miscmike
Goto Top

Excel : Datei kann nicht geöffnet werden, da das Dateiformat oder die Dateierweiterung ungültig ist

Guten Tag in die Runde,

mein Problem ist ja in der Überschrift schon angedeutet.

Folgender Stand :

Wir haben im Netz Netzwerkfreigaben auf Synology NAS (große RX). Dort liegen u.a. viele Excel-Files.
Alle PCs im Netz laufen unter Windows 10, zwei-drei auch testweise unter Windows 11.
Alle Windowsupdates sind aktuell gehalten (Kaspersky Systems Management - wie WSUS)
Office Version : 2019 prof.

Seit einigen Tagen haben wir immer wieder den Effekt, dass einige Excel-Dateien nicht geöffnet werden können.

excel-error

Dies tritt nicht bei allen Dateien auf.
Ich habe den Effekt sowohl bei Dateien auf Netzlaufwerken als auch bei lokal abgelegten.
Es betrifft unterschiedliche PCs mit unterschiedlichen Betriebssystemen (W10 und W11).
Nutzerrechte können ausgeschlossen werden - als Administrator getestet.

Ich habe die gängigen Methoden ausprobiert um die Dateien zu reparieren (Excel im Safe-Mode, Dateizuordnung geprüft usw.)
Excel Dateien können selbst mit Stellar Repair for Excel nicht repariert werden -> zu stark beschädigt.

Der Witz ist, ich habe von Backups diverse Versionen, die nachweislich weit vor Auftreten des ersten Fehlers noch bearbeitet wurden wiederhergestellt.
Alle diese Dateien kriege ich ebenfalls nicht mehr auf.

Jetzt bin ich völlig ratlos, weil ich das Problem weder auf einen PC noch auf einen Ablageort festlegen kann.
Und das ältere Versionen aus den Backups auf einmal den gleichen Fehler zeigen, treibt mich in den Wahnsinn.
Das heißt ja für mich trotz Backups (ganz viele vorhanden !!) einen Datenverlust.
Das will ich nicht glauben.

Ich hoffe, hier findet sich jemand, der dafür eine Lösung hat.

Vielen Dank für konstruktive Hilfe.

Mike

Content-ID: 1780296428

Url: https://administrator.de/forum/excel-datei-kann-nicht-geoeffnet-werden-da-das-dateiformat-oder-die-dateierweiterung-ungueltig-ist-1780296428.html

Ausgedruckt am: 22.12.2024 um 02:12 Uhr

Xerebus
Xerebus 31.01.2022 aktualisiert um 10:33:22 Uhr
Goto Top
Da gab es mal einen fehler mit synology.
Was für eine firmware ist da drauf. Kannst du updaten?

Wenn du die local auf den client kopierst müssten sie funktionieren.
vossi31
vossi31 31.01.2022 um 10:36:30 Uhr
Goto Top
Hat er doch geschrieben:
Ich habe den Effekt sowohl bei Dateien auf Netzlaufwerken als auch bei lokal abgelegten.

Henning
vossi31
vossi31 31.01.2022 um 10:38:58 Uhr
Goto Top
Ich würde die Dateien mal auf einen separaten PC außerhalb deines Netzes mit einer anderen/älteren Excel-Version, vielleicht auch mit OpenOffice kopieren und dann mal weiter sehen.

Henning
Doskias
Doskias 31.01.2022 um 10:46:33 Uhr
Goto Top
Moin,

ist die NAs in Ordnung. Wenn die NAS defekt ist, dann kann auch das Kopieren der Datei von Nas auf lokal ggf. nicht ändern, wenn die Datei auf der NAS defekt ist. Ebenso wie beim Backup. Wenn du das Backup auf eine defekte Platte spielst, kann die Datei sofort korrumpieren. Dann ist auch die Datei aus dem Backup sofort unbrauchbar.

Kannst du die Datei aus dem Backup auf einen lokalen Rechner bzw. unabhängig von der NAS wiederherstellen?

Gruß
Doskias
miscmike
miscmike 31.01.2022 um 11:59:58 Uhr
Goto Top
@vossi31

lokal kopiert habe ich schon. Mit Openoffice getestet auch - kann die Dateien nicht öffnen

@Doskias

NAS : wir haben 3 Stück, 2 mit Daten, eine exclusiv für Backups.

Sowohl Wiederherstellung eines früheren Snapshots von einem "Daten-NAS" als auch Wiederherstellung vom Backup-NAS brachte nix. Wiederherstellung natürlich immer auf einen lokalen PC.

Das beide gleichzeitig defekt sind, will ich nicht glauben, zumal es sich um RAID-6 mit je 12 HDDs handelt.
Und dann müssten doch auch andere Dateien als nur .xlsx betroffen sein. Sind es aber nicht.

NAS Modelle :

Daten : RS3617xs+ DSM 7.0.1-42218 Update 2
Backup : RS4017xs+ DSM 7.0.1-42218 Update 2
Doskias
Doskias 31.01.2022 um 12:10:02 Uhr
Goto Top
@Doskias
NAS : wir haben 3 Stück, 2 mit Daten, eine exclusiv für Backups.
Wie macht ihr das Backup?

Sowohl Wiederherstellung eines früheren Snapshots von einem "Daten-NAS" als auch Wiederherstellung vom Backup-NAS brachte nix. Wiederherstellung natürlich immer auf einen lokalen PC.
So natürlich ist das nicht. Wenn ich Dateien wiederherstelle, dann back ich sie immer mit dem Suffix Restore_ in das Originalverzeichnis. Ich würde es daher also in deinem Konstrukt erstmal auf die NAS zurück sicher, mit entsprechenden Suffix, damit nichts überschrieben wird.

Das beide gleichzeitig defekt sind, will ich nicht glauben, zumal es sich um RAID-6 mit je 12 HDDs handelt.
Es geht hier nicht um glauben, es geht um IT-Fakten. Was sagt denn die Diagnose? Grade wenn die NAS zeitgleich gekauft wurden und zur gleichen Produktionscharge gehören, kann auch ein Schaden gleichzeitig auftreten.

Und dann müssten doch auch andere Dateien als nur .xlsx betroffen sein. Sind es aber nicht.
Kannst du das 100% ausschließen. Du sagst ja selbst, dass nicht alle Excel-Dateien betroffen sind. Vielleicht hast du die anderen Dateien, die betroffen sind nur noch nicht entdeckt.

Ich gehe einfach mal davon, dass du aber schon geprüft hast, dass es wirklich Excel-Dateien sind und du dir nichts eingefangen hast.

Gruß
Doskias
miscmike
miscmike 31.01.2022 um 12:37:13 Uhr
Goto Top
Backups werden zum einen mit Acronis gemacht. Parallel dazu noch mit Hyper-Backup (von NAS zu NAS) und mit Active Backup (von PCs/VMs zu NAS).
Außerdem sind auf den Daten-NAS Snapshots aktiviert.

Restores aus allen drei Backupmöglichkeiten bringen nix.
Ich vermute, wenn einmal erst eine Datei als defekt erklärt wurde "merkt" sich das der betreffende PC.
Klingt doof, stellt sich aber so dar.

Ich habe vor dem Erstellen des Beitrages alle möglichen Varianten ausprobiert - also Restore in ein Restore-Verzeichnis auf dem NAS, Restore auf lokalen PC usw.

NASe wurden nicht zeitgleich gekauft, Backup-NAS ist neuer. Daten 12/2019, Backup 03/2021

Ich habe so den Verdacht, dass es einen Zusammenhang mit irgendeinem Windowsupdate geben könnte.
Wir hatten zum Beispiel bei einigen wenigen PCs ein Problem mit der Outlook-Suchfunktion in Verbindung mit Update KB5008353. Aber eben nicht bei allen, obwohl das Update überall drauf ist und auch die Office-Versionen gleich sind.

Ein intensives googlen hat jedoch bisher zu meinem Problem nichts ergeben, außer, dass es was bekanntes ist und es wie immer -zig verschiedene Ansätze gibt.
Leider hat keiner davon bisher geholfen.

Thema "eingefangen" : Naja, alle Rechner und Server sind mit Kaspersky Endpoint Security geschützt. Zusätzlich lässt unsere Firewall nur sehr wenig zu. Email-Eingänge werden zudem erstmal durch ein Gateway (Kaspersky) gejagt, bevor sie den eigenen Exchange-Server erreichen.

Sag niemals nie - aber ich denke eine Schadsoftware kann man in diesem Fall ausschließen (außer vielleicht Windows selbst face-smile ). Sonst würde es, denke ich auch deutlich mehr Rechner und Dateien betreffen.
Xolger
Xolger 31.01.2022 um 13:03:20 Uhr
Goto Top
Hallo,

hast du mal versucht herauszubekommen, was für ein Dateityp denn jetzt vorliegt?
https://en.wikipedia.org/wiki/List_of_file_signatures
Eine xlsx-Datei ist ja erstmal nur eine zip-Datei.
Kommst du denn an den Inhalt der zip-Datei ran oder lässt sie sich als zip nicht entpacken?

Ggf. ist irgendwas beim speichern schiefgelaufen und es wurde als den Exceldateien irgendein Exportformat mit falscher Endung gespeichert. (Kannst ja ggf. mal die ersten 8 Byte posten.)


Gruß
Xolger
miscmike
miscmike 31.01.2022 um 13:29:25 Uhr
Goto Top
Die Endung .xlsx stimmt erstmal face-smile

Ich habe es mal umbenannt in .zip und versucht mit explorer und auch mit winrar zu öffnen. Beides mit Fehler.

Hier mal die ersten Bits :

nicht funktionierende Datei :
screenshot1

noch eine :
screenshot3

und hier eine funktionierende Datei :
screenshot2

Ich sehe den Unterschied in den ersten Bytes. Allerdings habe ich keine Ahnung, ob das reparierbar ist.
colinardo
colinardo 31.01.2022 aktualisiert um 13:42:52 Uhr
Goto Top
Servus,
die Header sehen mir sehr nach Verschlüsselungstrojaner aus. Wenn du mir mal eine Datei zur Verfügung stellen würdest (PN ) könnte ich das für dich prüfen, natürlich nur wenn du magst/darfst.
Und wenn die Files schon im Backup so liegen wurde womöglich unbewusst die Verschlüsselung sehr lange nicht erkannt, auch russisches Schlangenöl schützt nicht zu 100% davor, nur ein wasserdichtes Backup-Konzept mit zus. Konsistenzprüfung.
Ansonsten könnten sie natürlich auch durch ein Dateisystemfehler, fehlerhaften Hauptspeicher etc. beschädigt worden sein.

Grüße Uwe
miscmike
miscmike 31.01.2022 um 13:45:26 Uhr
Goto Top
PN unterwegs..
MacLeod
MacLeod 31.01.2022 um 13:48:30 Uhr
Goto Top
Hallo
Das sieht mir auch sehr typisch nach Trojaner aus. Da wir vor einiger Zeit mit einem solchen Fall betraut waren erkenne ich das Muster wieder.
Viel Glück,
MacLeod
Doskias
Doskias 31.01.2022 um 13:50:31 Uhr
Goto Top
Verschlüsselungs-Trojaner war auch eine meiner Ideen, daher die Frage:
Ich gehe einfach mal davon, dass du aber schon geprüft hast, dass es wirklich Excel-Dateien sind und du dir nichts eingefangen hast.
Es ist ja nichts ungewöhnliches, dass Trojaner erstmal schlafend ihre Arbeit verrichten und irgendwann dann bemerkt werden. Es ist dann auch nicht verwunderlich, wenn es dann schon im Backup ist. Die Frage ist ja auch welcher Rechner sich das eingefangen hat und wie häufig dieser genutzt wird und Zugriff auf das NAS hat.

Gruß und viel Glück
Doskias
miscmike
miscmike 31.01.2022 um 13:51:52 Uhr
Goto Top
Ähm, wie war der Workaround ?
Xolger
Xolger 31.01.2022 um 13:54:29 Uhr
Goto Top
Hi,

interessanterweise sind ersten 3 Byte (24 Bit) bei beiden Dateien gleich.
Jedoch spuckt das Netzt zu den Signaturen keine Ergebnis aus (nichtmal zu den ersten 3 Bit).

Versuche ggf. mal eine Datei beim Virendienst deines Vertrauens hochzuladen.
Ansonsten steht natürlich noch die Befürchtung im Raum, das du dir/ihr euch was eingefangen habt, was euch die Dateien mit einem eigenene Algorithmus unbrauchbar oder versschlüsselt hat.

Und wenn die Backupdateien auch betroffen sind, dann ist das ja extra mies.

Vielleicht auch mal bei Synology anfragen, ob die mit dem Problem was anfangen können.

Bzw. auch checken von welchemClient die Dateien zuletzt bearbeitet wurden (immer die gleiche Station? Evtl. hier was eingefangen?).
Xerebus
Xerebus 31.01.2022 aktualisiert um 13:57:06 Uhr
Goto Top
Den Client suchen der über ein Netzlaufwerk Unfung macht.

@Xolger
Bei einem Verschlüsselungstrojaner muss die Datei nicht bearbeitet werden.
Ein Netzlaufwerk reicht den.
colinardo
colinardo 31.01.2022 aktualisiert um 14:05:45 Uhr
Goto Top
Habe mir die Datei gerade mal angesehen und die Entropie und der gesamte Aufbau lassen leider zu 99,9% auf einen Befall mit Ransomware unbekannter Signatur schließen.
Xerebus
Xerebus 31.01.2022 aktualisiert um 14:08:46 Uhr
Goto Top
@colinardo
Dann ist die aussage von miscmike aber falsch das die Dateien zum Backupzeitpunkt noch funktioniert haben.
Kann mir nicht vorstellen das zwei verschiedene Backups intern verseucht werden.
colinardo
colinardo 31.01.2022 aktualisiert um 14:13:48 Uhr
Goto Top
Zitat von @Xerebus:
Kann mir nicht vorstellen das zwei verschiedene Backups intern verseucht werden.
Wir kennen sein komplettes Backup-Konzept ja nicht. Wenn da unbemerkt was aktiv wird und die Backups auch nicht getrennt/geschützt vom bestehenden Netz aufbewahrt, oder das NAS selbst infiziert ist, ist alles möglich ...
Xolger
Xolger 31.01.2022 um 14:17:36 Uhr
Goto Top
@Xerebus
Ich schätze die Trojaner heutzutage schon so intelligent ein, das sie die Dateien transparent ausliefern.
Einerseits verschlüsseln, so das das Backup, wie in diesem Fall, später für die Tonne ist, und andererseits die Dateien transparent entschlüsseln und den Clients zur Bearbeitung zur Verfügung stellen.

Dann merkt man erst wenn der Trojaner es für richtig hält das man ein Riesenproblem hat.
MacLeod
MacLeod 31.01.2022 um 14:22:12 Uhr
Goto Top
Hallo
Das Problem ist oft hausgemacht. Der Domänenadmin hat direkten Zugriff auf die Backupdateien. Moderne Viren gehen oft zuerst ans Backup und dann an die Arbeitsdateien. So war es in unserem Fall.
Und Backups werden oft nicht überprüft, bzw, Langzeitbackups vorschnell gelöscht oder überschrieben.

Also: Die Zugriffsdaten für das Backuplaufwerk kennt nur die Backupsoftware (etwa veeam), die Daten sind separat verschlüsselt und diese credentials dürfen nirgends im AD auftauchen. NIRGENDS! Die hat der Admin auf Papier und der Chef auf Papier im Safe.
Normale Rsync Replication vom NAS ist Unsinn hoch 3. Das ist nur gut für Failover Redundanz.
Und daß solche Trojaner mittlerweile auch durch Excel makros getriggert werden, nicht nur Word, sollte sich herumgesprochen haben.
Viel Glück,
MacLeod
miscmike
miscmike 31.01.2022 um 15:37:59 Uhr
Goto Top
Zitat von @Xerebus:

@colinardo
Dann ist die aussage von miscmike aber falsch das die Dateien zum Backupzeitpunkt noch funktioniert haben.
Kann mir nicht vorstellen das zwei verschiedene Backups intern verseucht werden.

Nicht nur zum Backupzeitpunkt, sondern auch noch später.
Beispiel zum besseren Verständnis :

Datei wurde am 28.01.2022 nochmal bearbeitet.
Heute kam besagter Fehler.

Backup von letzter Woche und zusätzlich von 06/2021 wiederhergestellt - an separatem Ort.
Beide Restores hatten dann den Fehler.

Das ist gruselig.

Ich habe es natürlich mit völlig unbeteiligten PCs probiert.

Und ich will nicht glauben, dass ein Trojaner innerhalb eines Terabyte großen Backups ausgerechnet ein paar wenige Excel-Files herauspickt. Und nur Excel, kein Word oder sonstiges..

aktueller Stand :
Die PCs, bei denen es zum ersten Mal auftrat sind vom Netz.
Unix Scan brachte keine Meldungen.
Kaspersky Rescue läuft noch

Kaspersky Lab hat zwei Files zur Überprüfung - Ergebnis steht noch aus
Doskias
Doskias 31.01.2022 um 16:49:18 Uhr
Goto Top
Nicht nur zum Backupzeitpunkt, sondern auch noch später.
Beispiel zum besseren Verständnis :

Datei wurde am 28.01.2022 nochmal bearbeitet.
Heute kam besagter Fehler.

Backup von letzter Woche und zusätzlich von 06/2021 wiederhergestellt - an separatem Ort.
Beide Restores hatten dann den Fehler.

Das ist gruselig.
Das ist gruselig, aber vielleicht doch erklärbar. Wir kennen dein Backup-Konzept nicht, wie @colinardo schon geschrieben hat. Wo kommt das Backup der letzten Woche und 06/2021 her? Von der Backup-NAS? Wenn ja ist es erklärbar, weil die NAS ja jederzeit erreichbar ist. Aber auch nur, wenn die Datei des Backups erreichbar ist. Ich bzw. wir wissen ja nicht, wie du sicherst. Ich sichere zum Beispiel mit Veeam. Einmal auf ein Band, was danach für 60 Tage zum Schreiben gesperrt wird und einmal auf NAS (jederzeit online). Erster kann nicht vom Virus befallen werden, da das band (a) in der Library steckt und physisch nicht beschreibbar ist und (b) es darüber hinaus logisch von der Tape-Library gesperrt wird, da die 60 Tage nicht erreicht sind. Ältere Bänder (Monatsbackup) liegen im Tresor außerhalb der Tape Library und sind damit erstmal überhaupt nie erreichbar, wenn ich es nicht händisch einlege.
Das Backup auf der NAS könnte theoretisch verschlüsselt werden, aber um das Backup zu lesen brauch ich erstens einen Zugriff auf das NAS via NAS-Benutzer und zweitens sind die Backups durch Veeam Passwort geschützt. Da kommt der Trojaner halt auch nicht so leicht ran.

Ich habe es natürlich mit völlig unbeteiligten PCs probiert.
Was egal ist, wenn das Backup bereits korrumpiert wurde.

Und ich will nicht glauben, dass ein Trojaner innerhalb eines Terabyte großen Backups ausgerechnet ein paar wenige Excel-Files herauspickt. Und nur Excel, kein Word oder sonstiges..
Warum nicht? Irgendwo muss er anfangen. Vielleicht läuft der Trojaner nur auf einem einzigen Rechner. Und vielleicht verschlüsselt er nur die Dateien, die von diesem einen Rechner geöffnet werden. Vielleicht auch nur die Dateien, die am häufigsten auftauchen (und damit vermeintlich am wichtigsten sind). Vielleicht ist er auch gezielt auf Excel ausgerichtet. Mal im Ernst: Wenn ich mir meine Umgebung so anschaue, dann sind in Word oder PDF nur Handlungsanweisungen. Aber die wichtigen betrieblichen Kennzahlen sind (außerhalb vom Wawi und co) in Excel gespeichert. Wir wissen nicht was du dir da eingefangen hast, aber solange die Zeichen darauf hindeuten würde ich es nicht ausschließen, auch wenn nur Excel-Dateien betroffen sind.

aktueller Stand :
Die PCs, bei denen es zum ersten Mal auftrat sind vom Netz.
Unix Scan brachte keine Meldungen.
Kaspersky Rescue läuft noch

Kaspersky Lab hat zwei Files zur Überprüfung - Ergebnis steht noch aus

Ich drück dir weiterhin die Daumen.

Gruß
Doskias
miscmike
miscmike 01.02.2022 um 15:24:09 Uhr
Goto Top
Zwischenstatus :

- Alle Prüfungen auf Schadsoftware ergaben kein Ergebnis
- in den Files ist als Textfragment "SLIB" zu lesen - das deutet auf eine Komprimierung hin
- Es sind keine neuen Beschädigungen hinzugekommen (was eher nicht auf Verschlüsselungstrojaner hindeutet)

Synology-Support hat geantwortet, dass sie so etwas vergleichbares bei anderen Kunden hatten, die Backupsoftware von gewissen Drittherstellern einsetzten. Aha - das wäre doch mal ein Ansatz, also Synology.
Backups vom NAS und PCs machen wir mit Synology eigener Software.
Dazu kommt zwar noch Acronis, jedoch nur für Server-VMs, die mit den betroffenen Dateien nichts zu tun haben.

Grüße
Mike
Xerebus
Xerebus 01.02.2022 aktualisiert um 16:06:56 Uhr
Goto Top
Der name der fremdsoftware wäre interessant.
miscmike
Lösung miscmike 01.02.2022 um 16:12:22 Uhr
Goto Top
Tja, das habe ich auch gedacht. Leider gabs da keine Angabe.
Aber ich kann ja mal explizit nachfragen face-smile