Hallo zusammen,

bin aus aktuellem Anlass auf das Board aufmerksam geworden...
Habe großen Respekt vor der Hingabe und dem persönlichen Einsatz, mit der hier an dem Thema gearbeitet wird. Danke!

Ich bin zugegeben affiner Laie, also wohl der für jedes System gefährliche Halbwissende (aber immerhin kein Politiker.)
In einem Haufen der quasi getöteten Dateien habe ich rumgestochert, ob noch was brauchbares zu finden ist.
Immerhin konnte ich auf einer Partition die Namen und Formate lesbar machen.
Die Inhalte sind codiert und werden entsprechend dargestellt.

Dabei ist mir aufgefallen:
In den Eigenschaften der verschlüsselten Dateien taucht ein (selbstredend unauthorisierter) Besitzer auf, der für die Verschlüsselung Dateien genutzt wurde. (Anhang hier ungenau: Der war Besitzer mit ausschl. 'speziellen Rechten')
Eine Änderung der Datei wurde nicht erkannt, aber das Erstellungsdatum auf Anfang des 17. Jahrhunderts geändert, die Verschlüsselung erfolgte real etwas später, am 12.06.12 um ~10:08h MEZ, ich war dabei
Andere betroffene Dateien haben den gleichlautenden 'Besetzer'.

Wie wird dessen eigentümlicher Name generiert?
Kann hier vielleicht doch noch der Schlüssel zum Schlüssel liegen?

Ich kann nicht beurteilen, ob ich inspiriere oder nur Zeit stehle. Bitte um Nachsicht.
Danke!

Der Benutzer, den Du dort siehst, ist mit hoechster Wahscheinlichkeit nicht von Deinem OS generiert sondern von einer Parallelinstallation von WinXP, Vista, Win7 oder Win8. Eventuell die Win8 Beta ausprobiert?
Der Name den Du siehst ist lediglich eine Lesbarmachung der auf deinem System unbekannten Nutzerkennung und keinerlei Chiffre oder was auch immer.

Affiner Laie mit Hang zur Datenverschluesselung, immerhin schon ein Level weiter als mancher Admin .

Das ist kein Name sondern ein sogenannter Security Identifier (kurz SID), den jedes Windows-Nutzerkonto hat. Entspricht diese SID einem auf dem gerade benutzten Windows existierenden Benutzer, so wird er - für die Anzeige - in einen Namen übersetzt. Existiert kein passendes Konto, passiert genau das, was du siehst: der SID selbst wird angezeigt.

Ein Grund für einen solchen Besitzer wurde ja bereits genannt, ein anderer ist, dass ein Benutzerkonto auf demselben Windows irgendwann einmal existiert hat (mit dem die Datei angelegt wurde) und dieses später gelöscht wurde. Der Besitzer bleibt bestehen (steht im NTFS-Dateisystem ebenfalls als SID), der SID kann nicht mehr zugeordnet werden und *zack*, siehst du genau das.

Also nichts "Magisches" oder für das Problem irgendwie Nützliches - leider.

MfG Dalai