War das jetzt die Antwort auf Variante 1 oder 2?

Also hier mal kurz mein Vorgehen:

Ich habe einmal die Locked Variante vom Windows XP Wallpaper "Blaue Berge" und das dazugehörige saubere, funktionierende Original von einem anderen Rechner genommen. Auch mit einem anderen Wallpaper oder einem Titel aus "Beispielmusik" hat es nicht funktioniert.

Woran könnte das liegen?

Zitat:

Zitat von Casino030

War das jetzt die Antwort auf Variante 1 oder 2?

Oh sorry, natürlich für Variante 1, für die Nicht-locked-Varianten existiert, außer den schon beschriebenen Reparaturtools wie Shadow-Explorer, noch kein probates Mittel zur sicheren Wiederherstellung.

Zitat:

Zitat von Casino030

Also hier mal kurz mein Vorgehen:

Ich habe einmal die Locked Variante vom Windows XP Wallpaper "Blaue Berge" und das dazugehörige saubere, funktionierende Original von einem anderen Rechner genommen. Auch mit einem anderen Wallpaper oder einem Titel aus "Beispielmusik" hat es nicht funktioniert.

Woran könnte das liegen?

Wir sind hier im AVIRA-Thema.
Hast Du bisher nur AVIRA ausprobiert?
Das wäre die denkbar ungünstigste Variante, da AVIRA bei einem zweiten Duchlauf mit neuem Schlüsselpaar, bereits generierte dateien nicht überschreibt.
Da denkt mann dann, das zweite Paar sei auch unbrauchbar.

Im Übrigen gab es auch schon bei locked-Variante des Trojaners Modifikationen.
So wurden anfangs noch alle Dateien mit einem Schlüssel restauriert, später brauchte man dann mehrere Schlüsselpaare um ganze Datenbestände wiederherzustellen.
So konnte ich beispielsweise 12000 JPGs erst mit vier Dateipaaren, mit Originalen aus verschiedenen Jahren wiederherstellen.

Nein, ich habe es auch mit dem DecryptHelper versucht. Aber auch da bekomme ich die Meldung, dass der Schlüssel nicht bestimmt werden konnte... hast du ein paar Tipps, wie ich noch vorgehen kann?

Also wenn die beiden Dateien exakt gleich sind, exakt die gleiche Größe haben, ist es mir noch nicht passiert, dass kein Key zu generieren war.
Bist Du Dir sicher, dass Du sowohl beim Original als auch beim locked-File die gleiche Datei verwendest?
Schau mal in den Eigenschaften der Dateien, ob sie die gleiche Größe haben.

Ansonsten bin ich mit meinem Latein auch am Ende.
Ohne passende Dateipaare laufen auch die Tools ins Leere.

Wie gesagt, ich habe die Wallpaper probiert und auch die Beispielmusik von Windows XP. Die Dateien waren die selben. Halt nur von unterschiedlichen Systemen.

Sie hatten auch die selbe Größe. Hätten sie das nicht, würde ich das auch so gesagt bekommen (schon probiert).

Spielt es vielleicht doch eine Rolle, die Tools auf dem betreffenden System laufen zu lassen (obwohl ich mir das eigentlich nicht vorstellen kann...)


Hat jemand anderes noch eine Idee?

Zitat:

Zitat von Casino030

Spielt es vielleicht doch eine Rolle, die Tools auf dem betreffenden System laufen zu lassen (obwohl ich mir das eigentlich nicht vorstellen kann...)

Ich habe eben scareUncrypt, eine Anzahl locked-Dateien und einen mit scareUncrypt generierten Key auf einen USB-Stick kopiert und das Teil in den Laptop gesteckt.

Auch mit dem Laptop hat scareUncrypt alle Dateien entschlüsselt und auf den Stick geschrieben.

Findest Du denn keine andere Datei unter den verschlüsselten, die Du als Original auftreiben kannst?

Dass die Beispielbilder unwirksam sind, wurde hier schon mehrfach berichtet.

Der Virus ist ja auch schon x-mal modifiziert worden, um immer mehr Hintertüren zu schließen.

Wenn Du also keine Schattenkopien reaktivieren kannst, mußt Du nach passenden Paaren suchen, da hilft nix anderes.

und in den eigenschaften gucken ob die dateien byte genau gleich groß sind

Ich hätte eine Frage, möglicherweise ist es sogar ein nutzbare Idee:
Wenn ich keine Datei mehr in der unverschlüsselten Version habe, wäre es möglich, dem Trojaner eine Datei unterzujubeln ? Ich kopiere sie von einer Live-CD in eines der Verzeichnisse, die er verschlüsselt, und starte den Rechner dann wieder normal. Dann hätte ich ein Datei-Paar, mit dem ich den Decrypter trainieren könnte.
Und könnte man auf diese Weise nicht sogar gezielt Dateipaare erstellen, die sich für den Decrypter besonders eignen ?

nö
wenn du die verschlüsselung neu startest, generiert sie einen neuen schlüssel.
also wäre diese idee für die zuerst verschlüsselten dateien unbrauchbar

hallo,

habe mich jetzt so ziehmlich durch den ganzen thread gelesen, aber noch nichts hilfreiches gefunden.... mein problem ist das die dateien nicht sichtbar verschlüsselt sind, also noch ihren ursprünglichen dateinamen haben, ddaher avira auch keine datei als verschlüsselt erkennt.... was kann ich machen???

ich bin selbstständig und nutze denn laptop beruflich und brauche nun schnelle hilfe!

danke daniel

Zitat:

Zitat von gasok.one

hallo,

habe mich jetzt so ziehmlich durch den ganzen thread gelesen, aber noch nichts hilfreiches gefunden.... mein problem ist das die dateien nicht sichtbar verschlüsselt sind, also noch ihren ursprünglichen dateinamen haben, ddaher avira auch keine datei als verschlüsselt erkennt.... was kann ich machen???

ich bin selbstständig und nutze denn laptop beruflich und brauche nun schnelle hilfe!

danke daniel

@gasok,
Du hast ein 64bit-Win7, der Shadow Explorer findet wohl keine Schattenkopien?

Als Selbstständiger wäre es das sinnvollste, Du spielst das letzte Backup Deiner Firmendaten zurück.

Volker

Zitat:

Zitat von Undertaker

@gasok,
das sinnvollste, Du spielst das letzte Backup Deiner Firmendaten zurück.

danke volker, ein backup existiert nicht da die daten auf einer externen festplatte gesichert wurden und diese vor gut zwei monaten bei einem diebstahl der handtasche meiner frau mit aus dem auto entwenet wurden , habe aus vielerlei gründen, ämter, versicherung, kinder etc. noch nicht die zeit gefunden eine neue sicherung meiner daten zu erstellen

nun bekomme ich so langsam das kaltek.o.t.z.e.n.imstrahlübersiebenbeete!!!hast du noch eine idee, leider existieren nur noch einzelne dateien auf einem stick, diese wurden aber am rechner weiterbearbeitet, weshalb der inhalt der zu den stickdaten abweicht.

gruß daniel

moin moin Daniel,
Du hast noch nichts über eventuelle Schattenkopien gesagt.
Klicke mal auf den Link unter Punkt 3 ganz oben auf dieser Seite.
Dort sind die Möglichkeiten aufgelistet.
Punkt 2 in diesem Link sagt was über Schattenkopien.

Das wäre mein erster Rat, wenn kein Backup existiert.

Volker

Zitat:

Zitat von Undertaker

moin moin Daniel,
Schattenkopien.

Das wäre mein erster Rat, wenn kein Backup existiert.

Volker

danke volker ... voll ins schwarze getroffen... muss ich jetzt noch irgendetwas beachten... mbam habe ich gesteren gedownloaded und installiert und habe den trojaner damit gefunden, in quarantäne gestellt und entfernt...ist er jetzt wirklich weg...?

nochmals danke und gruss daniel

Zitat:

Zitat von gasok.one

...ist er jetzt wirklich weg...?
l

Weiß ich nicht,
mache erstmal eine Sicherheitskopie der Daten, die Du jetzt wieder hast und die für Deine Firma überlebensnotwendig sind.
Anschließend scanne nochmal mit malwarebytes .

Wenn Du ganz auf Nummer sicher gehen willst und es nicht zu aufwändig ist, setze das System neu auf.

Außerdem rate ich Dir zu einem Image Deines komplett konfigurierten Systems.
Mit diesem Image kannst Du den Rechner jederzeit in ca. 30 Minuten wiederherstellen, mit all Deinen Programmen und Einstellungen.

Volker