@Undertaker: Ja, habe ich, aber leider ohne Erfolg. JPEGsnoop mag nicht funktionieren und Schattenkopien sind deaktiviert.

So wie es aussieht, muss ich wohl ohne die Dateien auskommen bis einer von den Grossen die vorhandenen Tools aktualisiert.

hi, dann ist die datei in der mail jetzt bekannt, bitte aber für neuen spam vor merken

@isabella 38
leite die mails mal an mich weiter.
für alles andere, im bereich logfiles nen thema eröffnen bitte

kann leider die mails nicht öffnen, weil ich gar nichts hochfahren kann - ich schreibe von einem anderen computer
werde es im logfiles probieren - danke

So, ich habe es nun dank Systemwiederherstellung wieder am Laptop ins Internet geschafft.
Ich sehe dass alle Dateien verschlüsselt sind, da ich keine mehr öffnen kann und alle wild mit Groß- und Kleinbuchstaben umbenannt sind. Vorher war das auch schon im abgesicherten Modus erkennbar
Gibt es eine Möglichkeit, diese Daten zu retten? Mit den oben genannten tools bekom ich das nicht hin

@salka,

Zitat:

Zitat von salka

So, ich habe es nun dank Systemwiederherstellung wieder am Laptop ins Internet geschafft.
Ich sehe dass alle Dateien verschlüsselt sind, da ich keine mehr öffnen kann und alle wild mit Groß- und Kleinbuchstaben umbenannt sind. Vorher war das auch schon im abgesicherten Modus erkennbar
Gibt es eine Möglichkeit, diese Daten zu retten? Mit den oben genannten tools bekom ich das nicht hin

Klicke oben auf den Link Thema starten, eröffne Dein Thema und füge die Scanfiles ein.
Es wird sich jemand um Dich kümmern.

Die o. g. acht Tools helfen nur bei verschlüsselten Dateien mit dem Präfix locked-, sonst nicht.
Ansonsten gilt das gleiche, wie oben für die Kleene.

Gruß Volker

Wie und wo sende ich meine OTL-Berichte? (Ich durchschaue das Forum noch nicht so ganz)
Ich habe das jetzt mal scannen lassen.

@all
erst mal hallo an alle.Ich bin neu hier und hoffe das Ihr mir helfen koennt.Ich habe mir heute den Trojaner eingefangen und brauche 2 Dateien um den Schluessel zu extrahieren.

C:\Documents and Settings\All Users\Documents\My Pictures\Sample Pictures\Blue hills.jpg
C:\Documents and Settings\All Users\Documents\My Pictures\Sample Pictures\TxoXdJptaEoQUvpsnED

Mein System:Win7 Premium Deutsch

Wenn mir die jemand zu verfuegung stellen koennte waehre ich sehr dankbar.

Viele Gruesse

Joerg

bitte einfach mal lesen bevor man schreibt, solche dateien können wir nicht entschlüsseln im moment.
du kannst bei bild und mp3 dateien aber mal die endung hinzufügen, dann sollten diese zumindest zu öffnen sein.
außerdem die infektionsquelle senden.
an solchen mails mit rechnung, mahnung und sonstigen anhängen, von unbekannten absendern bin ich interessiert.
wenn du ein mail programm nutzt, dann mail markieren, rechtsklick, speichern unter, typ:
.eml einstellen.
dann bitte lesen:
markusg - trojaner-board.de
und mir die soeben erstellte datei zukommen lassen.
wenn du deine mails über den browser abrufst, sag mir mal welchen anbieter du nutzt, dann geht das ein bisschen anders.
bitte warne freunde, bekannte, verwante etc vor dieser masche, und lasse ihnen ruhig diese mail adresse zukommen.
sie können dann dorthin solche verdächtigen mails senden.
diese helfen uns dann, angemessen auf neue bedrohungen zu reagieren, da diese schadsoftware auch updates erhält ist das wichtig.

Servus zusammen,
gestern war der Laptop tran.
Denn Trojaner glaube ich gefunden zu haben.

hab in an virus@trojaner-board.de gesand in einer, wie gewünscht als ZIP DATEI.
(D8CBDBD3025879E42DCB-Trojaner-2012-05-31.zip)

Hoffe ihr könnt damit was anfangen.
Es handelt sich bei diesem Trojaner um die Variante, die Daten umcodiert alphabetisch ohne Dateiendung

z.B.:

DtEAsqrAgdsVXdjDUg


Als Tip für alle, mit dem Shadowexplorer konnten wir die Daten wieder herstellen.
ShadowExplorer.com - About

Ich denke schön langsam können wir uns damit befassen, welche möglichkeiten es noch gibt, seine daten zu retten, bevor man die kiste platt macht.
Hat schon wer verschiedene jpeg repair tools versucht?

an anderer stelle habe ich etwas von einer RAW-RECOVERY-Variante der Ganzen Platte gehört.

Hat dazu wer infos?

grüße und gute ncht.

hallo. habe auch die neueste version 1.170.1 ist aber wohl schon entfernt durch antivir und systemwiederherstellung,aber dateien sind verschlüsselt.es ist nix mehr sichtbar(beispiel (erJ0QreLstaPt)also kombi aus großen und kleinen buchstaben.bin echt verzweifelt.die tools hab ich probiert,aber klappt bei mir nicht.bin kein profi:-(danke für eure hilfe

@ Undertaker

Also ich habe mir das Video angeschaut und habe alles Step by Step gemacht wie es beschrieben wurde.

Solangsam habe ich mich damit abgefunden das es im Moment keine Lösung für das Problem gibt.


Ich bin nur voll genervt von den Mails....die wo ich jetzt noch habe, habe ich an Markus gesendet...

Ich habe noch eine in meinem Web.de Konto aber da komme ich im Moment nicht rein, weil er mir dann sagt das mein Browser ein Befehl sendet was nicht verstanden wird.

Lieber Gruß

Kleene

Ich habe auch die neueste Variante von diesem Mistding.
System (XP Pro SP3 ist bereits neu installiert - auf neuer Platte) und ich tüftle nun an der Rettung der Daten.

Das "infizierte" System habe ich noch - ich habe die Platte ausgebaut und eine neue für die Installation verwendet.

Was mir eben aufgefallen ist:
Ich habe mit RECUVA einfach mal ganz platt versucht, ob ich vielleicht eine gelöschte Datei von der alten Platte bekomme, mit einem Datenstand von vor dem Trojanerbefall um zu sehen ob ich so vielleicht erstmal teilweise was brauchbares wiederherstellen kann.

Ich habe eine Datei mit dem Muster "[Dateiname].xls.[Nummer].tmp" gefunden, also ein Sicherungskopie einer Excel-Datei die wohl gelöscht wurde - 1 Woche vor dem Trojaner.

Nach dem Wiederherstellen dieser Datei hab ich sie geöffnet:
Alles genauso kryptische Zeichen wie im "verschlüsselten" Original!

Das spricht doch eigentlich für die MFT-Theorie - also daß der Trojaner nicht auf die Dateien, sondern zentral und tiefer am System herumgepfuscht hat, oder?

Zitat:

Zitat von TFO1974

...

Das spricht doch eigentlich für die MFT-Theorie - also daß der Trojaner nicht auf die Dateien, sondern zentral und tiefer am System herumgepfuscht hat, oder?

@TFO1974,

nö, allein aus der verhunzten TMP läßt sich nicht kausal auf das Wirken des Schädlings schließen, schon garnicht darauf, dass er an den FileTables dreht.

Volker