@Didi63
Photorec habe ich auch gestestet gehabt. Bei mir hat es nicht wirklich etwas an brauchbaren Daten gefunden. Ich habe hier im Fred ein Beispiel mit foremost beschrieben. Das hat bei dem Rechner, den ich wieder herzaubern sollte, geholfen. Zumindest brauchbare Dokumente gefunden. Ob es die letzte Version war, kann ich nicht sagen, da es nicht meine Dokumente waren ..

Gruß
Keks5

@deraddi :

danke.....

also vcl auch probiert nicht funktioniert ich probiere das mit dem mp3direkt cut mal sehen ob es geht und für bilder gibt es ja die jpg recovery

aber was ist mit dem dateien wo man nichtmal weiß was der ursprung mal war ? einfach löschen weil pech gehabt ?


lg

Zitat:

Zitat von bobby187

aber was ist mit dem dateien wo man nichtmal weiß was der ursprung mal war ? einfach löschen weil pech gehabt ?

lg

per Hexeditor reingucken.

Wenn die gesamte Datei Datensalat scheint: => jpg oder mp3

ach so: bei mp3 mit TAGS v2.x steht am Ende (hoffentlich) Musiker & Titel.

bei Office-Dokumenten (OpenOffice) steht z.B. noch was wie
- META-INF/manifest.xml
drin.
bei PDF
- << /Author
bei DOC
- W o r d D o c u m e n t

etc etc...


ansonsten: jemanden fragen, der sich mit sowas auskennt!

PS: (Meine Meinung): Musik ist wurscht, die kann man neu kaufen. (oder illegal beziehen). Wichtig sind eher Bilder und Dokumente.

Joh

Guten Morgen,

auch ich hatte gestern einen infizierten Laptop einer guten Freundin da.
Wie sie sich infiziert hat kann ich leider nicht mehr sagen, sie sagte allerdings was von einem Anhang in einer Email. Leider habe ich diese nicht mehr.
Der PC lies sich noch im abgesicherten Modus starten, wo es mir möglich war, alle verschlüsselten daten (hier überwiegend Bilder) in form von AesGodDtajjpoQyrVJGOD zu sichern. Nach der Datensicherung hab ich zuerst das OTL Programm versucht, dieses beendete sich aber mit einem Bluescreen. Anschliessend hab ich die Kaspersky Rescue Disk 10 durchlaufen lassen, welches auch einige Trojaner gefunden hatte. An die genauen Namen kann ich mich nicht mehr erinnern, irgendwas mit Ramsom...

Aktueller Stand ist folgender: Laptop läuft wieder wie vorher, allerdings hatte ich noch vor, ihn komplett neu aufzusetzen, das wird am Freitag gemacht.
Im moment häng ich noch an den verschlüsselten Dateien.
Ich konnte mit dem programm JPEG Recovery
von 5631 Bildern 4101 wieder herstellen. Also knapp 72%.
Sollte jemand Hilfe für seine Bilder brauchen, biete ich mich ebenfalls an von euch Testbilder zu versuchen.
Ansonsten liegen die verschlüsselten Daten noch zwei mal gesichert auf einer anderen Festplatte in meinem Rechner.
LG und Vielen dank für die gute arbeit was hier im Forum geleistet wird.

Hallo Miteinander,

bin neu hier und wollte mal meinen Kenntnisstand vermitteln.
Wir haben jetzt in einer Woche 3 Kundengeräte bekommen mit diesem Trojaner.
Nach dem Hinweis von Didi63, der die Dateien mit Photorec wieder hergestellt hat, haben wir das System mit EasyRecovery von Ontrack gefilzt. Dabei haben wir herausgefunden, das dieser Trojaner lediglich das Inhaltverzeichis zerstört. Wir konnten alle Dateien mit RawRecovery wieder herstellen. Es sind dann nur alle Dateinamen wieder zuzuordnen, aber die Dateien sind wieder da.

Viele Grüße

Hy Bitfreak...

ist diese möglichkeit die du da gefunden hast die datein zu verschlüsseln auch für XP... und wie bekomm ich den trojaner richtig von der festplatte..

Dadurch das cih den Taskmaneger noch nicht auf rufen kann hat man mir mittlerweile dazu gesagt das der Rechner in dieser hinsicht noch net sauber ist.

Hatte bislang NUR malware drüber laufen lassen aber nun findet auch dieser nix mehr aber was dasein muss noch was..

Den Trojaner hab ich beseitigt wie hier im Forum beschrieben.
Funktioniert auch bei XP.
Wenn die Registry deaktiviert ist, hat man die Möglichkeit, mit Tuenup (Testversion reicht) auf die Registry zuzugreifen, dort kann man unter:
HKCU\Software\Micorosft\Windows\CurrentVersion\Policies\System bei den 3 Einträgen: DisableRegedit, DisableRegitryTool und Disable TaskMGR alle Werte auf 0 setzen und die Registry funktioniert wieder.
Die Verschlüsselten Dateien müssen dann von Hand gelöscht werden.

Viele Grüße