Datensicherung durch Löschen? Nun ja, wenn man hellsehen könnte, wäre das eine Option ...

:applaus:

Ja Peter, so blöd wie das klingt, aber wer kurz vor dem Öffnen des Anhangs seine Daten gelöscht hat, hat die allerbesten Chancen.
Es sei denn, er fuchtelt vor dem Restore unnütz auf der HDD rum.

Volker

Recuva !?
 

Recuva kann doch "nur" gelöschte Dateien wiederherstellen ! Wenn trotzdem das Wiederherstellen fast aller Dateien geklappt hat, kann es sein, daß der user vor Kurzem alle Dateien von einer Partition/Festplatte z.B. c: auf eine andere Partition/Festplatte d: verschoben hat. Beim Verschieben werden nämlich die Daten zuerst kopiert und dann die Quelldaten gelöscht. Diese gelöschten Quelldaten konnte recuva dann wiederherstellen.
Klappt aber nur, wenn die Daten auf andere Partitionen bzw. Festplatten verschoben wurden. Beim Verschieben innerhalb einer Partition wird leider nur das Inhaltsverzeichnis (MFT) verändert.

hallo!
ich habe meinen pc schon vor ein paar tagen infiziert, antivir hat den trojaner gefunden und ihn in quarantäne gesteckt, dann hab ich ihn gelöscht:(
dann kam das fenster, das hier auch oben auf der seite ist, ich solle 100 euro oder so zahlen, und dass ich mich auf einer seite mit pornografischen inhalten infiziert hätte. da stand, ich soll den pc auf keinen fall ausmachen, aber dann ist er von selbst ausgegangen. ich hatte auch ein bitte lesen dokument auf dem desktop, das hab ich auch gelöscht ohne reinzuschaun. dann ist erstmal nichts passiert, dann ist mir aufgefallen, dass ich keine pdf dateien mehr öffnen konnte, aber alles andere schon, jetzt gehn auch die bilder und worddokumente nicht mehr, es kommt immer die meldung, die dateien könnten nicht geöffnet werden, weil sie beschädigt sind oder weil dieser typ nicht zum programm passt.
ich habe alle tools durchprobiert, und keins hat geholfen (ich bin mir aber auch nicht sicher, ob ich alles richtig gemahct hab, ich hab keine ahnung:()
könnt ihr mir bitte helfen??? ich weiß nicht, was ich jetz tun soll!
gibt es irgendwelche menschen, die sowas auch professionell machen, falls ich es sekbst nicht hinkrieg??
hilfe!

PS: die dateien heißen alle noch genau so wie vorher

moin moin maxwell,
welche Tools hast Du ausprobiert?
Wenn es die acht Tools sind, die oben unter dem Punkt 3 im ersten Link genannt sind Übersicht der 8 Entschlüsselungs-Tools, dann können die bei der Verschlüsselungsvariante Deiner Dateien nicht helfen.

Nein, bis auf die Möglichkeiten die im zweiten Link unter Punkt 3, Daten retten nach Verschlüsselungstrojaner, genannt werden, gibt es z.Z. keine Alternative.
Zuerst würde ich die Suche nach Schattenkopien empfehlen, siehe dazu die Aussagen zum Shadow Explorer.

Sicherlich gibt es die, aber mehr als die hier vorgestellten Möglichkeiten bleibt denen auch nicht.
Eine echte Entschlüsselung ist derzeit nicht möglich.

Volker

Der Hinweis auf die Schattenkopien ist sicher sehr nützlich, nur ist halt die Frage, wie man als Laie an die rankommt.

Zunächst hat man ja die Situation, daß man den Rechner ob dieser netten, aber sinnfreien Zahlungsaufforderung nur ein- und wieder ausschalten kann. Sinnfreie Zahlungsaufforderung, weil man auf die Zahlung hin bestenfalls das bekommt, was man nicht auf eigene Initiative - Boot-CD - auch haben kann, von Datenrekonvertierung war ja bei der Vielzahl der Infektionsfälle bisher keine Rede. Zudem bleibt danach das System infiziert, wenn man nichts macht außer zu zahlen, man sollte also damit rechnen, alsbald wieder um Geld gebeten zu werden.

Nimmt man eine der verschiedentlich angebotenen Notfall-CDs, die zumeist auf irgendeiner Linux-Distribution basieren, so wird die logischerweise die Windows-Wiederherstellungspunkte nicht finden. Ich habe bspw. die infizierte Festplatte ausgebaut und betreibe den Rechner über eine USB-Festplatte mit einem Ubuntu 12.04 64bit und da fehlt eben der Menuepunkt "Vorgängerversionen" aus leicht nachvollziehbaren Gründen.
Es stellt sich da auch die Frage, ob das anders wäre, wenn man den Rechner von einem fremden Windows-System (bspw. der Betriebssystem-CD, falls man eine hat) booten würde. Findet ein Windows 7 64bit Schattenkopien auf einer als pures Datenlaufwerk gemounteten Platte?

Das Problem ist ja (und das ist jetzt kein Vorwurf an Euch), daß viele Leute auf den von Euch aufgezeigten Wegen aus dem einen oder anderen Grund scheitern. Die Virenprogrammierer sind ja nun keine kleinen Jungs, die irgendwo einen Baukasten aus dem Supermarktregal gegriffen und den haben machen lassen.

Es ist also nicht abwegig, sich nach Leuten umzusehen, die Eure Rezepte umsetzen können, sofern einem das nicht selbst gelingt und das nach Lage der Dinge derzeit technisch bestmögliche Arbeitsergebnis die Investition wert ist, die deren Beauftragung bedeutet.

Dieses nach Lage der Dinge derzeit bestmögliche Arbeitsergebnis wird sich, da muß ich Volker Recht geben, nicht nur marginal von dem unterscheiden, was auf den Internetseiten der diversen Datenretter (und vielleicht auch von deren Angestellten am Telefon) versprochen wird, der Rechnungsbetrag vermutlich aber nicht. Wenn diese Leute sich nicht in ihren AGB gegen alle (un)denkbaren Eventualitäten absichern würden, wären sie längst nicht mehr am Markt.

Nebenbei soll noch die Anmerkung gestattet sein, daß man sich wirklich den Inhalt aller Verzeichnisse auf der infizierten Platte anschauen sollte. Bei meiner ist (aus welchen Gründen auch immer) ein doch beträchtlicher Teil der Datenbestände unverschlüsselt geblieben.

Richtig, und solange man den Trojaner unbehelligt läßt, wird sich an dieser Situation auch nichts ändern.
Da maxwell sein System wieder booten kann, ist davon auszugehen, dass AVIRA sein Werk getan hat.
Damit hat er auch wieder Zugriff auf eine mögliche Schattenkopie.

Natürlich ist es denkbar, wenn nicht sogar wahrscheinlich, dass noch Reste des Trojaners und Einträge in der Registry vorhanden sind.

Insofern hätte mein erster Rat an maxwell lauten müssen, einen persönlichen Thread zur individuellen Hilfe bei der Säuberung seines PCs zu starten.

Also @maxwell373, wenn Du das hier liest, folge dem Link Thema starten und lasse Dir bei der Säuberung Deines Systems helfen.
Die Datenrekonstruktion kommt danach.

Volker

Also Recuva stellt die verschlüsselten Dateien nicht wieder her. Dateien die vorher gelöscht worden sind,zeigt es mir an und stellt es auch wieder her. Die verschlüsselten Datei leider nicht. Habe auch ähnliche Progs laufen lassen überall das gleiche.
Die nette Datei im Tmp Ordner hat er mir aber leider nicht angezeigt.
Also hinsetzen ein :party: und abwarten, und hoffen das alle danach endlich mal eine Datensicherung machen und nicht nachher so dastehem :headbang::heulen:

Und den Rechner vollkommen in Ruhe lassen, solange die Datensicherung läuft und die Sicherungsplatte angedockt ist ... (sprich bspw. mit dem e-mail-Briefkasten und anderen Programmen erst wieder rummachen, nachdem man die Datensicherungsplatte vom Rechner getrennt hat)

Hey ,

hätte da mal ne frage und zwar :

Da jpg , pdf , doc , mp3 ... etc.
im Hex jedesmal den selben Anfang haben
( Beispiel :
Jpg Anfang bei jedem Bild : 001
Pdf Anfang bei jedem Dokument : 002
Doc Anfang bei jedem Dokument : 003
mp3 Anfang bei jedem Dokument : 004
)

würde es doch reichen wenn man ein Programmm schreibt, in dessen man auswählen kann um welchen Datentyp es sich handelt, dann sucht das Programm in der Datei den jeweiligen Anfang ( bsp: 001 ) und löscht alles was VOR dem Code stand aus der Datei raus.

Da ja nur die ersten (12 ? ) kb verschlüsselt sind und der Rest erhalten bleibt müssten die Datein doch wieder lesbar sein.

Vorraussetzung ist dann hallt nur dass man weis um Welchen Datentyp es sich handelt, aber bei ein bisschen Ordnung sollte das ja das geringste Problem darstellen :daumenhoc

Falls ich falsch liege verbessert mich bitte (:

Grüße ans Board. Bin heute dazugestoßen, weil ich bisher nirgendwo sonst derartig ernsthafte Arbeit am Problem gefunden habe.

Eine Freundin gab mir vor kurzem ihren Laptop (Fujitsu mit Win7), weil sie sich 'irgend nen Virus gefangen' hat.

Hab so was ähnliches schonmal selbst gehabt, aber wesentlich harmloser. Schätze mal, ich habe diesen Ransom unterschätzt.

Habe zunächst mit der Kaspersky-Rescue gearbeitet, was jedoch keine Ergebnisse gebracht hat, da der intergrierte Virenscanner nichts gefunden hat.

Da hab ich mir gedacht, dass es was fieseres sein könnte.
Daher habe ich versucht mit einer Ubuntu-Live auf den Rechner zu kommen und ein paar Daten zu sichern, da auf dem Laptop eine Unmenge Fotos und Musik gespeichert sind. Jedoch keine Chance, bereits alles verschlüsselt.

Im abgesicherten Modus konnte ich schließlich den Rechner starten und siehe da: Textdokument auf dem Desktop. Nachdem ich von meinem Rechner aus gegoogelt habe, bin ich hier gelandet. Ich hoffe, dass hier jemand in naher Zukunft einen neuer Decoder basteln kann.

Ich möchte mithelfen so gut ich kann.

Was mir aufgefallen ist:

Ich habe leider keine Ahnung, was für Musikformate vorher auf dem Laptop waren, aber in den verschiedenen Alben sind fast alle Tracks verschlüsselt. Manche jedoch nicht (weder umbennant noch codiert), teilweise ganze Alben, teilweise einzelne Tracks in gemischten Ordnern. Was diese alle gemeinsam haben: Sie sind Mp3s. Hat jemand mal was ähnliches festgestellt? Ich bezweifle zwar, dass das von Bedeutung ist aber bin im Moment ratlos genug.

Hoffe, bald gute Neuigkeiten zu hören.

Pace
Shravaka

@Shravaka,
ok, soweit ist das alles nix Neues.
Was ist konkret Dein Anliegen?
Soll der Rechner gesäubert werden, willst Du die Unmenge Fotos und Musik rekonstruieren oder willst Du auf die nahe Zukunft warten?

Volker

Den Trojaner habe ich, mehr oder weniger beabsichtigt, entfernt. Die Registry ist sauber, keine Reste mehr vorhanden denke ich.

Mein Ziel ist, die Daten irgendwie zu entschlüsseln. Musik schön und gut, wichtig sind mir die Bilder (viele persönliche Fotos) und Dokumente, welche Notizen für die Uni enthalten, sowie alte Hausarbeiten.

Habe eben mit ihr gesprochen, sie würde vermutlich den verschlüsselten Kram löschen und versuchen sich bei Bekannten den Kram wieder zusammen zu suchen. Schön doof, wer kein Backup hat..
Ich habe ihr geraten, die verschlüsselten Dateien zumindest auf einem Träger zu behalten und mir zu überlassen. Ich bin geduldiger, zumal es mich aufregt, wenn solche Dreckssäcke mit ihrem Werk durchkommen.

Es hat nichts mit Unordnung zu tun, verschiedene Dateitypen (RAW und jpeg bspw.) in einem Verzeichnis liegen zu haben.

Wenn du Win7 noch nciht neu isntalliert hast, hast du schonmal probiert mit ShadwoExplorer zu arbeiten ?