ich hab mal eine frage ! hab bissel mit nem hexeditor und tune up ( gelöschte daten widerherstellen ) rumgefummelt fragt mich was hab einfach so rumprobiert ! da merk ich das auf einmal meine c platte voll ist und ich hab 2 dateien in meinem C:/Users/Wolfsblut009/AppData/Local/Temp drin die zusammen ca 10 Gig groß sind (0BB59EEA.NXT & 00087C5F.NXT ) was bitte sind .NXT datein und könnten die vll mit dem Trojaner zusammenhängen ?

.nxt odet .ntx?

devinitiv .NXT

Hm, komisch.
Andere Variante ist mir mal untergekommen (war irgendeine Verschlüsselungsendeung), aber Dein Format ist mir grad auch neu...

Meine .mp3 Dateien konnte ich wiederherstellen, indem ich einfach die Endung angehängt habe.
Nun meine Frage als absoluter Laie: Wenn doch die ersten 12 Kb oder wieviel auch immer verschlüsselt sind, wieso funktionieren die Dateien dennoch problemlos?
Und dann noch eine andere (für Experten wahrscheinliche dumme) Frage: Sind diese .mp3 Dateien nachdem ich sie umbenannt habe wieder "ganz normale" mp3 Dateien oder können die noch irgendetwas auf meinem System anrichten, durch ihre Veränderung bzw. Verschlüsselung?

Bei .avi bzw. .mpeg Dateien funzt es übrigens nicht. Da kommen dann nur "komische" Töne zustande und kein Bild. Dafür gibt es (bisher) keine Lösung, richtig?

Dann zu den Bildern: Mit der Demo von jpeg Recovery bekomme ich eine Auflösung von 256x192 Pixel raus. Kann ich mit der Vollversion auf bessere Ergebnisse hoffen? 50$ zahle ich zwar ungern, aber würde ich dennoch machen, wenn es denn Erfolg verspricht. Vielleicht kannst du @ Forrest74 auich meine Bilder mal testen? Das wäre sehr nett.

Dann habe ich heute wieder eine E-Mail bekommen in der ich sogar mit meinem Realnamen angesprochen wurde (wo haben "die" den her??). Verlangt wurden 445 Euro, zahlbar bis heute ansonsten bekäme ich Post von einem Inkassobüro. Angehängt war ein zip-File mit einem MS-DOS Dokument. Ist das das gleiche Teil, nur anders verpackt, oder was ganz Neues/Anderes? Falls es von Interesse ist, dann kann ich die E-Mail gerne weiterleiten zur Untersuchung.

Habe dir mal ne PN geschickt, versuchen kann ich es.

Ich habe geantwortet, weiß aber nicht genau ob die PN verschickt wurde, da dazu keine Bestätigung angezeigt wurde und im Postausgang keine vorhanden ist.

Zitat:

Zitat von sonshice

Wenn doch die ersten 12 Kb oder wieviel auch immer verschlüsselt sind, wieso funktionieren die Dateien dennoch problemlos?

Das liegt am Aufbau einer MP3-Datei.
Eine MP3-Datei besteht aus einzelnen Frames
Bildlich ausgedrückt, wie eine Perlenschnur, wobei jede Perle ein Frame ist.
Jedes Frame, also jede Perle besteht aus einem Header und Audiodaten.
Jede Perle enthält also ein Stück des Liedes.
Am Anfang jedes Headers steht ein Syncblock.
Eine Perle sieht dann also so aus:
[Perle, sprich Frame]
bzw.
[{Header}+(Audioteil)]
bzw.
[{sync+Restheader}+(Audioteil)]

die ganze Datei also so:

[Perle_1, sprich Frame_1]+[Perle_2, sprich Frame_2]...+[Perle_n, sprich Frame_n]

Der MP3-Decoder "sucht" die Syncblöcke im Header jedes Frames und spielt dann die im Frame enthaltenen Audiodaten.

Grob ausgedrückt ist das wie bei Kapitelmarken einer DVD.

Außerdem stehen am Anfang oder Ende einer MP3-Datei die ID3-Tags, wie Titel, Interpret, Tumb des Covers usw.

Wenn der Trojaner die ersten 12k zerstört, dann synchronisiert sich der Decoder auf das nächste brauchbare Sync im Header des nächsten brauchbaren Frames und spielt treu und brav die Audiodaten ab.

Wenn am Anfang die ID3-Tags kaputt sind und vielleicht ein oder zwei Frames, dann merkst Du das kaum.

Und genau aus diesem Grund funktioniert das bei MP3s.
Die Dateien sind nach wie vor kaputt, nur merkst Du es nicht oder kaum.

Zitat:

...
"ganz normale" mp3 Dateien oder können die noch irgendetwas auf meinem System anrichten, durch ihre Veränderung bzw. Verschlüsselung?

Also ganz normal sind die Dateien nicht, sie haben ja den Fehler in den ersten 12k aber anrichten können die höchstens einen Hörsturz, wenn Du die Regler auf maximum drehst, sonst nichts.

Volker