k-ist-k
Goto Top

Alle Dateiendungen auf einmal falsch (.45yC)

Hallo ITler,

ich habe wieder mal ein großes Problem,
wo ich nicht momentan nicht weiter weiß.

Bei einen AD User wurden alle Dateitypen (.jpg .doc .pdf .....) geändert auf

xxxx.jpg.45yC
xxxx.doc.45yC
xxxx.pdf.45yC

und so weiter.
Alle Dokumente am Desktop, im persönlichen User Ordner.

Und zwar wurden die Dateiendungen überall geändert wo der User Rechte hatte.
Auf C:\ bei System Ordner wurde nichts geändert.

Wenn man die Datei zurück umbenennt zum Original zustand,
dann ist die Datei korrupt und das Bild, Word File PDF
funktioniert nicht.

mir fallen zwei Möglichkeiten ein wie so was passiert.

1x über die Systemsteuerung > Programme > Standardprogramme > Dateityp Zuordnung
1x Virus

Der Virenschutz hat aber nichts gemeldet und beim Scan auch nichts entdeckt.


Es handelt sich hier um ein Windows 7 64Bit der in der Domäne ist.
Virenschutz GDATA.

Sollte ich Informationen vergessen habe,
einfach Fragen.


Fällt euch noch andere Möglichkeiten ein, wie sowas passieren kann ?
Wisst Ihr wie man die Dateien retten könnte ?


Lg K

Content-ID: 286901

Url: https://administrator.de/forum/alle-dateiendungen-auf-einmal-falsch-45yc-286901.html

Ausgedruckt am: 22.12.2024 um 10:12 Uhr

Shaby
Shaby 28.10.2015 aktualisiert um 09:54:09 Uhr
Goto Top
Hallo

Vermutlich ein Virus. Hatten wir vor einiger Zeit auch bei einem User. Weiss jedoch nicht mehr, auf was die Dateien geendet haben.

Wir haben das komplette User-Verzeichnis gelöscht und dies vom Backup zurückgespielt. Da wir jeden Tag ein "frisches" OS von einem Image ziehen, konnten wir ausschliessen, dass sich der Virus irgendwo festgesetzt hat. Würde also gut prüfen (andere Scanner etc.) ob sich dieser nicht irgendwo sonst noch eingenistet hat.

Grüsse
Shaby

Edit: Da du die Datei nicht mehr öffnen kannst und diese eine Erweiterung von 4 Stellen hat, tippe ich stark auf einen Verschlüsslungstrojaner..
PASUbs
Lösung PASUbs 28.10.2015 aktualisiert um 17:17:45 Uhr
Goto Top
Hallo,

ist dies nur bei einem User aufgetreten? Check mal dessen Loginhistory, ggf. überprüfen ob irgendwelche Scripte ausgeführt werden. Klingt für mich nach einem "Virus". Möglicherweise in einer unbekannten Email auf den Anhang geklickt und infiziert wurden? Der Klassiker vielleicht.

Als normaler AD Nutzer sollte er doch aber keine Funktion der Systemsteuerung bedienen können?

Im privaten Bereich habe ich gute Erfahrungen mit dem kostenlosen "File Repair" gemacht..

Gruß
Chonta
Chonta 28.10.2015 um 09:49:09 Uhr
Goto Top
Hallo,

mach mal einen Malwarescan mit nem anderen Tool am besten offline.
Zur Sicherheit an der Kiste nicht als Domänen-Admin anmelden.
Werden Servergespeicherte Profiele verwendet?
Sind nur Benutzerdaten betroffen oder auch Daten Daten auf Freigaben wo der Benutzer Schreibrechte hat?

Das GDATA nix gefunden hat muss nix bedeuten.
Hat der Benutzer einen gefundenen USB-Stick mal getestet?

Gruß

Chonta
114757
114757 28.10.2015 aktualisiert um 09:55:52 Uhr
Goto Top
Moin,
zu 99% einer der diversen Kryptolocker die die persönlichen Dateien des Users verschlüsseln und von den Nutzern Geld erpressen. Die rutschen sehr leicht am Virenscanner vorbei.

Gruß jodel32
PatrickB90
PatrickB90 28.10.2015 um 10:11:08 Uhr
Goto Top
Moin!

hatte mal einen ähnlichen Fall beim Kunden.

War damals ein sogenannter Kryptolocker bzw der "BKA Virus".

Virenscanner hatte damals die Bildschirm sperre verhindert, leider aber nicht die Verschlüsselung der Dateien.

Ich würde hierzu auf dem Client einen offline Virenscan (z.B. CT Desinfekt) laufen lassen und sofern das User Profile auf dem Server noch nicht defekt ist wiederherstellen.

Ansonsten bleibt dir nur die Wiederherstellung aus der Datensicherung.

Gruß Patrick
K-ist-K
K-ist-K 28.10.2015 um 10:24:20 Uhr
Goto Top
Immer wieder schön zu sehen, wie schnell und gut diese Community ist.

Ja leider hatte ich auch den Verdacht eines Virus (Verschlüsselungstrojaner)
habe aber gehofft, das es nicht so ist face-sad

Um Geld wurden wir noch nicht erpresst.
Mein weiteres vorgehen, eine neue Live CD erstellen,
und von der DISK starten und mit der mal einen durch lauf starten.

Nein wir benutzen keine Remote Profile.

Zum Glück wurde bei den Freigaben nichts geändert.

Lg K
Dilbert-MD
Dilbert-MD 28.10.2015 um 10:43:29 Uhr
Goto Top
Hallo K,

ähnliches wird hier schon Anfang des Jahres berichtet.
Hier sind auch einige Lösungsvorschläge - nein eher Vermeidungsvorschläge aufgelistet

Müsste demnach eine gut getarnte Software sein, wenn das heute bei den Schutzprogrammen immer noch durchrutscht.

Gruß
Holger
bplotzky
Lösung bplotzky 28.10.2015 aktualisiert um 17:16:46 Uhr
Goto Top
Hallo

einfache Lösung : Crypo Virus (Ramsoft) geh auf Schattenkopien und stelle die Daten wieder her.
Warum wurdest du nicht erpresst ist ganz einfach der Dropper hat sich ausführen können
jedoch der Start der Erpresser Seite wurde unterbunden durch GData dieser blockt zwar
den Start jedoch nicht den Dropper.

Auch hilft eine DatenSicherung hier.

Suche mal unter C:\user\....app local im Temp da liegt ne EXE vermutlich ähnlich e78zsduzh.exe
die solltest du auch finden mit msconfig.exe oder autorun von sysinternals.
Kommt auch gerne über FlashPlayer rein. Oder per Mail.
Klingt aber eher nach ner Typischen Drive By Infection.
Tja GDATA halt. Besser ist halt nicht gut genug.

Gr Bernhard