|
Ich hätte schwören können, dass in dem Moment, in dem ich geantwortet habe da nur 'Programm' und nicht 'JPEG- Recovery Programm' stand. |
Zitat:
Aber eine Frage habe ich noch. Woher wisst ihr,das es eine AES-256 ist? Woran erkennt ihr das? Und welche Beweise habt ihr dafür? Sorry,waren jetzt 3 Fragen.:confused: |
Hallo an alle, vorallem an die Experten, habe mir am 31.05. die 2. Generation in folgender Variante eingehandelt: - Dateinamen alle in Buchstabensalat ohne Endung umbenannt - Bilder kann ich durch Anfügen des entsprechenden Anhangs teilweise, zumindest als Vorschau, sehen aber nicht öffnen, da "fehlerhaft oder zu groß" - Word, Exel usw. geht auf diese Weise nicht - die Outlook Datei habe ich durch Umbennen in die Originalbezeichnung auch wieder hinbekommen, alles noch unverändert da MSE hat folgende Schädlinge erkannt und entfernt: - Trojan:Win32/Matsnu -schwerwiegend - Exploit:Java/Blacole.AK -schwerwiegend - Exploit:Java/Block -schwerwiegend - Exploit:Java/CVE-2010-0840.NE -schwerwiegend Die Verursacher-Mail ist leider nicht mehr da. Dafür 2 neue, die ich an Markus schon weitergeleitet habe. Ich möchte gerne mit nützlichen und sinnvollen Informationen weiterhelfen. Deshalb will ich nicht mit Allem posten, was ich habe. Sagt, was ihr wissen müsst. Und noch eine Frage: Macht es momentan Sinn ein eigenes Thema zu eröffnen? Ingo |
@forest74 Erst einmal vielen Dank für Deine Antwort. Kannst Du mir Deine mail- Adresse zukommen lassen, dann kann ich Dir gerne ein paar verschlüsselte Dateien senden. Das wäre natürlich die absolute Rettung, wenn das klappen würde.. Viele Grüße, Georg |
Zitat:
lade Dir doch die Demoversion hier runter. Du kannst dann testen nach Herzenslust und wenn's klappt, dann kaufe es. Volker |
Hallo, Danke für den Tip Undertaker, ich habe mir jetzt mal die Demoversion herunter geladen. Auffällig ist, dass er bei einem Scan nicht alle verschlüsselten Dateien erkennt und bei Wiederherstellversuchen weit unter der Qualität der Originaldateien bleibt. Aber es ist zumindest schonmal ein Fortschritt, der hoffen lässt. Habt Ihr ähnliche Erfahrungen mit dem Tool gemacht, oder wende ich es falsch an? Ich hoffe ja, dass man die Dateien früher oder später wieder in der "alten" Qualität zurück erhalten kann. Mittlerweile ist mir der Preis sogar sch...egal, Hauptsache die ganze Geschichte ist reversibel.. Was ich auch noch sehr interessant fande war, dass ich den Trojaner in den letzten 7 tagen 5 mal zu geschickt bekommen habe. Schade, dass man den Empfänger nicht wirklich heraus bekommen kann.. Apropos, 2 dieser Mails habe ich schon an das trojaner- Board Team gesendet.. |
Zitat:
Hier das Log: Infizierte Registrierungsschlüssel: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: 1 HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|6AA0BD6D (Trojan.Agent) -> Daten: C:\Users\Helmut\AppData\Roaming\Lleell\3EA9D1616AA0BD6D99B9.exe -> Erfolgreich gelöscht und in Quarantäne gestellt. Infizierte Dateiobjekte der Registrierung: 0 (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateien: 4 C:\Users\Helmut\AppData\Roaming\Lleell\3EA9D1616AA0BD6D99B9.exe (Trojan.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Users\Helmut\1\Mitglied Rechnung 2012 .com (Trojan.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Users\Helmut\AppData\Local\Temp\ffxxxddttt.pre (Trojan.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Users\Helmut\Downloads\EEEjjjLLLyyEEE (PUP.OfferBundler.ST) -> Erfolgreich gelöscht und in Quarantäne gestellt. (Ende) |
Zitat:
ja, ich habe das auch festgestellt. Aus einem 3MB JPG wurde ein 1MB JPG. Je kleiner die Originaldatei. desto schlimmer das Ergebnis, da ja dadurch der prozentuale Anteil defekter Datenteile steigt. Es werden ja immer 12k der Datei unbrauchbar gemacht. Die Hersteller schreiben aber, dass das Tool verlustfrei arbeitet. Wenn man dem Glauben schenkt, dann kann es auch ein Verhalten der Demoversion sein. Vielleicht kann mal jemand was dazu schreiben, der die Vollversion gekauft hat. Volker Zitat:
Der Trojaner kommuniziert mehrfach mit einem Server, bevor er loslegt umzubenennen und zu verschlüsseln. Wenn er nun vor der Verschlüsselung eine der notwendigen Verbindungen nicht aufbauen konnte und Du ihn vor dem nächten Aufbau gekillt hast, dann hat er nur halbe Arbeit geleistet. Ich würde das unter der Rubrik Glück im Unglück einordnen. Deinem Log nach, scheint es schon der richtige Bösewicht gewesen zu sein. Volker |
Hi, also ich habe mit JPEG-Recovery ein gutes Ergebniss erzielt (ZIP-Archiv mit verschlüsselter Datei und Reparierter Datei auf File-Upload.net) hxxp://www.file-upload.net/download-4425106/bilder.zip.html Ich kann nur anbieten das ihr mir verschlüsselte Bilder schickt und ich mal schaue ob die sich wiederherstellen lassen. Edit : Am besten auf File-Upload.net hochladen und mir den Link schicken Werde mal versuchen ne kleine Anleitung zu erstellen jedoch ist die Software ja kostenpflichtig. Grüße Forrest, Edit : Nicht JPEG-Repair sonden JPEG-Recovery |
Ich habe mir gerade mal Deine entschlüsselten Bilder angeschaut. Für mich sieht es total zufriedenstellend aus. Ich habe Dir gerade auch 3 Dateien geschickt. Falls das gleiche Ergebnis erzielt werden kann, werde ich auf jeden Fall den "Unkostenfaktor" in Kauf nehmen!! |
Zitat:
habe ich dir per PN geschickt. Grüße Zitat:
|
Zitat:
Die paar kB sind die verschlüsselten und wahrscheinlich die EXIFs. Ansonsten tadellos. Dann scheint die Reduktion doch an der DEMO zu liegen. Volker |
Hi, die 3 Dateien von Georg1701 konnten auch wieder hergestellt werden. Schicke sie ihm jetzt zu. Also ich kann anbieten das ich euch die Bilder auch wieder herstelle (soweit möglich!).. Kostenlos natürlich. Wer da hilfe braucht schreibem ich einfach per PN an. Sollten es sehr viele Bilder sein so könnte man an einen Versand auf CD oder Festplatte per Post denken.. Müssten wir dann mal schauen. Ich will da nix für haben denn ich selber hatte ja auch das Problem und bin glücklich das unsere Bilder wieder da sind. @Undertaker Ich hatte mit der Demo auch die volle Auflösung, jedoch mit Wasserzeichen drin. Darum habe ich mir dann die Vollversion (Pro) geleistet. Edit : Bei Georg waren es kleinere Dateien : Crypted / Repariert 615,8kb / 610,8kb 562,3kb / 560,1kb 625,4kb / 623,7kb Scheint ja nicht wirklich viel verloren gegangen zu sein! Grüße Forrest |
Ich habe die decodierten Dateien jetzt von forest wieder bekommen. Vom Ergebnis her absolut überzeugend. Ich habe mir daraufhin auch die Software gekauft. Ich hoffe, das Problem damit endgültig beseitigt zu haben. Vielen Dank an alle User im Forum!! |
Hi! ich hab hier jpgs die ich nicht wieder flott bekomme ha bschon einige repair tools versucht. andere gingen wirder herzustellen, aufgefallen ist mir, ich weiß noch welche bilder mit welcher kamera gemacht wurden, leider sind die meisten mit meiner canon gemacht und da geht nix. Wem darf ich den ein paar testfiles senden? Wenn das klappt hol ich mir die Proversion von dem tool, danke |
Zitat:
hast eine PN von mir bekommen. Grüße |
Ich hatte soeben eine Idee für Excel- und Word-Dateien. Bitte korrigiert mich, wenn ich etwas falsches sage. Irgendwo am Anfang habe ich gelesen, dass nur die ersten xx Bytes der befallenen Dateien verschlüsselt werden. Müsste man dann nicht diese xx Bytes von eine intakten, am besten sonst leere Word- oder Excel-Datei nehmen können und die ersten xx Bytes der verschlüsselten Datei per Hex-Editor ersetzen? Dann müssten diese Dateien eigentlich wieder geladen werden. Mitunter wäre der Anfang weg und auch sonst noch vielleicht Formatierungsoptionen, aber ich könnte mir vorstellen, dass der grösste Teil des Inhalts wieder lesbar wäre. Das wäre immer noch besser, als nichts mehr zu haben.... .... oder übersehe ich da etwas? |
hallo, alle meine daten sind auch weg. @forrest74. wenn ich jetzt mit JPEG-Recovery kein bild wiederherstellen kann (mit der demo) , gibt es trotzdem ne möglichkeit? kann ich dir morgen mal ein bild schicken und du testest es? wäre super. danke mfg smudo |
@smudo Hast eine PN. Grüße |
ich finds geil hier, alles haben gute ideen, haben halbwegs it background und helfen andren, coole sache. @LMS: wenn du den defekten bereich genau eingrenzen kannst, warum nicht versuchen, von einem leeren doc files den code zu ersetzten? freu mich auf ergebnisse dazu. @ Forrest, vielen dank |
Hallo alle zusammen finde zuerst einmal euer Forum der Hammer vor allem das hier wirklich Lieute mit Ahnung unterwegs sind. Ich habe es nun mit der JPE- Reovery Demo version Versucht meine daten zu entschlüsseln und es Funktioniert aber wie erwartet und auch angesagt sind die Bilder mit Watermarks versehen und die normale Version ist mit 49 USD betitelt aber die Bilder werden auf jeden Fall wieder hergestellt. Eröffne jetzt meinen eigenen Beitrag obwohl ich hier schon alles gefunden habe aber fairerweise die Regeln befolgen. Greetz und Danke schon mal |
Hallo, @FL2011 Wieviele Bilder hast du denn zu entschlüsseln? Evtl. könnte ich das ja erledigen. Wenn es zuviel ist evtl. per CD oder DVD-Versand. Wenn du Interesse hast kannst dich ja mal per PN melden. @All Habe eben Dateien geschickt bekommen wo auch die Software z.Zt. streikt. Soweit ich raus gelesen haben kommen die Bilder vom gleichen Rechner, aber die Infos kommen hoffentlich noch :) Mal schauen woran es da liegt. Grüße |
Forrest du hast post |
Forrest, denk es geht um meine testbilder stimmts? @all: Ich habe die vermutung dass es davon abhängt welche Kamera verwendet wurde ob jpgs zu reparieren isnd oder nicht. Ich hab bilder von 3 verschiedenen Kameras auf meinem Rechner alle verschlsselt. Kamer 1+2 konnten super wieder hergestellt weden, Kamera 3 geht kein einziges Bild. Ev kann man dem Softwarehersteller die Bilder senden und um ein Update bitten bzw einen patch? Würde die saoftware sofort kaufen, wenn das geht. |
Zitat:
@MarkK auch wenn das Originale, nicht verschlüsselte, dabei war.. Ja, die verschlüsselte Datei ließ sich mit JPEG Recovery Pro reparieren. Weiteres in der PN. @benton18 Genau :) Kannst du mir bitte mal ein "frisches" Bild von der Kamera zukommen lassen? Will mir da mal was anschauen. Ach. und welche Kamera es genau ist. Grüße Forrest |
Hallo zusammen, ich wollte mal kurz eine kostenlose jpg-Rettungslösung vorstellen. Freunde von mir fingen sich den Verschlüsselungstrojaner TR/Matsnu.A.63 (Avira-Name) ein. Die Idee mit dem JPEG-Recovery fand ich gut und habe den Gedanken dann auch aufgegriffen und unter Linux nach Lösungen gesucht. Ich bin recht erfolgreich gewesen und konnte mit dem Kommandozeilenprogramm "recoverjpeg" über 90% der verschlüsselten Bilder retten. Allerdings nicht den Namen und die EXIF Daten. Wie es mit der Qualität aussieht kann ich ncihts sagen, da ich die Originale nicht kenne. Wer mag, kann es testen. Einfach z.B. knoppix booten, recoverjpeg installieren und mal testen. Grober Ablauf (ich arbeite mit einem installierten ubunutu, sollte aber so funktionieren): - Der Rechner sollte per Kabel am DSL Router angeschlossen werden, da es zu Problemen mit der WLAN Karte kommen kann - Vom bootbaren USB-Stick oder optischen Laufwerk in ein Ubuntu Derivat booten, z.B. Knoppix - eine Console aufmachen, wenn eine Internetanbindung besteht und folgendes hinein kopieren: Code: apt-get updateCode: sh skriptnameIch habe ein Skript darum gebastelt, da das Programm noch nicht so ausgereift im Batchmodus ist. Ich habe es im Verzeichnis ausgeführt, wo sich die Bilder befinden. Code: #!/bin/bashIch hoffe, dass es nicht zu unverständlich ist, aber ich versuche nun noch Archive zu retten und werde bei Erfolg ebenfalls bescheid geben.:taenzer: |
@Keks, geile arbeit, coole sache, da ich ein noob in sachen linux und umbutu bin,.. ähh frage, kann ich dir 2-3 Test-JPGs senden, wo ich hier mit den repair tools aus dem web nicht weiterkomme? will nur wissen, ob die teile noch zu retten sind, hängt sehr viel erinnerung drinn. grüße |
Probieren kann ich es. Machst Du es über einen Filehoster? |
forrest, bild kommt morgen mal es ist : hxxp://www.canon.de/For_Home/Product_Finder/Cameras/Digital_Camera/PowerShot/PowerShot_SX200_IS/ Also ne normale Kamera geiles teil aber eben mittelklasse mit normalen jpgs. Danke an alle die mir helfen. Keks jup wart ich lad mal schnell paar hoch und poste den link |
@Keks Das währe natürlich noch besser. Aber ideal währe es schon.. Immer schön auf dem laufenden halten *lach* Aber da ja nur der Header defekt ist dürfte das eventuell auch ne Lösung sein.. Aber mal schauen, warte da mal auf Antwort. Evtl. können wir ja mal jeder die gleiche defekte Datei reparieren und schauen wie da der Unterschied ist. Und sche... auf Dateinamen und Exif :) Hauptsache die Bilder sind wieder da :) @benton18 Ok, dann schaue ich morgen mal woran es liegen könnte. @all Wenn jemand verschlüsselte .gif, .png, .bmp usw. Dateien hat würde ich mich über kurze PN freuen damit ich vielleicht dort auch noch wege finden kann. Nun habe ich Blut geleckt :) Grüße |
Bevor nun jemand optische Rohlinge verschwendet, will ich noch schnell ein Programm erwähnen: unetbootin zu beziehen: hxxp://unetbootin.sourceforge.net/ damit lässt sich ratz fatz ein bootbarer USB Stick erzeugen mit einem Linux drauf. Eine Erklärung findet sich auf der Seite. Natürlich sollten die Daten auf dem USB-Stick gesichert sein, da dieser formatiert wird ;o) Gruß Keks5 |
hxxp://www.file-upload.net/download-4425716/test_canot_repair.rar.html so hier eine kleine auswahl an jpgs die ich bisher nicht repariert bekomme. sind jetzt noch original, also ohne .jpg, keks weiß ned ob du eine extension brauchst für deinen repairversuch. danke ps: wie bekomm ich hier die klickbaren links hin? naja bin schon müde;-) |
@benton so wie es ausschaut dürfen wir "normale" User keine klickbaren Links erstellen :) Auch das http wird ja in hxxp geändert :) Ist denke ich mal ne Sicherheits-Maßnahme |
Hallo benton18, leider muss ich Dich enttäuschen. Ich konnte leider auch nichts wieder holen :heulen: Ich vermute, dass der Algorithmus nicht so grundlegend anders ist, als bei dem JPEG-Recovery. Gruß Keks5 |
ach verdammt, hast du eine extension drangemacht? also CDAFCLKJSDLASKDCMNALÖSKC.jpg umbenannt? ohne .jpg geht auch mit den anderen tool nicht. |
Nein. Benötigt das Programm nicht. Hat bei meiner anderen Rettungsaktion auch nicht benötigt. Ich Teste aber noch gerade ein anderes Recovery Programm. Da ist mir die Syntax aber noch ein Rätsel. Mal sehen, wie lange meine Geduld noch währt, bevor das Bett ruft. |
JO, ich hau mich auch gleich hin, hier noch ein pärchen verschlüsselt und repariert), dass ich reparieren könnte mit einem Tool namens Hetman file repair. Ist aber nicht ausdem Bulk an jps die nicht gehen (andere kamera meine Vermutung) Von dieser anderen Kamera geht nämlich kein eiziges und das lässt mir keine Ruhe. grüße |
@benton18, bist Du sicher, dass die Pics im JPG-Format waren? Meine Kamera gibt auch das RAW-Format aus, wenn ich es einstelle. Ich wüsste jetzt auf Anhieb nicht, in welchem Ordner ich RAWs und wo JPGs habe. Volker |
hi undertaker. jo waren jpgs. Hab hier eine eindeutige und gepflegte ordnerstrucktur mit ordnern wie Ägypten 2010 / Opas Geburtstag 2011 bla bla. sidn alles jpg, hab die dinge ja selbst dort abgelegt und das archiv gepflegt (leider nicht gebackupd, ich vollar****) raws gibt meine canon keine aus;-( |
Hi, meine kurz überflogen zu haben das diese Kamera eh nur JPEG macht : Fotos mit JPEG-Kompression (Exif 2.2 [Exif Print] kompatibel) / DCF-Format, Digital Print Order Format [DPOF] Version 1.1 kompatibel Ich schaue mir das morgen mal an wenn ich das Referenz-Bild habe. Grüße |
mmhh... Auch bei dem funktioniert meine Methode nicht :killpc: Da habe ich, bzw. der Kumpel Glück gehabt. |
Zitat:
scahde, bin dann mal weg, bis die tage, hoffe wir treffen und hier wieder. Ich gebe meine bilder noch lange nicht verloren, danke an alle:dankeschoen: |
Genau die meinte ich benton. Ich habe noch 4 weitere Programme unter Linux gefunden und teste damit mal etwas rum. Gute Nacht zusammen |
Hallo, ich habe von meinem Freundenkreis einige Fälle von solche neue Variante Trojaner übernommen und war mit der ermittlung erschüttert. Erstens kommt man nicht an Windows zurück, nicht einmal an Task Mananger! Es ist total abgesperrt, ebenso die Bootmöglichkeit ins Abgesicherte Modus. So habe ich mit Live-System die Daten von Trojaner befreit und aus Sicherheitsgründen gesamten Betriebssystem auf ext. Festplatte geklont. Ich hoffe auf baldige Lösung zur Wiederherstellung von Daten! Eines frage ich mich, warum wird dateiendung .pif unter jünsten Windows noch benutzt/zugelassen? @An Opfer mit RAW-Bilder: Unterschied zw. JPG und RAW sind eigentlich durch Dateigröße erkennbar. Bei 14 Mio Pixel würde sich ergeben: JPG zw. 4 und 6 MB und RAW ca. 15 MB Gruß Flo |
Hallo, ich habe nen PC von ner Bekannten bei mir, der hat offenbar auch diesen Trojaner abbekommen. Den Trojaner konnte ich inzwischen entfernen. Jetzt sind nur noch alle Daten verschlüsselt.... und mit den Tools hier hatte ich bisher keinen wirklichen erfolg. Es geht dabei um Bilder der letzten 6 Jahre..... Die Dateinamen sind ohne extensions und total Salat. Ich habe mir die Bilder mal mit nem Hex editor angeschaut. Veränderungen zwischen nem Original Windows Vista Beispielbild und dem Verschlüsselten konnte ich nur in den ersten 3kb feststellen. ich habe diese 3kb vom originalbild in die Verschlüsselte Datei kopiert, konnte diese dadurch aber nicht wieder anzeigefähig bringen. Mit dem JPEG recovery tool habe ich es auch versucht, entweder mach ich nen fehler oder das bild geht nicht zu retten damit, ich habe es damit nicht geschafft. Kann da mal jemand ne Anleitung posten??? Danke Im vorraus. mfg |
Hallo Markus, wie hast du Trojaner entfernt? Wie kann man Fenster umgehen, welche Trojaner erzeugt und jede Tastenkombis blockiert hat bzw. die ausführung von Tast Manager blockiert hat? Um welche Variante des Trojaners handelt es sich? Ich hoffe dass die Polizei nächster Zeit den Online-Erpresser auffindig macht. Gruß Flo |
Hallo Markus, kannst du mir bitte ein paar Bilder zukommen lassen zum testen (Mail-Adresse per PN). Dann schaue ich mir das mal an. Grüße |
Hi, @fegl84: bei mir war nichts blockiert nur der Fokus ständig auf den blöden text gelegt. ich hatte 10 sek. bis der Text kam, sollange konnte ich auf den Taskmanager und die Registry zugreifen. beim abmelden waren diese auch noch offen sobald der Text weg war. ich habe abgesichert gestartet und mit Maleware tool das ding entfernt. In der Registry war kein eintrag der etwas abgeschaltet hat, nur der, der immer den Trojaner gestartet hat. seitdem kann ich windows normal verwenden (werde ihn noch platt machen sobald die bilder gerettet sind). Ich bin mir nicht ganz sicher aber die Dateinamen sehen so aus wie in #1 Version 1.140.1 @Forrest74: Ja kann ich gerne machen sobald ich daheim bin, also heute abend. ich Tipp mal auf gezippt oder?? irgendein zipprogramm bevorzugt?? Es geht dabei um die Kinderbilder ihrer Kinder der letzten 6 Jahre... und deren Sicherungen... |
Zitat:
|
@KEKS05 RECOVERJPEG funktioniert einwandtfrei. Danke für den TIPP!! :taenzer: |
Hallo, hat jemand evtl. noch verschlüsselte Word.- und Excel Dateien die er mir schicken kann. Evtl. gibts da auch einen Weg.. Am besten währe es noch wenn evtl. unverschlüsselte Backup-Dateien vorhanden sind. Grüße |
hab nur Staroffice 9 dokumente wen es was bringt schick ich dir 1-2 davon ich bin grade selber am fummeln ob ich die wieder hinbekomme . Hab aber leider keine originalen mehr die unverschlüßelt sind . |
forrest auch hier hab ich was, sende ich dir abends mit dem referenzbild wo jpeg noch nicht recovern lässt, hab ein excel pre/post crypting greetz |
@Wolfsblut Immer alles her :) Email per PN. Ich sammel jetzt erstmal Dateien und schaue was ich hingekomme.. Ergebnisse was mit welcher Software wieder hergestellt werden kann werde ich hier posten. @benton Email hast ja noch :) Immer her damit.. Sammel schon fleißig Grüße |
Zitat:
Da gibt' ja auch schon Tests. Beispielsweise bringt Excel Recovery von Stellar Phoenix nichts. Recovery for Excel von OfficeRecovery.com findet zwar sheets, aber da die in der DEMO die meisten Zellen voll mit "demo" knallen und keinerlei Text angezeigt wird (lost label), ist eine Empfehlung noch vage. Volker |
Hallo :) ich mache ja nix geheimnissvoll, jedoch bin ich selber gerade diverses am testen. Wenn ich was habe (wie mit dem JPGs) und ich weiss das es funktioniert poste ich es. Warum die Pferde scheu machen und es letztendlich doch nicht funktioniert. |
Hallo, ich habe auch eine neuere Version des Verschlüsselungstrojaners abbekommen. Die verschlüsselten Dateien sehen bei mir ebenfalls aus wie bei 1.14. Bei mir sind die Outlook-Kontaktdaten befallen. Weiß da einer Rat, womit sie wieder bekommt. Ich habe die genannten Tools bei verschiedenen Dateitypen ausprobiert hatte jedoch keinen Erfolg diese wieder zu bekommen. Gruß |
Zitat:
http://www.trojaner-board.de/115551-...e-version.html Wenn dann noch was unklar ist, fragen. Volker |
ich hab mal eine frage ! hab bissel mit nem hexeditor und tune up ( gelöschte daten widerherstellen ) rumgefummelt fragt mich was hab einfach so rumprobiert ! da merk ich das auf einmal meine c platte voll ist und ich hab 2 dateien in meinem C:/Users/Wolfsblut009/AppData/Local/Temp drin die zusammen ca 10 Gig groß sind (0BB59EEA.NXT & 00087C5F.NXT ) was bitte sind .NXT datein und könnten die vll mit dem Trojaner zusammenhängen ? |
.nxt odet .ntx? |
devinitiv .NXT |
Hm, komisch. Andere Variante ist mir mal untergekommen (war irgendeine Verschlüsselungsendeung), aber Dein Format ist mir grad auch neu... |
Meine .mp3 Dateien konnte ich wiederherstellen, indem ich einfach die Endung angehängt habe. Nun meine Frage als absoluter Laie: Wenn doch die ersten 12 Kb oder wieviel auch immer verschlüsselt sind, wieso funktionieren die Dateien dennoch problemlos? Und dann noch eine andere (für Experten wahrscheinliche dumme) Frage: Sind diese .mp3 Dateien nachdem ich sie umbenannt habe wieder "ganz normale" mp3 Dateien oder können die noch irgendetwas auf meinem System anrichten, durch ihre Veränderung bzw. Verschlüsselung? Bei .avi bzw. .mpeg Dateien funzt es übrigens nicht. Da kommen dann nur "komische" Töne zustande und kein Bild. Dafür gibt es (bisher) keine Lösung, richtig? Dann zu den Bildern: Mit der Demo von jpeg Recovery bekomme ich eine Auflösung von 256x192 Pixel raus. Kann ich mit der Vollversion auf bessere Ergebnisse hoffen? 50$ zahle ich zwar ungern, aber würde ich dennoch machen, wenn es denn Erfolg verspricht. Vielleicht kannst du @ Forrest74 auich meine Bilder mal testen? Das wäre sehr nett. Dann habe ich heute wieder eine E-Mail bekommen in der ich sogar mit meinem Realnamen angesprochen wurde (wo haben "die" den her??). Verlangt wurden 445 Euro, zahlbar bis heute ansonsten bekäme ich Post von einem Inkassobüro. Angehängt war ein zip-File mit einem MS-DOS Dokument. Ist das das gleiche Teil, nur anders verpackt, oder was ganz Neues/Anderes? Falls es von Interesse ist, dann kann ich die E-Mail gerne weiterleiten zur Untersuchung. |
Habe dir mal ne PN geschickt, versuchen kann ich es. |
Ich habe geantwortet, weiß aber nicht genau ob die PN verschickt wurde, da dazu keine Bestätigung angezeigt wurde und im Postausgang keine vorhanden ist. |
Hi.. @sonshice alle Bilder konnten in der Größe 3504*2336 wieder hergestellt werden. Ergebniss gibts per PN Grüße |
Hallo, ich bin hier ganz neu und kenne mich in Foren auch sonst nicht aus. Ich habe mich heute auch mit dem Trojaner infiziert. Kann irgendwie an meinem PC wieder arbeiten, weiss jedoch nicht, ob der Trojaner weg ist oder nur irgendwo schlummert. Bei sind auch ALLE Datein verschlüsselt! Es sind Power Point, Word und Excel Datein. Soll ich davon etwas schicken? Grüße Poca |
Zitat:
Eine MP3-Datei besteht aus einzelnen Frames Bildlich ausgedrückt, wie eine Perlenschnur, wobei jede Perle ein Frame ist. Jedes Frame, also jede Perle besteht aus einem Header und Audiodaten. Jede Perle enthält also ein Stück des Liedes. Am Anfang jedes Headers steht ein Syncblock. Eine Perle sieht dann also so aus: [Perle, sprich Frame] bzw. [{Header}+(Audioteil)] bzw. [{sync+Restheader}+(Audioteil)] die ganze Datei also so: [Perle_1, sprich Frame_1]+[Perle_2, sprich Frame_2]...+[Perle_n, sprich Frame_n] Der MP3-Decoder "sucht" die Syncblöcke im Header jedes Frames und spielt dann die im Frame enthaltenen Audiodaten. Grob ausgedrückt ist das wie bei Kapitelmarken einer DVD. Außerdem stehen am Anfang oder Ende einer MP3-Datei die ID3-Tags, wie Titel, Interpret, Tumb des Covers usw. Wenn der Trojaner die ersten 12k zerstört, dann synchronisiert sich der Decoder auf das nächste brauchbare Sync im Header des nächsten brauchbaren Frames und spielt treu und brav die Audiodaten ab. Wenn am Anfang die ID3-Tags kaputt sind und vielleicht ein oder zwei Frames, dann merkst Du das kaum. Und genau aus diesem Grund funktioniert das bei MP3s. Die Dateien sind nach wie vor kaputt, nur merkst Du es nicht oder kaum. Zitat:
Volker |
Hallo zusammen, ich wollte mich mal erkundigen ob jemand schon eine Möglichkeit gefunden hat um xls Dateien wieder herzustellen wir haben unsere Hochzeitsplanung auf dem Rechner von meiner Frau und nächste woche ist es soweit!!!:killpc: Ich konnte den Trojaner nach der ANleitung im Abgesicherten Modus mit Malewarebytes runterbekommen und der Rechner funkt soweit auch wieder. Die bilder hab ich gesichert auf einer externen Platte bevor er zugeschlagen hat der bösewicht aber die Exceldateien hab ich leider nicht mehr im original nur den Verschlüsselten Salat. Ich hoffe im zuge dieses Themas kann ich einen finden der schon ein wenig weiter ist in der Sache. Danke schon mal an die Ersteller von diesem Board es tut gut leute mit solch einem Elan und Fachwissen zu finden.:applaus: Gruß |
Habe heute wieder 3 solche Mails bekommen. Eine konnte ich an Markus weiterleiten. Bei den beiden anderen kommt immer "Fehler" und die werden im Ordner "Entwürfe" gespeichert und zwar doppelt + eine leere Mail ohne Adresse. Haben die Hacker da inzwischen einen Schutz eingebaut? Die wissen ja, dass wir solche Mails an Markus schicken sollen. Ist sowas bei jemanden auch schon aufgetreten? "Normale" Mails kann ich schicken und weiterleiten. Übrigens, bin bei Freenet (da gibt es allgemein manchmal Probleme) |
Zitat:
willst Du mich veralbern? Was heißt "kann irgrndwie wieder arbeiten"? Wie hast Du Dich infiziert? Wie hat sich der Virus bemerkbar gemacht? Was hast Du getan um wieder arbeiten zu können? Was hast Du für ein Betriebssystem? Wie sehen die verschlüsselten Dateien aus? Sorry, im Moment habe ich meine Glaskugel gerade zur Reparatur, kann also nicht Hellsehen. Was hast Du hier im Forum vor Deinem ersten Beitrag gelesen? Empfehlung: Klicke oben auf den Link Thema erstellen und eröffne dort Dein individuelles Hilfethema. Schreibe dort auch die Antworten auf die Fragen rein. Dort wird sich ein helfer um Dich kümmern und mit Dir Deinen PC untersuchen. Volker |
Habe meinen mpe dateien gerade die Endung .mpe rangehangen und sie gehen wieder. Weshalb geht das bei den Bildern nich wenn ich ihre Endung verändere! Bitte um hilfe ich brauche diese Bilder unbedingt |
@Mitchidemi Hallo, ich schicke dir per PN mal meine Email-Adresse. Evtl. kann man mit JPEG Recovery was machen. Schick mir einfach mal ein paar Bilder und ich versuche es mal. Grüße |
@ Undertaker Vielen Dank für die ausführliche Erklärung, auch wenn ich es dennoch nicht zu 100% verstanden habe. Das Wichtigste an Deinem Beitrag ist aber (für mich) die Aussage, dass ich die Dateien wieder problemlos nutzen kann, ohne ständig im Hinterkopf zu haben, dass sie wegen ihrer Veränderung/Verschlüsselung noch Schaden anrichten können. |
Forrest, ich bin mal gespannt ob ich der einzige mit nicht wiederherstellbaren bilden bleibe. |
hi, nein du bist nicht der einzige :) Bei jemand anders läßt sich ein Windows-Bild nicht wieder herstellen obwohl wie bei den anderen nicht die komplette Datei verschlüsselt ist. Warum weiss ich bis jetzt leider noch nicht, da muss es noch irgendwelche Unterschiede im Format geben. |
ein windows bild? heftig. Das könnten wir ja auch als referenz verwenden. wenn ich nur wüsste wo die abgelegt sind. |
Hi.. es handelt sich hier um die Chrysanthemum.jpg. Datei ist so wie die anderen verschlüsselten aufgebaut jedoch erkennt JPEG Recovery die trotzdem nicht. hxxp://www.file-upload.net/download-4427637/vJQuvJQuJvuQvJuuvJuu.html Die liegen unter C:\Users\Public\Pictures\Sample Pictures (Win 7) Grüße |
Hallo Nochmal, ich habe mein Skriptchen für "recoverjpeg" unter Linux nochmal dahingehend angepasst, dass es das Modifikationsdatum der verschlüsselten Bilddatei für die entschlüsselte übernimmt. Da die Dateien noch das Ursprungsdatum haben, ist es für manche recht hilfreich. Zudem habe ich ein paar Kommentare eingepflgt, dass jemand es schneller weiter entwickeln kann. Code: #!/bin/bashGruß Keks Zitat:
|
@Keks Kannst du bitte mal folgende Datei probieren : hxxp://www.file-upload.net/download-4427637/vJQuvJQuJvuQvJuuvJuu.html Grüße |
Hallo Forrest, leider nicht mit dem recoverjpeg. Ich bin aber noch dabei, einige Programme zu testen. Gruß Keks |
Mit dem JPEG recovery tool lassen sich die locked Bilder wieder "entschlüssen" aber leider sind es bei mir dann nur kleine Vorschaubilder und nicht zugebrauchen da diese zuklein sind und in einer Schlechten qualität sind. |
Hallo nochmal,wollte noch mal höflichst anfragen,woran ihr erkannt habt,das es sich um eine AES 256 bit-Verschlüsselung handelt. Zwar stand das auch auf meinem Bildschirm,ist für mich aber kein Beweis,das es auch so ist. Oder wollt ihr nicht darüber reden.Wäre nett,wenn ich mal eine Antwort bekomme,da meine anderen Fragen auch nicht beantwortet wurden. Wie man jpegs wieder hinbekommt,ist ja nun lang und breit diskutiert worden. Aber wir wollen ja nicht nur Bilder wieder herstellen. Gruss Rainer |
Zitat:
Wenn meine Kollegen und ich mehr Infos hätten würden wir schon all deine Fragen beantworten oder meinst du nicht Zitat:
Zitat:
|
Hallo zusammen, ich glaube bin in der falschen Rubrik gelandet, aber vielleicht wüßte jemand doch Antwort. Habe noch XP, zudem Kaspersky 2012 und jetzt das eigentl. Problem: Unten rechts in der Leiste neben der Uhr, wurde signalisiert, dass ein Update zur Verfügung steht, drauf geklickt, neues fenster öffnete sich - grau unterlegt ... also alles wie sonst bisher auch, bin dann auf benutzer Installation gegangen, da erschien dann auch "Download erfolgreich". Danach habe ich den PC ordnungsgemäß runtergefahren und bin dann wieder auf Neustart, erfolgte dann auch reibungslos, es kam neues fenster mit so wie in der Anzeige hier oben links .. zu zahlen bla bla bla 100 US$ mit UKASH. Hab ich natürlich nicht gemacht ! Bei mir sind alle Word + Excel Dateien locked, Beispiel: locked080612H9crjxydocs ZUDEM hats den KAS12 komplett aus den Angeln gehoben!!! Also, ich habe keine mails geöffnet. Weiß jemand Rat ? |
Zitat:
Edit: Ich denke die Masche mit der Mail ist jetzt zu offensichtlich, jetzt verteilen die Erpresser ihre Schädlinge so wie die damals harmlosere RansomWare, also die die nichts verschlüsselt (oder soll man besser jetzt sagen Dateien zerstört?) hat? :wtf: :balla: Zitat:
|
@all: Wollen wir nicht einen Neuen Fred aufmachen, wos nur um die Wiederherstellung von Jpgs geht? hier wirds zu heftig unübersichtlich. |
Zitat:
Und meine Recherchen im Netz sind auch sehr widersprüchlich. Trotzallem grosses Dankeschön an Alle,die daran gearbeitet haben. Ich werde weiter forschen und wenn ich was weiss,lass ich es euch wissen. Ihr wisst ja,die Hoffnung stirbt zuletzt.:daumenhoc Gruss Rainer |
Lieber Rainer, kämpfe nicht gegen Windmühlen ;) So wie es aussieht haben "unsere" Trojanerprogrammierer ganz Arbeit geleistet. Bei den Algorithmen hat man ohne den vollständigen Schlüssel keine reelle Chance etwas zurückzurechnen. |
falscher Thread |
Hallo, ich bin mir nicht sicher aber seit etwa 1 Stunde zeigt mein "Avira Antivir" einen Virus an namens "TR/ATRAPS.GEN/2"! Allerdings lässt es sich nicht Entfernen ich bekomme die ganze zeit "2 Neue Funde von UNERWÜNSCHEN Programmen oder Virus" Allerdings habe ich noch keine Solches angegebens Fenster bekommen. Und wie kommen die auf deine E-mail wie oben schon angedeutet von mehreren Usern ist das dann ein per Email versendeter Virus?? Und kann mir so etwas passieren wie den Personen vorher? Und hätte Sie/ oder jemand anderes hier im Forum?? Weil kenn mich damit nicht so aus und habe in Anführungszeichen "Angst" das mir auch sowas geschiet und ich nicht weiterweis. Könnten Sie mir da einen guten Rat geben wie ich den von meinem Computer weg bekomme da Avira ihn nicht enfernen vill (den virus). [ Habe diesen Beitrag etwa 5 Stunden nach ersten Meldung geschrieben (Ohne PC - Neustarts etc. davor) und hoffe mein PC geht noch morgen :/ ] P.S: Muss ich die Beträge bezahlen im Notfall sollte mir mal so ein Fenster oder so erscheinen?? bitte um SCHNELLE HILFE!!! danke.. :( mfg. keNNy |
HAllo du hast eine PM schau es dir mal an Gruß |
Zitat:
Bevor du um eine schnelle Hilfe bittest, solltest du dir lieber erstmal die wichtigsten Hinweise reinziehen Wir Helfer sind auch nur Menschen! :mad: Wir sind weder Schallplatten, noch Festplatten, noch Roboter! :nono: |
Endschuldigung für Rechtschreinfehler hab den Beitrag schnell geschrieben und war Aufgeregt.. |
Hallo kenny3000 und :hallo: Bitte lies folgende verlinkte Anleitung vollständig durch => Für alle Hilfesuchenden! Was muss ich vor der Eröffnung eines Themas beachten? und erstelle anschließend dort => Plagegeister aller Art und deren Bekämpfung ein neues Thema. Edit: Zu langsam, Turboarne war schneller :) |
Hallo Arne hab gerade wieder mal bei web de eine nette E_MAil erhalten und hab Sie an das Board geschickt und bei der Bozelei hab ich auch schon geschrieben und und angerufen das letztere bring wohl am wenigsten. Na ja auf jeden fall hoffe ich euch bringt die Mail weiter. Text aus der Mail Hallo Stefan Leitz, Danke für Ihren Auftrag bei KronederSchoepfung Deutschland, nachfolgend finden Sie Ihre Vertragsbestätigung. Ihre Bezahnummer: 914553725594 Bestellter Artikel: Sockel 9873543045 6796,14 Euro Rechnung auf den Namen: Stefan Leitz Abbuchung erfolgt durch: Auf Rechnung Lieferadresse und detaillierte Rechnungsdaten finden Sie zwecks Sicherheitsmaßnahmen im zugefügtem Zip Ordner. Die Buchung wurde autorisiert und wird innerhalb 3 Tage abgetragen. Kaufdetails und Stornierung Erklärung finden Sie in beigefügtem Anhang. Dein Kundenberater Fischer GmbH Bergmannring 01 24137 Bremen Telefon: (+49) 503 1714824 (Mo-Fr 10.00 bis 16.00 Uhr, Sa 8.00 bis 16.00 Uhr) Gesellschaftssitz Annweiler Steuer-ID: De760714147 Leiter: Timm Pfeiffer und die Datei ist im Postfach mit bei. Gruß Ist ja klasse das ist der Firmensitz in Bremen http://maps.google.de/maps?q=Bergman...de&sa=N&tab=wl Lach mich schlapp :-) |
Hallo, ich habe geschafft einige Dokumente wieder zu beschaffen. Allerdings habe ich es bisher nur mit *.doc probiert. Die Namen sind alle nur noch numerisch, man kann sie aber an Hand der Größe einigermaßen identifizieren. Ob es sich um alle Dokumente kann ich nicht beurteilen, da es sich nicht um meinen Rechner handelt. So, nun genug zurück gerudert: Funktionieren tut es mit dem forensischen Tool "foremost" unter Linux. Ich habe aus der CT die desinfeC'T - Ubuntu Version genommen, die ich bereits auf einem USB-Stick habe. Das nur am Rande, mit knoppix usw. geht es identisch gut. Ich kann hier nochmal unetbootin (UNetbootin - Homepage and Downloads) empfehlen, was einem simpel einen bootbaren Linux USB Stick zaubert, Anleitung auf der entspr. Seite. 1. Linux booten (Mit Kabel am WLAN Router, da ein paar Sachen herunter geladen werden müssen) 2. eine Console auf machen und folgendes eingeben Code: sudo su -Code: aptitude install foremost4. wenn nicht, dann müssen wir uns eine Version selber aus den Sourcen bauen und installieren einen Compiler Code: aptitude install gcc makehxxp://foremost.sourceforge.net/pkg/foremost-1.5.7.tar.gz mit der Console in das Verzeichnis wechseln, wo das heruntergeladene Paket "foremost-1.5.7.tar.gz" liegt. Was wir mit Code: tar -xzvf foremost-1.5.7.tar.gznun in das entpackte Verzeichnis wechseln "foremost-1.5.7" und folgende Befehle ausführen Code: make5. Ich habe eine eine andere Platte angeschlossen, um dort meine Dateien drauf zu speichern. Die Syntax sieht folgermaßen aus: foremost -t doc -i /dev/hda3 -o /media/meineplatte/recovery -t gibt den Filetype an (im Link sind noch ettliche mehr beschrieben) -i das Device, wie Linux die Partition anspricht -o wo der Output gespeichert werden soll Ein Link, der hilft: https://help.ubuntu.com/community/DataRecovery Evtl. sollte man jemanden Fragen, der sich mit Linux etwas auskennt. Hier muss man auch Geduld mitbringen. Der Rechner, bei dem ich es gerade mache ist schon eine Weile bei der Arbeit. Ich hoffe, dass ihr einiges retten könnt!! Gruß Keks5 |
Zitat:
Was wie wo irgendwelche auch tw. erfundenen Firmen ihren Firmensitz haben könnte ja auch frei erfunden sein könnte man denken wenn man so nen SPAM-Schmarrn bekommt :lach: |
Ah ich seh schon ein mann vom Fach. :-) Nein bin einfach nur am abkotzen weil es sich hier um wichtige dokumente handelt die wir brauchen so wie jeder andere auch hoffe das mann zumindest ein wenig weitergeholfen hat. Und mir ist das auch klar das es sich hier um Fake Firmen handelt und irgendwelche Adressen angegeben werden wollte nur einen scherz machen aber ich versteh das schon die nerven liegen eben überall blank. :-) Greetz |
Zitat:
|
| Alle Zeitangaben in WEZ +1. Es ist jetzt 16:57 Uhr. |
Copyright ©2000-2025, Trojaner-Board