@ Undertaker
Ich denke es geht drum, dass er auf den Text noch keine Antwort bekommen hat:

Zitat:

Zitat von JTKaay

Noch was, bin mir nicht sicher ob mein post gelesen wurde ...

Ich habe möglicherweise was gefunden, 2 dateien die SEHR ahnlich sind.

Beide stammen vom 30.05, das eine wurde downloadet um 17:34, das andere abgespeichert um 17:44. Das erste ist 22679/24576 bytes, das 2 21955/24576 bytes gross (größe/größe auf datenträger) - wie wahrscheinlich ist das das selber datei?

Mussen die dateinamen gleich gewesen sein?

Ist aber auch nur ins blaue geraten...

Na ja, verstehe das trotzdem nicht.
Sind die nun verschlüsselt oder nicht?
Der Timestamp sagt garnix, manche sind vom 1.5.1602.
Wenn zwei Dateien annähern groß sind, dann belegen sie die gleiche Anzahl Cluster auf der HDD, was ist da besonderes?
Wo die Dateien lagen ist auch nicht erwähnt.
Selbst wenn es Kopien der selben Datei sein solten, was sagt das aus?

Ich wüsste nicht, was ich darauf antworten sollte.

Ich habe auch das Glück, nun dieses Problem zu haben.
Ich habe bis jetzt noch keine andere Originaldatei gefunden.
Ich wollte hierfür eigentlich die Windows Beispielfotos nehmen, nur sind diese natürlich auf dem infizierten Rechner nicht (!) verschlüsselt. Was nun?!

hi
wie sehen deine verschlüsselten dateien aus? umbenannt wenn ja wie, welches betriebssystem?
infektionsquelle noch vorhanden?
an solchen mails mit rechnung, mahnung und sonstigen anhängen, von unbekannten absendern bin ich interessiert.
wenn du ein mail programm nutzt, dann mail markieren, rechtsklick, speichern unter, typ:
.eml einstellen.
dann bitte lesen:
markusg - trojaner-board.de
und mir die soeben erstellte datei zukommen lassen.
wenn du deine mails über den browser abrufst, sag mir mal welchen anbieter du nutzt, dann geht das ein bisschen anders.
bitte warne freunde, bekannte, verwante etc vor dieser masche, und lasse ihnen ruhig diese mail adresse zukommen.
sie können dann dorthin solche verdächtigen mails senden.
diese helfen uns dann, angemessen auf neue bedrohungen zu reagieren, da diese schadsoftware auch updates erhält ist das wichtig.

emmm.. das ist jetzt ne dorfe frage aber nochmal woher soll man die originaldateien bekommen?

Zitat:

Zitat von snehula

emmm.. das ist jetzt ne dorfe frage aber nochmal woher soll man die originaldateien bekommen?

Die 3 Texte / Hinweise die ganz oben über dem Thread stehen, hast du aber gelesen, oder ?
Bzw die paar Posts vor deinem, wo die auch verlinkt sind ?

Naja..
Da du dies alles gewissenhaft überlesen hast, und wohl auch sonst keine Chance hast an die Daten zu kommen:
hxxp://www.trojaner-board.de/114115-wiederherstellung-verschluesselten-dateien-rechnung-exe-realtecdriver-exe-schadsoftware-7.html#post820441

ich hab hier namlich ein pc von einen bekannten, der kein backup ausgefuhrt hat und anscheinend hat sein xp noch nicht mal die backup utility.. gibts irgendeine moglichkeit die dateien zu retten?

seeadler schuldigung mein deutsch ist auch nicht perfekt und vielleicht hab ich was nicht richtig verstanden aber was zu mir ruberkommt ist, das man die original dateien haben muss..

Dann nochmal kurz auf den Punkt gebracht, was auf den vorherigen 89 Seiten so im groben diskutiert wird und was irgendwie immer ignoriert wird.....
Es kommt auf die verschlüsselung an die du hast.
ist es was mit locked stehen die Chancen noch gut.. ist es nen einfacher Buchstabensalat, wirst du wohl kaum ne Chance haben, zumindest im moment nicht.
Und ja, du brauchst die Originaldateien.
Und ich würde dir empfehlen, zumindest mal die Links anzuschauen, die oben über den Thread stehen.

seeadler danke dir, hab ich ja ein paar links gekuckt, hab gehofft vielleicht gibt es eine losung auch ohne das man die original dateien hat.. und ja Buchstabensalat ist richtig.. hab ich mit DecryptHelfer und die xp beispielbilder versucht und das ergebnis ist "der schluessel konnte nicht bestimmt werden"..
ich kann schon mal nachvollziehen dass es dich irritiert immer wieder die gleichen bloeden Fragen hier zu sehen, aber ich schwore ich haette die Frage nie gestellt ohne mir die linx anzukucken und versuchen was in meine Macht steht (was ja anscheinend nicht viel ist).. verzeihung mister

Zitat:

Zitat von basti08

hatte die beispielsbilder leider schon gelöscht....
höre bzw. lese ich aus deiner antwort das ich mir einen schlüssel aus einem jpg erzeugen muss um jpgs zu entsperren?
das heißt für jedes dateiformat einen eigenen schlüssel?

Hallo Basti,

also - wie von mir schon früher erwähnt - hatte ich auch die "locked"-Version des Trojaners. Aber nachdem ich den Schlüssel über eine jpg-Datei erzeugt hatte, war damit alles (jpg, pdf, doc) zu entschlüsseln, und zwar anz einfach über "Ordner entschlüsseln".
Müsste bei Dir doch eigentlich auch funktionieren, oder?
Lutz

seeker19, habe das selbe Problem mit dem Buchstabensalat...würde sagen, einfach abwarten, es wird schon eine Lösung geben...
hast du alle vorgeschlagenen Tools ausprobiert?

Zitat:

Zitat von miha19

seeker19, habe das selbe Problem mit dem Buchstabensalat...würde sagen, einfach abwarten, es wird schon eine Lösung geben...
hast du alle vorgeschlagenen Tools ausprobiert?

moin moin,

seitens der Programmierer des Trojaner Boards und den mitarbeitetenden Programmierern anderer Boards wird es für verschlüsselte Dateien der Form FGHtzHJZuFGh in absehbarer Zeit kein Tool geben, dass a la decrypthelper universell entschlüsselt .

Insofern bleiben nur die bereits bekannten Tools, die bei einigen Dateiformaten zum Erfolg führen.

Gruß Volker

Zitat:

Zitat von Undertaker

moin moin,

seitens der Programmierer des Trojaner Boards und den mitarbeitetenden Programmierern anderer Boards wird es für verschlüsselte Dateien der Form FGHtzHJZuFGh in absehbarer Zeit kein Tool geben, dass a la decrypthelper universell entschlüsselt .

Insofern bleiben nur die bereits bekannten Tools, die bei einigen Dateiformaten zum Erfolg führen.

Gruß Volker

wie kann man die Fotos wiederherstellen?
Die mp3 dateien kann man die einfach umbennen und als .mp3 speichern...

Liebes Forum,

mich hat es auch erwischt, ich habe/hatte den Gema Trojaner.
Nun startet mein Starmoney nicht mehr, ich vermute, auch dort sind Dateien, die zum Starten notwendig sind, verschlüsselt.
Diese liegen unter c: im Verzeichnis Prigramm Data. Mit dem Entschlüsselungsprogramm kann ich diesen Ordner aber nicht sehen/laden.
Was kann ich da tun?

DANKE

Marion

@ miha
http://www.trojaner-board.de/115183-...tml#post840582
Das mal testen...
Und wenn du win7 oder vista hast, könntest du auch noch mal mit ShadowExplorer probieren

@Prusseliese
Es kann sein, dass ich mich jetzt täusche, aber wenn du wirklich den GEMA hattest, verschlüsselt der eigentlich keine Daten, und somit dürfte das Problem evt. noch woanders liegen.