Trojaner änderte meine Dateien. Was jetzt ?

Hallo !

Ich habe ein großes Problem und hoffe auf Deine Hilfe.
Meine Frau hatte in ihrem eMail-Fach eine Rechnung. Wie Frauen eben sind, hat sie diese geöffnet und einen Virus bzw. Trojaner installiert. Dieser Trojaner (auch BKA Trojaner genannt) sperrte den Zugriff auf den Desktop und somit auf alle Programme.
Nach Anwendung einer Avira-Security-CD konnte ich den Trojaner entfernen und hatte wieder Zugriff auf den Desktop und die Programme, musste aber feststellen, daß alle Dateien nicht geöffnet werden konnten, da alle umbenannt wurden.

Diese Dateien sehen jetzt z.B. so aus:
vorher: Diestplan 2012.doc
jetzt: locked-Dienstplan 2012.rtf.xhlf (XLHF-Dokument)

Andere Endungen sind z.B.: xls.cyxy , doc.cndy , xls.lcpl oder xls.mfjk

Ich kann damit nichts anfangen und weiß nicht, wie ich die Dateien zum Öffnen bringen kann. Könntest Du mir bitte helfen ?

Gruss,

Klausi

Hallo Auch

WOW, der Super-Gau!
Einzige Lösung ist wohl wie folgt:
Im Windows Explorer unter Extras -> Ordneroptionen -> Ansicht, den Haken wegmachen bei „Erweiterungen bei bekannten Dateitypen ausblenden“ entfernen und dann von Hand die Endungen umbenennen wie z.B.: xls, doc usw.
Ich glaube nicht das es ein anderes Tool dafür gibt.
Wird eine ganz schöne Arbeit, aber in einigen Monaten hast du wieder den Ursprungszustand…

Gruß
Harry

Hallo Klausi,

F-Secure hat für einen solchen „Verschlüsselungs-Trojaner“ ein Entschlüsselungsskript entwickelt. Mit etwas Glück ist es der gleiche Trojaner wie der, der sich bei Euch eingenistet hat. In diesem Blogbeitrag steht mehr darüber:
http://www.f-secure.com/weblog/archives/00002349.html

Um das Tool zu nutzen, musst du den zip-Ordner „fs_randec.zip“ herunterladen, der am Ende des Artikels zu finden ist.

Hier findest Du Hinweise, wie man das Tool benutzt: http://www.f-secure.com/weblog/archives/fs_randec_EU…

Du musst den Ordner angeben, der auf verschlüsselte Dateien hin geprüft werden soll. Außerdem wichtig: Mache zunächst Kopien von den verschlüsselten Dateien und versuche, die Kopien zu entschlüsseln, nicht die „Originale“.

Wir hoffen, dass wir Dir weiterhelfen konnten.
Viele Grüße,
das F-Secure Supportteam

Hallo Harry !

Vielen Dank ! Soweit so gut, ich kann die Dateien jetzt öffnen aber die Schrift scheint cryptisch zu sein (etwa so: 3ó(ß3§Œ©…#‚â…§yøúLîÁ×½ß.XÆFÊ/XuA}ì›^m]!mÂþ%†¦Kl+0“K¬EÃÌMŽÅE`“CLQ›).
Wie kann ich dies ändern ?

Hallo !

Hat leider nicht funktioniert, ist wohl ein anderer Trojaner !
Trotzdem vielen Dank !
Hast Du vielleicht noch einen anderen Tip, wie ich die Datei entschlüsseln kann ?

Gruss,

Klausi

Na dann hat der Trojaner aber leider voll zugeschlagen! Das kann ich dir leider nicht beantworten. Dann doch eher mal bei Avira oder Symantec nachfragen, sorry!

Gruß
Harry

Die Arbeit hält sich in Grenzen, da ich nur die, in den letzten Tagen geänderten Dateien bearbeiten muss (meine Frau macht wöchentlich ein Backup auf eine externe Platte)
Ich hab`noch folgende Idee: Ich bearbeite die Dateien, wie von Dir vorgeschlagen, speichere diese auf einen Stick. Danach formatiere ich die Platte und zieh alle Programme und Dateien neu auf. Mit etwas Glück lesen die Programme (Excel, Word, AcrobatReader) die Dateien richtig. Wenn nicht, muss ich mir eben für die betroffenen Dateien was anderes einfallen lassen.
Was hälst Du von dieser Idee ?

Klingt nach ner guten Lösung. Auf diese Art hat man dann wieder ein sauberes System und befreit sich vom alten Müll(Programme usw.). Das mit dem Backup ist clever! Hab oft den Fall das sowas nicht gemacht wird, wo doch die externen Festplatten fast nichts mehr kosten.
Viel Erfolg dabei!!

Gruß

Hallo Klausi,

es tut uns leid, aber ohne den Trojaner selbst vorliegen zu haben, können wir Dir leider hier nicht weiterhelfen. Da Du den Trojaner mit der Avira-Software beseitigt hast, wende Dich evtl. einmal an den Avira-Support. Ansonsten hilft wohl nur das Zurückgreifen auf ein Backup, soweit vorhanden.

Viele Grüße,
das F-Secure Supportteam

Alles klar, dann machich mich mal ans Werk ! Ich werde Dir heute nachmittag berichten, wies lief !

Nochmals Danke und liebe Grüsse,

Klaus

Hallo Harry !

Habich auch gedacht aber nix wars. PC läuft zwar einwandfrei aber die Daten lassen sich nicht öffnen. Immer diese cryptische Schrift. Haste noch `ne Idee, wie ich die Dateien retten kann ? Wäre schon wichtig !

Gruss Klaus

Guten Morgen Klaus,

da hab ich jetzt leider auch keinen Rat mehr. Hätte erwartet das der nicht so aggressiv ist. Sorry, mußt du wohl doch mal zu Avira oder so…

Gruß
Harry

Trotzdem Danke für Deine Hilfe !

Gruss,

Klaus

Hallo Klaus,

das mit den unbenannten Dateien ist mir neu. Normalerweise benennt der BKA-Trojaner keine Dateien um.

MfG
Delcha

Hi,

Systemwiederherstellung.

Gruß
Stefan

Probier’s mal hiermit, bei der Version die die Dateien locked-irgendwas nennt hat das schon 2x funktioniert: http://www.pc-ab-50.de/vom-trojaner-verschluesselte-…

Sorry, ich war längere Zeit nicht online (Auslandsaufenthalt).
Brauchst Du noch Hilfe?

CU, MÄX