also heist das nix geht ausser löschen und schuaen die daten neu zu bekommen oder wie

Zitat:

Zitat von BoneCrusher

also heist das nix geht ausser löschen und schuaen die daten neu zu bekommen oder wie

Nö, das bedeutet es ganz und gar nicht, nur hängt die Anzahl der rettungsfähigen Dateien stark von deren Format, der Version des Betriebssystems und der Konfiguration des Systems ab.

Es ist hinreichend beschrieben was wann geht und was nicht.

Volker

Zitat:

Zitat von Undertaker

Es ist hinreichend beschrieben was wann geht und was nicht.

Psst, sag das nicht so laut, sonst könnte in diesem Strang noch mal tatsächlich Ruhe einkehren

Zitat:

Zitat von cosinus

Psst, sag das nicht so laut, sonst könnte in diesem Strang noch mal tatsächlich Ruhe einkehren

Da fällt mir nur folgender Spruch zu ein..
"Lesen ist eine Bildung, Bildung ist aber nicht jedem gegönnt "

Aber ist schon lustig, wie oft der obere Text einfach ignoriert wird..Ist ja auch echt nicht zu sehen

hallo leute,

es hat mich jetzt auch erwischt ... gefeiert, gesoffen und noch e-mails checken wollen, war ein riesen fehler!

also ich hab einen anhang geöffnet und da war er dann der bka trojaner - aber die miese version!!!

hatte gerade noch genug hirn meine mobile festplatte abzuhängen, hat sehr viele daten gerettet, leider aber nicht die beiden anderen festplatten.

also erst mal den pc ausgeschaltet und den rausch ausgeschlafen - am nächsten morgen habe ich folgedes gemacht:

pc im abgesicherten modus gestartet und cc-ceaner drüber laufen lassen. hat wohl funktioniert - aber die daten auf D und E waren alle schon verschlüsselt. das habe ich dann im abgesicherten modus gesehen und habe dann von einer "datensicherung" abgesehen (bin mir jetzt aber nicht sicher ob das ein fehler war!!!)

C (system) formatiert und windows neu aufgesetzt
in www ein bisschen die foren durchsucht (unter anderem dieses hier - und es ist das beste, welches ich bisher entdeckt habe, also dickes kompliment dafür!!!) und decodierungssoftware ausprobiert (4 verschiedene - kaspari, antivir, das von markus und noch eines auf englisch) hat aber leider nichts gebracht ...

mein system ist folgendes:

win 7 x86 home premium
c: system
d: hd - daten verschlüsselt
e: hd - daten verschlüsselt
f: hd - stecker gezogen in sehr kurzer zeit sicherlich 15GB verschlüsselt, die anderen 300GB unbeschädigt



meine dateien sehen jetzt folgendermaßen aus:

codierte datei:

xQuOvrQOvNQgJrQOvN --> 5,5mb

originale datei:

George R. R. Martin - Das Lied von Eis und Feuer 11 - 02 --> 5,5mb


ich habe die dateien wie bereits geschrieben mit dem encoder von antivir (und den anderen 3) versucht zu decodieren, folgenden ist passiert:

beide dateien geladen, fehlermeldung "keine passenden paare" --> habe dann die codierte datei umbenannt in "locked-*...*" wieder die selbe fehlermeldung --> habe die codierte datei umbenannt "wie die originaldatei" wieder die selbe fehlermeldung

habe ich dabei etwas falsch gemacht oder sind die programme für die "locked-*.*" variante des BKA-Trojaner geschrieben worden und daher für meinen trojaner wirkungslos?

mein plan ist jetzt folgender:

- NICHT mehr besoffen emais lesen!
- regelmäßig nach updates der decodierungssoftware schauen
- alle daten auf eine externe festplatte sichern und in den schrank legen!!!!!!!!!

hat jemand vielleicht noch einen "geheimtip" den ich versuchen könnte?

die meissten sachen sind nicht nochmal gesichert weil ich sie ja auf einer anderen festplatte als das system hatte (c-system, d,e,f, videos, bewerbung und zeugnisse, hörbücher, spiel usw)- war ein großer fehler ... ich habe einige videos drauf (keine sauereien *ggg* ne videos als ich auf einem kreuzfahrtschiff gearbeitet habe) wäre wirklich scheiße wenn die für immer verloren wären.

bitte tips!!!

gibt jetzt übrigens neue mails.
hier 2 Beispiele.
hier wird genau geguckt, welchen mail provider man nutzt und dafür wird dann passend der betreff gewählt, kann also varieren.
Ihr Email Postfach name@web.de wird entfernt
Sehr geehrte/r name,,
Ihre E-Mail Adresse ist ab nun nicht mehr kostenfrei.
Anbei erhalten Sie die Rechnung für 6 Monate. Dabei sind auch unsere AGBs die
Sie zum Zahlen verpflichten.
Senden Sie sofort den vollständigen Betrag von 316,68 Euro bis zum 30 Juli.
Ihr E-Mail Postfach wird deaktiviert falls keine Überweisung gebucht wird.
Mit freundlichen Grüßen.
Dein Email Kundenbetreuer
Niclas Gross
Betreff: Zahlschein für Ihren E-Mail Postfach
Sehr geehrte/r name,
die von Ihnen genutzte E-Mail Adresse name@provider.de ist ab jetzt
kostenpflichtig.
Im Anhang bekommen Sie die Rechnung für 12 Monate. Dabei sind auch unsere
Geschäftsbedingungen die Sie zur Zahlung verpflichten.
Überweisen Sie umgehend den vollständigen Betrag von 345,98 Euro bis zum 30
Juli.
Ihre E-Mail wird abgeschaltet wenn kein Geldeingang zu verzeichnen ist.
Mit besten Grüßen.
Ihr Postfach Support
Teresa Jäger

wer so was bekommt, bitte an mich, wie das geht steht in meiner signatur.

@NastyNick
Zitat:
hat jemand vielleicht noch einen "geheimtip" den ich versuchen könnte?

Dann gehe ich jetzt mal von aus, das wir wieder nüchtern sind..
Dann sollte es ja nicht so anstrengend sein, die Infos die oben über dem Thread stehen, mal zu Lesen ?
Die sind nämlich echt geheim, und deswegen auch extra GROß über dem Thread aufgeführt, damit sie gänzlich ignoriert werden...

Zitat:

Zitat von NastyNick

bitte tips!!!

OK, hier meine Tips:

Lesen!!!!
Entweder unter Hinweise, at top of the page, Punkt 3.
Ersatzweise auch hier oder in weiteren hunderten Postings, wie hier oderhier

Volker

Undertaker
2 Dumme ein Gedanke

Zitat:

Zitat von seeadler

Undertaker
2 Dumme ein Gedanke

...oder Seelenverwandschaft.

Dann gehe ich jetzt mal von aus, das wir wieder nüchtern sind..
Dann sollte es ja nicht so anstrengend sein, die Infos die oben über dem Thread stehen, mal zu Lesen ?
Die sind nämlich echt geheim, und deswegen auch extra GROß über dem Thread aufgeführt, damit sie gänzlich ignoriert werden...[/QUOTE]



danke der feststellung - ja ich bin wieder nüchtern!!!

ob du das nun glaubst oder nicht, ich habe diese threads gelesen und sogar verstanden.

was mir jetzt noch nicht ganz klar ist, weil meine verschlüsselten dateien keine "locked-*.*" sind, soll ich sie jetzt vergessen und die dinger löschen und dateinen die mir etwas bedeuten einfach in die tonne treten oder gibt es die möglichkeit das ein schlauer kopf für diese art von verschlüsselung eine lösung findet.

versteh mich nicht falsch, ich brauche diese dokumente in den nächsten monaten nicht unbedingt, doch sind da videotagebücher einer 4-monatigen kreuzfahrt dabei, eine erfahrung die ich sicherlich noch im kopf habe. doch die bilder, die stimmung kann man nur nachempfinden wenn man diese aufzeichnungen sieht!

leider bin ich kein crack der sich täglich mit dieser thematik befasst - darum suche ich ja hilfe!!!

in dem fall das es zuviel verlangt ist eine anständige antwort zu bekommen dann frage ich mich ernsthaft warum du dir überhaut die mühe machst und schreibst ... ich war mir jetzt wirklich sicher das ich das problem sehr eindeutig beschrieben habe und auch sämtliche details, wie windows version, betroffene elemente, sogar dateinamen und größen sowie meine bisherigen lösungsversuche aufgezählt habe.

also was soll dieser bescheuert-oberlehrerhafte-ironische tonfall???

wenn das alles ist, mir einen link zu schicken

http://www.trojaner-board.de/115183-...tml#post875745

dann ist mir und sicherlich mehreren hundert anderen opfern damit nicht geholfen!!! Und eines kannst du mir glauben, wir haben den scheiß trojaner nicht mutwillig auf unser system gebracht!

gruß

Zitat:

Zitat von NastyNick

ob du das nun glaubst oder nicht, ich habe diese threads gelesen und sogar verstanden.

OK, dann lass mich nur noch eine Frage stellen, bevor wir diesen Teil vergessen.
Wo steht da, dass man die Dateien der Verschlüsselungsform XCgtzVBNgherjh in locked- umbenennen und dann die Entschlüsselungstools benutzen soll?
Sind die Hinweise so missverständlich geschrieben, dass man sie so deuten kann?
Wenn ja, dann übe konstruktive Kritik und mache einen Vorschlag, wie es besser wäre.

Zitat:

Zitat von NastyNick

was mir jetzt noch nicht ganz klar ist, weil meine verschlüsselten dateien keine "locked-*.*" sind, soll ich sie jetzt vergessen und die dinger löschen und dateinen die mir etwas bedeuten einfach in die tonne treten...

Du hast ja gelesen, was zur Zeit über Schattenkopien, sowie mit Dateien der unterschiedlichen Formate, also MP3, JPG, PDF u.s.w., möglich ist.
Was Du mit denen machst, die zur Zeit nicht wiederherstellbar sind, ist Deine Sache.
Du kannst sie löschen und für immer vergessen oder sichern und auf bessere Tools hoffen.
Du kannst auch nach Tools suchen und selbst Versuche anstellen.
Vielleicht findst Du noch was, was bisher nicht bekannt ist und kannst damit anderen Betroffenen helfen.

Zitat:

Zitat von NastyNick

oder gibt es die möglichkeit das ein schlauer kopf für diese art von verschlüsselung eine lösung findet.

Die Möglichkeit ist zwar äußerst gering aber nicht auszuschließen.
Durch Dein format c:\ sind Deine Chancen einer zukünftigen Wiederherstellung weiter gesunken, da die Datei, die die verschlüsselten Informationen über die Zusammenhänge zwischen Originalnamen-Verschlüsselungsname-Schlüssel enthält, nun durch Dich über den Jordan geschickt wurde.

Zitat:

Zitat von NastyNick

in dem fall das es zuviel verlangt ist eine anständige antwort zu bekommen dann frage ich mich ernsthaft warum du dir überhaut die mühe machst und schreibst ...
also was soll dieser bescheuert-oberlehrerhafte-ironische tonfall???

Dein Problem habe ich wohl verstanden, auch was Du bisher unternommen hast und genau das widerspricht Deiner Aussage, Du hättest die Threads gelesen und verstanden.
Aus diesem Grund war meine Antwort vielleicht gereizt, vielleicht auch bescheuert aber nicht oberlehrerhaft und ironisch.

Volker

@ Undertaker
Ich glaube NastyNick hat eher mich damit gemeint...

Aber recht geben muß ich dir, wenn er die Threads gelesen und verstanden hat, ist seine Frage eigentlich komplett überflüssig..


@ NastyNick
Da ich bezweifle, dass du die oberen Threads richtig gelesen habe, und ist mir auch fast egal wie du das verstehst, dann hier nochmal in kurzform was da so steht :
-Dateien mit locked im Namen lassen sich evt. mit diesen Tools noch wiederherstellen.
-Dateien mit nur Kauderwelsch lassen sich im moment nicht über irgendwelche Tools wiederherstellen
Da ich aber immer noch bezweilfe, dass du dies gefunden hast, gebe ich dir auch nochmal die 2 wichtigsten:
http://www.trojaner-board.de/116851-...strojaner.html
und dieser
http://www.trojaner-board.de/114783-...ubersicht.html

Und mehreren andert 100 Opfern wurde genau mit diesen Links schon mehrfach geholfen..

Und
-Was du probieren kannst, wäre, sofern du Windows 7 oder Vista hast, mit ShadowExplorer schauen ob du noch an Daten rankommst.
-Und das du dir diesen Trojaner mutwillig eingefangen hast, hat keiner gesagt.
-Das du in dir aus eigener Dummheit eingefangen hast, dem würde ich zustimmen, das hast du aber auch so geschrieben.
-Was die Links angeht, wenn du dir die 3 Tips anschaust, die oben ÜBER dem Thread stehen, wirst du merken, das alles was Undertaker und ich jetzt geschrieben haben, da drin steht. Inkl. Tips und ggf. weiterführender Links.

-Und ob noch irgendwas kommt, was die neuere Verschlüsselung knackt, steht in den Sternen...

Aber, wie gesagt.. Sthet alles schon des öfteren..
Habs jetzt aber für dich nochmal extra geschrieben, und hoffe du bist mit dieser Antwort nun zufrieden...

Made my Day...

Zitat:

Zitat von Undertaker

Das ist nach Aussagen der Delphi-Coder nur mit der *.$03 Datei möglich, die der Virus während der Verschlüsselung schreibt.
Hier ein Zitat aus dem Delphi-Forum:



Es gibt dazu auch ein Delphi-Script um die Daten auszulesen.
Allerdings habe ich bisher noch keine Info über eine erfolgreiche Rekonstruktion gelesen.
Ich bin da skeptisch, da ich nichtmal jemanden kenne, der diese $03 erfolgreich aus dem Temp-Verzeichnis retten konnte.

Meines Erachtens tendiert die Erfolgsaussicht, den verschlüsselten Dateinamen die Originalnamen zuzuordnen, real gegen Null.

Volker

Hallo Volker,

bei mir ist es gelungen, aus der $03 Datei mit dem Delphi-Script eine txt-Datei mit den Ursprünglichen Dateinamen und den neu erstellten Dateinamen zu erstellen. Wer also die $03-Datei im Temp-Ordner findet hat mit dem Script schon einen Teilerfolg. Allerdings muss ich dazu feststellen, dass nach dem Befall der Rechner mit der Festplatte nur noch ein mal mit der Kaspersky-CD gestartet wurde zum entfernen des Trojaners und die Platte dann als zusätzliche in einen anderen Rechner gepackt habe um nichts weiter zu zerstören.

Gruß Peter

moin moin Peter,
interessante Mitteilung.

Gruß Volker