Zitat:

Zitat von bobsen

Hallo Undertaker,
ne meine Dateien heißen alle, "ruOodvALsrJgLsfQy" oder "DpsTjvTAUDQrDLqQOE", also so nach dem Klein/Groß-Buchstaben Muster. "Locked-" Dateinamen oder Dateitypen habe ich nirgendwo gefunden.
Denke dann muss ich wohl das System neu aufspielen.
Danke bis hier hin

Du könntest höchstens mal noch den ShadowExplorer probieren..
Bringt aber nur was, wenn du Vista oder Win7 hast, und die Funktion aktiviert war.

Hallo an alle Geschädigten !

Ich will hiermit nur eine Erfolgsmeldung abgeben, vielleicht macht es ja anderen "Befallenen" Mut.
Mit der Version 0.5.3 von Matthias hat es wunderbar geklappt - alle verschlüsselten Dateien (und es waren sehr viele, primär pdf, jpg und doc) sind in kurzer Zeit wieder hergestellt worden. Und zwar über die Variante "Ordner entschlüsseln".
Ich habe gehört, dass es sich bei mir glücklicherweise um die "sanftere" Version des Trojaners gehandelt hätte, der sich per e-mail-Anhang eingenistet hatte.
Alle Dateien wurden umbenannt wie folgt:
Original: Bild.jpg
Verschlüsselt: locked-Bild.jpg.wxyz (wxyz steht stellvertretend für beliebige nicht oder selten wiederkehrende Buchstaben-Kombinationen).
______________
Ein großer Dank an Matthias!
Gruß an alle
L.

Moin,

habe einen Kunden der hat sich den Verschlüsselungstrojaner eingefangen und keine Datensicherung. Habe es dann mit den Beispielbildern versucht und einen schlüssel generiert aber funktioniert nicht. Scheint aber auch unterschiedlich verschlüsselt zu sein. Mal sind die Dateinamen nur zahlen 27367409827 mal Buchstaben und Zahlenkobis D3Fds§f2 mal sind es die normalen Dateinamen aber die gehen nicht auf kommt immer nur Datei ist beschädigt. Habe dem Kunden auch schon gesagt die alle weg sind. Aber eigentlich interessiert mich ob ich es evtl hinbekommen die wiederherzustellen.

MFG

Simon

Hallo Undertaker,

danke für den tip ich werde es versuchen!
lg
Ala

Hallo hier habe ich 2 Auszüge vom scan bitte helft mir weiter ich weiß nicht wo die Orginalen Dateien sind ich habe diesen Montag meine Prüfung und brauche meine Datein wieder.


das der vom quick scan

Malwarebytes Anti-Malware (Test) 1.61.0.1400
www.malwarebytes.org

Datenbank Version: v2012.06.07.02

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
Sam :: SAM-VAIO [Administrator]

Schutz: Aktiviert

07.06.2012 11:19:43
mbam-log-2012-06-07 (11-19-43).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 227668
Laufzeit: 7 Minute(n), 12 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 3
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|{1BD7E728-9D22-2F4F-E59F-6EF3CDF19BBB} (Trojan.ZbotR.Gen) -> Daten: C:\Users\Sam\AppData\Roaming\Ybpolui\wabeum.exe -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|{D8044F22-D4E3-E208-C872-4E4574251F38} (Trojan.ZbotR.Gen) -> Daten: C:\Users\Sam\AppData\Roaming\Ugqi\hoxyla.exe -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|{69C755FF-B260-FC9A-FA8D-7889DF83F1E6} (Trojan.ZbotR.Gen) -> Daten: C:\Users\Sam\AppData\Roaming\Qaag\yzna.exe -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 8
C:\Users\Sam\Desktop\ADLSoft_UnCompressor_v2.exe (PUP.Adware.InstallCore) -> Keine Aktion durchgeführt.
C:\Users\Sam\Downloads\SoftonicDownloader_fuer_fussball-manager-11.exe (PUP.OfferBundler.ST) -> Keine Aktion durchgeführt.
C:\Users\Sam\AppData\Roaming\Urzubnlr\8A46F01B7014F5FEE924.exe (Trojan.Ransom) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Sam\Desktop\DecryptHelper-0.5.3.exe (Trojan.FakeAlert) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Sam\AppData\Local\Temp\jar_cache3015618715334529325.tmp (Trojan.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Sam\AppData\Local\Temp\file2.exe (Trojan.Agent.Gen) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Sam\AppData\Local\Temp\ch8l0.exe (Exploit.Drop) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Sam\AppData\Local\Temp\ms0cfg32.exe (Exploit.Drop.CFG) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)




das der lange scan

Malwarebytes Anti-Malware (Test) 1.61.0.1400
www.malwarebytes.org

Datenbank Version: v2012.06.07.02

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
Sam :: SAM-VAIO [Administrator]

Schutz: Aktiviert

07.06.2012 11:27:35
mbam-log-2012-06-07 (11-27-35).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 425620
Laufzeit: 1 Stunde(n), 21 Minute(n), 32 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Uncompressor (PUP.Adware.InstallCore) -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 4
C:\Program Files (x86)\Uncompressor\Uninstall\Uninstall.exe (PUP.Adware.InstallCore) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Sam\AppData\Local\Opera\Opera\cache\g_007D\opr0AVMC.tmp (PUP.Adware.InstallCore) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Sam\AppData\Local\Opera\Opera\cache\g_007D\opr0AVMQ.tmp (Trojan.FakeAlert) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Sam\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\16\3856fb90-5e6dac2e (Trojan.Ransom) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)

Danke für die Hilfe

Hallo zusammen,
habe wie seeadler seit gestern das gleiche Problem.

Habe noch die verseuchte mail bei web.de und im Ordner Benutzer\appdata\roaming\eine ähnlichen Ordner mit einer *.exe entsprechend passender Urhzeit zur verseuchten mail.
wäre dies hilfreich?

Willkürliche Dateinamen der verschlüsselten Dateien ohne definierbare Endung. Habe alle Partitionen geklont, log`s erstellt. Die Tools "scareUncrypt" und Pandaunranson generieren zwar einen Key, kann damit aber keine Dateien entschlüsseln. wobei Panda noch einen Reg-schlüssel generiert,wenn ich es richtig deute.

Würde mir eine vor Monaten gemachte sicherung der sys-Partition helfen?

für die bisherige Arbeit hier und eventuelle Hilfe vorab schon mal danke

Zitat:

Zitat von Andie

Würde mir eine vor Monaten gemachte sicherung der sys-Partition helfen?

Hallo Andie,
klar hilft die, allerdings gehen dabei alle, nach der Sicherung angelegten Dateien, verloren.
Verschlüsselte Dateien auf anderen Partitionen, die nicht Bestandteil des Backups sind bleiben verschlüsselt.
.
.
.
-

Zitat:

Zitat von LvW

Hallo an alle Geschädigten !

Ich will hiermit nur eine Erfolgsmeldung abgeben,
...
- alle verschlüsselten Dateien (und es waren sehr viele, primär pdf, jpg und doc) sind in kurzer Zeit wieder hergestellt worden.
...
Alle Dateien wurden umbenannt wie folgt:
Original: Bild.jpg
Verschlüsselt: locked-Bild.jpg.wxyz

Gruß an alle
L.

Hallo LvW,
hast Du alle Dateien geprüft?
Das Anlegen der Dateien mit Originalnamen sagt noch nicht aus, dass diese auch als brauchbare Dateien wiederhergestellt wurden

Gruß Volker

Zitat:

Zitat von Undertaker

Hallo LvW,
hast Du alle Dateien geprüft?
Das Anlegen der Dateien mit Originalnamen sagt noch nicht aus, dass diese auch als brauchbare Dateien wiederhergestellt wurden

Gruß Volker

Hallo Volker, da hast Du im Prinzip natürlich recht.
Aber bevor ich so eine Erfolgsmeldung loslasse, prüfe ich natürlich, ob alles lesbar ist. Und ich habe bisher keine Probleme festgestellt.
Noch was: Da ich direkt auf c: auch einige Dateien hatte, habe ich dem Entschlüsseler irgendwann c: als Ordner genannt - und er hat dann sowohl diese Einzeldateien als auch alle Dateien in den Ordnern auf c: (einschl. Unterordner) entschlüsselt.
Also alles in einem Rutsch!.
Gruß
Lutz

Zitat:

Zitat von Undertaker

Hallo Andie,
klar hilft die, allerdings gehen dabei alle, nach der Sicherung angelegten Dateien, verloren.
Verschlüsselte Dateien auf anderen Partitionen, die nicht Bestandteil des Backups sind bleiben verschlüsselt.
.
.
.
-


Hallo LvW,
hast Du alle Dateien geprüft?
Das Anlegen der Dateien mit Originalnamen sagt noch nicht aus, dass diese auch als brauchbare Dateien wiederhergestellt wurden

Gruß Volker

Ja habe Win7-64

aber meine Sicherung von C:\ ist Monate alt. daher meine Frage nach der Nützlichkeit. Würde in dem Falle wohl eher nichts bringen, da system so weit wieder läuft. bis auf eigene Dokumente, Office-Outlook; Mozilla. Wobei ich für Mozilaa wohl noch gute Chancen sehe durch neuinstall, da Profilordner serarat abgelegt sind, könnte ich zurück kopieren. Die von mir gefunden XXX.exe in appdata ist von anderem pc von Avira free als Trojaner TR/Jrik.Pandora gemeldet wurden. Auf meinem Pc wird dies von Avira ignoriert.

Wenn du Win7 oder vista

Zitat:

Zitat von Andie

Hallo zusammen,
habe wie seeadler seit gestern das gleiche Problem.

Habe noch die verseuchte mail bei web.de und im Ordner Benutzer\appdata\roaming\eine ähnlichen Ordner mit einer *.exe entsprechend passender Urhzeit zur verseuchten mail.
wäre dies hilfreich?

Willkürliche Dateinamen der verschlüsselten Dateien ohne definierbare Endung. Habe alle Partitionen geklont, log`s erstellt. Die Tools "scareUncrypt" und Pandaunranson generieren zwar einen Key, kann damit aber keine Dateien entschlüsseln. wobei Panda noch einen Reg-schlüssel generiert,wenn ich es richtig deute.

Würde mir eine vor Monaten gemachte sicherung der sys-Partition helfen?

für die bisherige Arbeit hier und eventuelle Hilfe vorab schon mal danke

Wenn du Win7 oder Vista hast, kannst du es auch mal mit dem ShadowExplorer probieren, das hat bei mir ja zum Erfolg geführt...

Lutz,
dann gratuliere ich Dir zur erfolgreichen Wiederherstellung.
Und wenn das Deine Dateien waren, dann paß bei zukünftigen Aktionen etwas besser darauf auf.

In diesem Sinne, viel Glück.

Volker

Zitat:

Zitat von Undertaker

Lutz,
dann gratuliere ich Dir zur erfolgreichen Wiederherstellung.
Und wenn das Deine Dateien waren, dann paß bei zukünftigen Aktionen etwas besser darauf auf.

In diesem Sinne, viel Glück.

Volker

Na ja....das mit dem "Aufpassen" ist natürlich so eine Sache.
Es ist ja auch eine ziemlich fiese Masche, e-mails zu verschicken mit einer recht professionell aussehenden Bestätigung einer Bestellung, an die man sich zwar nicht erinnert, die andererseits aber vielleicht auch durch einen versehentlichen Klick af irgendeinen Button entstanden sein kann.
Unsicher, wie man dann ist, öffnet man den Anhang - und es ist passiert.
Na ja, wie heißt es so richtig: Durch Schaden wird man klug.
(Anderes Beispiel: Bevor mir folgendes passiert ist, habe ich es auch für undenkbar gehalten: Man hat mir mal in Italien aus dem Portemonnaie, das ich in der Hand hielt, 50 € "gezupft", ohne dass ich es gemerkt habe!)
Ich werde also demnächst noch vorsichtiger sein.
Gruß
Lutz

Hallo zusammen.

Ich komme nicht weiter. Habe mittlerweile gefühlte tausendmal probiert einen Schlüssel herzustellen, aber bekomme es nicht.
Das Problem ist, dass die Beispielbilder von Vista komischerweise auf dem PC nicht verschlüsselt sind und ich habe keine Idee, welche Dateien ich sonst nehmen könnte um die Verschlüsselung aufzuheben.

Bitte um Hilfe
Danke

@Andie,
hast Du schon mal nach Schattenkopien geschaut?
Mit Win7 hast Du da gute Chancen, falls die Option Schattenkopien aktiviert ist.
Das gilt gerade für C:
Schau mal hier nach Shadow Explorer und da steht auch was zu Outlook.

Volker

Zitat:

Zitat von Undertaker

@Andie,
hast Du schon mal nach Schattenkopien geschaut?
Mit Win7 hast Du da gute Chancen, falls die Option Schattenkopien aktiviert ist.
Das gilt gerade für C:
Schau mal hier nach Shadow Explorer und da steht auch was zu Outlook.

Volker

Danke Für Den Hinweis,
habe schon nach Schattenkopien gesucht, da ich den Hinweis auf Shadow Explorer auch schon gelesen hatte, aber leider keine Kopien gefunden. Daher meine Frage nach dem Sinn eines uralten Image., da ich mir ziemlich sicher bin, dass Schattenkopien aktiviert waren, aber nicht mehr auffindbar.
möchte noch erwähnen das beim Virus-boot ein chkdsk auf der 3. von meinen 4 Partitionen durchgeführt wurde und viele Änderungen vorgenommen wurden.
Habe vorhin Avast vor windows scannen lassen und viele Fehler wurden gefunden. Mit Warmstart-abbruch dann von Windows Startprobleme beheben lassen. Und siehe da: office wieder funktionsfähig. Werde nun von Office zur Aktivierung aufgefordert.
Alte- nicht verschlüsselte Dokumente-Dateien lassen sich problemlos in allen Office-progs starten, auch Outlook.
Wäre jetzt meine Frage, ob es Sinn macht Schattenkopien zu suchen; und wo eventuell, da das System soweit wieder läuft und auch Avast nunmehr noch 4 Infektionen im Gegensatz zu Avira gefunden und beseitigt hat. Ich glaube das Virus verschlüsselt nur "eigene dokumente" und entsprechende Pfade, da auch meine Kopien des Ordners auf der anderen Partition davon betroffen sind. ebenso wurde auch der Ordner meiner Reserveplatte sofort bei Anschluss verschlüsselt.