ComputerBase Menü
Aktuelles

dateitypen nach trojaner geändert.

P

psychshot

Cadet 3rd Year
Registriert
Nov. 2011
Beiträge
48
HiHo

Ich habe ein großes Problem,

bei mir liegt ein Notebook von einer Freundin.

Dieser war mit den Bundespolizei Trojaner infiziert.
Den Trojaner habe ich gelöscht.

Alle Programme laufen wieder einwandfrei mit vollen Zugriffen. Bloß die Bilder und Videos gehen nicht mehr zu öffnen.

Die Dateien wurden umgewandelt und sind somit nicht mehr zu verwenden. Nun wollte ich um Hilfe bitte, da diese Bilder von Ihren Kindern sind und diese nirgend woanders abgespeichert sind.

Hier mal ein Bild zu den Vorfall.
 

Anhänge

  • Unbenannt.png
    Unbenannt.png
    216,3 KB · Aufrufe: 286
Hast du mal versucht, in der Ordneransicht den Haken bei "Dateiendung bei bekannten Dateitypen ausblenden" rauszumachen und ein ".jpg" ans Ende der Dateien zu setzen? Dann die Meldung "wird eventuell unbrauchbar" bestätigen.

Mit etwas Glück würde nur die Endung gelöscht.

Aber bevor du irgendwas versuchst --> Sicherheitskopie von allem machen!

Und neu aufsetzen ist nach einer Infektion eigentlich immer ratsam. Und nicht vergessen, Automatisches Update für Java etc. zu aktivieren.
 
Was passiert denn, wenn du so eine Datei mit der Windows Bildanzeige oder mit Paint oder so öffnest? Würde mal behaupten, dass da nur die Namen verändert wurden und die Dateiendungen entfernt. Kann mir nicht vorstellen, dass die Dateien 'umgewandelt' wurden...
 
manuell ändern?
Oben Links im Ordner -->Organisieren "Ordner und Suchoptionen" -->Ansicht --> Erweiterungen bei bekannten Dateitypen ausblenden --> deaktivieren

Dann halt nach bild01.jpg umbenennen und schauen was passiert.
 
Hier wurden die Daten verschlüsselt. Man kann das eventuell mit einigen Tools wieder herstellen, ich empfehle aber auch eine Neuinstallation, oder besser ein Backup zurück zu spielen. Wenn kein Backup vorhanden, sollte sich das zumindest für das nächste mal vorgemerkt werden eines anzulegen.
 
irfanview zb öffnet dateien unabhängig von der dateiendung und bietet im bedarfsfalle sogar an, diese entsprechend anzupassen

also: irfanview starten, datei per drag und drop öffnen, meldung bestätigen
dann hat man am ende auch gif's mit gif und jpg mit jpg ;)
 
Mahlzeit zusammen!

Also wie die Vorredner bereits schon meinten, wäre das erste Mittel der Wahl einfach mal das stumpfe umbenennen. Mit ein wenig Pech wird aber das auch nicht funktionieren, da seit geraumer Zeit auch Mutationen des Bundestrojaners unterwegs sind, welche tatäschlich eine Verschlüsselung der Dateien vornehmen.
Die dafür genutzten Algorithmen sind zumeist recht simpel (XOR u.ä.). Nach meinem letzten Kenntnisstand benötigt man für die Entschlüsselung eine Originaldatei welche nicht verschlüsselt wurde und ein kleines Tool. Dieses kann anhand des Deltas dann den Schlüssel errechnen und die Dateien wieder entschlüsseln. Als Original dienen häufig Windows Hintergrundbilder.

Da ich nicht weiß ob es inzwischen neue Mutationen mit abgewandelten Algos gibt stell ich auch mal keinen Link hier rein. Musst einfach mal bei Google suchen, den Trojaner möglichst genau beschreiben, dann wirst schon ein entsprechendes Tool finden.


Viel Erfolg!

RaVeN
 
Teknicida schrieb:
schau mal da:
http://www.feenders.de/ratgeber/exp...verschluesselte-dateien-wiederherstellen.html

einfach mit umbenennen wird das nicht klappen. Im Artikel wird beschrieben wie die Dateien wieder hergestellt werden können.
Zum Vergrößern anklicken....


Übel. Da steht nämlich auch, dass es eine Version gibt, welche die Dateien einfach schreddert:

UPDATE 1. Jun 2012

Es gibt seit Mitte Mai neue Versionen des Verschlüsselungstrojaners. Sie verbreiten sich als Rechnung in ZIP-Dateien getarnt über Emails. Diese Trojaner zerstören die Dateien duch zufällige Dateinamen dem wahllosen Füllen des Dateiinhaltes. Die so zerstörten Dateien können vermutlich nicht entschlüsselt werden. Wenn unter Windows 7 oder Vista automatische Backups aktiviert waren, dann kann man versuchen die alten Inhalte über die Schattenkopie wiederherzustellen.
Das sollte man einen Fachmann machen lassen.
Zum Vergrößern anklicken....
Danach sieht es hier aus, das wäre natürlich Sche*ße..
 
@Teknicida: die anleitung die du gepostet hast ist für den alten verschlüsslungstrojaner, das hilft hier überhaupt nicht.

@psychshot: schau mal nach den schattenkopien, da haste die besten chancen die original datei wiederherzustellen. Rechte maustaste auf eine verschlüsselte datei, dann eigenschaften, dann vorgängerversion. Alternativ geht das mit dem programm "shadow explorer" noch einfacher und schneller.
 
Der Link sollte nur ein Beispiel sein.
Im Trojanerboard wird aber z.B. genau die selbe Vorgehensweise empfohlen.

Vom BKA / Ukash / GEMA / GVU gibt es tausende Varianten. Ich selbst habe davon schon ca 20 verschiedene Versionen gesehen.

Da genau das selbe Problem....nur das es anscheinend noch kein richtiges Tool gibt, das Ganze zu entschlüsseln:
http://forum.botfrei.de/showthread....Csselt-quot-Brauche-Professionelle-HILFE-quot
 
Zuletzt bearbeitet:
Erstmal danke für die Antworten. Leider Hilft es nicht die Dateien umzubennen oder den Dateityp zu ergänzen. Alles schon versucht. Funktioniert nur leider nicht.

Auf den Bild ist auch zu erkennen das nicht nur der Dateityp geändert wurde. Auch die Namen der Dateien Sind nicht mehr Original.

Ich werde jetzt gleich mal die Methode mit den Schattenkopien versuchen oder die Dateien zu entschlüsseln.
 
Jetzt habe ich es nochmal versucht. Leider war die Sicherung deaktviert. vorherige Versionen existieren nicht.

Und die Dateityp Änderung habe ich jetzt nochmal versucht.

Die Meldung für Bilder lautet

"Das Bild kann in der Windows-Fotoanzeige nicht geöffnet werden, da die Datei mögöicherweise beschädigt oder zu groß ist."
 
Dann schau mal im Trojanerboard vorbei. Die Leute dort sind sehr sehr kompetent.
Evtl können die Dir weiterhelfen.
Das Problem ist da auf jeden Fall nicht unbekannt.

Allerdings mache ich Dir, auf Grund der fehlenden Sicherung, keine große Hoffnung die geschredderten Dateien wiederherzustellen. :(
 
Also habe das jetzt mit den Tool versucht. Es sind wirklich alle Dateien vorhanden.

Ein Bild konnte ich wiederherstellen. Jetzt versuche ich es mit den Kompletten Ordner "Eigene Dateien". Mal schauen ob es funzt und wie lange es dauert.
 
Eventuell wird ja beim nächsten mal ja doch ein Backup angelegt. Dieses erspart einem viel Zeit und Ärger.
Und ein kompromittiertes System ist für mich nicht mehr sicher, egal mit welchem Tool es repariert wurde. Ist wie beim Auto, ein Unfallwagen bleibt ein Unfallwagen, auch wenn man ihn gerichtet und neu lackiert hat.
 
Na dann Drück ich Dir mal die Daumen. Und GANZ GANZ wichtig....

Dateien im Nachgang sichern!!
Sicherung einschalten!
 
Dateien im Nachgang sichern!!
Sicherung einschalten!
Zum Vergrößern anklicken....
Ergänzend dazu: ich würde, wenn eine USB Festplatte vorhanden ist, das System in regelmäßigen Abständen mit einem Backup/Image Programm sichern. Wenn ein solches Programm noch nicht vorhanden ist, kann man dieses Freeware Programm: http://www.paragon-software.com/de/home/br-free/ dafür verwenden um Partitionen oder Festplatten damit zu sichern.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

G
externe HDD von Ubuntu geändert - kein Zugriff mehr
Antworten
5
Aufrufe
1.758
Holt
H
K
Windows8.1problem oder Systemproblem oder Trojaner?
Antworten
6
Aufrufe
2.385
gdfs
gdfs
I
Wichtiger Firmen-Mail-Anhang als Trojaner gemeldet
Antworten
8
Aufrufe
1.690
INTELLER
I
groovykay
Diverse Trojaner-Meldungen im AntiVir
Antworten
15
Aufrufe
3.695
/root
/root
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 170 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz