Hallo Zusammen!
Ja auch wir haben auf einem Laptop aus Versehen eine dieser dubiosen Rechnungsmails bzw deren Anhang geöffnet. Der Computer hat sich daraufhin herunter gefahren und seitdem sehe ich den Bildschirm mit Zahlungsaufforderung.
Hab mich gestern schon durch euer sehr sehr hilfreiches Forum gelesen, und brauche nun eure Hilfe.
Der Laptop startet im abgesicherten Modus und der darauf installierte Avira scannt seit einigen Stunden (brutal langsam), findet bis jetzt leider nichts.
Verschlüsselt hat der Trojaner nur einige Dateien, leider auch die wichigeren .jpgs die auf auf dem Desktop lagen.
Meine Freundin hat schon 4-5 von diesen "Rechnungs-mails" bekommen bisher aber immer fleißig gelöscht. Dieses mal ging es nicht gut.


Könnt ihr uns helfen den Laptop und nach Möglichkeit die Daten zu retten?
Bin kein PC-Profi, aber mit eurer Anleitung haben wir etwas Hoffnung

Vielen Dank schon mal für eure Mühe,
lg Tobi



edit: es läuft gerade Malwarebytes durch....ergebnis folgt

da ist es:

Malwarebytes Anti-Malware (Test) 1.61.0.1400
www.malwarebytes.org

Datenbank Version: v2012.06.18.07

Windows 7 Service Pack 1 x64 NTFS (Abgesichertenmodus/Netzwerkfähig)
Internet Explorer 8.0.7601.17514
jenny :: JENNY-HP [Administrator]

Schutz: Deaktiviert

18.06.2012 21:29:18
mbam-log-2012-06-18 (21-29-18).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 210112
Laufzeit: 3 Minute(n), 52 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|1A94F536 (Trojan.Ransom.AMNGen) -> Daten: C:\Users\jenny\AppData\Local\Temp\Hcqwelfy\lcyfuczv.exe -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 3
C:\Users\jenny\AppData\Local\Temp\Hcqwelfy\lcyfuczv.exe (Trojan.Ransom.AMNGen) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\$Recycle.Bin\S-1-5-21-781371156-3359472751-24657836-1001\$R3GNWDF.exe (PUP.OfferBundler.ST) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\jenny\AppData\Local\Temp\dkxfifsspo.pre (Trojan.Ransom.AMNGen) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)

Laptop läuft wieder, allerdings hat Malwarebytes einen verbindungsversuch direkt nach dem starten blockiert. ich lasse jetzt einmal komplett scannen.....muss ich mir sorgen wegen dem verbindungsversuch machen?
Und was muss ich noch tun um sicher zu gehen das der laptop wirklich safe ist?
Es war bis jetzt nur avira antivir installiert. Auf meinem laptop nutze ich kaspersky, ist der empfehlenswerter, oder hätte mir das dort genauso passieren können?

danke&lg

Nochmal Hallo!
Also es läuft soweit wieder alles, ich konnte auch die Bilder durch den shadow explorer wieder herstellen.
Jetzt hab ich aber immernoch das Problem mit der "IP-BLOCK 85.183.254.9"
Anscheinend will der laptop jedesmal nach dem neustart mit der oben genannten ip verbinden.

Kann mir hierbei bitte jemand helfen?

danke und lg
Tobi