8
Alle Dateiendungen auf einmal falsch (.45yC)
Hallo ITler,
ich habe wieder mal ein großes Problem,
wo ich nicht momentan nicht weiter weiß.
Bei einen AD User wurden alle Dateitypen (.jpg .doc .pdf .....) geändert auf
xxxx.jpg.45yC
xxxx.doc.45yC
xxxx.pdf.45yC
und so weiter.
Alle Dokumente am Desktop, im persönlichen User Ordner.
Und zwar wurden die Dateiendungen überall geändert wo der User Rechte hatte.
Auf C:\ bei System Ordner wurde nichts geändert.
Wenn man die Datei zurück umbenennt zum Original zustand,
dann ist die Datei korrupt und das Bild, Word File PDF
funktioniert nicht.
mir fallen zwei Möglichkeiten ein wie so was passiert.
1x über die Systemsteuerung > Programme > Standardprogramme > Dateityp Zuordnung
1x Virus
Der Virenschutz hat aber nichts gemeldet und beim Scan auch nichts entdeckt.
Es handelt sich hier um ein Windows 7 64Bit der in der Domäne ist.
Virenschutz GDATA.
Sollte ich Informationen vergessen habe,
einfach Fragen.
Fällt euch noch andere Möglichkeiten ein, wie sowas passieren kann ?
Wisst Ihr wie man die Dateien retten könnte ?
Lg K
ich habe wieder mal ein großes Problem,
wo ich nicht momentan nicht weiter weiß.
Bei einen AD User wurden alle Dateitypen (.jpg .doc .pdf .....) geändert auf
xxxx.jpg.45yC
xxxx.doc.45yC
xxxx.pdf.45yC
und so weiter.
Alle Dokumente am Desktop, im persönlichen User Ordner.
Und zwar wurden die Dateiendungen überall geändert wo der User Rechte hatte.
Auf C:\ bei System Ordner wurde nichts geändert.
Wenn man die Datei zurück umbenennt zum Original zustand,
dann ist die Datei korrupt und das Bild, Word File PDF
funktioniert nicht.
mir fallen zwei Möglichkeiten ein wie so was passiert.
1x über die Systemsteuerung > Programme > Standardprogramme > Dateityp Zuordnung
1x Virus
Der Virenschutz hat aber nichts gemeldet und beim Scan auch nichts entdeckt.
Es handelt sich hier um ein Windows 7 64Bit der in der Domäne ist.
Virenschutz GDATA.
Sollte ich Informationen vergessen habe,
einfach Fragen.
Fällt euch noch andere Möglichkeiten ein, wie sowas passieren kann ?
Wisst Ihr wie man die Dateien retten könnte ?
Lg K
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 286901
Url: https://administrator.de/contentid/286901
Printed on: April 19, 2024 at 02:04 o'clock
8 Comments
Latest comment
Hallo
Vermutlich ein Virus. Hatten wir vor einiger Zeit auch bei einem User. Weiss jedoch nicht mehr, auf was die Dateien geendet haben.
Wir haben das komplette User-Verzeichnis gelöscht und dies vom Backup zurückgespielt. Da wir jeden Tag ein "frisches" OS von einem Image ziehen, konnten wir ausschliessen, dass sich der Virus irgendwo festgesetzt hat. Würde also gut prüfen (andere Scanner etc.) ob sich dieser nicht irgendwo sonst noch eingenistet hat.
Grüsse
Shaby
Edit: Da du die Datei nicht mehr öffnen kannst und diese eine Erweiterung von 4 Stellen hat, tippe ich stark auf einen Verschlüsslungstrojaner..
Vermutlich ein Virus. Hatten wir vor einiger Zeit auch bei einem User. Weiss jedoch nicht mehr, auf was die Dateien geendet haben.
Wir haben das komplette User-Verzeichnis gelöscht und dies vom Backup zurückgespielt. Da wir jeden Tag ein "frisches" OS von einem Image ziehen, konnten wir ausschliessen, dass sich der Virus irgendwo festgesetzt hat. Würde also gut prüfen (andere Scanner etc.) ob sich dieser nicht irgendwo sonst noch eingenistet hat.
Grüsse
Shaby
Edit: Da du die Datei nicht mehr öffnen kannst und diese eine Erweiterung von 4 Stellen hat, tippe ich stark auf einen Verschlüsslungstrojaner..
Hallo,
ist dies nur bei einem User aufgetreten? Check mal dessen Loginhistory, ggf. überprüfen ob irgendwelche Scripte ausgeführt werden. Klingt für mich nach einem "Virus". Möglicherweise in einer unbekannten Email auf den Anhang geklickt und infiziert wurden? Der Klassiker vielleicht.
Als normaler AD Nutzer sollte er doch aber keine Funktion der Systemsteuerung bedienen können?
Im privaten Bereich habe ich gute Erfahrungen mit dem kostenlosen "File Repair" gemacht..
Gruß
ist dies nur bei einem User aufgetreten? Check mal dessen Loginhistory, ggf. überprüfen ob irgendwelche Scripte ausgeführt werden. Klingt für mich nach einem "Virus". Möglicherweise in einer unbekannten Email auf den Anhang geklickt und infiziert wurden? Der Klassiker vielleicht.
Als normaler AD Nutzer sollte er doch aber keine Funktion der Systemsteuerung bedienen können?
Im privaten Bereich habe ich gute Erfahrungen mit dem kostenlosen "File Repair" gemacht..
Gruß
Hallo,
mach mal einen Malwarescan mit nem anderen Tool am besten offline.
Zur Sicherheit an der Kiste nicht als Domänen-Admin anmelden.
Werden Servergespeicherte Profiele verwendet?
Sind nur Benutzerdaten betroffen oder auch Daten Daten auf Freigaben wo der Benutzer Schreibrechte hat?
Das GDATA nix gefunden hat muss nix bedeuten.
Hat der Benutzer einen gefundenen USB-Stick mal getestet?
Gruß
Chonta
mach mal einen Malwarescan mit nem anderen Tool am besten offline.
Zur Sicherheit an der Kiste nicht als Domänen-Admin anmelden.
Werden Servergespeicherte Profiele verwendet?
Sind nur Benutzerdaten betroffen oder auch Daten Daten auf Freigaben wo der Benutzer Schreibrechte hat?
Das GDATA nix gefunden hat muss nix bedeuten.
Hat der Benutzer einen gefundenen USB-Stick mal getestet?
Gruß
Chonta
Moin,
zu 99% einer der diversen Kryptolocker die die persönlichen Dateien des Users verschlüsseln und von den Nutzern Geld erpressen. Die rutschen sehr leicht am Virenscanner vorbei.
Gruß jodel32
zu 99% einer der diversen Kryptolocker die die persönlichen Dateien des Users verschlüsseln und von den Nutzern Geld erpressen. Die rutschen sehr leicht am Virenscanner vorbei.
Gruß jodel32
Moin!
hatte mal einen ähnlichen Fall beim Kunden.
War damals ein sogenannter Kryptolocker bzw der "BKA Virus".
Virenscanner hatte damals die Bildschirm sperre verhindert, leider aber nicht die Verschlüsselung der Dateien.
Ich würde hierzu auf dem Client einen offline Virenscan (z.B. CT Desinfekt) laufen lassen und sofern das User Profile auf dem Server noch nicht defekt ist wiederherstellen.
Ansonsten bleibt dir nur die Wiederherstellung aus der Datensicherung.
Gruß Patrick
hatte mal einen ähnlichen Fall beim Kunden.
War damals ein sogenannter Kryptolocker bzw der "BKA Virus".
Virenscanner hatte damals die Bildschirm sperre verhindert, leider aber nicht die Verschlüsselung der Dateien.
Ich würde hierzu auf dem Client einen offline Virenscan (z.B. CT Desinfekt) laufen lassen und sofern das User Profile auf dem Server noch nicht defekt ist wiederherstellen.
Ansonsten bleibt dir nur die Wiederherstellung aus der Datensicherung.
Gruß Patrick
Immer wieder schön zu sehen, wie schnell und gut diese Community ist.
Ja leider hatte ich auch den Verdacht eines Virus (Verschlüsselungstrojaner)
habe aber gehofft, das es nicht so ist
Um Geld wurden wir noch nicht erpresst.
Mein weiteres vorgehen, eine neue Live CD erstellen,
und von der DISK starten und mit der mal einen durch lauf starten.
Nein wir benutzen keine Remote Profile.
Zum Glück wurde bei den Freigaben nichts geändert.
Lg K
Ja leider hatte ich auch den Verdacht eines Virus (Verschlüsselungstrojaner)
habe aber gehofft, das es nicht so ist
Um Geld wurden wir noch nicht erpresst.
Mein weiteres vorgehen, eine neue Live CD erstellen,
und von der DISK starten und mit der mal einen durch lauf starten.
Nein wir benutzen keine Remote Profile.
Zum Glück wurde bei den Freigaben nichts geändert.
Lg K
Hallo K,
ähnliches wird hier schon Anfang des Jahres berichtet.
Hier sind auch einige Lösungsvorschläge - nein eher Vermeidungsvorschläge aufgelistet
Müsste demnach eine gut getarnte Software sein, wenn das heute bei den Schutzprogrammen immer noch durchrutscht.
Gruß
Holger
ähnliches wird hier schon Anfang des Jahres berichtet.
Hier sind auch einige Lösungsvorschläge - nein eher Vermeidungsvorschläge aufgelistet
Müsste demnach eine gut getarnte Software sein, wenn das heute bei den Schutzprogrammen immer noch durchrutscht.
Gruß
Holger
Hallo
einfache Lösung : Crypo Virus (Ramsoft) geh auf Schattenkopien und stelle die Daten wieder her.
Warum wurdest du nicht erpresst ist ganz einfach der Dropper hat sich ausführen können
jedoch der Start der Erpresser Seite wurde unterbunden durch GData dieser blockt zwar
den Start jedoch nicht den Dropper.
Auch hilft eine DatenSicherung hier.
Suche mal unter C:\user\....app local im Temp da liegt ne EXE vermutlich ähnlich e78zsduzh.exe
die solltest du auch finden mit msconfig.exe oder autorun von sysinternals.
Kommt auch gerne über FlashPlayer rein. Oder per Mail.
Klingt aber eher nach ner Typischen Drive By Infection.
Tja GDATA halt. Besser ist halt nicht gut genug.
Gr Bernhard
einfache Lösung : Crypo Virus (Ramsoft) geh auf Schattenkopien und stelle die Daten wieder her.
Warum wurdest du nicht erpresst ist ganz einfach der Dropper hat sich ausführen können
jedoch der Start der Erpresser Seite wurde unterbunden durch GData dieser blockt zwar
den Start jedoch nicht den Dropper.
Auch hilft eine DatenSicherung hier.
Suche mal unter C:\user\....app local im Temp da liegt ne EXE vermutlich ähnlich e78zsduzh.exe
die solltest du auch finden mit msconfig.exe oder autorun von sysinternals.
Kommt auch gerne über FlashPlayer rein. Oder per Mail.
Klingt aber eher nach ner Typischen Drive By Infection.
Tja GDATA halt. Besser ist halt nicht gut genug.
Gr Bernhard
1
