Zitat:

Zitat von bobby187

... also ich will einfach nur wissen wie ich von einer verschüsselten datei einfach nur den URSPRÜNGLICHEN dateinamen herausfinden kann

Das ist nach Aussagen der Delphi-Coder nur mit der *.$03 Datei möglich, die der Virus während der Verschlüsselung schreibt.
Hier ein Zitat aus dem Delphi-Forum:

Zitat:

Zitat von Marcu

Mit mehr Glück hättest du eine gelöschte $03-Datei finden können, welche im $user\temp-Verzeichnis lag. Dann hätte man den Dateien wenigstens ihren Orginalnamen zurückgeben können. Ohne die $03-Datei geht nicht einmal das.

Es gibt dazu auch ein Delphi-Script um die Daten auszulesen.
Allerdings habe ich bisher noch keine Info über eine erfolgreiche Rekonstruktion gelesen.
Ich bin da skeptisch, da ich nichtmal jemanden kenne, der diese $03 erfolgreich aus dem Temp-Verzeichnis retten konnte.

Meines Erachtens tendiert die Erfolgsaussicht, den verschlüsselten Dateinamen die Originalnamen zuzuordnen, real gegen Null.

Volker

Moin
.mpg, .avi etc. funktioniert doch sowieso nicht und bei .mp3 hört man ja, um was es sich handelt und muss dann halt jede einzelne Datei manuell umbenennen. Oder noch einfacher: Man legt halt die Original-CD, die man natürlich im Regal stehen hat (), ins Laufwerk und hat mit ein bisschen Aufwand seine Musiksammlung wieder auf dem Rechner.

bombi, schönes Bild. Du wirst noch berühmt, ich glaube ganz fest daran. Irgendwann entdeckst du eine Weltneuheit, da bin ich mir sicher, und dann kommst du ganz groß raus.

Zitat:

Zitat von Undertaker

Das ist nach Aussagen der Delphi-Coder nur mit der *.$03 Datei möglich, die der Virus während der Verschlüsselung schreibt.
Hier ein Zitat aus dem Delphi-Forum:



Es gibt dazu auch ein Delphi-Script um die Daten auszulesen.
Allerdings habe ich bisher noch keine Info über eine erfolgreiche Rekonstruktion gelesen.
Ich bin da skeptisch, da ich nichtmal jemanden kenne, der diese $03 erfolgreich aus dem Temp-Verzeichnis retten konnte.

Meines Erachtens tendiert die Erfolgsaussicht, den verschlüsselten Dateinamen die Originalnamen zuzuordnen, real gegen Null.

Volker

danke...wo finde ich genau dieses temp verzeichnis ?

@ Undertaker :

weisst du echt nicht ob es tools dafür gibt , die man wie jpg s recovery wieder gewinnen kann ? also zb. gif recovery etc. ???

danke

Zitat:

Zitat von Undertaker

Das ist nach Aussagen der Delphi-Coder nur mit der *.$03 Datei möglich, die der Virus während der Verschlüsselung schreibt.
Hier ein Zitat aus dem Delphi-Forum:



Es gibt dazu auch ein Delphi-Script um die Daten auszulesen.
Allerdings habe ich bisher noch keine Info über eine erfolgreiche Rekonstruktion gelesen.
Ich bin da skeptisch, da ich nichtmal jemanden kenne, der diese $03 erfolgreich aus dem Temp-Verzeichnis retten konnte.

Meines Erachtens tendiert die Erfolgsaussicht, den verschlüsselten Dateinamen die Originalnamen zuzuordnen, real gegen Null.

Volker

Hallo Volker,

bei mir ist es gelungen, aus der $03 Datei mit dem Delphi-Script eine txt-Datei mit den Ursprünglichen Dateinamen und den neu erstellten Dateinamen zu erstellen. Wer also die $03-Datei im Temp-Ordner findet hat mit dem Script schon einen Teilerfolg. Allerdings muss ich dazu feststellen, dass nach dem Befall der Rechner mit der Festplatte nur noch ein mal mit der Kaspersky-CD gestartet wurde zum entfernen des Trojaners und die Platte dann als zusätzliche in einen anderen Rechner gepackt habe um nichts weiter zu zerstören.

Gruß Peter