Reparaturanleitungen für Dateien vom Verschlüsselungstrojaner "12 kB / neue Version"
 

Hallo.

Ich möchte mal einen Thread eröffnen, in dem alle (funktionierenden) Reparaturanleitungen für Dateien veröffentlicht werden, die von dem Trojaner, der die ersten 12 kB verschlüsselt, beschädigt wurden.

Da die Tipps, die in diesem Thread http://www.trojaner-board.de/115183-...te-umlauf.html mittlerweile nur gefunden werden, wenn man alle Postings liest, wäre es schön, wenn in diesem Thread keine Meldungen von Verseuchungen gepostet werden, dafür gibts glaube ich passendere Stellen.



Microsoft Outlook
Diese Lösung sollte mindestens für Outlook-Datendateien ab Version 2003 evtl. früher gelten. Einfach ausprobieren.

Es gibt ein Tool von Microsoft, welches die Outlook-Datendatei scannt und reparieren kann. Da ja "nur" die ersten 12 kB verschlüsselt wurden, kann evtl. der Header wieder hergestellt werden. Das Tool heisst "scanpst.exe" und ist zu finden unterhalb "C:\Program Files\Common Files\System\MSMAPI\1031".

Eine Datendatei von 1,3 GB Größe, wurde wiederhergestellt. Ein weiter Post in oben abgegeben Thread beschreibt den gleichen Erfolg.

Die Outlook-Datei liegt (bei WinXP) in der Regel unter "C:\Dokumente und Einstellungen\Benutzer\Lokale Einstellungen\Anwendungsdaten\Microsoft\Outlook", bei Win7 "C:\Users\Benutzer\AppData\Local\Microsoft\Outlook", dort einfach die vorhandene(n) Datei(en) kopieren(!) und nach "Outlook.pst" umbenennen oder einfach ".pst" zum Dateinamen hinzufügen.
Dann das Tool starten und die eben umbenannte Datei auswählen.
Es kann sehr lange dauern und das Tool sieht dann so aus, als würde es hängen, einfach Ruhe bewahren und abwarten. Wenn "scanpst" die Datei nicht reparieren kann, meldet es das.
Nach der Reparatur kann Outlook gestartet werden.
Die Einstellungen zu Mail usw. hat Outlook je nach Version in der Registry abgelegt bzw. müssen von Hand neu eingegeben werden.



Mozilla Thunderbird
Man suche sein Profileverzeichnis in Win7 bei "C:\Users\Benutzer\AppData\Roaming\Thunderbird" und dort die "Local Folders". Da sind in der Regel die Maildateien. Es gibt immer zwei zusammengehörige Dateien, z. B. Inbox und Inbox.msf. Das gilt für Sent, Trash, usw.

Auch hier sollte man die Dateien für den Fall der Fälle kopieren und dann mit der Kopie arbeiten.

Nun öffne man mit einem Editor (z.B. Notepad++ o.ä.) diese Dateien.
Wenn man jetzt besagte 12288 Bytes runtergeht, muss man Inhalt in dieser Form finden:

Diese Datei ist dann eine Maildatei.

Da neue ankommende Mails immer unten angehängt werden, kann alles was über den angegebenen Zeilen steht, gelöscht werden. So kann man die Datei wiederherstellen.
Wenn ihr die Dateien dann in der Form "Maildatei1", "Maildatei2", usw. umbenennt und dann Thunderbird startet, findet ihr Ordner dieses Namens in der Oberfläche.
Dann die Mails in diesen Ordnern markieren und in die entsprechenden Ordner (Posteingang, gelöscht,... -diese wurden automatisch wieder angelegt) verschieben.

Die restlichen Einstellungen wie Mailadresse, Server, usw. müssen von Hand neu angelegt werden, das sie vermutlich zerstört wurden.



Ich wünsche viel Erfolg.

Michael

Hallo Michael,

gute Idee :daumenhoc

Verweise mal noch auf folgende Möglichkeit: http://www.trojaner-board.de/115496-...erstellen.html

Hi,

ein Bekannter hatte sich einen Verschlüsselungstrojaner eingefangen, der die ersten 3kB der Dateien verschlüsselt. Keines der Entschlüsselungstools hat bisher funktioniert.

Ich habe es dann mit dem Tool JPEGsnoop geschafft, so verschlüsselte JPG-Bilder wiederherzustellen, da sie an dieser Stelle scheinbar keine Bildinformationen enthielten. Dies ging allerdings nur einzeln.

Ich habe das Tool daher angepasst, so dass es einen ganzen Ordner mit verschlüsselten JPG-Bildern auf einmal abarbeitet. Meine angepasste Version [1] inkl. Quellcode [2] findet ihr unten. Vielleicht kann sie ja jemand gebrauchen. Sie funktioniert natürlich nur, wenn die Bilder im verschlüsselten Bereich keine Bilddaten enthalten. Außerdem stellt sie u.U. pro Datei mehrere Bilder unterschiedlicher Auflösungen wieder her, die alle enthalten sind. Wie immer gilt: nur mit Backups arbeiten und die Originaldateien aufheben, falls es jemand noch schaffen sollte, den verschlüsselten Bereich zu entschlüsseln. Die neue Funktionalität findet man unter File - Batch Recover.

[1] team.winfuture.de/to_webmaster/files/JPEGsnoop-bin.zip
[2] team.winfuture.de/to_webmaster/files/jpegsnoop-src.zip

weitere Hinweise: http://www.trojaner-board.de/115551-...tml#post847928

Hinweis: Das kann nur korrekt funktionieren, wenn die Bilder hinreichend groß sind.

1. Programm runterladen: team.winfuture.de/to_webmaster/files/JPEGsnoop-bin.zip
2. Ein paar verschlüsselte Bilder zum Test in einen leeren Ordner kopieren.
3. Programm entpacken und starten.
4. File - Batch recover...
5. Den in 2. erstellten Ordner auswählen und ok drücken.
6. Beten und warten.

Bei Erfolg den Vorgang mit den restlichen Bildern wiederholen.

hallo,

habe Dein Tool gerade getestet, und mich gewundert, wieso es so viele Dateien findet in einem Verzeichnis auf USB-Stick, wo ich zum Testen 5-6 Dateien abgelegt hatte. Das Tool stoppte erst mit Meldung "Speicher voll".

Ein Blick ins Verzeichnis zeigte dann den Grund: Die vorhandenen Dateien wurden repariert und umbenannt, dann wurden die bereits reparierten wieder repariert und umbenannt usw.

http://img685.imageshack.us/img685/6...0523205407.jpg

Vielleicht sollte hier noch eine Routine rein, die den Batchlauf nach einem Durchlauf stoppt :stirn:, ansonsten Top das Tool !! :dankeschoen:

Oh, das ist ärgerlich, da das in meinen Tests gerade nicht passiert ist (kann an der Reihenfolge der Dateien oder den Dateinamen liegen).

Egal, ich habe es nun nochmal so modifiziert, dass die wiederhergestellten Dateien in einem Unterordner "JPEGsnoop-recovered" abgelegt werden, das sollte das Problem aus der Welt schaffen.

Sorry für die Unannehmlichkeiten.

MfG TO_Webmaster

Hi TO_Webmaster,

super Job das mit deinem Tool JPEGsnoop!!!!
Ich könnte immerhin schon mal Thumbnails sehen von den JPG's.

Leider stimmt etwas mit dem Hinterlegten Pfad für das Batchrecovery nicht oder ich bin zu schusselig ;-)

Bei mir (Win7 64bit Pro) wird der zu verwendende Pfad für den Export zweimal in einer Zeile geschrieben:

*** Exporting JPEG ***
Exporting from: [G:\Arbeit\PICTURE\Photos\yjqoLjnjVGVxtE]
Exporting to: [G:\Arbeit\PICTURE\Photos\JPEGsnoop-recovered\g:\arbeit\picture\photos\yjqoljnjvgvxte-repaired-2.jpg]
ERROR: Couldn't open file for write [G:\Arbeit\PICTURE\Photos\JPEGsnoop-recovered\g:\arbeit\picture\photos\yjqoljnjvgvxte-repaired-2.jpg]: [G:\Arbeit\PICTURE\Photos\JPEGsnoop-recovered\g:\arbeit\picture\photos\yjqoljnjvgvxte-repaired-2.jpg contains an incorrect path.]

Da kann er natürlich nicht hinschreiben ;-)

Jemand ne Idee warum das so ist???

DANKE!!!!!!!

Hi,

zunächst einmal möchte ich darauf hinweisen, dass ich das Tool nicht geschrieben, sondern nur (leicht) modifiziert habe.

Nun zu deinem Problem: Das tritt auf, wenn die verschlüsselten Dateien gar keine Endung haben und war mir bisher nicht bewusst. Ich kann das demnächst irgendwann mal umbauen. Um das Problem zu umgehen, könntest du erstmal mit einem Rename-Tool den Dateien eine beliebige Endung zuweisen.

MfG TO_Webmaster

Hilfe !
 

Hallo zusammen,

Ich bin neu hier und habe mir ebenfalls den Troyaner eingefangen. Nach dem ich win 7 wieder neu installiert habe läuft der Rechner wieder. Ich habe nur probleme meine Daten wieder herzustellen, bis jetzt haben alle Versuche fehlgeschlagen sie zu entschlüsseln.
Ich kenne mich nicht besoders gut aus aber hier wird immer gepostet das die Dateiendungen verschlüsselt sind, das schein bei mir nicht der fall zu sein, die Endungen sind ganz normal (.jpg, .xls,....). Der Troyaner ist auf alle Fälle der, der oben beschreiben wurde (selber Text, ...). Kann das Problem wo anders liegen ? Bin für jede Hilfe dankbar !!!!

Hallo,

ich habe das Tool an Bilddateien ausprobiert.
Meine Dateien sind nach dem Schema "fnsqLuedoGdTxApvl" u.ä.
verschlüsselt.

Ich habe auch noch Backups einiger Originaldateien.

Ich kann keine Schlüssel erzeugen, da die verschlüsselten Dateien eine geringfügig andere Größe als die Originaldateien haben. Ca. 1 - 3 kB Unterschied.

Lässt sich daran etwas machen ?

Also meine Dateien sind auch nach dem Muster

psuTxvptQaGJptQaGJ verschlüsselt.
Mann kann derzeit auch keine eure Programme die ihr da vorschlagt nutzen,weil alles immer einen schlüssel haben will.


Wenn einer ein Lösung hat ...ich würd mich so sehr freuen

@TO_Webmaster

hiho die Idee JPEG´s mit dem Tool JPEGsnoop zu retten finde ich genial :)
Ich hab das mal mit meinen verschlüsselten Jpegs ausprobiert . Und bin auf ein paar Probleme gestoßen. Vielleicht kannst Du mir und Allen Anderen die die gleichen Probs haben weiterhelfen.

1. Der Versuch einer Batchrecover-Aktion scheitert bei mir daran, dass meine verschlüsselten Dateien zwar jpg´s sind aber die entsprechende Datei-Endung wurde vom Trojaner entfernt... (meine Dateien haben als Namen nur wilde Anreihungen von BUchstaben Wie z.b. "DeelUVVNgOLooapXxstu". Der Test mit einem Verzeichnis von 80 Dateien führte zu 80 Fehlermeldungen "Error: Couldnt open file for write" und "contains incorrect path" . Da man die Fehlermeldungen immer mit "ok" wegklicken muss war das umständlich und nützte nichts ... Der Gegentest mit korrekt umbenannten JPG-Dateien funktionierte jedoch. (mit ein paar anscheinend nicht rettbaren Bildern )

2. Leider klappt es in deinem modifizierten Tool eine Bilddatei einzeln zu öffnen nicht. es wird mit der Antwort "****.jpg was not found" beantwortet. Ein test mit dem nicht modifzierten Tool klappte jedoch . Dieses Verhalten trat bei mir auf 2 verschiedenen Rechnern auf . Ich vermute es ist ein kleiner Bug der sich eingeschlichen hat. Dies ist zwar nicht relevant für unsere Mission hier aber vielleicht ganz leicht zu beheben...

Hier ist jetzt der geeignete Ort um meine beiden (deutschsprachigen!) Video-Anleitungen zu Schattenkopien reinzustellen:


Anleitung ShadowExplorer deutsch:


Wem's geholfen hat: ich freue mich immer über Backlinks auf hxxp://blog.pc-ab-50.de/hoffnung-fuer-opfer-des-verschluesselungs-trojaners-schattenkopien.html

1. Ist bekannt und kann umgangen werden, indem man den Dateien irgendeine Endung gibt, z.B. mit einem Massen-Umbenennungstool.

2. Hmm, ich habe neben meinem Ergänzungen nur einige (meines Erachtens unbedeutende) Dinge geändert, damit es in Visual Studio 2010 kompiliert. Habe allerdings keinen Wert auf die anderen Funktionen gelegt, da für diese ja das Originaltool verwendet werden kann.

Ich werde mir beide Dinge ansehen, sobald ich Zeit habe (diese Woche wohl nicht mehr). Falls jemand anders mehr Zeit haben sollte, einfach die Änderungen durchführen. Die Sourcen der angepassten Version habe ich ja zur Verfügung gestellt.

MfG TO

hy

weiss jemand wie ich die .avi dateien, pdf formate und word dokumente wieder heile machen kann?

Die Bilder sind wieder ganz....obwohl das mit dem JPEGsnoop ja ne gute idee ist,aber jedes einzelne bild frein laden und wieder umwandel und dann extra speichern ja ne richtige arbeit ist!vielleich kann man ja auch alle bilder(in einem ordner) iregendwie rein laden, ich weiss nur nicht wie!?!?

Mfg

Hallo,
bekomme es mit dem Tool nicht gebacken, bin wahrscheinlich einfach zu blöd dazu :D

Wie genau muss ich vorgehen, um meine Bilder im Original wieder zu bekommen?
Habe es bei zwei Fotos geschafft, jedoch in absolut unbrauchbarer Größe (160x120)
Muss ich bei den Dateien ein ".jpg" dahinterhängen?

Bitte um Ratschläge...

Mfg Holdi ;)

moin moin,

im Netz bin ich auf die
Recoverx Toolbox gestoßen und habe die Demo mal runtergeladen.

Die Toolbox für Worddokumente brachte bei meinen Testdateien wenig erbauliches.

Die Toolbox für PDF Dokumente lieferte dagen ganz brauchbare Ergebnisse.

Hier mal ein Beispiel:

http://due-m.de/Trojaner/recover/pdfrecov1.jpg

http://due-m.de/Trojaner/recover/pdfrecov2.jpg

http://due-m.de/Trojaner/recover/pdfrecov3.jpg

http://due-m.de/Trojaner/recover/pdfrecov4.jpg

Hier das Ergebnis, Recoverversion und Original:

http://due-m.de/Trojaner/recover/pdfrecov6.jpg

http://due-m.de/Trojaner/recover/pdfrecov5.jpg

Die Demo recovert allerdings nur eine Seite.
Egal, vielleicht hilt es Einigen weiter.

Gruß Volker

hy
ist echt ne gute idee....aber irgendwie will das bei mir net so wie es soll

ich probiere grad allereslei JPEG Repairer, hat da schon jemand irgendwas? Würde auch ein paar fehlende Pixel in Kuaf nehmen;-) Mal sehen ev kommt ja ein tool das jpegs repaiert, in den ersten 12kb der datei, bzw den header.

Servus,

die Daten eines unserer Kunden ebenfallst nach dem Muster
"psuTxvptQaGJptQaGJ" verschlüsselt.

Gibt es eine Möglichkeit die Dateinamen wiederherzustellen oder kann ich damit rechnen das es irgendwann eine gibt?

Gruß
Marcel Sommer

Danke Michael für den Tipp mit Outlook. Es hat bei mir auch problemlos funktioniert.

Ich verweise mal auf meinen Eintrag in einem anderen Thread. Post #535

Bilder kann man hiermit sehr gut wiederherstellen.
Aber entgegen meiner Behauptung im Post muss man die Dateien doch vorher umbenennen.


http://www.trojaner-board.de/115183-...tml#post840582
.

Habe das gleiche Problem. Willkürliche Dateinamen ohne Datei-Endung. Die Tools funktionieren wohl nicht, da sich diese an den unterschiedlichen Datei-Größen stören von den zu vergleichenden Dateien. den verschlüsselten Dateien die entsprechend richtige Endung zu geben z.b. *.xls bringt auch keinen Erfolg, leider.

Hideho,

JPEG-Recovery von hktech (kostenpflichtig, 49.95$) hat bei mir ein sehr gutes Ergebniss gebracht. (Datei-Namen : z.b. AGOTtEerLVJldjauys)

hxxp://www.file-upload.net/download-4425106/bilder.zip.html (Verschlüsselte und reparierte Datei)

Bin auch bereit, wenn ihr euch die Software nicht kaufen könnt/wollt, eure Bilder zu reparieren (soweit möglich). Soll auch nix kosten :)

Grüße
Forrest

hab hier sehr viele bilder die auch mit den repair tools nicht gehen, schade.

Wie sehen denn die Datei-Namen aus? Kannst du mir mal 2 oder 3 zukommen lassen? Wenn sie nicht zu gross sind per Email, ansonsten per File-upload.net z.b.

Email-Adresse bekommst per PN, musst nur Bescheid geben :)

Grüße

@forrest

habe gelesen das du die verschlüsselten jpeg wieder heile machst!

Ich hätte auch paar bilder die mir echt wichtig sind

mfg:pfeiff:

Hallo,

ich kann es versuchen, nutze dafür JPEG Recovery in der Pro-Version.

Schick mir mal ein paar und ich schaue was ich machen kann. Email gibts per PN hier im Forum

Grüße

echt geil.....
habe dir grad ein paar zukommen lassen

hi.

konnte alle vier bilder wieder in 1600*1200 wieder herstellen.. Hab dir was per Email zurück gesendet. Schau mal in deine Emails :)

Hallo

Ich habe mich mit der Reparatur von Outlook-Express 6 (.dbx-Dateien) unter Windows XP beschäftigt und bin auf das Programm "UnDBX" gestossen. Damit konnte ich E-Mails aus den verschlüsselten Dateien (12 kB-Variante) erfolgreich in .eml-Dateien extrahieren. Dabei muss zuerst die Dateinamenerweiterung .dbx an die verschlüsselten Files angehängt werden. Anschliessend können die E-Mails aus den Dateien mit dem Befehl "undbx.exe --recover <DBX-FOLDER> <OUTPUT-FOLDER>" als .eml-Dateien extrahiert werden. Vorsicht: Die Nachricht mit dem Virus wurde auch in eine E-Mail-Datei extrahiert.

Ich wünsche viel Erfolg.

@g0atherd,
danke für die Info. :daumenhoc

Gibt es irgendeine Möglichkeit Word- und Excel-Dateien wiederherzustellen? Meine Bilder hat der Trojaner komischerweise nicht verschlüsselt, aber die brauche ich auch nicht...

Dateien sehen jetzt so aus: urufQJtEqgjELEryfuT , sgETrvXgvyspsTltNVQf

Danke schonmal...

Meine Frage hat sich schon erledigt! Habe die Lösung in einem anderen Thread gefunden. - Konnte die Dateien mit Rechtsklick und Vorgängerversion wiederherstellen wieder aufrufen und habe sie jetzt erstmal auf einem Stick gespeichert...Ist es denn ratsam nach so einem Trojanerbefall das System neu zu installieren?

Ich habe die modifizierte Version von JPEGsnoop jetzt so angepasst, dass sie beim "Batch Recover" auch mit Dateien ohne Endung umgehen kann. Evtl. hilft es ja dem einen oder anderen.

An dieser Stelle möchte ich nochmal erwähnen, dass das Tool nur hilfreich ist, wenn in den ersten Kilobytes der Bilder keine relevanten Informationen enthalten waren (war hier bei vielen Bildern so).

MfG TO_Webmaster

Werds gleich mal testen :daumenhoc

Wo kann ich ich die modifizierte Version von JPEGsnoop downloaden?

@dadudelp,
schau Dir das erste Posting von @TO_Webmaster auf Seite 1 an.

Oh Mein Gott. Ich bin euch so dankbar :) Kurz probiert und 4 wurden wieder hergestellt, nur 2 davon zu klein, gibt es dafür auch eine lösung um die größer zu bekommen?

Da gibts dann noch JPEG-Recovery.
Die Vollversion ist allerdings kostenpflichtig.

Wende Dich mal an @Forrest74, der hat die Vollversion gekauft.
Der hilft Dir sicherlich und prüft, ob das Tool bei Dir hilft.

Du kannst auch mal die zwei Bilder Packen und mir schicken.
Wie groß sind die denn?

Die testversion hatte ich schon getestet und hatte auch gut geklappt. Ich geb nur leider ungern bilder in "fremde" hände. Ich werd es mir nochmal überlegen. Vielen dank

Hallo Leidensgenossen und Helfer!

Kann mir jemand den Unterschied sagen zwischen den beiden JPEG Recovery Versionen

- JPEG Recovery Basic 5.0 für $ 39,95
und
- JPEG Recovery Pro 5.0 für § 49,95

Bei den faq`s auf der Homepage steht zwar "Professional version covers both Bulk Recovery Processor and JPEG Recovery Editor.", aber was heißt das konkret?

Langt die Basic Version auch um verschlüsselte JPEG wieder zu retten?

Danke und Gruß

Ja, Du kannst auch mit der Basic die Bilder wiederherstellen, allerdings nur Bulk.
Frei übersetzt, ohne Alles, also das was das lesen kann wird ausgegeben.
Mit der Pro gibt es einen Editor, der Fehler beheben kann, zumindest soll er das können.
Auf der Homepage des Herstellers gibt es einen Link sample pages, dort kannst Du Dir ansehen was das Teil können soll.

Volker

Für jeden der das selbe Problem wie ich hat, und seine daten wie textdokumente, bilder usw. nicht öffnen kann, holt euch shadow explorer 0.8.
Und wenn wir nicht wisst wie das funktioniert schaut einen Tutorial oder fragt mich.

Hallo,

das kann ich voll und ganz verstehen :) Niemand gibt gerne Bilder in fremde Hände, es sei denn mal will es so :)

Ich kann dir nur anbieten das du mir ein paar schickt und ich einfach versuche die wieder herzustellen. Sollte sie wieder herstellbar sein so kannst du immer noch entscheiden ob du a) die Software selber kaufst oder b) deine Bilder komplett von mir reparieren lässt (sowie möglich). Wenn du noch ein Referenz-Bild von der gleichen Kamera hast ist die Chance noch größer!

Die Bilder werden bei mir, ausser sie sind nicht wieder herstellbar, nach Versand wieder gelöscht. Die nicht wieder herstellbar sind werden für spätere Test mit Email-Adresse oder Username gespeichert und wenn es dann weitere Möglichkeiten gibt, wieder verwendet. sollten diese dann zu reparieren sein melde ich mich bei den jeweiligen Besitzern.

Ich habe nun schon einige Bilder bekommen (um die 1500 Stk.) und konnte schon zufriedenstellende Ergebnisse liefern, auch bei Bildern wo selbst JPEG-Recovery streikt.

Angebot steht, wenn du oder andere Interesse haben meldet euch per PN

Grüße
Forrest

ich kann forrest nur zustimmen und danken, dass er sich so gut hier einsetzt.
Hat bei mir sogar paar testjpgs wiederhergestellt, somit weiß ich, meine bilder sind noch zu retten. (bilder konnten mit anderen tools nicht mehr hergestellt werden)

Hallo Leute,

mein System scheint wohl von der jüngsten Version des Trustezeb befallen gewesen zu sein, zumindest sind alle Daten verschlüsselt bzw. nicht mehr zu öffnen, und die Dateinamen sind gleichgeblieben.
Gibt es eine Möglichkeit, die Daten zu retten oder kann ich gleich alles löschen?

Danke für Eure Antworten :)

Wenn Du auf die Daten verzichten kannst, dann ist eine Neuinstallation die sicherste und effektivste Methode.

Volker

Hallo Undertaker,

habe die Daten runtergespielt (Bilder, Words, pdfs) und das System neu aufgesetzt. Die Daten funktionieren aber nicht mehr, gibt es dennoch schon einen Weg, diese Verschlüsselung aufzuheben?

Für JPGs sieht es nicht schlecht aus, bei PDFs mittelmäßig und bei DOCs bisher katastrophal.

Schau mal hier http://www.trojaner-board.de/116851-...strojaner.html

Volker

Hey. Schade, bei mir ist auch alles verschlüsselt. Auf jpg, etc. kann ich verzichten, aber nicht auf meine pdf´s. Mist. Name ist gleich geblieben. Mit dem pdf Recovery funzt es leider auch nicht..

Was kann ich noch machen?

googeln, suchen, probieren, abwarten, weiter nix.

hallo forrest74,kann ich dir mal ein paar vom trojaner verschlüsselte bilder zukommen lassen um zu testen,ob du sie entschlüsseln kannst?das wäre echt super,wenn du helfen kannst,denn auf meinem pc sind u.a. alle babybilder von meiner kleinen tochter drauf.
würd mich freuen,wenn du dich bei mir meldest.danke,liebe grüße,corinna

ich bin noch ganz neu hier und scheinbar etwas schwer von begriff....wie schreib ich ein pn?danke+liebe grüße

Hallo,

ja klar.. Schicke dir eine PN.

Einfach links auf den Usernamen klicken und dann auf "Private Nachricht an xxx senden". Lesen kannst du dein oben rechts unter "Ihre Benachrichtigungen"

Grüße

hallo schickst du mir deine PN

Hi

Leute bin neu hier hab mir gestern diesen verschlüsselungs Tojaner eingefangen habe mein System neu Installiert nun habe ich aug meiner Externen Festplatte alle meine Bilder bin Photograph diese sind noch alle Verschlüssellt auch dir RAW Bilder mit (asfarevdv) oder so.
habe alle Tool hier durch und keines schaft es diese Bilder wieder Lesbar zu mach bitte um Hilfe
Danke im Voraus!!!!

Welche Tools meinst Du, JPGSnoop und JPG-Recovery?

Volker

Hallo

Ja die Beiden bin echt verzweifelt, gibt es da überhaupt noch eine Chance oder kann ich die Bilder Vergessen?

Mhhh, kann ich nicht sagen, aber JPG-Recovery soll in der Vollversion mit RAW-Dateien umgehen können.

CRW + CR2 von Canon, NEF von Nikon, PEF von Pentax RAF von Fujifilm X3F von Sigma, ORF von Olympus, SRF von Sony, MRW von Minolta und DCR von Kodak.

Schick mir mal so ein Bild.

Volker

Über was soll ich dir das Bild schicken oder als Mail?

Gruß
Sascha

Ja, Mail, ich schicke Dir eine PN mit der Mailadresse.

Lieferzeit JPEG Recovery???

Hallo Mitglieder, die bereits JPEG Recovery geordert haben.
Ich habe mir am Mittwoch auch die Vollversion bestellt. Habe via paypal auf der Homepage gezahlt. Jetzt warte ich immer noch auf die Übersendung des Keys. Hat von euch jemand ähnliche Erfahrungen gemacht?

Wie lange habt ihr so gewartet?

Danke für ein kurzes Feedback und Gruß

Rainilein

Hi TO_Webmaster,
ich würde deinen Tool gerne ausprobieren, wie kann ich ihn anwenden?
Danke für deine Hilfe

Hinweis: Das kann nur korrekt funktionieren, wenn die Bilder hinreichend groß sind.

1. Programm runterladen: team.winfuture.de/to_webmaster/files/JPEGsnoop-bin.zip
2. Ein paar verschlüsselte Bilder zum Test in einen leeren Ordner kopieren.
3. Programm entpacken und starten.
4. File - Batch recover...
5. Den in 2. erstellten Ordner auswählen und ok drücken.
6. Beten und warten.

Bei Erfolg den Vorgang mit den restlichen Bildern wiederholen.

MfG TO_Webmaster

irgendwie will das bei mir nicht klappen... wie und was habe ich mit dem tool zu machen... wie wende ich es an... die daten sind bei mir, wie oft von anderen beschrieben "wirr umbenannt", ohne entsprechende dateiendung...

bitte helft mir... der betroffene ordner enthält die erste zwei jahre meiner tochter...!

danke im voraus, gruß daniel:confused:

Wie das Tool zu bedienen ist, steht in dem Beitrag direkt über deinem. Wenn das nicht funktioniert, dann ist das leider so, da evtl. schon relevante Infos in den verschlüsselten Dateibereichen sind. Evtl. helfen dann noch die anderen hier vorgeschlagenen Bild-Wiederherstellungstools.

MfG TO_Webmaster

Naja es funktionert schon, aber die daten sind nach ihrer bearbeitung mt snoop nur noch sehr klein und kaum brauchbar...

liefert jpeg-recovery evtl. bessere ergebnisse...?

danke und gruß daniel

Dann konnte das Tool wohl nur irgendeine Vorschau des Bildes wiederherstellen und das ursprüngliche Bild begann schon im verschlüsselten Bereich. Ob andere Tools da helfen können, weiß ich leider nicht, aber es gibt ja hier genügend Leute, die es mal testen könnten.

gibt es auch die Möglichkeit Filme diverser Formate wieder zu bekommen?
Das mit den Bildern hat wunderbar funktioniert, danke vielmals!

Hi und erstmal vielen dank für euere tolle Hilfe!

Habe seit dem mich der Trojaner auch erwischt hat (anfang Juni) mich immer wieder hier und auf anderen Portalen durch die Foren gewühlt in der hoffnung das ich etwas brauchbares finde um meine Bilder der letzten 3 Jahre wieder sichtbar zu machen die ich auch bequemlichkeit nicht gesichert hatte *schäm*

Hatte alle die verschieden Tools und Programme ausprobiert ab nichts half. Erst als ich hier von JPEG Recovery gelesen habe und es mir runtergeladen habe und nach einigem rum probieren erste positive ergebnisse hatte wurde licht am ende des Tunnels sichtbar ;-)

Lange rede kurzer sinn, gut 95% der Bilder konnte ich retten und wiederherstellen! Die Qualität ist zwar nicht soo gut aber damit kann ich leben! Die einzigen Bilder die ich nicht entschlüsseln könnte waren von meinem alten Sony Ericcson K750i Handy und da auch nur die die kleiner wie 600kb sind, größere wurden entschlüsselt.
Weiß jemand woran das liegen könnte?

Nochmals vielen dank für euere Arbeit hier!!!

Hallo Loeny,
Sicherlich weißt Du, dass der Virus die erstem 12Kb einer Datei überschreibt.
Das heißt, die Informationen die in diesem Bereich ursprünglich gespeichert waren, sind und bleiben verloren, solange sie nicht korrekt entschlüsselt werden.

Die Struktur einer JPG-Datei ist so aufgebautm dass außer den reinen Bildinformationen noch weitere enthalten sind,
Diese EXIF-Daten werden im Header, vor den eigentlichen Bilddaten in die Datei geschrieben.
Neuere Kameras schreiben fast alle diese EXIF-Daten.
Im günstigsten Fall, zerstört der Virus nur diese EXIF-Daten und das Bild ist zu 100% zu rekonstruieren.
Bei alten Kameras fehlen diese Daten und die Bildinformationen werden gelöscht.

Außerdem gibt es noch einen direkten Zusammenhang zwischen der Dateigröße, dem Komprimierungsfaktor und dem zerstörten Bereich.
Je größer die Datei, desto kleiner ist der prozentuale Antei dieser konstanten 12kB an den Gesamtdaten und desto wahrscheinlicher ist es, dass die tatsächlichen Bildinformationen rekonstruierbar sind.
Je kleiner die Datei ist, desto höher also der Verlust dieser Daten.
Das verschlechtert sich bis zum totalen Verlust der Bildinformationen bei einer nur 12kB großen Datei.

Ich hoffe, das einigermaßen verständlich rüber gebracht zu haben.

Gruß Volker

Hi Undertaker,

danke war verständlich ;-)

Ist mir auch klar das Daten bzw Datenvolumen verloren geht nur hätte ich nicht gedacht das es soviel ist.
Ein Beispiel: orginal Ordner mit 176 Bilder und einer gesamtgröße von 238MB ist nach der entschlüsselung nur noch 6,55MB groß!!! Von einer durchschnittlichen Bildgröße von 1350kb sind gerade einmal 37kb übergeblieben!
Ist das nur bei mir so oder ein allgemeines Problem?

mfg Loeny

Das liegt daran, dass in den JPEG-Dateien das Bild unter Umständen mehrfach in verschiedenen Auflösungen gespeichert ist (z.B. als Vorschau). Evtl. konnte das Haupt-Bild nicht wiederhergestellt werden.

Hallo!

Es hat geklappt :taenzer:

Ich konnte den größten Teil der Bilder rettetn!

Vielen herzlichen Dank für den support und das Programm:applaus:

Torro

NOTE: File did not start with JPEG marker. Consider using [Tools->Img Search Fwd] to locate embedded JPEG.

:(
is there a method to get around this?

Habe soeben mit diesem Tool 500 Bilder die recht groß waren von einem befallen PC wiederhergestellt, Qualitätseinbuße ja, aber nicht mehr weg, Kopien der Orginale (verschlüsselt) gibts ja noch, also noch ein wenig Hoffnung auf vollständige Wiederherstellung.

Danke !!!

Vielen Dank, TO_Webmaster.

Wollt nur schnell bescheid geben, dass ich dank deiner Hilfe (mit deinem Programm) schon etliche Bilder wieder herstellen konnte :)
Danke Danke.
LG,
skunkyb

Hallo Leute,

bin neu hier und meine Schwester hat sich auch diesen Trojaner eingefangen.
Sind natürlich viele Bilder, Videos und ein paar Excel Daten betroffen. Es besteht natürlich keine Sicherungskopie!!!
Ich habe hier schon so etliches durchgelesen und habe alle Entschlüsselungsprogramme probiert. Leider ohne Erfolg. Gestern habe ich dann das kostenpflichtige Programm JPEG-Recovery ausprobiert und siehe da, es funktioniert nur leider mit einem Wasserzeichen drin. Gibt es zu diesem Programm irgendein kostloses Alternativprogramm? Irgendwie schon komisch, das nur dieses Programm die Bilder wieder entschlüsseln kann. Man könnte fast vermuten, das die das Programm verkaufen auch die Entwickler dieser Trojaner sind.
Na ja, sei's drum. Kennt irgendjemand ein Ersatzprogramm?

@Forrest: Kann ich Dir notfalls auch Bilder zukommen lassen?

MFG
Balrok

PS. Ach ja, gibt es auch schon Hilfreiche Programme für DOC, XLS Dateien?

Hallo Leute
Ich hab mir auch vor ca. einer woche diesen scheis Trojaner eingefangen der hat gleich alles so kaputt gemacht das ich den PC jetzt plätten lassen musste und neu installieren.
Doch die wertvollen Familienbilder von 1950 und so die ich zuvor gescannt hatte sind alle kaputt die lassen sich nicht mehr anschauen da die datein irgendwie geändert sind und kein jpg mehr dran ist und ich mich überhaupt nicht mit computern auskenn doch ich bin schirr verzweifelt denn an diese bilder komm ich nie wieder bitte kann mir wer helfen das die wieder gehen bitte bitte
ich hab gscheid wie ich bin versucht mit umbenennen bei 3 bilder .jpg dran zu machen hat aber auch nix geholfen ich konnt die bilder nur noch schnell auf nen usb stick ziehen bevor der pc platt gemacht wurde

sie heisen nur noch: apTOsQpNlvTgeQpN also ohne format und so


bitte HIIIlllllFFFEEEE

Danke

moin moin Sputtnik, stellvertretend für Viele,
was hast Du hier im Forum bereits gelesen.
Normalerweise informiert man sich vor seinem ersten Beitrag.
Dies betrifft sowohl die Regeln, Gepflogenheiten als auch Hinweise, die einem weiterhelfen könnten.
Dir scheint in dieser Richtung alles entgangen zu sein, sonst hättest Du die Hinweise am Anfang der Seite verfolgt und auch das gesehen, was gleich darunter steht.

Ich werde Dich gern bei Problemen mit einem der genannten Tools zur JPG-Wiederherstellung unterstützen, aber was es generell für Möglichkeiten gibt, musst Du Dir schon erlesen.
Lesefaulheit unterstütze ich nicht.

Volker

ich hab ja all diese dinge da probiert mit wiederherstellen usw soweit wie ich kann hat ja alles nix gebracht oder ich kanns einfach nicht drum frag ich ja nach hilfe da ich da einfach nicht durchblick und viele von den programmen in englisch sind und das funktioniert mit der übersetzung garnicht

All diese Dinge, welche?

Also gut, Du willst Deine Familienbilder wieder zurück holen.
Welches Tool hast Du dazu benutzt, JPGSnoop oder JPG-Recovery und wobei hapert es da?
Was ist mit Schattenkopien?

Volker

also ich hab jedes einzelne der 8 programme gedownloaded und überall kommt beim ausführen das ich nicht zugreifen kann da ich angeblich nicht die ausreichende berechtigung habe was das allerdings bedeutet weis ich nicht schlieslich ist das mein pc und nur ich hab den zugriff drauf und die administratoren rechte.
Und wie das mit den schattenkopien geht muss ich zu meiner schande gestehen ich verstehs einfach nicht auch nach hundertmaligem lesen :-(
also alles in allem steh ich da wie doof :-))
Bei JPGSnoop kommt wenn ich das bild rein geladen hab Batch Procressing complete!
dann Note: File did not start with JPEG maker. Consider using (Tools= img search Fwd) to locate embedded JPEG.
Dann ist plötzlich ein neuer ordner JPEGSnoop Recovered drin da klick ich drauf und es kommt dann dieser ordner ist leer !!
Und was hab ich da dann falsch gemacht die überstzung des satzes is mir nicht ganz klar ich kann nicht gut englisch,
Ich hoffe meine beschreibung reicht und damit können sie was anfangen besser kann ich es nicht wieder geben was passiert

Ich denke, du hast nichts falsch gemacht. Die gescannten Bilder gehen wohl direkt in den ersten paar Bytes los und Vorschauen sind da auch keine enthalten. Da kann dir dieses Tool wohl nicht weiterhelfen. Die Ausgaben von JPEGsnoop kann man getrost ignorieren, die stammen noch aus der ursprünglichen Version (mit der ich nichts zu tun habe), die nicht für Batch-Wiederherstellung ausgelegt ist.

danke für deine antwort also scheint das nicht zu funktionieren und was mache ich jetzt?
die anderen programme startet der pc nicht!

Hallo,
ich habe auch die komplizierte Verschlüsselung erwischt nach Prinzip: sadfRGsrtGF. Bei mir ist ein Fotoordner mit Urlaubsbildern der letzten 15 Jahre betroffen. Jpegsnoop funktioniert nicht und gibt folgende Meldung:

NOTE: File did not start with JPEG marker. Consider using [Tools->Img Search Fwd] to locate embedded JPEG.

Jpeg-recovery pro 5.0 habe ich in der Trial-Version ausprobiert und bekomme allerdings nur ältere Bilder einer Kamera die ich nicht mehr habe und Handy-Bilder wieder. Sämtliche neue Bilder von meiner aktuellen Kamera werden nicht erkannt. Die Bilder der alten Kamera mussten allerdings vorher in .jpg umbenannt werden. Nach der Wiederherstellung war die Dateigröße allerdings nur noch halb so groß. Also z.B. 700kB statt 1,5 MB. Könnte die Einschränkung vielleicht auch an der Trial-Version liegen? Gibt es schon neue oder andere Software die mir helfen könnte? Oder andere Tricks die helfen könnten? So wie es ausschaut würde es sich trotzdem lohnen JpegRecovery zu kaufen.

Gruß
MinisterPhil

@Minister,
sind die Fotos Deiner neuen Kamera vielleicht in einem anderen Format abgespeichert. Viele bieten ja die Sicherung in einem RAW-Format, also als Rohdaten, an.
Schicke mir doch mal ein paar der Bilder.
Am besten auch eines von denen, die bei Dir reduziert wurden.
Mailaddi bekommst Du per PN.

@Sputtnik,
für Dich gilt das Gleiche, schicke mir mal einige der Fotos.

Volker

Hallo Undertaker,

habe dir beide Varianten auf die angegebene Mailadresse geschickt. Werde später auch noch unterschiedliche Bildbetrachter probieren. Nur als Hinweis falls es hilft: Derselbe Trojaner hat bei mir auch MP3's verschlüsselt, die ich alleine durch das Ändern der Dateiendung in MP3 wiederherstellen konnte.

Gruß

MinisterPhil

Das ist bekannt und hier auch hinreichend beschrieben, warum das so simpel ist.
Siehe dazu auch den Link unter Punkt 3 ganz oben http://www.trojaner-board.de/116851-...strojaner.html

.

Volker

Ich habe die Dateibenennung der Kamera nochmal überprüft. Sie speichert die Bilder direkt auf der Karte als JPG. Das heißt der Fehler kann wohl nicht an der Dateiendung liegen.

Gruß

MinisterPhil

die bilder wurden leider nicht mit ner kamera neu geschossen die meisten bilder sind von 1950 und ich konnte sie nur scannen da der pc aber platt gemacht werden musste konnte ich nur die kaputten datein schnell auf nen usb stick speichern und jetzt steh ich da.
Die original datein hab ich auch nimma retten können es sind nur die auf dem usb stick vorhanden

Hallo , Leute

Dieser Virus ist eine Katastophe. Es ist die rede dfavon das man sich über eine e-mail infiziert, allerdings habe ich in letzter zeit gar nicht mein Email acc gecheckt. Naja wie dem aus sei, jeden falls hatte ich diesen trojaner, und da ich vor ein paar monaten mal deisen GEMA trojaner hatte , habe ich die gesamte kiste gleich formatiert. Allerdings sind alle meine daten verschlüsselt. Das ist eine katastrophe weil ich unendlich viele MP3s drauf habe die nun nicht mehr funktionieren. Wie kann ich das wieder gerade biegen
bitte helft mir. So schlimm wars bei mir noch nie wenn ich nen virus drauf hatte !!!!

Nun, nichts ist unmöglich und die Frage wann der Trojaner fitt für einer drive-by Attacke ist, wird schon diskuttiert.
Allerdings gibt es bisher keinen gesicherten und dokumentierten Fall dafür.
Es wäre sehr interessant den genauen Infektionsweg von Dir zu erfahren.
Interessiert es Dich nicht selbst?
"Nun ja, wie dem auch sei" ist mir, ehrlich gesagt, etwas zu wenig.
Eher glaube ich, dass Du durch die Ausführung eines Programmcodes den Bruder selbst gestartet hast.

Übertreibe nicht, eine Katastrophe ist eher die Verschlüsselung einer Doktorarbeit kurz vor der Fertigstellung, ohne die Chance einer Rekonstruktion.
Als Musikfan hast Du nur die Sicherungskopien der Musiktitel verloren und hast wenigstens noch die Originale auf den jeweiligen CDs/DVDs.
Außerdem ist es ein Kinderspiel, MP3s wiedergabefähig zu machen.

Indem Du vielleicht etwas recherchierst und nachliest.
Beispielsweise hier oder Du liest mal, was c4enigma
über die Datenrekonstruktion geschrieben hat.
Sei nicht so faul und lasse Dir alles vorkauen.
Du bist über ein Jahr in diesem Board, kennst also die Gepflogenheiten.
Zum Schluss bleibt dann ja immer noch, neue Sicherungskopien der Titel anzulegen.

Volker

hatte ich von Musicload runtergeladen
nun gehen sie nich mehr
das sind 100derte. Und wie siehts mit bildern aus und dokument (.doc)

wie gesagt ich hatte den pc schon platt gemacht

Lies nach.

Fange oben an.
Diskussionsforum: Hier sind ausschließlich fachspezifische Diskussionen erwünscht. Bitte keine Log-Files, Hilferufe oder ähnliches.

Welchen von den ganzen threads soll ich mir von oben an durchlesen ?

In meiner ersten Antwort habe ich Dir doch die beiden Links gesetzt.
Einmal hier und einmal c4enigma.
Da solltest Du alles finden was Du brauchst.

:dankeschoen::dankeschoen::dankeschoen::dankeschoen::dankeschoen:

Bei mir hat es geklappt. Leider fehlen mir so ein Tool für Doc-Dateien.

ich habe bei einer Kundin das selbe Problem auf ihrem Laptop: Trojaner gefangen (evtl ucash), jede Menge Geschäftsbilder und Dateien mit kryptischen Dateinamen verschlüsselt. Keine Endung an dem Dateinamen und kein "locked" davor. Vergleichsdateien nicht vorhanden und die original XP Desktopbilder finde ich nirgends im Original, alles nur "verschönerte" Bildla. Verzweiflung pur. Ich hab kein XP mehr... Und sie auch nicht. :) Habe die vorgeschlagenen Programme alle versucht, aber da alle eine Vergleichsdatei wollen: keine Chance! Gibt´s noch eine Möglichkeit???? Bin für jede Hilfe dankbar!

Hallo, hast du das hier alles schon versucht, http://www.trojaner-board.de/117921-...trojaners.html ???

THN

Hallo,ich bin hier neu.Habe nicht so viel Ahnung vom PC.Habe mir den Windows Verschlüsselungs- Trojaner eingefangen.Meine MP3 funktionieren nach Anhang von mp3.Aber meine JPG Dateien gehen alle nicht mehr.Obwohl sie nicht offensichtlich verschlüsselt wurden.Haben alle. jpg und kein locked davor.Meine Flac Dateien sind auch befallen.Kann jemand helfen?Grüße Marc

@TrojanerHunterNEW: xt hat mir einige wenige jpg-Dateien wieder hergestellt, aber der große "Rest" wurde nur in unleserliche Textdateien umgewandelt. Schade eigentlich trotzdem THX lg herbi79