Nach Öffnen eines e-mail-Anhanges hatte ich mir so etwas wie den "BKA-Virus" eingefangen (Betriebssystem Vista blockiert - Anzeige, dass angebl.Windows-Lizenz abgelaufen - sollte 100 € bezahlen). Konnte diesen Virus löschen, hatte aber danach alle doc-Dateien verschlüsselt (z.B. locked-Messerückblick.doc.ghfj). Auch mit der hier angebotenen Software konnte ich keinen Schlüssel herausbekommen.

PC ist mit Vollscan überprüft und ohne Funde.

Hilfe wäre mir sehr wichtig, da ich die doc beruflich brauche.

hi,
1. womit wurde gelöscht, logs posten.
2.
an solchen mails mit rechnung, mahnung und sonstigen anhängen, von unbekannten absendern bin ich interessiert.
wenn du ein mail programm nutzt, dann mail markieren, rechtsklick, speichern unter, typ:
.eml einstellen.
dann mail an:
http://markusg.trojaner-board.de
dort die soeben erstellte datei anhängen.
wenn du deine mails über den browser abrufst, sag mir mal welchen anbieter du nutzt, dann geht das ein bisschen anders.
bitte warne freunde, bekannte, verwante etc vor dieser masche, und lasse ihnen ruhig diese mail adresse zukommen.
sie können dann dorthin solche verdächtigen mails senden.
diese helfen uns dann, angemessen auf neue bedrohungen zu reagieren, da diese schadsoftware auch updates erhält ist das wichtig.

3. womit hast du versucht zu entschlüsseln?

Hi und danke für die rasche Antwort.

Nachdem mein Betriebssystem blockiert war und nur noch ein schwarzer
> Monitor mit dem Hinweisfenster, dass die Window-Lizenz angebl.abgelaufen
> sei und.... habe ich im abgesicherten Bereich mit meinem hier
> install. Antivirenprogr. AVAST und anschl. mit der Softw.v. Malwareb. den
> Rechner wieder ans Laufen bekommen. Ob und wo ggf. der Trojanier in
> Quarantäne sitzt, oder ob er völlig gelöscht wurde, weiß ich nicht - habe
> auch nicht den großen "Computer-Durchblick". Daher weiß ich auch gar
> nicht, ob die unten eingefügten Log-Dateien die richtigen sind.
>
> Mein e-mail-Provider ist Arcor und ich lasse alles auf dem Server.
> Allerdings finde ich diese Mail weder im Ordner "Empfangen" noch im
> Papierkorb.
>
> Ich habe mit der Unlocker-Software, die bei euch im Netz steht, versucht,
> den Schlüssel herauszubekommen. War aber Fehlanzeige. Gerne schicke ich
eine Datei, einmal verschlüsselt und einmal im Original.
>
Hier mein Anhang:
>
> alwarebytes Anti-Malware (Test) 1.61.0.1400
> www.malwarebytes.org
>
> Datenbank Version: v2012.05.04.02
>
> Windows Vista Service Pack 2 x86 NTFS
> Internet Explorer 9.0.8112.16421
> Flieger :: FLIEGER-PC [Administrator]
>
> Schutz: Deaktiviert
>
> 04.05.2012 15:17:37
> mbam-log-2012-05-04 (15-17-37).txt
>
> Art des Suchlaufs: Vollständiger Suchlauf
> Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung |
> Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
> Deaktivierte Suchlaufeinstellungen: P2P
> Durchsuchte Objekte: 398696
> Laufzeit: 1 Stunde(n), 22 Minute(n), 22 Sekunde(n)
>
> Infizierte Speicherprozesse: 0
> (Keine bösartigen Objekte gefunden)
>
> Infizierte Speichermodule: 0
> (Keine bösartigen Objekte gefunden)
>
> Infizierte Registrierungsschlüssel: 0
> (Keine bösartigen Objekte gefunden)
>
> Infizierte Registrierungswerte: 1
> HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|92372C24
> (Trojan.Agent.RNSGen) -> Daten:
> C:\Users\Flieger\AppData\Roaming\Ifmny\7A4545E792372C243D53.exe ->
> Erfolgreich gelöscht und in Quarantäne gestellt.
>
> Infizierte Dateiobjekte der Registrierung: 0
> (Keine bösartigen Objekte gefunden)
>
> Infizierte Verzeichnisse: 0
> (Keine bösartigen Objekte gefunden)
>
> Infizierte Dateien: 3
> C:\Program Files\Alcohol Soft\Alcohol 120\Langs\AX_RU.dll
> (Malware.Packer.GenX) -> Erfolgreich gelöscht und in Quarantäne gestellt.
> D:\Alte Festplatte\Programme\AquaSoftware\DiaShow 3.6
> (Sharewareversion)\Plugins\ScreenSaverModule\ScreenSaverModuleSCR.bin
> (Trojan.Winlock) -> Erfolgreich gelöscht und in Quarantäne gestellt.
> C:\Users\Flieger\AppData\Roaming\Ifmny\7A4545E792372C243D53.exe
> (Trojan.Agent.RNSGen) -> Erfolgreich gelöscht und in Quarantäne gestellt.
>
> (Ende)
>
> Malwarebytes Anti-Malware (Test) 1.61.0.1400
> www.malwarebytes.org
>
> Datenbank Version: v2012.05.04.05
>
> Windows Vista Service Pack 2 x86 NTFS
> Internet Explorer 9.0.8112.16421
> Flieger :: FLIEGER-PC [Administrator]
>
> Schutz: Aktiviert
>
> 05.05.2012 07:37:51
> mbam-log-2012-05-05 (07-37-51).txt
>
> Art des Suchlaufs: Vollständiger Suchlauf
> Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung |
> Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
> Deaktivierte Suchlaufeinstellungen: P2P
> Durchsuchte Objekte: 400324
> Laufzeit: 1 Stunde(n), 55 Minute(n), 11 Sekunde(n)
>
> Infizierte Speicherprozesse: 0
> (Keine bösartigen Objekte gefunden)
>
> Infizierte Speichermodule: 0
> (Keine bösartigen Objekte gefunden)
>
> Infizierte Registrierungsschlüssel: 0
> (Keine bösartigen Objekte gefunden)
>
> Infizierte Registrierungswerte: 0
> (Keine bösartigen Objekte gefunden)
>
> Infizierte Dateiobjekte der Registrierung: 0
> (Keine bösartigen Objekte gefunden)
>
> Infizierte Verzeichnisse: 0
> (Keine bösartigen Objekte gefunden)
>
> Infizierte Dateien: 2
> C:\Users\Flieger\AppData\Local\Temp\fszlmwpbni.pre (Trojan.Agent) ->
> Erfolgreich gelöscht und in Quarantäne gestellt.
> C:\Users\Flieger\Desktop\Downloads\DecryptHelper-0.5.3.exe
> (Trojan.FakeAlert) -> Erfolgreich gelöscht und in Quarantäne gestellt.
>
> (Ende)
>
> Malwarebytes Anti-Malware (Test) 1.61.0.1400
> www.malwarebytes.org
>
> Datenbank Version: v2012.05.06.05
>
> Windows Vista Service Pack 2 x86 NTFS
> Internet Explorer 9.0.8112.16421
> Flieger :: FLIEGER-PC [Administrator]
>
> Schutz: Aktiviert
>
> 07.05.2012 12:22:28
> mbam-log-2012-05-07 (12-22-28).txt
>
> Art des Suchlaufs: Vollständiger Suchlauf
> Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung |
> Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
> Deaktivierte Suchlaufeinstellungen: P2P
> Durchsuchte Objekte: 400412
> Laufzeit: 1 Stunde(n), 43 Minute(n),
>
> Infizierte Speicherprozesse: 0
> (Keine bösartigen Objekte gefunden)
>
> Infizierte Speichermodule: 0
> (Keine bösartigen Objekte gefunden)
>
> Infizierte Registrierungsschlüssel: 0
> (Keine bösartigen Objekte gefunden)
>
> Infizierte Registrierungswerte: 0
> (Keine bösartigen Objekte gefunden)
>
> Infizierte Dateiobjekte der Registrierung: 0
> (Keine bösartigen Objekte gefunden)
>
> Infizierte Verzeichnisse: 0
> (Keine bösartigen Objekte gefunden)
>
> Infizierte Dateien: 0
> (Keine bösartigen Objekte gefunden)
>
> (Ende)
>
> Malwarebytes Anti-Malware (Test) 1.61.0.1400
> www.malwarebytes.org
>
> Datenbank Version: v2012.05.06.05
>
> Windows Vista Service Pack 2 x86 NTFS
> Internet Explorer 9.0.8112.16421
> Flieger :: FLIEGER-PC [Administrator]
>
> Schutz: Aktiviert
>
> 11.05.2012 10:00:45
> mbam-log-2012-05-11 (10-00-45).txt
>
> Art des Suchlaufs: Quick-Scan
> Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung |
> Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
> Deaktivierte Suchlaufeinstellungen: P2P
> Durchsuchte Objekte: 197859
> Laufzeit: 12 Minute(n), 37 Sekunde(n)
>
> Infizierte Speicherprozesse: 0
> (Keine bösartigen Objekte gefunden)
>
> Infizierte Speichermodule: 0
> (Keine bösartigen Objekte gefunden)
>
> Infizierte Registrierungsschlüssel: 24
> HKCR\CLSID\{75EBB0AA-4214-4CB4-90EC-E3E07ECD04F7} (PUP.Funmoods) -> Keine
> Aktion durchgeführt.
> HKCR\funmoods.funmoodsHlpr.1 (PUP.Funmoods) -> Keine Aktion durchgeführt.
> HKCR\funmoods.funmoodsHlpr (PUP.Funmoods) -> Keine Aktion durchgeführt.
> HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper
> Objects\{75EBB0AA-4214-4CB4-90EC-E3E07ECD04F7} (PUP.Funmoods) -> Keine
> Aktion durchgeführt.
> HKCR\CLSID\{75A4D144-506D-4BE5-81DB-EC7DA1E7F840} (PUP.Funmoods) -> Keine
> Aktion durchgeführt.
> HKCR\TypeLib\{960DF771-CFCB-4E53-A5B5-6EF2BBE6E706} (PUP.Funmoods) ->
> Keine Aktion durchgeführt.
> HKCR\esrv.funmoodsESrvc.1 (PUP.Funmoods) -> Keine Aktion durchgeführt.
> HKCR\esrv.funmoodsESrvc (PUP.Funmoods) -> Keine Aktion durchgeführt.
> HKCR\CLSID\{965B9DBE-B104-44AC-950A-8A5F97AFF439} (PUP.Funmoods) -> Keine
> Aktion durchgeführt.
> HKCR\escort.escortIEPane.1 (PUP.Funmoods) -> Keine Aktion durchgeführt.
> HKCR\escort.escortIEPane (PUP.Funmoods) -> Keine Aktion durchgeführt.
> HKCR\CLSID\{A4C272EC-ED9E-4ACE-A6F2-9558C7F29EF3} (PUP.Funmoods) -> Keine
> Aktion durchgeführt.
> HKCR\TypeLib\{4E1E9D45-8BF9-4139-915C-9F83CC3D5921} (PUP.Funmoods) ->
> Keine Aktion durchgeführt.
> HKCR\funmoods.dskBnd.1 (PUP.Funmoods) -> Keine Aktion durchgeführt.
> HKCR\funmoods.dskBnd (PUP.Funmoods) -> Keine Aktion durchgeführt.
> HKCR\CLSID\{A9DB719C-7156-415E-B49D-BAD039DE4F13} (PUP.Funmoods) -> Keine
> Aktion durchgeführt.
> HKCR\TypeLib\{D7EE8177-D51E-4F89-92B6-83EA2EC40800} (PUP.Funmoods) ->
> Keine Aktion durchgeführt.
> HKCR\funmoodsApp.appCore.1 (PUP.Funmoods) -> Keine Aktion durchgeführt.
> HKCR\funmoodsApp.appCore (PUP.Funmoods) -> Keine Aktion durchgeführt.
> HKCR\CLSID\{F03FD9D0-4F2B-497C-8A71-DD41D70B07D9} (PUP.Funmoods) -> Keine
> Aktion durchgeführt.
> HKCR\f (PUP.Funmoods) -> Keine Aktion durchgeführt.
> HKLM\SOFTWARE\Microsoft\Internet Explorer\Low
> Rights\ElevationPolicy\{C87FC351-A80D-43E9-9A86-CF1E29DC443A}
> (PUP.Funmoods) -> Keine Aktion durchgeführt.
> HKLM\SOFTWARE\Google\chrome\Extensions\fdloijijlkoblmigdofommgnheckmaki
> (PUP.Funmoods) -> Keine Aktion durchgeführt.
> HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\UNINSTALL\FUNMOODS
> (PUP.Funmoods) -> Keine Aktion durchgeführt.
>
> Infizierte Registrierungswerte: 3
> HKLM\SOFTWARE\Microsoft\Internet
> Explorer\Toolbar|{A4C272EC-ED9E-4ACE-A6F2-9558C7F29EF3} (PUP.Funmoods) ->
> Daten: Funmoods Toolbar -> Keine Aktion durchgeführt.
> HKLM\SOFTWARE\Microsoft\Internet
> Explorer\Toolbar\{A4C272EC-ED9E-4ACE-A6F2-9558C7F29EF3} (PUP.Funmoods) ->
> Daten: -> Keine Aktion durchgeführt.
> HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\funmoods|UninstallString
> (PUP.Funmoods) -> Daten: "C:\Program
> Files\Funmoods\funmoods\1.5.11.16\uninstall.exe" -> Keine Aktion
> durchgeführt.
>
> Infizierte Dateiobjekte der Registrierung: 0
> (Keine bösartigen Objekte gefunden)
>
> Infizierte Verzeichnisse: 2
> C:\Program Files\Funmoods\funmoods\1.5.11.16 (PUP.Funmoods) -> Keine
> Aktion durchgeführt.
> C:\Program Files\Funmoods\funmoods\1.5.11.16\bh (PUP.Funmoods) -> Keine
> Aktion durchgeführt.
>
> Infizierte Dateien: 7
> C:\Program Files\Funmoods\funmoods\1.5.11.16\bh\funmoods.dll
> (PUP.Funmoods) -> Keine Aktion durchgeführt.
> C:\Program Files\Funmoods\funmoods\1.5.11.16\funmoodssrv.exe
> (PUP.Funmoods) -> Keine Aktion durchgeführt.
> C:\Program Files\Funmoods\funmoods\1.5.11.16\funmoodsTlbr.dll
> (PUP.Funmoods) -> Keine Aktion durchgeführt.
> C:\Program Files\Funmoods\funmoods\1.5.11.16\funmoodsApp.dll
> (PUP.Funmoods) -> Keine Aktion durchgeführt.
> C:\Program Files\Funmoods\funmoods\1.5.11.16\funmoodsEng.dll
> (PUP.Funmoods) -> Keine Aktion durchgeführt.
> C:\Program Files\Funmoods\funmoods\1.5.11.16\funmoodsOEM.crx
> (PUP.Funmoods) -> Keine Aktion durchgeführt.
> C:\Program Files\Funmoods\funmoods\1.5.11.16\uninstall.exe
> (PUP.Funmoods) -> Keine Aktion durchgeführt.
>
> (Ende)
>
> 2012/05/05 09:43:41 +0200 FLIEGER-PC Flieger MESSAGE Starting protection
> 2012/05/05 09:43:43 +0200 FLIEGER-PC Flieger MESSAGE Protection started
> successfully
> 2012/05/05 09:43:46 +0200 FLIEGER-PC Flieger MESSAGE Starting IP
> protection
> 2012/05/05 09:43:47 +0200 FLIEGER-PC Flieger MESSAGE IP Protection started
> successfully
>
> 2012/05/06 13:26:32 +0200 FLIEGER-PC Flieger DETECTION
> C:\Users\Flieger\Desktop\Downloads\DecryptHelper-0.5.3.exe
> Trojan.FakeAlert QUARANTINE
> 2012/05/06 13:26:32 +0200 FLIEGER-PC Flieger DETECTION
> c:\users\flieger\desktop\downloads\decrypthelper-0.5.3.exe
> Trojan.FakeAlert DENY
> 2012/05/06 13:26:32 +0200 FLIEGER-PC Flieger DETECTION
> c:\users\flieger\desktop\downloads\decrypthelper-0.5.3.exe
> Trojan.FakeAlert DENY
> 2012/05/06 13:27:12 +0200 FLIEGER-PC Flieger DETECTION
> C:\Users\Flieger\Desktop\Downloads\DecryptHelper-0.5.3.exe
> Trojan.FakeAlert DENY
> 2012/05/06 13:27:12 +0200 FLIEGER-PC Flieger DETECTION
> C:\Users\Flieger\Desktop\Downloads\DecryptHelper-0.5.3.exe
> Trojan.FakeAlert DENY
> 2012/05/06 13:27:12 +0200 FLIEGER-PC Flieger DETECTION
> C:\Users\Flieger\Desktop\Downloads\DecryptHelper-0.5.3.exe
> Trojan.FakeAlert DENY
> 2012/05/06 13:27:18 +0200 FLIEGER-PC Flieger DETECTION
> C:\Users\Flieger\Desktop\Downloads\DecryptHelper-0.5.3.exe
> Trojan.FakeAlert DENY
> 2012/05/06 13:27:18 +0200 FLIEGER-PC Flieger DETECTION
> C:\Users\Flieger\Desktop\Downloads\DecryptHelper-0.5.3.exe
> Trojan.FakeAlert DENY
> 2012/05/06 13:27:18 +0200 FLIEGER-PC Flieger DETECTION
> C:\Users\Flieger\Desktop\Downloads\DecryptHelper-0.5.3.exe
> Trojan.FakeAlert DENY
> 2012/05/06 13:27:20 +0200 FLIEGER-PC Flieger DETECTION
> C:\Users\Flieger\Desktop\Downloads\DecryptHelper-0.5.3.exe
> Trojan.FakeAlert DENY
> 2012/05/06 13:27:20 +0200 FLIEGER-PC Flieger DETECTION
> C:\Users\Flieger\Desktop\Downloads\DecryptHelper-0.5.3.exe
> Trojan.FakeAlert DENY
> 2012/05/06 13:27:20 +0200 FLIEGER-PC Flieger DETECTION
> C:\Users\Flieger\Desktop\Downloads\DecryptHelper-0.5.3.exe
> Trojan.FakeAlert DENY
> 2012/05/06 13:27:34 +0200 FLIEGER-PC Flieger DETECTION
> C:\Users\Flieger\Desktop\Downloads\DecryptHelper-0.5.3.exe
> Trojan.FakeAlert DENY
> 2012/05/06 13:27:38 +0200 FLIEGER-PC Flieger DETECTION
> C:\Users\Flieger\Desktop\Downloads\DecryptHelper-0.5.3.exe
> Trojan.FakeAlert DENY
> 2012/05/06 13:27:39 +0200 FLIEGER-PC Flieger DETECTION
> C:\Users\Flieger\Desktop\Downloads\DecryptHelper-0.5.3.exe
> Trojan.FakeAlert DENY
> 2012/05/06 13:27:40 +0200 FLIEGER-PC Flieger DETECTION
> C:\Users\Flieger\Desktop\Downloads\DecryptHelper-0.5.3.exe
> Trojan.FakeAlert DENY
> 2012/05/06 13:27:40 +0200 FLIEGER-PC Flieger DETECTION
> C:\Users\Flieger\Desktop\Downloads\DecryptHelper-0.5.3.exe
> Trojan.FakeAlert DENY
> 2012/05/06 13:27:40 +0200 FLIEGER-PC Flieger DETECTION
> C:\Users\Flieger\Desktop\Downloads\DecryptHelper-0.5.3.exe
> Trojan.FakeAlert DENY
> 2012/05/06 13:27:40 +0200 FLIEGER-PC Flieger DETECTION
> C:\Users\Flieger\Desktop\Downloads\DecryptHelper-0.5.3.exe
> Trojan.FakeAlert DENY
> 2012/05/06 13:27:41 +0200 FLIEGER-PC Flieger DETECTION
> C:\Users\Flieger\Desktop\Downloads\DecryptHelper-0.5.3.exe
> Trojan.FakeAlert DENY
> 2012/05/06 13:27:41 +0200 FLIEGER-PC Flieger DETECTION
> C:\Users\Flieger\Desktop\Downloads\DecryptHelper-0.5.3.exe
> Trojan.FakeAlert DENY
> 2012/05/06 13:27:41 +0200 FLIEGER-PC Flieger DETECTION
> C:\Users\Flieger\Desktop\Downloads\DecryptHelper-0.5.3.exe
> Trojan.FakeAlert DENY
> 2012/05/06 13:27:42 +0200 FLIEGER-PC Flieger DETECTION
> C:\Users\Flieger\Desktop\Downloads\DecryptHelper-0.5.3.exe
> Trojan.FakeAlert DENY
> 2012/05/06 13:27:44 +0200 FLIEGER-PC Flieger DETECTION
> C:\Users\Flieger\Desktop\Downloads\DecryptHelper-0.5.3.exe
> Trojan.FakeAlert DENY
> 2012/05/06 13:27:44 +0200 FLIEGER-PC Flieger DETECTION
> C:\Users\Flieger\Desktop\Downloads\DecryptHelper-0.5.3.exe
> Trojan.FakeAlert DENY
> 2012/05/06 13:27:44 +0200 FLIEGER-PC Flieger DETECTION
> C:\Users\Flieger\Desktop\Downloads\DecryptHelper-0.5.3.exe
> Trojan.FakeAlert DENY
> 2012/05/06 13:28:03 +0200 FLIEGER-PC Flieger DETECTION
> C:\Users\Flieger\Desktop\Downloads\DecryptHelper-0.5.3.exe
> Trojan.FakeAlert DENY
> 2012/05/06 13:28:11 +0200 FLIEGER-PC Flieger DETECTION
> C:\Users\Flieger\Desktop\Downloads\DecryptHelper-0.5.3.exe
> Trojan.FakeAlert DENY
> 2012/05/06 13:28:11 +0200 FLIEGER-PC Flieger DETECTION
> C:\Users\Flieger\Desktop\Downloads\DecryptHelper-0.5.3.exe
> Trojan.FakeAlert DENY
> 2012/05/06 13:28:11 +0200 FLIEGER-PC Flieger DETECTION
> C:\Users\Flieger\Desktop\Downloads\DecryptHelper-0.5.3.exe
> Trojan.FakeAlert DENY
> 2012/05/06 13:28:12 +0200 FLIEGER-PC Flieger DETECTION
> C:\Users\Flieger\Desktop\Downloads\DecryptHelper-0.5.3.exe
> Trojan.FakeAlert DENY
> 2012/05/06 13:28:12 +0200 FLIEGER-PC Flieger DETECTION
> C:\Users\Flieger\Desktop\Downloads\DecryptHelper-0.5.3.exe
> Trojan.FakeAlert DENY
> 2012/05/06 13:28:12 +0200 FLIEGER-PC Flieger DETECTION
> C:\Users\Flieger\Desktop\Downloads\DecryptHelper-0.5.3.exe
> Trojan.FakeAlert DENY
> 2012/05/06 13:28:13 +0200 FLIEGER-PC Flieger DETECTION
> C:\Users\Flieger\Desktop\Downloads\DecryptHelper-0.5.3.exe
> Trojan.FakeAlert DENY
> 2012/05/06 13:28:13 +0200 FLIEGER-PC Flieger DETECTION
> C:\Users\Flieger\Desktop\Downloads\DecryptHelper-0.5.3.exe
> Trojan.FakeAlert DENY
> 2012/05/06 13:28:13 +0200 FLIEGER-PC Flieger DETECTION
> C:\Users\Flieger\Desktop\Downloads\DecryptHelper-0.5.3.exe
> Trojan.FakeAlert DENY
> 2012/05/06 13:28:31 +0200 FLIEGER-PC Flieger DETECTION
> C:\Users\Flieger\Desktop\Downloads\DecryptHelper-0.5.3.exe
> Trojan.FakeAlert DENY
> 2012/05/06 13:28:31 +0200 FLIEGER-PC Flieger DETECTION
> C:\Users\Flieger\Desktop\Downloads\DecryptHelper-0.5.3.exe
> Trojan.FakeAlert DENY
> 2012/05/06 13:28:31 +0200 FLIEGER-PC Flieger DETECTION
> C:\Users\Flieger\Desktop\Downloads\DecryptHelper-0.5.3.exe
> Trojan.FakeAlert DENY
> 2012/05/06 13:29:57 +0200 FLIEGER-PC Flieger DETECTION
> c:\users\flieger\desktop\downloads\decrypthelper-0.5.3.exe
> Trojan.FakeAlert DENY
> 2012/05/06 16:06:41 +0200 FLIEGER-PC Flieger IP-BLOCK 208.87.32.71 (Type:
> outgoing, Port: 57317, Process: avastsvc.exe)
> 2012/05/06 16:06:41 +0200 FLIEGER-PC Flieger IP-BLOCK 208.87.32.71 (Type:
> outgoing, Port: 57319, Process: avastsvc.exe)
> 2012/05/06 17:38:56 +0200 FLIEGER-PC Flieger IP-BLOCK 195.3.145.49 (Type:
> outgoing, Port: 59382, Process: avastsvc.exe)
> 2012/05/06 17:38:56 +0200 FLIEGER-PC Flieger IP-BLOCK 195.3.145.49 (Type:
> outgoing, Port: 59383, Process: avastsvc.exe)
> 2012/05/06 17:38:56 +0200 FLIEGER-PC Flieger IP-BLOCK 195.3.145.49 (Type:
> outgoing, Port: 59392, Process: avastsvc.exe)
> 2012/05/06 17:38:56 +0200 FLIEGER-PC Flieger IP-BLOCK 195.3.145.49 (Type:
> outgoing, Port: 59395, Process: avastsvc.exe)
> 2012/05/06 17:40:41 +0200 FLIEGER-PC Flieger IP-BLOCK 173.192.194.250
> (Type: outgoing, Port: 59520, Process: avastsvc.exe)
> 2012/05/06 17:40:41 +0200 FLIEGER-PC Flieger IP-BLOCK 173.192.194.250
> (Type: outgoing, Port: 59525, Process: avastsvc.exe)
> 2012/05/06 17:40:41 +0200 FLIEGER-PC Flieger IP-BLOCK 173.192.194.250
> (Type: outgoing, Port: 59526, Process: avastsvc.exe)
> 2012/05/06 17:40:57 +0200 FLIEGER-PC Flieger IP-BLOCK 173.192.194.250
> (Type: outgoing, Port: 59537, Process: avastsvc.exe)
> 2012/05/06 17:40:57 +0200 FLIEGER-PC Flieger IP-BLOCK 173.192.194.250
> (Type: outgoing, Port: 59538, Process: avastsvc.exe)
> 2012/05/06 17:41:21 +0200 FLIEGER-PC Flieger IP-BLOCK 173.192.194.250
> (Type: outgoing, Port: 59572, Process: avastsvc.exe)
> 2012/05/06 17:41:21 +0200 FLIEGER-PC Flieger IP-BLOCK 173.192.194.250
> (Type: outgoing, Port: 59573, Process: avastsvc.exe)
> 2012/05/06 17:41:21 +0200 FLIEGER-PC Flieger IP-BLOCK 173.192.194.250
> (Type: outgoing, Port: 59576, Process: avastsvc.exe)
> 2012/05/06 19:05:14 +0200 FLIEGER-PC Flieger IP-BLOCK 173.192.194.250
> (Type: outgoing, Port: 59897, Process: avastsvc.exe)
> 2012/05/06 19:05:14 +0200 FLIEGER-PC Flieger IP-BLOCK 173.192.194.250
> (Type: outgoing, Port: 59899, Process: avastsvc.exe)
> 2012/05/06 19:05:14 +0200 FLIEGER-PC Flieger IP-BLOCK 173.192.194.250
> (Type: outgoing, Port: 59902, Process: avastsvc.exe)
> 2012/05/06 19:05:14 +0200 FLIEGER-PC Flieger IP-BLOCK 173.192.194.250
> (Type: outgoing, Port: 59903, Process: avastsvc.exe)
> 2012/05/06 19:05:14 +0200 FLIEGER-PC Flieger IP-BLOCK 173.192.194.250
> (Type: outgoing, Port: 59908, Process: avastsvc.exe)
> 2012/05/06 19:05:14 +0200 FLIEGER-PC Flieger IP-BLOCK 173.192.194.250
> (Type: outgoing, Port: 59909, Process: avastsvc.exe)
> 2012/05/06 19:36:01 +0200 FLIEGER-PC Flieger MESSAGE Starting protection
> 2012/05/06 19:36:04 +0200 FLIEGER-PC Flieger MESSAGE Protection started
> successfully
> 2012/05/06 19:36:07 +0200 FLIEGER-PC Flieger MESSAGE Starting IP
> protection
> 2012/05/06 19:36:08 +0200 FLIEGER-PC Flieger MESSAGE IP Protection started
> successfully
> 2012/05/06 19:41:49 +0200 FLIEGER-PC Flieger DETECTION
> C:\$RECYCLE.BIN\S-1-5-21-3457977028-191445282-2813071779-1001\$RZK0E2H.exe
> Trojan.FakeAlert QUARANTINE
> 2012/05/06 20:07:44 +0200 FLIEGER-PC Flieger MESSAGE Executing scheduled
> update: Daily
> 2012/05/06 20:07:55 +0200 FLIEGER-PC Flieger MESSAGE Scheduled update
> executed successfully: database updated from version v2012.05.04.05 to
> version v2012.05.06.05
> 2012/05/06 20:07:55 +0200 FLIEGER-PC Flieger MESSAGE Starting database
> refresh
> 2012/05/06 20:07:55 +0200 FLIEGER-PC Flieger MESSAGE Stopping IP
> protection
> 2012/05/06 20:07:57 +0200 FLIEGER-PC Flieger MESSAGE IP Protection stopped
> 2012/05/06 20:08:06 +0200 FLIEGER-PC Flieger MESSAGE Database refreshed
> successfully
> 2012/05/06 20:08:06 +0200 FLIEGER-PC Flieger MESSAGE Starting IP
> protection
> 2012/05/06 20:08:08 +0200 FLIEGER-PC Flieger MESSAGE IP Protection started
> successfully
>

wieso ist überall ein
> zeichen vor jeder zeile.
welches tool wurde zum entschlüsseln genommen, wir haben hier 5 stück oder so :-)

Das > ist vor jeder Zeile, weil ich in meinem Mailprogramm auf beantworten gehen musste, um kopieren zu können. Hatte zuvor diese Liste als e-mail geschickt.
Zur Entschlüsselung habe ich es mit "ccollomb.free.fr/unlocker" , "Toole v.Dr.Webversucht, auch mit "Avira-RansomFileUnlocker" und mit "Decrypt von Matthias".

auch schon scareuncrypt versucht?

Habe scareuncrypt ausprobiert. Es wird zwar ein Schlüssel ermittelt und angewandt und das "locked" vor dem Dateinamen und die vier Buchstaben als Suffix nach dem .doc sind auch weg, aber wenn ich das Dokument öffne, dann sind weiterhin nur Zahlen, Zeichen und allerlei z.T. fremde Buchstaben zu sehen, die ich nicht in deutsche/europ. Schriftzeichen umgewandelt bekomme.

ok dann musst du leider auf updates der tools warten.