Nur den Dateinamen?
Geht es auch dann nicht, wenn die richtige Dateiendung existiert?
Wenn es nur eine Dateinamenänderung ist, Glück gehabt ansonst sieht es schlecht aus.
Könnte man ev.ein korumpiertes Testfile bekommen.
Probieren geht über studieren,ev.ausserhalb von Win dadrauf zugreifen.
ZitatAn die verschlüsselte Datei
"Verschlüsselt" ist da der falsche Ausdruck...oder Du hast die falsche Datei zum DL bereitgestellt.
Da fehlen Bildinfos und zwar ab dem Eintrag:
Bytes from Start: 2
bis zu
bytes from Start: 122
1.Header angepasst wie er bei Jpg üblich ist.
http://frupic.frubar.net/shots/25851.png
Image Magick gestartet.
http://www.a-kat.com/programming/cpp/jpeg/JPEGDump.html
ergibt Folgendes:
TxT im Anhang als Beilage.
Da fehlen,wie oben schon erwähnt.....Folgendes zur eigentlichen Bildinfo.....hier aus einem anderen Testbild...Jpg
bytes from start: 20
value = 0xffec
size = 19
description = Application-specific data
Application name: Ducky
bytes from start: 39
value = 0xffee
size = 35
description = Application-specific data
Application name: Adobe
bytes from start: 74
value = 0xffdb
size = 134
description = Define Quantization Table
Quantization Table:
Quantization Value Size: 1
Table ID: 0
Quantization Values:
10 b b b c b 10 c c 10 17 f d f 17 1b
14 10 10 14 1b 1f 17 17 17 17 17 1f 1e 17 1a 1a
1a 1a 17 1e 1e 23 25 27 25 23 1e 2f 2f 33 33 2f
2f 40 40 40 40 40 40 40 40 40 40 40 40 40 40 40
Quantization Table:
Quantization Value Size: 1
Table ID: 1
Quantization Values:
11 f f 11 13 11 15 12 12 15 14 11 14 11 14 1a
14 16 16 14 1a 26 1a 1a 1c 1a 1a 26 30 23 1e 1e
1e 1e 23 30 2b 2e 27 27 27 2e 2b 35 35 30 30 35
35 40 40 3f 40 40 40 40 40 40 40 40 40 40 40 40
offensichtlich ferkelt das Virus im Header rum.
Frage ist allerdings, kann man das reparieren oder ist die Datei "im Eimer"
Aus dieser bösen Erfahrung kann ich allen nur raten,
a) keine unbekannten Emails, und schon gar nicht deren Anhänge zu öffnen,
Das hat man auch nicht zu machen. Auch wenn die Versuchung bei einigen aktuellen Mails groß ist, wo mit Abmahnung wegen Zahlungsverzug gedroht wird.
ZitatFrage ist allerdings, kann man das reparieren oder ist die Datei "im Eimer"
Hannes,
Du gehst Einkaufen stellst die Tasche ins Auto.Zuhause angekommen siehst Du die Tasche aber der Inhalt ist nicht mehr da.
Liegt die eingekaufte Ware noch irgendwo im Auto dann hast Glück.
Zudem ist die angezeigte Dateigrösse von 39 kb schon etwas gar klein für ein Originalbild.
Als Auslesetool kann man Image Magick mit dem Plugin identify einsetzen
http://www.imagemagick.org/script/identify.php
Das Identifizier Programm beschreibt das Format und die Merkmale eines oder mehrerer Bilddateien.
Er berichtet auch, wenn ein Bild unvollständig oder beschädigt ist
Die zurückgegebenen Informationen enthaltent die Bildnummer, den Dateinamen, die Breite und Höhe des Bildes, ob das Bild colormapped ist oder nicht, die Anzahl der Farben in dem Bild, die Anzahl der Bytes in dem Bild, das Format des Bildes (JPEG, PNM, etc.), ..................
> Zudem ist die angezeigte Dateigrösse von 39 kb schon etwas gar klein für ein Originalbild.
hatte ich nicht gesehen.
Man kann also sagen, der Trojaner verschlüsselt die Datei nicht, sondern löscht wesentlich Teile.
Richtig?
Nun kommt aber gleich das nächste Problem.
Die Backup-Platte hängt permanent am Rechner und wird über "AllwaySync" auf aktuellen Stand gehalten.
Damit sind dort die Daten wohl auch im Eimer.
Richtig?
Ich habe sie vorsorglich erst mal abgehangen. 
Zitatim Windowsordner (Dateimanager) am unteren Rand richtig angezeigt bekomme,
Windows meldet ja auch dass alles "OK" ist zum Bsp.in msinfo32.... 
In der Regel kann das kostenlose Tool IrfanView [4.33 aktuell] mit den benötigten PlugIns alle Bilder anzeigen.
Für Unicode einfach noch am richtigen Ort in den Settings einen Haken setzen.
Zitat.....weil die anderen Fotos wesentlich größer sind als die zulässige Dateigröße für Anhänge.
Dann greife auch einen kostenlosen Hoster zurück,für bilder:
http://www.xup.in/
http://frupic.frubar.net/
Für grössere Datenpakete:
Bis Datengrösse 100 MB
http://www.file-upload.net/
Bis 500 MB
http://www.file2send.de/
Bis 2000 MB
http://www.filemail.com
Es gibt sicher noch einige mehr.
Das Passfoto kann ich hier öffnen,IrfanView,XnView,beim anderen kann ich zwar etwas auslesen aber immer noch nichts womit ich das Bild wiederherstellen könnte.
Es ist aber auch möglich,kenne ja die "Arbeitsweise" des Verursachers nicht,dass die Dateien immer noch auf der HDD sind aber nur nicht mehr in der Part.Tabelle aufgelistet sind.
Als erstes würde ich diese HDD clonen und dann mit dieser aber nicht unter Windows weiterarbeiten.
Es ist ja alles GANZ PRIMA, wenn man dann nach 5 Stunden etwa 3-50 Bilder manuell gerettet hat! 
Es wäre aber zielführender, auf Seiten zu verweisen, die sich dieser Problematik bereits angenommen hat, als hier im Hexeditor rumzuhacken!
Bei einer handvoll Dateien ist das ja vielleicht noch ganz witzig!
Ich verweise auch nochmal auf die Seite http://www.bka-trojaner.de und auf das Forum http://forum.botfrei.de
Hier findet sich bereits ein --> Thread mit einigen interessanten gesammelten Informationen, systematisierten Herangehensweisen und sogar ein paar Tools,
die Verschlüsselungen in einigen Fällen auch automatisiert rückgängig machen können!
Jim
Danke Jim
Die Links kannte ich noch nicht,bin erst spät hier eingestiegen.
Zumindest kennt er jetzt ein paar Free-Hoster.
Danke Jim
Die Links kannte ich noch nicht,bin erst spät hier eingestiegen.
Zumindest kennt er jetzt ein paar Free-Hoster.
Hihi, das ist auch etwas wert!
Hier noch ergänzend Informationen von jemandem, der dem Trojaner schon recht weit auf der Spur ist!
Ich denke, der Thread wird kontinuierlich aktualisiert!
http://blog.save-privacy.de/in…rojaner-neue-Version.html
Jim
