Hallo,

ich habe seit ca. einer Woche folgendes Problem.
Von einem befreundeten ICQ Account wurde eine Datei/Link geschickt die ich öffnete. GData Total Care 2010 meldet sich zwar aber das wars auch. Alles scheinte auch normal zu sein, bis zum nächsten Tag als ich den Rechner startet. Alle Datein mit der Endung .jpeg, .pdf und .doc waren mit der Endung .crypted versehen, welche ich nicht öffnen kann.
Ich habe alles versucht und mich totgelesen. Ich habe etliche Boot/Rescue CDs erstellt von GData, F-Secure etc. niemand findet etwas. Kein RootKit, kein Virus. Ich habe dann die Partion C erneut erstellt mit der Recovery DVD.
Leider sind weiterhin alle Datein gespeert. Weiß jemand Rat? Es sieht so aus, als wenn ich das Rootkit beseitigt habe aber eine Art Verschlüsselung weiterhin besteht. Natürlich bedeutet mir die Bilder sehr viel, wäre für jeden Rat mehr als Dankbar.


Danke

Hi,

sieht ganz nach sogenannter Ransomware aus. Davon gibt es unterdessen eine ganze Menge, die verschiedene Verschlüsselungen einsetzen. Gegen einige konnten Sicherheitsfirmen Entschlüsselungstools entwickeln. Entscheidend wird sein, was es bei dir war. Die damals empfangene Datei zur Analyse bei VirusTotal hochladen.

Karl

PS: Was ist überhaupt ein "befreundeter Account"? Früher war man mit Menschen befreundet. Startest Du alles, was man dir so schickt und ignorierst dann sogar die Warnung deines Virenscanners wenn eine erfolgt?

Hallo,

der "befreundete Account" hat diesen Link nicht gesendet, dass steht ausser Frage, aber ist auch eine andere Baustelle.
Nein die Warunung habe ich sicherlich nicht iggnoriert, aber aber nicht mit der nötigen Sorgfalt behandelt wie mir scheint.

Das Problem mit dem Virus hochladen wird sein, dass ich diese Datei bzw. den Link nicht mehr habe, ich habe mein System ja neu aufgesetzt.

Was ich habe ist eine Art Log bevor ich GData etc. deinstalliert habe.
Vielleicht hilft das weiter. Ansonsten kann ich nur eine so verschlüsselte Datei hochladen wenn das auch ok ist.

Hier mal das LOG,


Virenprüfung mit G Data AntiVirus

Version 20.0.9355.950

Virensignaturen vom

Startzeit: 26.01.2010 17:34:41

Engine(s): Engine A, Engine B

Heuristik: Ein

Archive: Ein

Systembereiche: Ein

RootKits prüfen: Ein

Prüfung der Systembereiche...

Prüfung auf RootKits...

Prüfung aller lokalen Festplatten...

Objekt: AE70C72Ad01

Pfad: C:\Users\Björn\AppData\Local\Mozilla\Firefox\Profiles\byj5yenz.default\Cache

Status: Virus gefunden

Virus: Win32:Rootkit-gen [Rtk] (Engine B)

Analyse vollständig durchgeführt: 26.01.2010 17:53:02

130131 Dateien überprüft

1 infizierte Dateien gefunden

0 verdächtige Dateien gefunden

eim Öffnen der Datei "C:\Windows\tmp365.exe" wurde der Virus "Trojan.Generic.2353717 (Engine A)" entdeckt.

Die Datei wurde gelöscht.

Datei: C:\Windows\tmp365.exe

Virus: Trojan.Generic.2353717 (Engine A)


Grüße

Sagt mir nichts. Es wäre wirklich wichtig gewesen, die Malware selber zu haben. Zum einen hätte man ermitteln können, ob es ein Tool zur Entschlüsselung gibt. Zum anderen könnte man ermitteln wie die Verschlüsselung arbeitet, dann wüsste man ob eine Chance besteht, sie mit vertretbarem Aufwand zu knacken.

Da wird dir wohl nur übrig bleiben, mit viel Google&Co dir einen Überblick über Ransomware zu verschaffen und die Entschlüsselungstools, die es für einige davon gibt, auszuprobieren. Dies aber nur auf Kopien der verschlüsselten Dateien. Du kannst auch Glück haben.

Sicher kannst Du aber was daraus lernen: Wichtige Daten regelmäßig sichern, und zwar auf Datenträger außerhalb des Rechners. Ganz besonders wichtige Daten sogar mehrfach. Dann ist die Problemlösung drauf reduziert das System neu zu installieren und das Backup zurückzuspielen.

Hallo Leute!
ich habe mich lange umgesucht nach einen guten viren Prg.
ich kann euch sagen ich war beeindruckt von Spy Sweeper von webroot. Sie verlangen zwar eine jaehrliches abo.
Als ich letzte woche mal was gespielt habe um etwasa zubekommen, was illegal sein kann. hatte ich nach dem oeffnen des downloads direct und unverzueglich die Meldung bekommen von webroot, das ein trojaner in der Software sein, das beste ist noch es wurde sofort isoliert, so das es noch nicht mal zeit hatte irgendwo hinzugehen. dann kkonnte ich entscheiden ob ich es loeschen wollte, sagte ja und es war weg. keine grosse extra programm suche usw.

kann spy sweeper nur emphelen

jj

Der Werbespam hilft Thai jetzt aber nicht mehr weiter.

Danke Karl,

stimmt der Hilft mir nicht.
Leider finde ich im Netz auch nicht wirklich viel brauchbares.
Nur soviel die Datei ist tmp365.exe gewesen die anscheinend die Dateien
Verschlüsselt hat.
Weiß wirklich niemand noch nen Rat?

Zitat:

Zitat von Thai

Danke Karl,

stimmt der Hilft mir nicht.
Leider finde ich im Netz auch nicht wirklich viel brauchbares.
Nur soviel die Datei ist tmp365.exe gewesen die anscheinend die Dateien
Verschlüsselt hat.
Weiß wirklich niemand noch nen Rat?

Wie der Vorgaeger Karl schon gesagt hat, es waere sinnvoll zu wissen welches PRG es verschluesselt hat und welchen schluessel. MS hat ein Decrypter kostenlos, der wird dir ohne schluessel auch nicht gross helfen.

kannst mal den link ausprobieren ob dir das weiterhilft:
http://www.brothersoft.com/crypter-18279.html

Du hast vielleicht noch eine Chance dir solche PRG runter zu laden und mit einer Datei probieren, bis du das .crypter hast.

Du kannst ja auch mal probieren, die Endung in Windows explorer umzuschreiben und sehen ob dann die datei wieder oeffnet. Es kann sein, dsa er all die Dateien mit pdf jpeg usw nur umbnannt hat. Dann wird dein Program auch nichts finden um es zu oeffnen.

Hallo,

also der Link hat mir auch nicht helfen können, da das Programm nur eine bestimme Größe der Bilder zulässt.

Aber ich habe etwas anderes. Ich habe seit 2 Tagen mir wieder ICQ installiert und siehe da was kommt über den Namen des Freundes? - Genau der Link mit der Datei drin.

Ïîìíèøü ïðî îäíó äåâóøêó ãîâîðèëè ñ äâà÷à? Âîò åå ôîòêà


http://story-info.ru/imgering/img_0355.jpg

Leider?! ist die Seite nicht mehr Verfügbar "Meldung 404". Aber vielleicht könnt ihr ja damit etwas anfangen. Der Virenscanner hat jedenfalls heute nichts gemeldet. Wie gesagt es war auch keine .exe zu finden wie beim letzten male. Aber ein Link..... Vielleicht kann jetzt jemand das Gegentool dazu finden, meine Bilder sind nämlich immer noch alle gesperrt.

Danke

Karl weißt du noch Rat?

Mensch, irgendeiner muss doch so etwas kennen. Ärger mich echt das von 10 Jahren die ganzen Bilder nicht mehr lesbar sind.

Kann wirklich keiner Helfen? Bin auch gerne bereit fü ne Lösung zu bezahlen!.

Keine Idee. Du könntest mal in den JPG-Dateien (den ehemaligen) ein paar raus suchen, deren ehemaliger Inhalt öffentlich sein darf. Die bei einem Filehoster hochladen und ihre Links hier reinsetzen. Vielleicht fällt einem ja was auf, ich muss dir aber auch gleich sagen, dass ich nicht qualifiziert bin eine aufwändige Kryptoanalyse durchzuführen, ich habe auch nicht die Zeit dafür. Kann aber auch nicht ausschließen, dass bei einer Betrachtung mehrerer Dateien in einem Hexeditor, deren ursprünglicher Dateityp bekannt ist, etwas auffällt. Gleiches kannst Du auch noch mit dann aber ebenfalls mehreren ehemaligen PDF-Dateien machen. DOC macht für mich weniger Sinn, da ich deren Internas nicht (also: noch weniger) kenne.