Hallo

Ich habe mir gestern per Mail (GMX) ein Trojaner runtergeladen. Es war ein Mail wo drin stand das ich was erworben hätte und die einzelheiten zum kauf finden sie im Anhang. Der Anhang war ein Rar datei wo sich eine Mircosoft office 98 textdatei dein sollte. Also habe ich die Rar entpakt und die "Textdatei" probiert zu öffnen. Das ging nicht. Mein Rechner wurde darauf hin runter gefahrn und neu gestartet wo er gespeert war. Das hab ich hinbekommen. Indem ich über den abgesicherten Modus gegangen bin und eine Wiederherstellung durchgeführt habe. Ging der rechner auch da ist mir erst aufgefahln das alle TXT.JPG.RAR usw verschlüsselt worden sind. Hab mit ein programm den Dateicode der verschlüsselt Datei (ein Bild) und den Code einer originalen Datei vergleichen lassen. Da fiel mir auf das etwar 2% der verschlüselt datei immer der anfang anderes war. Das heisst 98 % sind gleich . So ich habe alle entschlüsselungsprogramme genutz aber keins ging. Kann mir da jemand helfen....

Meine Mail Masterbob11@gmx.de

Hallo Wolf,

bei funktionierte keines der Entschlüsselungsprogramme.
Ich hatte mir nach der Malware-Säuberung durch Anti-Malware den ShadowExplorer 0.8 (Edit: http://www.trojaner-board.de/115496-...erstellen.html) runtergeladen.
Unter File die befallene Festplatte (z.B. C: ) auswählen. Daneben kann man aus mehreren Daten, das gewünschte Datum (habe den Tag vor dem Befall ausgewählt) aussuchen. Klickt man mit rechter Maustaste auf einen Ordner, öffnet sich das Fenster "Export". Da drauf klicken, dann neuen Ordner erstellen, am besten auf einen externen Speicher (z.B. Festplatte) und das Programm arbeiten lassen. Wenn man den neuen Ordner öffnet, findet man seine Daten wieder.
Jetzt bin ich hingegangen und habe einen meiner befallenen z.B. Ordner ABC auf dem Desktop in einer neuen Ordner (benannt als Ordner ABC-gelocked, einfach nur zur Sicherheit) verschoben. Von der Festplatte habe ich dann den gesicherten, wiederhergestellten Ordner ABC auf den Desktop kopiert.
Ich bin mit den Ordnern von Firefox und von Thunderbird genauso verfahren und habe somit alle Einstellungen, Lesezeichen und Emails wieder erhalten, wie vor dem Befall.
Ich hoffe, dass hilft.

Hallo zusammen,

ich habe mir die verseuchten Dokumente mal mit einem Hex-Editor angesehen,

in diesem Fall sind es alles PDF-Dateien......

habe hier mal ein Bild der Testdatei:

in der linken Bildhälfte ist ein sauber erstelltes PDF-Dokument....auf der rechten Seite ein von uns verändertes PDF zu sehen......
wie man sehen kann reicht es aus wenn man in der ersten Zeile (siehe rechtes doc) die zuordnung ändert........
das so vermute ich mal hat dieser Virus auch gemacht......
ich bekomme heute einige org. verseuchte Dockumente....um zu sehen ob das in realen Fall auch genau so ist.

wenn ja.....gibt es eine Möglichkeit, die zwar sehr auswendig und auch nicht gerade jedem zu Empfehlen ist, zumindest die wichtigsten Documente zu retten.......

ob es jemals ein tool für sowas geben wird...steht zur Zeit noch in den Sternen.......so sehen wir das auf jeden Fall

Grüße
Didek

guten morgen,
ich habe meinen pc auf werkseinstellungen gesetzt und fange neu an.

EVTL. VON INTERESSE:
ich habe alle defekten dateien auf einen stick gezogen (falls mal was geht....)

EIN FOTO-ORDNER
ANNA >> 000000.jpg, al-001jpg - al-118jpg ist darauf.
eine kopie dieses ordners ist sauber und enthält die original fotos

sollte interesse bestehen, bitte melden.

einen schönen tag und liebe grüsse
monika