Hy für starmoney brauchst du nur die datenbank
wenn die nicht verschlüsselt ist
datenbank sichern programm neuinstallieren datenbank einkopieren fertig

Gruss
J
schau bei starmony auf der webseite da steht wie es geht

Zitat:

Zitat von miha19

wie kann man die Fotos wiederherstellen?
Die mp3 dateien kann man die einfach umbennen und als .mp3 speichern...

Das ist hier zigfach beschrieben, lese einfach etwas mehr.

Volker

Hallo Undertaker,

danke für den tip ich werde es versuchen!
lg
Ala

Hallo hier habe ich 2 Auszüge vom scan bitte helft mir weiter ich weiß nicht wo die Orginalen Dateien sind ich habe diesen Montag meine Prüfung und brauche meine Datein wieder.


das der vom quick scan

Malwarebytes Anti-Malware (Test) 1.61.0.1400
www.malwarebytes.org

Datenbank Version: v2012.06.07.02

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
Sam :: SAM-VAIO [Administrator]

Schutz: Aktiviert

07.06.2012 11:19:43
mbam-log-2012-06-07 (11-19-43).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 227668
Laufzeit: 7 Minute(n), 12 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 3
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|{1BD7E728-9D22-2F4F-E59F-6EF3CDF19BBB} (Trojan.ZbotR.Gen) -> Daten: C:\Users\Sam\AppData\Roaming\Ybpolui\wabeum.exe -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|{D8044F22-D4E3-E208-C872-4E4574251F38} (Trojan.ZbotR.Gen) -> Daten: C:\Users\Sam\AppData\Roaming\Ugqi\hoxyla.exe -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|{69C755FF-B260-FC9A-FA8D-7889DF83F1E6} (Trojan.ZbotR.Gen) -> Daten: C:\Users\Sam\AppData\Roaming\Qaag\yzna.exe -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 8
C:\Users\Sam\Desktop\ADLSoft_UnCompressor_v2.exe (PUP.Adware.InstallCore) -> Keine Aktion durchgeführt.
C:\Users\Sam\Downloads\SoftonicDownloader_fuer_fussball-manager-11.exe (PUP.OfferBundler.ST) -> Keine Aktion durchgeführt.
C:\Users\Sam\AppData\Roaming\Urzubnlr\8A46F01B7014F5FEE924.exe (Trojan.Ransom) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Sam\Desktop\DecryptHelper-0.5.3.exe (Trojan.FakeAlert) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Sam\AppData\Local\Temp\jar_cache3015618715334529325.tmp (Trojan.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Sam\AppData\Local\Temp\file2.exe (Trojan.Agent.Gen) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Sam\AppData\Local\Temp\ch8l0.exe (Exploit.Drop) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Sam\AppData\Local\Temp\ms0cfg32.exe (Exploit.Drop.CFG) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)




das der lange scan

Malwarebytes Anti-Malware (Test) 1.61.0.1400
www.malwarebytes.org

Datenbank Version: v2012.06.07.02

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
Sam :: SAM-VAIO [Administrator]

Schutz: Aktiviert

07.06.2012 11:27:35
mbam-log-2012-06-07 (11-27-35).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 425620
Laufzeit: 1 Stunde(n), 21 Minute(n), 32 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Uncompressor (PUP.Adware.InstallCore) -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 4
C:\Program Files (x86)\Uncompressor\Uninstall\Uninstall.exe (PUP.Adware.InstallCore) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Sam\AppData\Local\Opera\Opera\cache\g_007D\opr0AVMC.tmp (PUP.Adware.InstallCore) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Sam\AppData\Local\Opera\Opera\cache\g_007D\opr0AVMQ.tmp (Trojan.FakeAlert) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Sam\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\16\3856fb90-5e6dac2e (Trojan.Ransom) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)

Danke für die Hilfe

Naja.. auch wenn die Daten wegen der Prüfung dringend gebraucht werden, ist ein wenig Lesen doch nicht zuviel verlangt, oder ?
Oben über den Thread steht was, das ganz wichtig...
Dann ist noch die Frage welchen Verschlüsselungskram du hast...
Steht zwar auch überall und immer wieder.. aber nur nochmal zur Sicherheit...
Hast du was mit locked im Namen, könnte eines der oben aufgeführten Tools noch helfen.
Hast du nur noch buchstabensalat mußt du wohl leider warten, ob sich noch was tut oder nicht...
Und eine möglichkeit gibts auch noch.. aber ups, die steht ja auch da oben..
ShadowExplorer kannst du auch noch probieren...

By the Way kann ich aber echt nicht nachvollziehen, wenn ihr so wichtige Daten habt, dass ihr euch die nicht 1-2 mal auf verschiedenen Medien sichert....

Das kann durchaus sein.
Ich wollte nun die wichtigen Daten aus Starmoney in einen anderen Ordner schieben, Starmoney deinstallieren und dann alles neu machen und die Daten übernehmen.
Es gibt aber gar keine Daten mehr? Alles weg? Wie kann das denn sein?
Auch meine Steuerfälle sind komplett weg.

Was kann ich tun?

VIELEN DANK

Marion

Zitat:

Zitat von Realjogi

Hy für starmoney brauchst du nur die datenbank
wenn die nicht verschlüsselt ist
datenbank sichern programm neuinstallieren datenbank einkopieren fertig

Gruss
J
schau bei starmony auf der webseite da steht wie es geht

Ja, so wollte ich es machen. Aber die Datenbanken sind weg!
Wie geht denn das?

LG Marion

Zitat:

Zitat von Prusseliese

Liebes Forum,

mich hat es auch erwischt, ich habe/hatte den Gema Trojaner.
Nun startet mein Starmoney nicht mehr, ich vermute, auch dort sind Dateien, die zum Starten notwendig sind, verschlüsselt.
Diese liegen unter c: im Verzeichnis Prigramm Data. Mit dem Entschlüsselungsprogramm kann ich diesen Ordner aber nicht sehen/laden.
Was kann ich da tun?

DANKE

Marion

Hallo Marion,

mich erwischt es auch jeden Tag.
Halbinformationen, wilde Beiträge und Lesefaulheit bombardieren mich jeden Tag.

Nun aber mal Butter bei die Fische.
Wie lange hast Du den Trojaner schon, seit Ende März?
Hier ein Auszug aus Deinem Logfile:

Code: Alles auswählenAufklappen

ATTFilter

[2012.03.31 18:10:23 | 000,017,408 | ---- | C] () -- C:\Users\Prusseliese\AppData\Local\locked-WebpageIcons.db.kdep
         

Was hast Du getan, um wieder in das System zu kommen?
Hast Du hier im Board individuelle Hilfe in Anspruch genommen?
Wenn nein, warum tust Du das nicht?
Hat nur einmal die Neugierde gesiegt, indem Du den Anhang einer Mail geöffnet hast?

Falls alle Dateien in der gleichen Form wie die WebpageIcons.db verschlüsselt wurden, hast Du auf jeden fall bessere Chancen die Daten zurück zu holen.

Gruß Volker

Am besten du machst erstmal Dein Thema auf und lässt Dich individuell unterstützen.

Folge dem Link unter Hinweise, ganz oben.

Kann es sein, dass die in nem versteckten Ordner liegen ?
Ich kenn Starmoney leider nicht..
Aber google mal nach Starmoney Datenbank sichern...
Hilft vielleicht

Hallo,

mich hatte es auch erwischt. Ich hatte einen Trojana der angeblich von der Gema war und ich sollte 100€ zahlen und es ging nichts mehr. Daraufhin hatte ich, bevor ich das hier alles gelesen hatte im abgesicherten Modus 3 exe Dateien die neu installiert wurden gelöscht und so kam ich dann auch wieder in den normalen Modus nur alle meine Dateien waren gesperrt. Dank des Tools DecryptHelper von Matthias konnte ich wieder alles entschlüsseln.

TAUSEND DANK AN MATTHIAS FÜR DIESES TOOL!!!!!!!!

Hallo zusammen und vielen Dank für das Super Tool Matthias!
Es hat mir sehr geholfen, allerdings hat jetzt eine Bekannte ein ähnliches Problem, den Virus habe ich wie oben beschrieben gekillt, allerdings lässt sich keines der Bilder öffnen. Keines weist auch die bekannten kryptischen Dateiendungen auf sondern heist einfach: Bild.jpg
Keines der Bilder lässt sich mit egal welchem Programm öffnen, Malwarebytes ist erfolgreich drüber gelaufen und hat nichts mehr gefunden, was kann ich noch tun um wieder Zugang zu den Bildern zu bekommen?

Grüße und vielen Dank Blume

@undertaker

Entschuldige bitte - ich habe nun sehr viel gelesen und habe auch einen extra Post aufgemacht, wie Du ja gesehen hast. Ich habe wirklich versucht alle Punkte abzuarbeiten.

Geschockt bin ich das ich den Trojaner seit März drauf haben soll.
Gemerkt hat es meine Tochter am Dienstag Abend, da erschien nämlich das Bild von der GEMA mit der Zahlungsaufforderung.
Ich habe dann am Mittwoch morgen den PC im abgesicherten Modus gestartet und das System wiederhergestellt. Damit kam ich erst mal an die Oberfläche. Seitdem lese ich mich im Thema ein.

Mittels Decrypthelper habe ich nun auch schon viele verschlüsselte Dateien weiderhergestellt - allerdings meckert Malwarebytes das dieses Programm gefährlich ist: Trojanfakealert.

Was soll ich denn nun tun? Ich fühle mich total überrollt.
Bilder, die sind mir sehr wichtig, sind fast alle zusätzlich in Webalben gesichert, Musik ist auf einer seperaten Platte, Starmoney kann ich auch neu einrichten, es nervt nur so unglaublich....

Mittels Shadowexplorer habe ich die Starmoneydaten wiedergefunden. Jepeeh! Nun also das Programm deinstallieren, neu installieren und dann die Daten wieder einfügen, wie bei SM beschrieben. Fleißarbeit aber es wird sich lohnen!

Liebe Grüße

Marion

Hallo,

leider klappt das programm bei mp3 ´s und bei avis nicht..

Vielen vielen dank für dieses program.

es hat mir schon fast verlorene bilder und videos der letzten 10 jahre wiedergebracht.

echt gute arbeit.

Zitat:

Zitat von Blume-REMC

Hallo zusammen und vielen Dank für das Super Tool Matthias!
Es hat mir sehr geholfen, allerdings hat jetzt eine Bekannte ein ähnliches Problem, den Virus habe ich wie oben beschrieben gekillt, allerdings lässt sich keines der Bilder öffnen. Keines weist auch die bekannten kryptischen Dateiendungen auf sondern heist einfach: Bild.jpg
Keines der Bilder lässt sich mit egal welchem Programm öffnen, Malwarebytes ist erfolgreich drüber gelaufen und hat nichts mehr gefunden, was kann ich noch tun um wieder Zugang zu den Bildern zu bekommen?

Grüße und vielen Dank Blume

Lade Dir mal JPEG Recovery runter.

JPEG-Recovery/

Versuche es mal mit der Professional DEMO.

Wenn es erfogreich ist, kannst Du es immer noch kaufen.

Volker

Zitat:

Zitat von Nero81

Hallo,

leider klappt das programm bei mp3 ´s und bei avis nicht..

hast Du die MP3s einfach mal wieder umbenannt,
also weiß-der-geier.mp3 oder wie auch immer?

Wenn nicht tu das mal und versuche es dann abzuspielen.

Volker

Zitat:

Zitat von markusg

hi
wie sehen deine verschlüsselten dateien aus? umbenannt wenn ja wie, welches betriebssystem?
infektionsquelle noch vorhanden?
an solchen mails mit rechnung, mahnung und sonstigen anhängen, von unbekannten absendern bin ich interessiert.
wenn du ein mail programm nutzt, dann mail markieren, rechtsklick, speichern unter, typ:
.eml einstellen.
dann bitte lesen:
markusg - trojaner-board.de
und mir die soeben erstellte datei zukommen lassen.
wenn du deine mails über den browser abrufst, sag mir mal welchen anbieter du nutzt, dann geht das ein bisschen anders.
bitte warne freunde, bekannte, verwante etc vor dieser masche, und lasse ihnen ruhig diese mail adresse zukommen.
sie können dann dorthin solche verdächtigen mails senden.
diese helfen uns dann, angemessen auf neue bedrohungen zu reagieren, da diese schadsoftware auch updates erhält ist das wichtig.

Die verschlüsselten Dateien sehen wie folgt aus:

[...] OsDQpOsvTrlupgevarluX [...]

Das verwendete Betriebssystem ist Microsoft Windows XP. Ich habe nun einen Original Datei gefunden. Falls ich das Decrypt Tool benutzte, kommt leider immer die Fehlermeldung, dass kein Schlüssel erzeug werden konnte.

Vielen Dank im Voraus