Lutz,
dann gratuliere ich Dir zur erfolgreichen Wiederherstellung.
Und wenn das Deine Dateien waren, dann paß bei zukünftigen Aktionen etwas besser darauf auf.

In diesem Sinne, viel Glück.

Volker

Zitat:

Zitat von Undertaker

Lutz,
dann gratuliere ich Dir zur erfolgreichen Wiederherstellung.
Und wenn das Deine Dateien waren, dann paß bei zukünftigen Aktionen etwas besser darauf auf.

In diesem Sinne, viel Glück.

Volker

Na ja....das mit dem "Aufpassen" ist natürlich so eine Sache.
Es ist ja auch eine ziemlich fiese Masche, e-mails zu verschicken mit einer recht professionell aussehenden Bestätigung einer Bestellung, an die man sich zwar nicht erinnert, die andererseits aber vielleicht auch durch einen versehentlichen Klick af irgendeinen Button entstanden sein kann.
Unsicher, wie man dann ist, öffnet man den Anhang - und es ist passiert.
Na ja, wie heißt es so richtig: Durch Schaden wird man klug.
(Anderes Beispiel: Bevor mir folgendes passiert ist, habe ich es auch für undenkbar gehalten: Man hat mir mal in Italien aus dem Portemonnaie, das ich in der Hand hielt, 50 € "gezupft", ohne dass ich es gemerkt habe!)
Ich werde also demnächst noch vorsichtiger sein.
Gruß
Lutz

Hallo zusammen.

Ich komme nicht weiter. Habe mittlerweile gefühlte tausendmal probiert einen Schlüssel herzustellen, aber bekomme es nicht.
Das Problem ist, dass die Beispielbilder von Vista komischerweise auf dem PC nicht verschlüsselt sind und ich habe keine Idee, welche Dateien ich sonst nehmen könnte um die Verschlüsselung aufzuheben.

Bitte um Hilfe
Danke

Zitat:

Zitat von Undertaker

Hallo Andie,
klar hilft die, allerdings gehen dabei alle, nach der Sicherung angelegten Dateien, verloren.
Verschlüsselte Dateien auf anderen Partitionen, die nicht Bestandteil des Backups sind bleiben verschlüsselt.
.
.
.
-


Hallo LvW,
hast Du alle Dateien geprüft?
Das Anlegen der Dateien mit Originalnamen sagt noch nicht aus, dass diese auch als brauchbare Dateien wiederhergestellt wurden

Gruß Volker

Ja habe Win7-64

aber meine Sicherung von C:\ ist Monate alt. daher meine Frage nach der Nützlichkeit. Würde in dem Falle wohl eher nichts bringen, da system so weit wieder läuft. bis auf eigene Dokumente, Office-Outlook; Mozilla. Wobei ich für Mozilaa wohl noch gute Chancen sehe durch neuinstall, da Profilordner serarat abgelegt sind, könnte ich zurück kopieren. Die von mir gefunden XXX.exe in appdata ist von anderem pc von Avira free als Trojaner TR/Jrik.Pandora gemeldet wurden. Auf meinem Pc wird dies von Avira ignoriert.

@Andie,
hast Du schon mal nach Schattenkopien geschaut?
Mit Win7 hast Du da gute Chancen, falls die Option Schattenkopien aktiviert ist.
Das gilt gerade für C:
Schau mal hier nach Shadow Explorer und da steht auch was zu Outlook.

Volker

vielleicht noch ales Ergänzung:
Ich hatte ein Mail von flirt-fever und habe dummerweise den Anhang geöffnet. Habe als ich mitbekam, dass es ein trojaner ist, den PC sofotrt ausgemacht und die maleware durchlaufen lassen und den trojaner gelöscht...
erst dann habe ich festgestellt, dass ich die dateien nicht mehr öffnen kann und habe dann hier gelesen was los ist.
Nun habe ich Dateien, die alle von dem Trojaner umbenannt worden sind und komme nicht weiter.
Sie heißen zum Beispiel:
vNraQlOXLtyUoxOJeUGjX
UQGjfLsqyUoGAVXvsr
erTTuDgpvGqfosAA
NTuDgXLsqUoxxAfnsqr

Die Dateien sind für mich von großer Bedeutung und ich weiß nicht wie ich die wiederherstellen kann und ich wie vorgehen soll. Habe es schon mit den oben empfohlenen DecrypHelper probiert, aber da kommt immer dass kein Schlüssel generiert werden kann.

Vielen Dank schonmal im Vorraus. Bin über jede Antwort dankbar, denn ich sitze nun schon seit 2 Tagen vor den Dateien und komme einfach nicht weiter.

Danke

Hier noch die LogDatei :

Malwarebytes Anti-Malware 1.61.0.1400
www.malwarebytes.org

Datenbank Version: v2012.06.06.04

Windows Vista x86 NTFS
Internet Explorer 8.0.6001.18904
Mathias ***** :: MATHIAS-PC [Administrator]

06.06.2012 16:04:04
mbam-log-2012-06-06 (16-04-04).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 190583
Laufzeit: 4 Minute(n), 55 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|{BDF217F2-19ED-E600-7386-26E33C69460F} (Trojan.Agent) -> Daten: C:\Users\Mathias *******\AppData\Roaming\Microsoft\IdentityCRL\temp\odbcconf.exe -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 7
C:\Users\Mathias ******\AppData\Roaming\Microsoft\IdentityCRL\temp\odbcconf.exe (Trojan.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Mathias ******\Desktop\DecryptHelper-0.5.3.exe (Trojan.FakeAlert) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\$Recycle.Bin\S-1-5-21-737281456-2051379455-4103084561-1000\$RRHTGAZ\Mitgliedschaft 2012 .com (Trojan.Agent.SZ) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\$Recycle.Bin\S-1-5-21-737281456-2051379455-4103084561-1000\$RSHQTSJ\Mitgliedschaft 2012 .com (Trojan.Agent.SZ) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Mathias ******\AppData\Local\Temp\onoyebxmgz.pre (Trojan.WinLock) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Mathias ******\Downloads\SoftonicDownloader_fuer_driver-genius.exe (PUP.OfferBundler.ST) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Mathias ******\Downloads\SoftonicDownloader_fuer_easycleaner.exe (PUP.OfferBundler.ST) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)

Macht ihr euch überhaupt die Mühe, auch nur ein klein wenig mal mit zulesen ??
@seeker19
Bei der Verschlüsselung gibt es noch nix für die entschlüsselung..
Das einzige was du probieren kanst, da du Vista hast, könntest du evt. Glück haben, wäre das Programm ShadowExplorer. Funktioniert aber auch nur, wenn die Funktion Schattenkopie in Windows an war.
Das Programm findest du als Link nem Post vor deinem, oder oben unter Übersicht der 8 Tools.

Also, ich bin wieder im rechner drin .... vielen dank für die hinweis wegen Kaspersky.

Ich habe nach dem scan einiges gefunden und gelöscht. Die text datei werde ich hier gleich noch mit posten. Kann das sein, das die exe datei mit einer "codierung" in system32 ordner der verschlüsselungs index ist?

Ich werde nun eine kopie aller dateien (scheinbar alles auf dem desktop nur (musik, bilder etc)) machen.

Zitat:

Objects Scan: completed <1 minute ago (events: 42, objects: 421848, time: 01:11:26)
6/5/12 9:24 PM Task completed
6/5/12 9:24 PM Deleted: Trojan.Win32.Jorik.Pandora.p C:/WINXP/system32/CE435491986436023A20.exe
6/5/12 9:24 PM Disinfected: Trojan.Win32.Jorik.Pandora.p HKEY_USERS\S-1-5-21-1659004503-1450960922-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Run/98643602
6/5/12 9:24 PM Disinfected: Trojan.Win32.Jorik.Pandora.p HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon/UserInit
6/5/12 9:23 PM Detected: Trojan.Win32.Jorik.Pandora.p C:/WINXP/system32/CE435491986436023A20.exe
6/5/12 9:23 PM Deleted: Trojan.Win32.Jorik.Pandora.p C:/Dokumente und Einstellungen/Arschkekz/Lokale Einstellungen/Temp/Vertrag 2012.zip
6/5/12 9:23 PM Detected: Trojan.Win32.Jorik.Pandora.p C:/Dokumente und Einstellungen/Arschkekz/Lokale Einstellungen/Temp/Vertrag 2012.zip/Rechnung nach Vertrag.com
6/5/12 9:23 PM Deleted: Exploit.Java.CVE-2010-4452.a C:/Dokumente und Einstellungen/Arschkekz/Anwendungsdaten/Sun/Java/Deployment/cache/6.0/28/5c23311c-7ef361f5
6/5/12 9:23 PM Detected: Exploit.Java.CVE-2010-4452.a C:/Dokumente und Einstellungen/Arschkekz/Anwendungsdaten/Sun/Java/Deployment/cache/6.0/28/5c23311c-7ef361f5
6/5/12 9:23 PM Deleted: Exploit.Java.CVE-2010-4452.a C:/Dokumente und Einstellungen/Arschkekz/Anwendungsdaten/Sun/Java/Deployment/cache/6.0/28/5c23311c-6a1d3734
6/5/12 9:23 PM Detected: Exploit.Java.CVE-2010-4452.a C:/Dokumente und Einstellungen/Arschkekz/Anwendungsdaten/Sun/Java/Deployment/cache/6.0/28/5c23311c-6a1d3734
6/5/12 9:23 PM Deleted: Exploit.Java.CVE-2010-4452.a C:/Dokumente und Einstellungen/Arschkekz/Anwendungsdaten/Sun/Java/Deployment/cache/6.0/28/5c23311c-5a304dd4
6/5/12 9:23 PM Detected: Exploit.Java.CVE-2010-4452.a C:/Dokumente und Einstellungen/Arschkekz/Anwendungsdaten/Sun/Java/Deployment/cache/6.0/28/5c23311c-5a304dd4
6/5/12 9:23 PM Deleted: Exploit.Java.CVE-2010-4452.a C:/Dokumente und Einstellungen/Arschkekz/Anwendungsdaten/Sun/Java/Deployment/cache/6.0/28/5c23311c-23d713f0
6/5/12 9:23 PM Detected: Exploit.Java.CVE-2010-4452.a C:/Dokumente und Einstellungen/Arschkekz/Anwendungsdaten/Sun/Java/Deployment/cache/6.0/28/5c23311c-23d713f0
6/5/12 9:23 PM Deleted: Exploit.Java.CVE-2010-4452.a C:/Dokumente und Einstellungen/Arschkekz/Anwendungsdaten/Sun/Java/Deployment/cache/6.0/28/5c23311c-205a617c
6/5/12 9:23 PM Detected: Exploit.Java.CVE-2010-4452.a C:/Dokumente und Einstellungen/Arschkekz/Anwendungsdaten/Sun/Java/Deployment/cache/6.0/28/5c23311c-205a617c
6/5/12 9:23 PM Deleted: Exploit.Java.CVE-2010-4452.a C:/Dokumente und Einstellungen/Arschkekz/Anwendungsdaten/Sun/Java/Deployment/cache/6.0/28/5c23311c-1aa93588
6/5/12 9:23 PM Detected: Exploit.Java.CVE-2010-4452.a C:/Dokumente und Einstellungen/Arschkekz/Anwendungsdaten/Sun/Java/Deployment/cache/6.0/28/5c23311c-1aa93588
6/5/12 9:23 PM Deleted: Trojan.Win32.Jorik.Pandora.p C:/Dokumente und Einstellungen/Arschkekz/Anwendungsdaten/Fuytr/5D5C7AB49864360274FF.exe
6/5/12 9:12 PM Detected: Trojan.Win32.Jorik.Pandora.p C:/Dokumente und Einstellungen/Arschkekz/Anwendungsdaten/Fuytr/5D5C7AB49864360274FF.exe
6/5/12 9:12 PM Untreated: Trojan.Win32.Jorik.Pandora.p C:/WINXP/system32/CE435491986436023A20.exe Postponed
6/5/12 9:12 PM Detected: Trojan.Win32.Jorik.Pandora.p C:/WINXP/system32/CE435491986436023A20.exe
6/5/12 9:06 PM Untreated: Trojan.Win32.Jorik.Pandora.p C:/WINXP/system32/CE435491986436023A20.exe Postponed
6/5/12 9:06 PM Detected: Trojan.Win32.Jorik.Pandora.p C:/WINXP/system32/CE435491986436023A20.exe
6/5/12 8:48 PM Untreated: Trojan.Win32.Jorik.Pandora.p C:/Dokumente und Einstellungen/Arschkekz/Lokale Einstellungen/Temp/Vertrag 2012.zip/Rechnung nach Vertrag.com Postponed
6/5/12 8:48 PM Detected: Trojan.Win32.Jorik.Pandora.p C:/Dokumente und Einstellungen/Arschkekz/Lokale Einstellungen/Temp/Vertrag 2012.zip/Rechnung nach Vertrag.com
6/5/12 8:14 PM Untreated: Exploit.Java.CVE-2010-4452.a C:/Dokumente und Einstellungen/Arschkekz/Anwendungsdaten/Sun/Java/Deployment/cache/6.0/28/5c23311c-7ef361f5 Postponed
6/5/12 8:14 PM Detected: Exploit.Java.CVE-2010-4452.a C:/Dokumente und Einstellungen/Arschkekz/Anwendungsdaten/Sun/Java/Deployment/cache/6.0/28/5c23311c-7ef361f5
6/5/12 8:14 PM Untreated: Exploit.Java.CVE-2010-4452.a C:/Dokumente und Einstellungen/Arschkekz/Anwendungsdaten/Sun/Java/Deployment/cache/6.0/28/5c23311c-6a1d3734 Postponed
6/5/12 8:14 PM Untreated: Exploit.Java.CVE-2010-4452.a C:/Dokumente und Einstellungen/Arschkekz/Anwendungsdaten/Sun/Java/Deployment/cache/6.0/28/5c23311c-5a304dd4 Postponed
6/5/12 8:14 PM Detected: Exploit.Java.CVE-2010-4452.a C:/Dokumente und Einstellungen/Arschkekz/Anwendungsdaten/Sun/Java/Deployment/cache/6.0/28/5c23311c-6a1d3734
6/5/12 8:14 PM Detected: Exploit.Java.CVE-2010-4452.a C:/Dokumente und Einstellungen/Arschkekz/Anwendungsdaten/Sun/Java/Deployment/cache/6.0/28/5c23311c-5a304dd4
6/5/12 8:14 PM Untreated: Exploit.Java.CVE-2010-4452.a C:/Dokumente und Einstellungen/Arschkekz/Anwendungsdaten/Sun/Java/Deployment/cache/6.0/28/5c23311c-23d713f0 Postponed
6/5/12 8:14 PM Detected: Exploit.Java.CVE-2010-4452.a C:/Dokumente und Einstellungen/Arschkekz/Anwendungsdaten/Sun/Java/Deployment/cache/6.0/28/5c23311c-23d713f0
6/5/12 8:14 PM Untreated: Exploit.Java.CVE-2010-4452.a C:/Dokumente und Einstellungen/Arschkekz/Anwendungsdaten/Sun/Java/Deployment/cache/6.0/28/5c23311c-205a617c Postponed
6/5/12 8:14 PM Untreated: Exploit.Java.CVE-2010-4452.a C:/Dokumente und Einstellungen/Arschkekz/Anwendungsdaten/Sun/Java/Deployment/cache/6.0/28/5c23311c-1aa93588 Postponed
6/5/12 8:14 PM Detected: Exploit.Java.CVE-2010-4452.a C:/Dokumente und Einstellungen/Arschkekz/Anwendungsdaten/Sun/Java/Deployment/cache/6.0/28/5c23311c-205a617c
6/5/12 8:14 PM Detected: Exploit.Java.CVE-2010-4452.a C:/Dokumente und Einstellungen/Arschkekz/Anwendungsdaten/Sun/Java/Deployment/cache/6.0/28/5c23311c-1aa93588
6/5/12 8:14 PM Untreated: Trojan.Win32.Jorik.Pandora.p C:/Dokumente und Einstellungen/Arschkekz/Anwendungsdaten/Fuytr/5D5C7AB49864360274FF.exe Postponed
6/5/12 8:14 PM Detected: Trojan.Win32.Jorik.Pandora.p C:/Dokumente und Einstellungen/Arschkekz/Anwendungsdaten/Fuytr/5D5C7AB49864360274FF.exe
6/5/12 8:12 PM Task started

es handelt sich wohl um eine Pandora version..


vielen dank erstmal wieder :-)

Zitat:

Zitat von seeadler

Macht ihr euch überhaupt die Mühe, auch nur ein klein wenig mal mit zulesen ??

Ja, ich hab die anderen Beiträge gelesen, allerdings bin ich kein PC-Fachmann. Ich hab da keine Ahnung von. Und die anderen Dinge die in den Beiträge standen, hab ich schon ausprobiert und es hat leider nicht funktioniert.

was ist denn die "Funktion Schattenkopie"? Wo kann ich schauen ob diese an war? Das Program hab ich schon runtergeladen, komme damit allerding nicht so wirklich klar.

Danke schonmal

Zitat:

Zitat von seeker19

Ja, ich hab die anderen Beiträge gelesen, allerdings bin ich kein PC-Fachmann. Ich hab da keine Ahnung von. Und die anderen Dinge die in den Beiträge standen, hab ich schon ausprobiert und es hat leider nicht funktioniert.

was ist denn die "Funktion Schattenkopie"? Wo kann ich schauen ob diese an war? Das Program hab ich schon runtergeladen, komme damit allerding nicht so wirklich klar.

Danke schonmal

Wenn Du dem Rat von @seeadler gefolgt bist, dann hast Du auch das gesehen.

Also was soll man noch machen wenn nichtmal ein Schritt-für-Schritt-Video hilft.

Volker

Das tut mir leid, das hatte ich nicht gefunden. Hatte nur ein englischsprachiges gefunden, wo ich nicht allzu viel verstand.

Ich habe nachgeschaut und feststellen müssen, dass die Schattenkopie nicht angestellt waren.
Da ich auch nicht den Prefix "locked" habe, stehen die Chancen sehr schlecht, oder?

Eine ganz blöde Frage hätte ich noch: Würde es sich lohnen, sich nochmal den Trojaner draufzuziehen damit man den Prefix "locked" erhält, denn dann würden die anderen Tools von oben ja greifen. Oder ist das sinnlos, weil sie dann sozusagen "Doppelt verschlüsselt" wären?

Ich frage deswegen so dumm, weil die Dateien echt wichtig sind... Es handelt sich um meine Doktorarbeit, die zwar noch nicht fertig war, aber dennoch schon über 100 Seiten beiinhaltete und alle möglichen Quellen dazu...
Deswegen ist es für mich von großer Bedeutung!

Danke

Nach momentanen Stand hast du keine möglichkeit.
Kannst eigentlich nur deine Daten sichern, und warten, bzw hoffen das noch was kommt.

Zitat:

Zitat von seeker19

Das tut mir leid, das hatte ich nicht gefunden. Hatte nur ein englischsprachiges gefunden, wo ich nicht allzu viel verstand.

Ich habe nachgeschaut und feststellen müssen, dass die Schattenkopie nicht angestellt waren.
Da ich auch nicht den Prefix "locked" habe, stehen die Chancen sehr schlecht, oder?

Wenn es sich um Texte der Doktorarbeit handelt, ja.
Bei JPGs kann noch was gehen und bei PDF teilweise.

Du kannst nur sichern und auf bessere Zeiten hoffen.

Zitat:

Eine ganz blöde Frage hätte ich noch: Würde es sich lohnen, sich nochmal den Trojaner draufzuziehen damit man den Prefix "locked" erhält, denn dann würden die anderen Tools von oben ja greifen. Oder ist das sinnlos, weil sie dann sozusagen "Doppelt verschlüsselt" wären?

Stell Dir mal folgendes vor:

Ich nehme Deinen Personalausweis und mache aus sebastian seeker ---> ferdinand keeser.

Nun bittest u @seeadler das wieder in Ordnung zu bringen.
Der macht nun aus ferdinand keeser ---> klaus-ferdinand keeser-flop

Wer soll glauben, dass Du eigentlich sebastian seeker heißt?

Zitat:

Zitat von Undertaker

Wenn es sich um Texte der Doktorarbeit handelt, ja.
Bei JPGs kann noch was gehen und bei PDF teilweise.

Du kannst nur sichern und auf bessere Zeiten hoffen.

Ja es sind hauptsächlich Texte. Aber auch die JPG's aus dem Ordner kann ich nicht wiederherstellen... Trotzdem Danke.

Zitat:

Zitat von Undertaker

Stell Dir mal folgendes vor:

Ich nehme Deinen Personalausweis und mache aus sebastian seeker ---> ferdinand keeser.

Nun bittest u @seeadler das wieder in Ordnung zu bringen.
Der macht nun aus ferdinand keeser ---> klaus-ferdinand keeser-flop

Wer soll glauben, dass Du eigentlich sebastian seeker heißt?

Ja, das klingt logisch. Aber die Hoffnung stirbt ja bekanntlich zuletzt. :-)

Danke.

Zitat:

Zitat von seeker19

Aber auch die JPG's aus dem Ordner kann ich nicht wiederherstellen...

Das stimmt so nicht, lese mal im Reparaturthema nach.