Es handelt sich um eine Datenbank, Betriebssystem WinXP, es ist die 12k-Version

Und was sagt der Shadow Explorer?
Eine Datenbank wird in der Regel oft aktualisiert, schon mal nach gelöschten Vorgängern gesucht?
Welches Datenbankformat?
Laß Dir doch nicht alles einzeln aus der Nase ziehen, echt ätzend.

Schadow explorer funktioniert doch unter xp nicht...
Gelöschte Vorgänge gesucht, aber keine verwendbare dabei...
Datenbankformat ist .gdb , also nichts verbreitetes...

Gäbe es da eine Möglichkeit das außer brute-force zu bekommen, hätte ich da denk ich schon was gefunden, habe ja schon alles probiert...

Oh sorry, Du hast natürlich Recht, mein Fehler.
Das kommt vor, wenn man mit der Beantwortung mehrerer Beiträge beschäftigt ist.

*.gdb, Borland InterBase oder Firebird.
Vielleicht kann Dir der Support des Applikationsherstellers helfen.
Eventuell sieht der eine Möglichkeit zur Rekonstruktion.

Volker

Aber brute-force geht garnicht? habe einen recht schnellen Rechner, den ich ein paar Monate dafür arbeiten lassen könnte :-D

@ Black-ZeRo

Hast Du meinen Beitrag ignoriert?

Quelle:

hxxp://www.1pw.de/brute-force.html

nicht wirklich, konnte damit nur nichts anfangen ;-D
Wie lang würde es denn rein theoretisch dauern?

Mh, leg mich bitte nicht auf die Anzahl der Nullen fest... warscheinlich 30 Millionen oder 30 Mrd. oder 30 Billionen Jahre!?

Über den mathematischen Weg kann man sich sicher ein paar Tausend Jahre sparen. :lach:

Hilft Dir das jetzt weiter? :lach:

PS: Aber vielleicht landet man auch schon beim 1. Versuch einen Treffer. Die Möglichkeit besteht natürlich, wenn auch SEHR gering.

Hallo zusammen. Möchte mich noch einmal für alle Tips und Anregungen bedanken. Habe die JPG-Bilder wieder alle herstellen können. Mit JPEG Recovery Pro 5 kein Problem. Ist zwar etwas teuer, aber hat sich gelohnt, waren ja tausende von Urlaubsbildern weg. Der Trojaner war die 12kB Version und die kleinen Programme waren da ja überfordert.
Also erst einmal Danke an das Board.

Ukasch Code an software-update@inbox.lt
 

Habe vor einigen Tagen einen PC von Bekannten bekommen mit dem og. beschriebenen Problem Verschlüsselungs-Trojaner. Nach PC-Start kommt die Seite mit der UCash-Aufforderung und dann reagiert der PC nicht mehr.
Der Rechner läuft mit Win XP Prof. und der Trojaner wurde vermutlich am 12.06.2012 mit einem Rechnungs-Anhang an einer Mail geladen.
Ich habe die Festplatte nun an einem Win 7 System extern angeschlossen und mit Malwarebytes vollständig geprüft - jedoch wurde kein Trojaner gefunden.
Die Datei-Namen auf der Festplatte sind zum Teil durch wilde Buchstabenfolgen ersetzt und das Erstelldatum auf den 13. Februar 1601 gesetzt. In den betroffenen Verzeichnissen sind nur einige Dateien vom Typ .inf .dat .bin .ini scheinbar nicht verändert.
Im Temp-Verzeichnis habe ich Dateien gefunden, welche zum warscheinlichen Zeitpunkt der Änderungen angelegt wurden:

B4F02758323053570000.$02
B4F02758323053570000.$$0
B4F027583230535700006461
Desk.$00

Im Verzeichnis C:\Dokumente und Einstellungen\Desktop habe ich eine Datei ACHTUNG-LESEN.txt gefunden mit dem Inhalt:

Sehr geehrte Damen und Herren,
anscheinend wurde das Update Programm vollständig unterbrochen. Jetzt kann das Virus nur manuell beseitigt werden. Dies brauchen Sie um Ihre Dateien benutzen zu können. Falls Sie also die gesperrten Daten brauchen, senden Sie uns bitte 200 Euro Ukash Code an die Email: software-update@inbox.lt, so bald dieser Code geprüft wurde, erhalten Sie ein Update Programm. Falls Sie Ihre Daten nicht brauchen raten wir Ihnen dringend Ihren Computer zu formatieren um den Virus vollständig zu entfernen. Ukash können Sie an einer beliebigen Tankstelle erwerben und auch in mehreren Internetcafes in Ihrer Nähe.
mfG Ihr Security Team

Vieleicht helfen diese Informationen etwas weiter bei der Suche nach einer Lösung.

moin moin,
wenn der XP-Rechner mit dieser HDD noch das o. g. Verhalten zeigt, dann ist er nicht virenfrei.
Welche Verhaltensauffälligkeiten zeigt der Rechner noch?
Ist er noch im abgesicherten Modus bootbar?
Hast Du Zugriff auf den Taskmanager und Regedit?
Welches Interesse besteht an den verschlüsselten Daten?

Das sind typische Anzeichen für eine Trojanerversion, die die ersten 12k einer Datei überschreibt und damit verschlüsselt.
Bei dieser Verschlüsselung helfen die oben unter Hinweise beschriebenen acht Tools nicht.

Auch das ist symptomatisch für den Verschlüsselungstrojaner der Version 1.o4.xx oder höher.
Die Datei *.$02 enthält die Informationen über die Verschlüsselung jeder einzelnen Datei, einschließlich Klarnamen und Schlüssel.
Die Datei selbst ist doppelt verschlüsselt und der Schlüssel wurde auf einen externen Server ausgelagert.

Weniger, aber trotzdem Danke.

Volker

ich habe den eueren virus und habe 2 gleiche dateien und sagt findet den schlüssel nicht ?
kann einer helfen?

moin moin,
es ist nicht unser Virus, im Gegenteil, wir versuchen dagegen anzukämpfen.
Lies bitte, unter welchen Bedingungen die Tools mit den Dateipaaren erfolgreich eingesetzt werden können und ob die bei Dir vorliegende Verschlüsselungsvariante diesen Bedingungen entspricht.
Unter Punkt 3 in der Topbox (Hinweise) ist alles genau beschrieben.
Es ist müßig, stets das Gleiche zu wiederholen, nur weil die Lust zur Selbstinformation fehlt.

Volker

ich habe nicht gesagt das das euer virus ist ich habe denn neuen virus habe ich gesagt und ob ihr schon was dagegen habt wehre lieb
soooooooooorrryyyyyyyyyyyy verschriben ist mir kalr das es nicht euer ist sorrry sorrrryyy

Ok, meintest neueren..ok, konnte man aber auch anders auffassen ja...

Kann Dir trotzdem nicht folgen...welcher soll Deiner jetzt sein?