Trojaner-Board - Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware)

Trojaner-Board (https://www.trojaner-board.de/)

- Diskussionsforum (https://www.trojaner-board.de/diskussionsforum/)

- - Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware) (https://www.trojaner-board.de/114115-wiederherstellung-verschluesselten-dateien-rechnung-exe-realtecdriver-exe-schadsoftware.html)

@stewpit,
den Rechner hast Du wieder sauber und abschließend nochmal gescannt?

Bei den Dateien sieht es moms garnicht gut aus.
Bis auf herkömmliche Recovertools, die partiell und selektiv helfen, gibt es kein Rezept.

Volker

Trojaner solllte entfernt sein. Logs aller möglicher Programme deuten darauf hin, dass das System wieder sauber ist. Was die Dateien angeht, warte ich einfach mal ab, wie sich das hier entwickelt. Irgendwann wird es eine Lösung geben.

Hallo Leuts,
ich sehe schon man ist nicht allein ;-)

meine Tochter hat auf Facebook eine Rechnung über 800€ bekommen und musste unbedingt den Anhang öffnen!!! Das gewisse Verzeichnis "Effgxualajg"
mit der bösen Daten habt ihr schon!! Übermittelt von "baertl86@XXX"

Verschlüsselt sind sämtliche Verzeichnisse von meiner Tochter von Musik Doc bis Musik bis Spiele alles Kryptisch!! Der "DecryptHelper von Matthias" hat leider keinen passenden Schlüssel gefunden! Org Daten sind da, aber es kratzt am Gemüt, wenn alles Verschlüsselt bleiben sollte!! Ich hoffe doch es wird an der Entschlüsselung gearbeitet; Ihr seit doch helle Köpfe!!

Gruß B@ldur

Hallo,
also ich hoffe auch auf eine baldige Möglichkeit der Hilfe, hab hier grad nen Rechner von nem Kumpel steht und er hat schon vorher durch ne andre "Blödheit" 2000 (!!) Bilder verloren, wohlgemerkt nicht durch Virus oder Trojaner.
Staune immer wieder das so viele Leute offenbar das Wort Datensicherung noch nie gehört zu haben scheinen. Bei mir bringt hier auch grad keines der Tools was, ist wohl die neue Variante des "Mistkerls", Vorfall war am letzten Mittwoch.

Ich, naja eher der Kumpel, baut auf Euch :-)

Gruß

Mit DecryptHelper 0.5.3 erhalte ich die Fehlermeldung "Der Schlüssel konnte nicht erzeugt werden".

Leider sind diverse Beispieldateien nicht mehr vorhanden, allerdings ein PDF zu dem ich ein altes Backup habe und anhand der Dateigröße sehe, dass es die richtige Datei ist (Dateinamen sind ja unkenntlich gemacht).

Was mach' ich hier falsch?

Zitat:

Zitat von Harry2o (Beitrag 845270)

...(Dateinamen sind ja unkenntlich gemacht).

Was mach' ich hier falsch?

Du übersiehst, dass diese acht Tools bei Dir nicht helfen.

Volker

Danke erst einmal Untertaker und Sven.S. Ich komme jetzt sowieso nicht weiter, da der befallene Rechner in Espelsibirsk steht, und ich hier in Bremen bin. Habe die verschlüsselten Dateien zwar auf meinem Rechner abe ich fahre XP und dort ist Win7 drauf. Ich habe mir die Lösung auch einfacher vorgestellt. Meine Bekannte hat mir am vergangenen Wochenende den Rechner mitgebracht und dazu eine Menge DVD´s vom Hersteller PB. Die waren aber alle blank. Dann habe ich mir den Waschzettel von PB angesehen und da steht als erstes "fertigen Sie erst die WiederherstellungsDVD´s".
Das sagen sie einmal einer 56 jahre alten Frau, die das erste mal vor einen PC sitzt!
Zum 2. ist dort Norten noch nicht installiert, sondern nur der Link auf die Norten Seite.
Alles natürlich nicht gemacht. Aber zur Zeit läuft der PC, der Trojaner ist weg und mit den verschlüsselten Bilddateien warten wir jetzt erst einmal ab. Eine Frage habe ich aber noch. Meine aktive Rechnerzeit liegt noch so bei DOS 6.0 und Windows 3.11. Gibt es noch so etwas wie einen "Diskettenmonitor"? Dank euch nochmal allen
MfG Hans

Zitat:

Zitat von Harry2o (Beitrag 845270)

Kann ja auch nicht. Das Tool ist für die älteren Versionen des Trojaners. Ich wette deine Dateien haben kein "locked-" im Dateinamen. Nur dann geht das.

Zitat:

Zitat von stewpit (Beitrag 845413)

Ich wette deine Dateien haben kein "locked-" im Dateinamen. Nur dann geht das.

@stewpit,
wie @Harry2o schon sagte:
"(Dateinamen sind ja unkenntlich gemacht)".

Oder hier.

Volker

Zitat:

Zitat von Undertaker (Beitrag 845435)

@stewpit,
wie @Harry2o schon sagte:
"(Dateinamen sind ja unkenntlich gemacht)".

Oder hier.

Volker

Genau so ist es Versuchen wir also uns in Geduld :abklatsch:

Und hoffen auf eine Lösung

Gruß

Zitat:

Zitat von matkuni (Beitrag 820437)

Hey, wie versprochen ein Update von mir:

Die grafische Oberfläche ist soweit zum Testen bereit und enthält auch direkt eine Funktion zum Auslesen des Schlüssels:
http://matthi.org/Decrypt.png
Die Anwendung sollte selbsterklärend sein (wenn man den Beitrag hier bisher verfolgt hat) und ich hoffe auf (positives) Feedback! ;)
Habe bisher nur unter OS X eine mir zugeschickte Beispieldatei erfolgreich wiederhergestellt.
Die Funktion zum Wiederherstellen eines kompletten Verzeichnisses samt Unterordnern wird nachgeliefert!

Die neue Version 0.3 merkt sich das letzte Verzeichnis und kann jetzt auch erstmalig alle verschlüsselten Dateien in einem Ordner wiederherstellen!
Dazu darf keine Datei im Ordner existieren, die so wie die entschlüsselte Version heißen würde. Weiterhin werden bisher keine Unterordner bearbeitet. Eine Fortschrittsanzeige fehlt auch noch... einfach das Verzeichnis im Explorer beobachten ;)

Wie bereits hier mehrfach erwähnt: Zum "Schlüssel erzeugen" muss eine von der Schadsoftware verschlüsselte Datei sowie das Original vorhanden sein!

Wichtiger Hinweis:

Es ist bereits eine neue Variante im Umlauf, die sich nicht mehr einfach entschlüsseln lässt. Daher folgende Hinweise:

Arbeitet immer mit Backup-Dateien
Meldet Euch, wenn es Probleme gibt, denn nur so können neue Lösungen erarbeitet werden.

hxxp://matthi.org/DecryptHelper-0.5.3.jar
hxxp://matthi.org/DecryptHelper-0.5.3.exe

weiteres: http://www.trojaner-board.de/114115-...tml#post823142

Auf eigene Gefahr! Vorher (auch die verschlüsselten) Dateien sichern!
Die verschlüsselten Dateien nicht löschen, auch wenn die Entschlüsselung auf den ersten Blick erfolgreich war!

hallo matkuni,
leider klappt die Entschlüsselung bei mir nicht mit dem decrypter 0.5.03.exe, trotz gleicher Dateien . "...der Schlüssel konnte nicht erzeugt werden" ... leider . Hab noch xp drauf und der Trojaner hat dieses Format OrgJgvgrgNuNJNurgvJQN ohne zusätzliche Bezeichnung od. Endungen.
Was kann ich noch tun, oder ist das wieder eine neue Variante ??
roger17

Na, jetzt ist die Kriese bei Volker wohl perfekt :-)

Hallo nochmal

wenn bei der neuen Verschlüsselungsvariante Daten benötigt werden, ich könnte "Verschlüsselte <--> Org Daten" zur Verfügung stellen

Zitat:

Zitat von Undertaker (Beitrag 845435)

@stewpit,
wie @Harry2o schon sagte:
"(Dateinamen sind ja unkenntlich gemacht)".

Oder hier.

Volker

Jo thx für die Klarheit, dann wohl warten.

Auch wenn diese Tatsache (mit den nicht-locked Versionen) paarmal in diesen 100 Thread-Seiten erwähnt ist, bin ich vorhin in den Anleitungen nicht über die Klarheit gestolpert.
Wenn ich z.B. nur Kauderwelsch-Dateinamen sehe, wie soll ich dann "(Bei locked Versionen) - Wir arbeiten an einer Lösung!" interpretieren können :)?

Trotzdem danke für die bisherige Hilfe und zukünftige :)

Grüße

Zitat:

Zitat von Harry2o (Beitrag 845553)

@Harry20,
Du hast Recht.
Anfangs war nicht abzusehen, welche Evolution der Trojaner macht, er hat uns ja alle überrannt.
Für die, die neu dazu kommen, ist das ohne Lektüre der Themen schwer zu erkennen.
Ich werde mal mit einem Admin reden, inwieweit man die Hinweise präzisieren kann.

Volker

Zitat:

Zitat von Sven S. (Beitrag 845513)

Na, jetzt ist die Kriese bei Volker wohl perfekt :-)

Genau!!!!!
Aber wer Antworten auf seine Posts ignoriert und zur Beratungsresistenz neigt, dem antworte ich nimmer.

Volker