@asoka

das liegt daran, dass es für XP bisher noch nichts gibt, was soll dann gepostet werden?...

Bei Vista und Win7 hast du die Shadow Volumes als Möglichkeit, mit der du evtl. deine Daten wiederbekommst.

Dies wurde in XP von Microsoft eher rudimentär behandelt und ist somit unter XP nahe zu unbrauchbar

Zitat:

Zitat von asoka

Was mich hier unheimlich stört...es gibt 75 Prozent der Leute hier die wie ich kein Vista haben sondern nur XP...und es dreht sich zu 90 Prozent immer nur um Hilfe für Vista benutzer.
Ich finde hier sollte auch ein bischen mehr wert auf die Xp Kunden gelegt werden...den bischer kam noch nicht ein einziger Hilfe vorschlag für den Trojaner ohne locked für XP nutzer

moin moin asoka,

estmal gilt es festzustelle, dass das hier ein Board ist, das von Kunden für Kunden betrieben wird.
Desweiteren ist festzustellen, dass es weder für XP, Vista noch Win7 eine Lösung für die Nach-locked-Varianten gibt.
Wenn hier Nutzer betriebssystemabhängige Möglichkeiten, Tools und Hintertüren posten, die es ermöglichen, zumindest Datenfragmente zu retten, dann gilt das auch für XP.
Entweder nutzen XP nicht soviele Leute wie Du vermutest, oder es fällt keinem eine Möglichkeit für XP ein.

Gruß Volker

Hallo zusammen,

jetzt muss ich mich auch mal melden, nach dem ich schon einiges von den zuvor genannten tools, etc. versucht habe und nichts geklappt hat.
Ich habe eine Variante, die die Filenamen komplett gleich lässt, nur wenn man sie öffnen möchte, kann das Programm sie nicht öffnen. Das ist bei doc, xls, ppt jeg, etc. der Fall.

Mit den verschiedenen Filepaaren ließ sich kein Schlüssel generieren, weder der von MarkusG noch anitvir.

Ich habe Vista. Habe mir auch den shadow runtergeladen, weiß aber nicht, wie ich den nutzen soll??? Ich sehe die alte Dateien vor der Infizierung, aber was mach ich damit??? Ich krieg die nicht bewegt oder sonst was. Wie nutzt shadow?

Glücklicherweise macht der Computer wöchentlich ein Backup. Daraus ließ sich einiges retten. Leider nicht alles, da ich nicht alle Platten habe screen lassen. Zu dumm.

Noch mal für mich zum Verständnis: Für die neue Variante (Infizierungsdatum bei mir um den 21.05.) gibt es noch keine Hilfe? Dann die Frage woran erkenn ich, ob 4kb oder 12kb der Datei verschlüsselt sind?

Habe mir auch einige Dateieigenschaften angeschaut: Es ist sowohl der 1601 dabei aber auch Dateien ohne jede Änderung, die sich nicht öffnen lassen.

Werde euren Trött weiter verfolgen. Bedanke mich schon jetzt für den einen oder anderen Hinweis und gehe jetzt erstmal ins Bett ;-))
Beste Grüße
seismo

PS: Ach so das beste nach dem ich habe malware drüber fahren lassen, war die einizige auffällige Datei die mit Markus Programm???

Malwarebytes Anti-Malware (Test) 1.61.0.1400
www.malwarebytes.org

Datenbank Version: v2012.05.29.07

Windows Vista Service Pack 2 x86 NTFS
Internet Explorer 9.0.8112.16421
Jörg :: HOME-PC [Administrator]

Schutz: Aktiviert

29.05.2012 23:38:35
mbam-log-2012-05-30 (00-03-46).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 285010
Laufzeit: 17 Minute(n), 32 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 1
C:\Users\Jörg\Downloads\DecryptHelper-0.5.3.exe (Trojan.FakeAlert) -> Keine Aktion durchgeführt.

(Ende)

Wie shadow funktioniert, habe ich rausgefunden.
Klappt bei allen Dateien. Gott sei Dank.

Nur leider habe ich G: nicht dabei...

Also bin weiter auf der Suche nach einer Lösung.

Ich will mal die vielen Meldungen vom Virenbefall unterbrechen und nachfragen, ob schon ein Verdacht besteht, ob der neue Crypt-Trojaner die Dateien nach Zufallsprinzip verschlüsselt, oder ob wirklich irgendwo ein Keyfile in den Code geschrieben wird/wurde.
Ich würde nämlich zu gern die befallene Festplatte killen und neu auflegen. Vorher will ich aber sicherstellen, das nicht dadurch die benötigten Files zum Entschlüsseln mit verschwinden. Es geht bei mir um ein Datenvolumen von 4TB. Den Datenmüll möchte ich ungern längere Zeit aufbewahren!!

2. Frage. Könnte der erstellte Dateiname mit dem Key was zu tun haben? Hat das von euch schon jemand getestet?


BTW: Nur wenn man diskutiert kommt man der Lösung näher. Selbst der blödeste Gedanke kann helfen.
Deshalb auch mein Beitrag

Gruß
Stefan

Shadow hab ich dann doch noch verstanden. Damit ließ sich C: komplett restaurieren. Leider wird meine weitere Festplatte mit jeder Menge Daten/Bilder nicht geback uped. Hier sind alle Dateien kodiert. Syntax des Filenamen: filename.ext. Nichts verändert. Das wird dann die neue Variante sein?

Als ich seisnerzeit den zip-Anhang angeklict habe (um den 21.09.), ist eigentlich gar nichts passiert. Jedenfalls nicht bemerkbar. Aber einige Zeit danach ca. 30 min ist der Rechner eigenständig runtergefahren (schwarzer Bildschirm) und von selbst wieder hoch. Das ganze hat vielleicht 10 - 30 Sekunden gedauert. Alle Programme, die ich zu derzeit benutzt habe, liefen einwandfrei, so dass ich den Schaden erst 1-2 Tage später bemerk habe.

Vielleicht hilft die Beschreibung, da ich so etwas hier noch nicht gelesen hatte.
Gruß Jörg

@timeagent:

Es hat den Anschein, der Trojaner schreibt einge Tempfiles und legt auch nochmal eine Sicherheitskopie von sich selbst ab. Vondaher wäre es nicht gut, wenn du deine C: jetzt ohne Backup schredderst, wenn wenn, dann liegt der schlüssel ev tatsächlich in den Zusatzfiels. Alles nur Vermutungen;-)

Dann kann ich nur hoffen, das der Kaspersky nicht diese Files selbstständig gelöscht hat, anstatt in Quarantäne zu schicken. Ich hab gerade die beiden Platten auf die Netzwerkfestplatten gespiegelt, bzw. rüberkopiert. Vieleicht ist der "Müll" noch zu retten. Die Zeit wird es zeigen.

Und wenn Sie nicht gestorben sind....

Gruß
Stefan

hi, ich hab eine Frage zum Tool an sich.

Ist es zwingend nötig eine unverschlüsselte Orginaldatei zu haben?
Mein Verstand meldet, dass es ohne diese gar nicht gehen kann einen Key zu erzeugen, aber vllt übersehe ich ja was.

ich habe jede Menge verschlüsselte Dateien im "Eigene Dateien"-Ordner...

habe ich Chance auf ein decrypt, wenn ich an keine Backup mit Orginaldateien rankomm?

liebe Grüße

Zitat:

Zitat von merlinsdragn

hi, ich hab eine Frage zum Tool an sich.

Ist es zwingend nötig eine unverschlüsselte Orginaldatei zu haben?
Mein Verstand meldet, dass es ohne diese gar nicht gehen kann einen Key zu erzeugen, aber vllt übersehe ich ja was.

ich habe jede Menge verschlüsselte Dateien im "Eigene Dateien"-Ordner...

habe ich Chance auf ein decrypt, wenn ich an keine Backup mit Orginaldateien rankomm?

liebe Grüße

auch hier wieder die Frage wie sehen deinen verschlüsselten Files aus ¿

Zitat:

Zitat von Nusshund

auch hier wieder die Frage wie sehen deinen verschlüsselten Files aus ¿

oh, entschuldiung.

Werde einige Dateinamen posten, Reihenfolge vollkommen zufällig.

aDtqNjdrfnTEXJ
AnyVXJGfLJEtJGjsqDgd
asvvAeeGggqpUUQLL
AxQQyDDtrrATVVJooexx
dGusyDOqNXdafnvE

ohne Dateiendung, so wie Sie sind...zw. 20 und 30kb

waren mal Word Dateien, wenn ich mich nicht irre.

Zitat:

Zitat von merlinsdragn

oh, entschuldiung.

Werde einige Dateinamen posten, Reihenfolge vollkommen zufällig.

aDtqNjdrfnTEXJ
AnyVXJGfLJEtJGjsqDgd
asvvAeeGggqpUUQLL
AxQQyDDtrrATVVJooexx
dGusyDOqNXdafnvE

ohne Dateiendung, so wie Sie sind...zw. 20 und 30kb

waren mal Word Dateien, wenn ich mich nicht irre.

es gibt hier im Thema und auch in vielen anderen mehrfach die Erläuterung, dass es bei dieser Art der Verschlüsselung im Moment leider keine Hilfe gibt (ausgenommen Schattenkopie unter Vista bzw. Win7 wenn aktiviert)!!

Mir ist klar, dass man aufgeregt und verärgert ist wenn man betroffen ist.
Aber wenn wir hier zig mal das selbe sagen müssen, ist das auch nicht schön

Also bitte immer erst lesen und dann drauf los ;o)

Zitat:

Zitat von Nusshund

es gibt hier im Thema und auch in vielen anderen mehrfach die Erläuterung, dass es bei dieser Art der Verschlüsselung im Moment leider keine Hilfe gibt (ausgenommen Schattenkopie unter Vista bzw. Win7 wenn aktiviert)!!

Mir ist klar, dass man aufgeregt und verärgert ist wenn man betroffen ist.
Aber wenn wir hier zig mal das selbe sagen müssen, ist das auch nicht schön

Also bitte immer erst lesen und dann drauf los ;o)

ok ich bitte um entschuldigung die 76 seiten nur überflogen zu haben.

nein du musst dich nicht entschuldigen es ist ja auch nicht böse gemeint aber ein bischen lesen wäre schon schön *g*

Ich hab ne Frage! Sowas solls ja geben

Mir ist beim kopieren aufgefallen, das der Virus die Ordnerstruktur unberührt gelassen hat und nur die Dateien verändert. Aber halt nicht jede Datei. Den Windows Ordner kann ich ja noch verstehen, aber auch die ganzen Programme laufen noch. Ich hab ein Programm drauf, welches eine SQL Datenbank über den MSDE nutzt. Jene Datenbank, welche offen war wurde in Ruhe gelassen und jene die geschlossen war wurde gecryptet. Heißt für mich, das das Misstteil nur jene Dateien befällt, welche es über einen "Editor" öffnen kann. Und das geht nur bei unbenutzten Dateien.

Was die Verschlüsselung angeht, so konnte ich feststellen, das die Dateien nur am Anfang umgeschrieben wurden. Wenn ich die Dateien vom Schluss her vergleiche, ist keine Verschlüsselung zu finden. Gibt es ein Proggy, womit ich die Codes von zwei Files miteinander vergleichen kann?
Verschlüsselt sind ja nur die ersten 100 Codezeilen oder so. Zumindest in den Excel Dateien die ich verglichen habe!!!
VON HAND

Zitat:

Zitat von timeagent

Ich hab ne Frage! Sowas solls ja geben

Mir ist beim kopieren aufgefallen, das der Virus die Ordnerstruktur unberührt gelassen hat und nur die Dateien verändert. Aber halt nicht jede Datei. Den Windows Ordner kann ich ja noch verstehen, aber auch die ganzen Programme laufen noch. Ich hab ein Programm drauf, welches eine SQL Datenbank über den MSDE nutzt. Jene Datenbank, welche offen war wurde in Ruhe gelassen und jene die geschlossen war wurde gecryptet. Heißt für mich, das das Misstteil nur jene Dateien befällt, welche es über einen "Editor" öffnen kann. Und das geht nur bei unbenutzten Dateien.

Was die Verschlüsselung angeht, so konnte ich feststellen, das die Dateien nur am Anfang umgeschrieben wurden. Wenn ich die Dateien vom Schluss her vergleiche, ist keine Verschlüsselung zu finden. Gibt es ein Proggy, womit ich die Codes von zwei Files miteinander vergleichen kann?
Verschlüsselt sind ja nur die ersten 100 Codezeilen oder so. Zumindest in den Excel Dateien die ich verglichen habe!!!
VON HAND

Ja das gibts z.B. Winmerge habe aber selbst schon probiert einfach den Bereich zu tauschen welcher verändert ist, aber Datei bleibt Müll