Zurück   Trojaner-Board > Malware entfernen > Diskussionsforum

Diskussionsforum: Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware)

Windows 7 Hier sind ausschließlich fachspezifische Diskussionen erwünscht. Bitte keine Log-Files, Hilferufe oder ähnliches posten. Themen zum "Trojaner entfernen" oder "Malware Probleme" dürfen hier nur diskutiert werden. Bereinigungen von nicht ausgebildeten Usern sind hier untersagt. Wenn du dir einen Virus doer Trojaner eingefangen hast, eröffne ein Thema in den Bereinigungsforen oben.

Thema geschlossen
Alt 29.05.2012, 22:11   #751
Flagelated
 
Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware) - Standard

Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware)



@asoka

das liegt daran, dass es für XP bisher noch nichts gibt, was soll dann gepostet werden?...

Bei Vista und Win7 hast du die Shadow Volumes als Möglichkeit, mit der du evtl. deine Daten wiederbekommst.

Dies wurde in XP von Microsoft eher rudimentär behandelt und ist somit unter XP nahe zu unbrauchbar

Alt 29.05.2012, 23:09   #752
Undertaker
/// Helfer-Team
 
Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware) - Standard

Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware)



Zitat:
Zitat von asoka Beitrag anzeigen
Was mich hier unheimlich stört...es gibt 75 Prozent der Leute hier die wie ich kein Vista haben sondern nur XP...und es dreht sich zu 90 Prozent immer nur um Hilfe für Vista benutzer.
Ich finde hier sollte auch ein bischen mehr wert auf die Xp Kunden gelegt werden...den bischer kam noch nicht ein einziger Hilfe vorschlag für den Trojaner ohne locked für XP nutzer
moin moin asoka,

estmal gilt es festzustelle, dass das hier ein Board ist, das von Kunden für Kunden betrieben wird.
Desweiteren ist festzustellen, dass es weder für XP, Vista noch Win7 eine Lösung für die Nach-locked-Varianten gibt.
Wenn hier Nutzer betriebssystemabhängige Möglichkeiten, Tools und Hintertüren posten, die es ermöglichen, zumindest Datenfragmente zu retten, dann gilt das auch für XP.
Entweder nutzen XP nicht soviele Leute wie Du vermutest, oder es fällt keinem eine Möglichkeit für XP ein.

Gruß Volker
__________________


Alt 30.05.2012, 00:08   #753
seismo65
 
Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware) - Standard

Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware)



Hallo zusammen,

jetzt muss ich mich auch mal melden, nach dem ich schon einiges von den zuvor genannten tools, etc. versucht habe und nichts geklappt hat.
Ich habe eine Variante, die die Filenamen komplett gleich lässt, nur wenn man sie öffnen möchte, kann das Programm sie nicht öffnen. Das ist bei doc, xls, ppt jeg, etc. der Fall.

Mit den verschiedenen Filepaaren ließ sich kein Schlüssel generieren, weder der von MarkusG noch anitvir.

Ich habe Vista. Habe mir auch den shadow runtergeladen, weiß aber nicht, wie ich den nutzen soll??? Ich sehe die alte Dateien vor der Infizierung, aber was mach ich damit??? Ich krieg die nicht bewegt oder sonst was. Wie nutzt shadow?

Glücklicherweise macht der Computer wöchentlich ein Backup. Daraus ließ sich einiges retten. Leider nicht alles, da ich nicht alle Platten habe screen lassen. Zu dumm.

Noch mal für mich zum Verständnis: Für die neue Variante (Infizierungsdatum bei mir um den 21.05.) gibt es noch keine Hilfe? Dann die Frage woran erkenn ich, ob 4kb oder 12kb der Datei verschlüsselt sind?

Habe mir auch einige Dateieigenschaften angeschaut: Es ist sowohl der 1601 dabei aber auch Dateien ohne jede Änderung, die sich nicht öffnen lassen.

Werde euren Trött weiter verfolgen. Bedanke mich schon jetzt für den einen oder anderen Hinweis und gehe jetzt erstmal ins Bett ;-))
Beste Grüße
seismo

PS: Ach so das beste nach dem ich habe malware drüber fahren lassen, war die einizige auffällige Datei die mit Markus Programm???

Malwarebytes Anti-Malware (Test) 1.61.0.1400
www.malwarebytes.org

Datenbank Version: v2012.05.29.07

Windows Vista Service Pack 2 x86 NTFS
Internet Explorer 9.0.8112.16421
Jörg :: HOME-PC [Administrator]

Schutz: Aktiviert

29.05.2012 23:38:35
mbam-log-2012-05-30 (00-03-46).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 285010
Laufzeit: 17 Minute(n), 32 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 1
C:\Users\Jörg\Downloads\DecryptHelper-0.5.3.exe (Trojan.FakeAlert) -> Keine Aktion durchgeführt.

(Ende)

Wie shadow funktioniert, habe ich rausgefunden.
Klappt bei allen Dateien. Gott sei Dank.

Nur leider habe ich G: nicht dabei...

Also bin weiter auf der Suche nach einer Lösung.
__________________

Geändert von seismo65 (30.05.2012 um 00:14 Uhr)

Alt 30.05.2012, 08:39   #754
timeagent
 
Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware) - Icon26

Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware)



Ich will mal die vielen Meldungen vom Virenbefall unterbrechen und nachfragen, ob schon ein Verdacht besteht, ob der neue Crypt-Trojaner die Dateien nach Zufallsprinzip verschlüsselt, oder ob wirklich irgendwo ein Keyfile in den Code geschrieben wird/wurde.
Ich würde nämlich zu gern die befallene Festplatte killen und neu auflegen. Vorher will ich aber sicherstellen, das nicht dadurch die benötigten Files zum Entschlüsseln mit verschwinden. Es geht bei mir um ein Datenvolumen von 4TB. Den Datenmüll möchte ich ungern längere Zeit aufbewahren!!

2. Frage. Könnte der erstellte Dateiname mit dem Key was zu tun haben? Hat das von euch schon jemand getestet?


BTW: Nur wenn man diskutiert kommt man der Lösung näher. Selbst der blödeste Gedanke kann helfen.
Deshalb auch mein Beitrag

Gruß
Stefan

Alt 30.05.2012, 09:43   #755
seismo65
 
Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware) - Standard

Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware)



Shadow hab ich dann doch noch verstanden. Damit ließ sich C: komplett restaurieren. Leider wird meine weitere Festplatte mit jeder Menge Daten/Bilder nicht geback uped. Hier sind alle Dateien kodiert. Syntax des Filenamen: filename.ext. Nichts verändert. Das wird dann die neue Variante sein?

Als ich seisnerzeit den zip-Anhang angeklict habe (um den 21.09.), ist eigentlich gar nichts passiert. Jedenfalls nicht bemerkbar. Aber einige Zeit danach ca. 30 min ist der Rechner eigenständig runtergefahren (schwarzer Bildschirm) und von selbst wieder hoch. Das ganze hat vielleicht 10 - 30 Sekunden gedauert. Alle Programme, die ich zu derzeit benutzt habe, liefen einwandfrei, so dass ich den Schaden erst 1-2 Tage später bemerk habe.

Vielleicht hilft die Beschreibung, da ich so etwas hier noch nicht gelesen hatte.
Gruß Jörg


Alt 30.05.2012, 10:32   #756
benton18
 
Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware) - Standard

Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware)



@timeagent:

Es hat den Anschein, der Trojaner schreibt einge Tempfiles und legt auch nochmal eine Sicherheitskopie von sich selbst ab. Vondaher wäre es nicht gut, wenn du deine C: jetzt ohne Backup schredderst, wenn wenn, dann liegt der schlüssel ev tatsächlich in den Zusatzfiels. Alles nur Vermutungen;-)

Alt 30.05.2012, 10:56   #757
timeagent
 
Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware) - Icon30

Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware)



Dann kann ich nur hoffen, das der Kaspersky nicht diese Files selbstständig gelöscht hat, anstatt in Quarantäne zu schicken. Ich hab gerade die beiden Platten auf die Netzwerkfestplatten gespiegelt, bzw. rüberkopiert. Vieleicht ist der "Müll" noch zu retten. Die Zeit wird es zeigen.

Und wenn Sie nicht gestorben sind....

Gruß
Stefan

Alt 30.05.2012, 11:09   #758
merlinsdragn
 
Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware) - Standard

Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware)



hi, ich hab eine Frage zum Tool an sich.

Ist es zwingend nötig eine unverschlüsselte Orginaldatei zu haben?
Mein Verstand meldet, dass es ohne diese gar nicht gehen kann einen Key zu erzeugen, aber vllt übersehe ich ja was.

ich habe jede Menge verschlüsselte Dateien im "Eigene Dateien"-Ordner...

habe ich Chance auf ein decrypt, wenn ich an keine Backup mit Orginaldateien rankomm?

liebe Grüße

Alt 30.05.2012, 11:11   #759
Nusshund
/// Helfer-Team
 
Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware) - Standard

Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware)



Zitat:
Zitat von merlinsdragn Beitrag anzeigen
hi, ich hab eine Frage zum Tool an sich.

Ist es zwingend nötig eine unverschlüsselte Orginaldatei zu haben?
Mein Verstand meldet, dass es ohne diese gar nicht gehen kann einen Key zu erzeugen, aber vllt übersehe ich ja was.

ich habe jede Menge verschlüsselte Dateien im "Eigene Dateien"-Ordner...

habe ich Chance auf ein decrypt, wenn ich an keine Backup mit Orginaldateien rankomm?

liebe Grüße
auch hier wieder die Frage wie sehen deinen verschlüsselten Files aus ¿

Alt 30.05.2012, 11:17   #760
merlinsdragn
 
Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware) - Standard

Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware)



Zitat:
Zitat von Nusshund Beitrag anzeigen
auch hier wieder die Frage wie sehen deinen verschlüsselten Files aus ¿
oh, entschuldiung.

Werde einige Dateinamen posten, Reihenfolge vollkommen zufällig.

aDtqNjdrfnTEXJ
AnyVXJGfLJEtJGjsqDgd
asvvAeeGggqpUUQLL
AxQQyDDtrrATVVJooexx
dGusyDOqNXdafnvE

ohne Dateiendung, so wie Sie sind...zw. 20 und 30kb

waren mal Word Dateien, wenn ich mich nicht irre.

Alt 30.05.2012, 11:37   #761
Nusshund
/// Helfer-Team
 
Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware) - Standard

Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware)



Zitat:
Zitat von merlinsdragn Beitrag anzeigen
oh, entschuldiung.

Werde einige Dateinamen posten, Reihenfolge vollkommen zufällig.

aDtqNjdrfnTEXJ
AnyVXJGfLJEtJGjsqDgd
asvvAeeGggqpUUQLL
AxQQyDDtrrATVVJooexx
dGusyDOqNXdafnvE

ohne Dateiendung, so wie Sie sind...zw. 20 und 30kb

waren mal Word Dateien, wenn ich mich nicht irre.
es gibt hier im Thema und auch in vielen anderen mehrfach die Erläuterung, dass es bei dieser Art der Verschlüsselung im Moment leider keine Hilfe gibt (ausgenommen Schattenkopie unter Vista bzw. Win7 wenn aktiviert)!!

Mir ist klar, dass man aufgeregt und verärgert ist wenn man betroffen ist.
Aber wenn wir hier zig mal das selbe sagen müssen, ist das auch nicht schön

Also bitte immer erst lesen und dann drauf los ;o)

Alt 30.05.2012, 11:39   #762
merlinsdragn
 
Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware) - Standard

Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware)



Zitat:
Zitat von Nusshund Beitrag anzeigen
es gibt hier im Thema und auch in vielen anderen mehrfach die Erläuterung, dass es bei dieser Art der Verschlüsselung im Moment leider keine Hilfe gibt (ausgenommen Schattenkopie unter Vista bzw. Win7 wenn aktiviert)!!

Mir ist klar, dass man aufgeregt und verärgert ist wenn man betroffen ist.
Aber wenn wir hier zig mal das selbe sagen müssen, ist das auch nicht schön

Also bitte immer erst lesen und dann drauf los ;o)
ok ich bitte um entschuldigung die 76 seiten nur überflogen zu haben.

Alt 30.05.2012, 11:41   #763
Nusshund
/// Helfer-Team
 
Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware) - Standard

Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware)



nein du musst dich nicht entschuldigen es ist ja auch nicht böse gemeint aber ein bischen lesen wäre schon schön *g*

Alt 30.05.2012, 12:32   #764
timeagent
 
Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware) - Standard

Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware)



Ich hab ne Frage! Sowas solls ja geben

Mir ist beim kopieren aufgefallen, das der Virus die Ordnerstruktur unberührt gelassen hat und nur die Dateien verändert. Aber halt nicht jede Datei. Den Windows Ordner kann ich ja noch verstehen, aber auch die ganzen Programme laufen noch. Ich hab ein Programm drauf, welches eine SQL Datenbank über den MSDE nutzt. Jene Datenbank, welche offen war wurde in Ruhe gelassen und jene die geschlossen war wurde gecryptet. Heißt für mich, das das Misstteil nur jene Dateien befällt, welche es über einen "Editor" öffnen kann. Und das geht nur bei unbenutzten Dateien.

Was die Verschlüsselung angeht, so konnte ich feststellen, das die Dateien nur am Anfang umgeschrieben wurden. Wenn ich die Dateien vom Schluss her vergleiche, ist keine Verschlüsselung zu finden. Gibt es ein Proggy, womit ich die Codes von zwei Files miteinander vergleichen kann?
Verschlüsselt sind ja nur die ersten 100 Codezeilen oder so. Zumindest in den Excel Dateien die ich verglichen habe!!!
VON HAND

Alt 30.05.2012, 12:37   #765
Nusshund
/// Helfer-Team
 
Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware) - Standard

Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware)



Zitat:
Zitat von timeagent Beitrag anzeigen
Ich hab ne Frage! Sowas solls ja geben

Mir ist beim kopieren aufgefallen, das der Virus die Ordnerstruktur unberührt gelassen hat und nur die Dateien verändert. Aber halt nicht jede Datei. Den Windows Ordner kann ich ja noch verstehen, aber auch die ganzen Programme laufen noch. Ich hab ein Programm drauf, welches eine SQL Datenbank über den MSDE nutzt. Jene Datenbank, welche offen war wurde in Ruhe gelassen und jene die geschlossen war wurde gecryptet. Heißt für mich, das das Misstteil nur jene Dateien befällt, welche es über einen "Editor" öffnen kann. Und das geht nur bei unbenutzten Dateien.

Was die Verschlüsselung angeht, so konnte ich feststellen, das die Dateien nur am Anfang umgeschrieben wurden. Wenn ich die Dateien vom Schluss her vergleiche, ist keine Verschlüsselung zu finden. Gibt es ein Proggy, womit ich die Codes von zwei Files miteinander vergleichen kann?
Verschlüsselt sind ja nur die ersten 100 Codezeilen oder so. Zumindest in den Excel Dateien die ich verglichen habe!!!
VON HAND
Ja das gibts z.B. Winmerge habe aber selbst schon probiert einfach den Bereich zu tauschen welcher verändert ist, aber Datei bleibt Müll

Thema geschlossen

Themen zu Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware)
abrechnung.zip, applikation, beliebige, bytes, dateien verschlüsselt, decrypthelper, ebenfalls, locked, log-analyse und auswertung, neue, ransomware, realtecdriver, rechnung.exe, sie haben sich mit einen windows-verschlüsselungs trojaner infiziert, tr/crypt.xpack.gen, tr/injector.lo, trojan.crypt.ebj, trojan:w32/ransomcrypt, trojan:win32/ransom.opv, verschlüsselt, verschlüsselte dateien, verschlüsselung, wiederherstellung, windows update virus




Ähnliche Themen: Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware)


  1. Dateien (vermutl. durch Trojaner) verschlüsselt, wiederherstellung möglich?
    Plagegeister aller Art und deren Bekämpfung - 07.03.2015 (5)
  2. gefälschte Rechnung von Vodaphone mit falschem Link zur angeblichen .pdf-Rechnung
    Plagegeister aller Art und deren Bekämpfung - 18.12.2014 (9)
  3. Win 7 64Bit rECHNUNG:EXE TROJANER KEINE VERSCHLÜSSELTEN DATEIEN
    Log-Analyse und Auswertung - 04.05.2014 (7)
  4. Trojan.Ransomcrypt.F in c:\users\XXX\appdata\roaming\{112c4a02-1112-2f13-0e22-00181b0b15df}.exe: Wiederherstellung verschlüsselter Dateien
    Plagegeister aller Art und deren Bekämpfung - 21.09.2013 (5)
  5. Wiederherstellung von durch neuen Tojaner verschlüsselten Dateien
    Plagegeister aller Art und deren Bekämpfung - 06.03.2013 (15)
  6. Benötige Hilfe beim entschlüsseln meiner durch den Virus verschlüsselten Dateien
    Diskussionsforum - 29.01.2013 (4)
  7. Trojaner verschlüsselt Dateien und hängt Endung .police an - Wiederherstellung möglich?
    Plagegeister aller Art und deren Bekämpfung - 25.09.2012 (5)
  8. Bundestrojaner/Bundespolizei Virus mit verschlüsselten Dateien
    Plagegeister aller Art und deren Bekämpfung - 22.09.2012 (10)
  9. Dateien sind alle umbenannt in z.b. aeDepXDTssXlaTsX durch einen Anhang von einer E-Mail (Rechnung)
    Plagegeister aller Art und deren Bekämpfung - 05.09.2012 (1)
  10. Wiederherstellung/Entschlüsselung von Dateien
    Plagegeister aller Art und deren Bekämpfung - 07.06.2012 (5)
  11. (xpost) neuer Verschlüsselungstrojaner mit teils unveränderten aber trotzdem verschlüsselten Dateien
    Mülltonne - 07.06.2012 (3)
  12. Verschlüsselungstrojaner "Windows Update" (Rechnung.zip) incl. Sperrung aller Dateien
    Log-Analyse und Auswertung - 31.05.2012 (3)
  13. Trojaner? Rechnung.exe geöffnet aus Email, Dateien nun locked
    Plagegeister aller Art und deren Bekämpfung - 30.04.2012 (12)
  14. Aufnahme in "zu entschlüsselnde User"-Liste (Realtecdriver.exe / locked-?.wxyz)
    Log-Analyse und Auswertung - 27.04.2012 (2)
  15. Wiederherstellung der verschlüsselten Dateien nach Trojan.Encoder
    Anleitungen, FAQs & Links - 25.04.2012 (1)
  16. .exe-Dateien + Task-Manager öffnen nicht, Sys-Wiederherstellung klappt nicht
    Log-Analyse und Auswertung - 11.05.2011 (3)
  17. Erpressung mit verschlüsselten Dateien
    Plagegeister aller Art und deren Bekämpfung - 07.12.2010 (1)

Zum Thema Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware) - @asoka das liegt daran, dass es für XP bisher noch nichts gibt, was soll dann gepostet werden?... Bei Vista und Win7 hast du die Shadow Volumes als Möglichkeit, mit der - Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware)...
Archiv
Du betrachtest: Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware) auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.