Verschlüsselungstrojaner -UKash

Guenter2000

Mich hat es leider auch erwischt. Ich habe folgende Email geöffnet:

herzlichen Dank für Ihr Vertrauen in www.flirt-fever.de.

Das Bankkonto XXXXXXX wird nun mit folgender Summe belastet:

Abgebucht wurde am/um: CEST (GMT +02:00) 31.05.2012 10:50:52
Abbuchungssumme: Euro 690,00
Ident-Nummer: C688748204292

Ihre Buchung wird die folgenden Angaben enthalten:

Empfänger: Flirt-Fever AG PREBYTE MEDIA
Verwendungszweck: flirt-fever.de

Die Dienste und die Rechnung können Sie im Zusatzordner sehen.
Die Stornierung der Mitgliedschaft, ist mit der in Beilage gelegten Stornierung an uns schriftlich einzureichen.

Viel Spass und Erfolg,
Dein flirt-fever.de Support

Und dann wars passiert. Mein PC fuhr runter und liess nichts mehr zu. Ich konnte noch das System zurücksetzen, sodass ich wenigstens noch daran arbeiten konnte. Internet ging nicht mehr, die Zugangsdaten waren weg. Und die Aufforderung per Ukash 100 € zu zahlen. Diese Aufforderung ging dann weg als ich das System zurückgesetzt habe. Alle Dateien wurden, wie bekannt, überschrieben. Ich habe dann die Schritte durchgeführt wie hier beschrieben. Als erstes Malwarebytes:

Malwarebytes Anti-Malware 1.61.0.1400
www.malwarebytes.org

Datenbank Version: v2012.05.31.04

Windows Vista x86 NTFS
Internet Explorer 8.0.6001.18882
*** :: ***-PC [Administrator]

31.05.2012 18:51:29
mbam-log-2012-05-31 (18-51-29).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 241866
Laufzeit: 11 Minute(n), 32 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 12
HKCR\CLSID\{25F97EB4-1C02-45BA-BA0C-E67AACE64D4A} (Adware.ToolBar) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\TypeLib\{DFB4667B-5304-4CD5-B494-2742ACD99212} (Adware.ToolBar) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\CLSID\{7914D9F0-DD27-4260-9BC1-AE01834B77CA} (Adware.ToolBar) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\ToolBand.XTTBPos00.1 (Adware.ToolBar) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\ToolBand.XTTBPos00 (Adware.ToolBar) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{7914D9F0-DD27-4260-9BC1-AE01834B77CA} (Adware.ToolBar) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{7914D9F0-DD27-4260-9BC1-AE01834B77CA} (Adware.ToolBar) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{7914D9F0-DD27-4260-9BC1-AE01834B77CA} (Adware.ToolBar) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\XTTB00001.XTTB00001.1 (Adware.ToolBar) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\XTTB00001.XTTB00001 (Adware.ToolBar) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{25F97EB4-1C02-45BA-BA0C-E67AACE64D4A} (Adware.ToolBar) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{25F97EB4-1C02-45BA-BA0C-E67AACE64D4A} (Adware.ToolBar) -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Registrierungswerte: 4
HKCU\SOFTWARE\Microsoft\Internet Explorer\Toolbar\WebBrowser|{25F97EB4-1C02-45BA-BA0C-E67AACE64D4A} (Adware.ToolBar) -> Daten: ´~ù%ºEºæz¬æMJ{322FF228-809E-461e-A26E-872641C97797} -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar|{25F97EB4-1C02-45BA-BA0C-E67AACE64D4A} (Adware.ToolBar) -> Daten: -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Internet Explorer\Toolbar\WebBrowser\{25F97EB4-1C02-45BA-BA0C-E67AACE64D4A} (Adware.ToolBar) -> Daten: -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{25F97EB4-1C02-45BA-BA0C-E67AACE64D4A} (Adware.ToolBar) -> Daten: -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 5
C:\Program Files\T-Online\T-Online_Toolbar_2\T-Online_Toolbar_2.0.dll (Adware.ToolBar) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\***\AppData\Local\Temp\nqlpealxft.pre (Trojan.Agent.SZ) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\***\AppData\Local\Temp\wmsrlzsycf.pre (Trojan.Agent.SZ) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\***\AppData\Local\Temp\yycfybhinb.pre (Trojan.Agent.SZ) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\***\AppData\Local\Temp\yyfcyhbnih.pre (Trojan.Agent.SZ) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)

Die Übrigen Programme OTL und GMER waren ergebnislos.

Momentan lässt sich mit dem PC hantieren. Einzig sichtbar optisches Zeichen sind noch die überschreibenen Dateinamen.

Ich hoffe ich habe alle Infos gegeben, denn als PC-Laie ist das alles nicht einfach. Vielleicht kann mir jemand helfen.

DANKE!!