit dem namem "Backup 2012-6-18 174034", Vielleicht hat das deswegen geklappt.

Ich bins wieder.

Der Trojaner ist erneut aufgetreten. Soviel zu meiner Überzeugung, ihn losgeworden zu sein.

Nunja, versuche es diesmal mit Malewarebytes (welches ich letztes mal aus Schusseligkeit ausgelassen habe:headbang:). Ich wäre diesmal jedoch gerne zu 100% sicher, das er Weg ist und nicht nur 99%. Wie komme ich an diese Sicherheit.?

Besten Dank im Voraus
Theo

Windows neu installieren

@ Shravaka

Lesen was dort steht, Daten retten nach Verschlüsselung durch Verschlüsselungstrojaner

und Bitte alles, und auch anwenden, der Link dazu, ----> http://www.trojaner-board.de/116851-...strojaner.html

i) Datensicherung (nur Daten, keine Programme; bringt eh nix)
ii) Windows neu aufsetzen
iii) alle Updates / Virenscanner etc. installieren
iv) Daten zurücksichern
v) Virenscan durchführen
...
x) keine Sicherheit; schon gar nicht durch Virenscanner
xi) Datensicherung auf externen Datenträger
xii) Datensicherung auf (anderen) externen Datenträger
xiii) Datensicherung auf (anderen) externen Datenträger

...
xx) Datensicherung... ich glaube, ich wiederhole mich...

...
xxx) Systemsicherung, z.B. via Win 7 Backup oder Acronis True Image oder so...

...
xxxiv) du suchst jemanden, der sich wirklich auskennst oder eignest dir selber diese Kenntnisse an

...
xxxv) 100% gibt es eh nicht; mach dich je nach deinen Anforderungen mit Datensicherungskonzepten vertraut und scheiXX drauf, wenn der näxte Virus kommt. Dann spielst du dein Image zurück und fertig ist...

Gruß
Joh

So ernst hatt ich das gar nicht gemeint ;)
Ich kenns hallt nur von mir selbst sämtl. Datein einfach in einem Ordner zu schmeißen, und mich anschließend darüber aufzuregen welch eine Unordnung auf meinem PC herrscht :rofl:

Aber nun zum Thema zurück :

würde der Vorschlag funktionieren ?

oder werden statt nur dem Anfang auch das innere der Dateien Verschlüsselt

Hallo Leute.
Mein PC (Windows XP) ist auch mit dem Windows Verschlüsselungs-Trojaner infiziert. Ich kann aber über einen 2. Benutzername auf meine Dateien zugreifen, die natürlich verschlüsselt sind. Ich muss unbedingt einige Dateien retten. Habe hier schon ne Menge gelesen, bin mir aber nicht sicher wie ich vorgehen soll.
Wie kann ich die wichtigsten Dateien retten ?
LG.

Hallo Herr Bert,

was sind denn für dich wichtige Daten? Doc, PDF, JPG, ...? Du findes aber eigentlich alle Infos die du brauchst hierhttp://www.trojaner-board.de/116851-...strojaner.html

Es gibt auch auch einige Leute, die evtl. ein paar Daten von dir retten können, solltest du es nicht alleine schaffen.

Als Tipp: erstelle vorher lieben nochmal ein Backup deiner verschlüsselten Daten.

Gruß
-Icaros

Vielen Dank für die schnelle Antwort.
Es sind hauptsächlich Doc, JPG und RAR Dateien.
Möchte die Dateien auf einer externen Festplatte kopieren und dann versuchen sie zu entschlüsseln.

Nein!
Du pauschalierst und haust alle Dateiformate in einen Topf.
Dem ist aber nicht so, da der strukturelle Aufbau der Dateien unterschiedlich ist.
Bei allen Formaten, bei denen das jeweilige Programm zum verarbeiten des Formates den Restdatenbestand interpretieren kann, wird eine Rekonstruktion gelingen, siehe MP3s und JPGs.
Überall dort, wo der Interpreter die Informationen der ersten 12kB zwingend braucht um den Rest sinnvoll zu verarbeiten, geht das nicht.
Die von Dir vorgeschlagene Routine müsste eine "Eierlegende Wollmilchsau" sein und die gibt es nicht.

Man kann versuchen, bei Kenntnis des jeweiligen Formates, die ersten 12k durch die aus einer ähnlichen, intakten Datei gleichen Formates zu ersetzen.
Wobei gilt, je ähnlicher, desto besser-
Logischerweise und mit Glück ist dann eventuell eine sinnvolle Interpretation möglich.

Ich empfehle Dir dazu mal den Beitrag von c4enigma zu lesen.

Volker

Bei der Bild-Verschlüsselung ist es einwandfrei. Doch leider sind viele
Doc-Dateien befallen. Gibt es da nichts so wie bei den jpg zur Entschlüsselung. Wie es hier beschrieben ist, blicke ich nicht durch zumal
nur eine Exel-Datei angesprochen wird.

Hallo Undertaker,
Du hast geschrieben #544 das du JPEG-recovery auch getestet hast.
Bin jetzt dank diesem super Forum soweit das ich meine bilder mit
Recuva (Recuva Download - Recuva 1.42.544) in den originalen Dateinamen mit endung
umwandeln konnte und dann mit JPEG-recovery meine bilder wiederhabe.
Leider mit wasserzeichen.
nun meine Frage? ist das Wasserzeichen mit dem JPEG-recovery Program 50 $ wirklich weg. Danke für eure Hilfe

Habe versucht die Dateien mit DecryptHelper 0.5.3 zu entschlüsseln -> No Chance.
Habe eine verschlüsselte Datei ausgewählt, dann die original Datei -> Der Schlüssel konnte nicht bestimmt werden!
Anscheinend gibt es immo keine Lösung dafür. :daumenrunter:

@Herr Bert
Die anderen Programme die in dem Thread, den icaros dir verlinkt hat, so aufgeführt werden, hast auch probiert ?

Wenn die auch nicht helfen, sieht es im moment wirklich schlecht aus...

Davon ist auszugehen.
Ich selbst habe nur die Vollversion 4 und da gibt es kein Wasserzeichen.

Volker

Hallo Undertaker,
danke für die schnelle Antwort.
Weist du ob man die Version 4 oder 5 auch normal erwerben kann(Laden).
Da ich keine Kreditkarte oder PayPal habe?

Und nochmal an alle
Ich habe (hatte) eine ziemlich hartnäckige Version des Trojaners
also kein Ändung umschreiben und fertig.
Lösung bei mir

Mp3 s einfach .mp3 als Endung. Zwar immernoch (rghdhjavbjrvbaj.mp3) aber egal
weil nicht so wichtig.

Bei Word und Exel Dateien keine Ahnung weil, sch.... egal.
Kann man neu machen.

Aber Bilder, und ich glaube das ist bei den meisten hier das haupt Problem.
Alle Bilder meiner Familie und meinen 2 Kleinen Kindern weg.( Ich weiss Sicherungskopie )jetzt bin ich schlauer.

Also eigentlich nix neues alles aus dem Forum.

Wer mag mit Recuva (hxxp://filepony.de/download-recuva/)
alles durchsuchen lassen steht bei
http://www.trojaner-board.de/116851-...strojaner.html
Eintrag Nummer 2.
Ergebniss alle Bilder bekommen Ihren Namen wieder.

Dann mit JPEG-recovery von hxxp://www.hketech.com/JPEG-recovery/download.php
von der Seite
http://www.trojaner-board.de/115183-...mlauf-55.html.
Eintrag Nummer 543.
Ergebniss alle Testbilder super aber eben mit Wasserzeichen und da ich auch an DIE VERSCHWÖRUNGSTHEORIE glaube war ich mir nicht ganz sicher ob die 50 $ dann nicht weg sind. Das ist der Preis für "JPEG-recovery".

Kleine Anmerkung ich hatte ab und zu Probleme mit Recuva aber das liegt wohl an mir.
Deshalb habe ich mich für die 2te Lösung entschlossen nähmlich alle Ändungen in .jpg und dann mit "JPEG-recovery". Klappt bei mir zu 100% (mit Wasserzeichen).
Dauert nur ewig lang Hunderten von Dateien .jpg anzuhängen und der Ursprüngliche Name ist weg, aber damit kann ich leben hauptsache ich bekomme die Bilder wieder.

Eine Frage weis einer von euch wie man das beschleunigen kann z.b. immer ganzen
Ordner auf ein mal umbenennen? Hab mal was von "rename" gelesen.

Noch eine Frage kann man die reparierten Daten einfach so auf die Externe ( die ich ja jetzt habe ) kopieren? Ich habe gehört das die Datei immer noch infiziert ist?

Und zum schluss ein ganz dickes Lob an das Team von trojaner-board
Das ist das erste mal das ich in ein Forum schreibe, und das hat was zu sagen.
Ich finde es ganz toll wie hier jeder sein bestes gibt. Auch die Benutzer
Danke.... und nun nachdem ich gestern den ganzen Tag, den ganzen, am Laptop saß gelesen und Probiert habe bin ich gerne bereit auch Euch zu helfen.

Lieben Lieben Dank macht weiter so...
Northstrong

Klar gibt es solche Tools.
Beispielsweise macht das der Total Commander oder die Freeware SmartRename.

Programm-Name: SmartRename
Version: 2.2
Betriebssystem: Windows alle
Dateigröße: 60 KB
Lizenz: Freeware
Sprache: deutsch

SmartRename läuft ohne Installation und ohne irgendwelche Änderung an der Registry.

SmartRename

google mal nach Mehrfachumbenennen.

Die Dateien waren nie infiziert, nur umbenannt und in den ersten 12k verändert.

Nach der Bearbeitung mit JPEG Recovery wird der Header neu geschrieben.
Deutlich zu erkennen an den typischen Einsprungmarkern für das JPEG Format, wie:
FF D8 ---> Start Of Image,
FF DB ---> Definition der Quantisierungstabellen

http://www.due-m.de/Trojaner/recover/jpgrecover.jpg

Es wird also wieder ein ganz normales JPG-Bild, bis auf einige fehlende EXIF Informationen.

Volker

Hallo,

das Umbennen von allen Dateien eines Ordners benötigt kein separates Tool. Mit

ist das im cmd-Fenster schnell erledigt. Man sollte sich vorher in den entsprechenden Ordner begeben.

MfG. Andreas

Hallo zusammen,
bei mir wurden neben Dokumente und Bilder auch alle Videos verschlüsselt.... darüber wurde noch gar nicht gesprochen, oder hab ich was nicht gelesen??
Hatte noch nie Malware on Board und dann gleich diese Sch... bin mental an Boden, weil mom. noch kein Licht am Ende des Tunnels... Wünschte mir eine priv. halbe Std. mit den "Erfinder" dieses Trojaners.. er würde und könnte danach so etwas nicht mehr machen.. versprochen...

Mfg

Gib mir ne Info wo die halbe Std. stattfindet, ich bin dabei. :aufsmaul:
Bis jetzt ist es mir nicht gelungen ein einziges Dateiformat zu entschlüsseln. :heulen:

Nur ne halbe Stunde?:sword2:
Und erst mal hinten anstellen:taenzer:

Hallo Forrest74,
habe auch meine ganzen Bilder (verloren).
Mit der Demoversion von JPG Recovery gehts.

bei der halben stunde wäre ich auch gerne dabei.

bei den videos und audio files einfach die extension anhängen (.mp3, .mpg usw) dann funktionieren die wieder, mit einem tool die echten namen auslesen und umbenennen, ist eine schweine arbeit, aber es lohnt sich.

Hat einer noch ne Lösung mit ner kostenlosen Version für die Bilder die in .jpg umbennant werden können.
50 $ für JPG Recovery sind mir meine Bilder zwar wert, aber vielleicht gehts ja auch anders ( BILLIGER).

Northstrong

Falsch!
Nur mp3 funktioniert. Video-Files àla mpg oder avi NICHT.
Da kommen nur schräge Töne bei heraus, ohne Bild.
Wäre schön, wenn es dafür noch eine Lösung gäbe.

Habt ihr das hier http://www.trojaner-board.de/116851-...strojaner.html genau angewendet ?

THN

Hallo Ich habe einen Trojaner auf meinen Rechner der mir alle Daten verslüsselt hat wie bekomme ich denn von meinen Rechner und die Daten wieder hergestellt ich habe die Log unten gepostet. würde mich freuen wenn ihr helfen könnt.
Malwarebytes Anti-Malware (Test) 1.61.0.1400
www.malwarebytes.org

Datenbank Version: v2012.06.26.07

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
Felix :: THEVOICE7-VAIO [Administrator]

Schutz: Aktiviert

26.06.2012 20:39:48
mbam-log-2012-06-26 (21-23-26).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 414218
Laufzeit: 43 Minute(n), 4 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 2
C:\Users\thevoice7\AppData\Local\Temp\jparrlvwky.pre (Trojan.Agent) -> Keine Aktion durchgeführt.
C:\Users\thevoice7\AppData\Roaming\Mupi\biaonmkn.exe (Trojan.Agent) -> Keine Aktion durchgeführt.

(Ende)

@ Erzangel

Das was über dem Thread steht hast du wohl erfolgreich ignoriert , oder ?

doch nun leider weis ich nicht wie ich diese DFaten wieder bekommen und wo ich was zu diesen Trojanern find um die Datein wieder zu entschlüsseln habe auch alle progremme schon versucht

Naja...
Ich will ja nicht meckern..
Aber es steht ALLES, aber auch wirklich alles da oben drin...
Da würde ich sagen, du hast NIX davon richtig gelesen.

Und wenn du die Programme getestet hast, und keines zum Erfolg führte, gehe ich mal davon aus, dass du so eine Verschlüsselung hast:
agifbehgbfifgd (oder so. also nur Buchstabensalat)
Und wenn dir dann ShadowExplorer auch nicht hilft, hast du im moment halt Pech..
Aber steht auch alles da oben drin...

ja genau sowas habe ich aber der ex zeigt nichts an obwohl ich denn 08 ist lliet habe kann nich nicht mal das laufwerk auswählen

@Erzangel,
genau an dem Punkt waren wir doch schon am 21.6., siehe hier

Wenn der ShadowExplorer nix findet, dann werden keine Schatten vorhanden sein.
Du musst dann halt die vorgeschlagenen Tools der einzelnen Dateiformate probieren.
Falls alles nix hilft, hast Du momentan eben schlechte Karten.

Das Logfile oben ist vom 26.6. ?

Infizierte Dateien: 2
C:\Users\thevoice7\AppData\Local\Temp\jparrlvwky.pre (Trojan.Agent) -> Keine Aktion durchgeführt.
C:\Users\thevoice7\AppData\Roaming\Mupi\biaonmkn.exe (Trojan.Agent) -> Keine Aktion durchgeführt.

Die Teile hast Du wohl noch an Bord?

Volker