Hallo zusammen,

habe mir gerade diesen Trojaner eingefangen :

"Sie haben sich mit einen Windows-Verschlüsselungs-Trojaner infiziert.

Aus Sicherheitsgründen wurde ihr Windowssystem blockiert.[...]
[...]Ihr System wird sofort entschlüsselt und von dem Trojaner befreit."

Denke der Text ist hier bekannt.
Nach dem Hochfahren vom Pc wurde der Bildschirm schwarz und in einem kleinen Fenster standen oben benannte Meldung.

Ich habe mich hier ein Kleinwenig im Forum eingelesen und im abgesicherten Modus mit Netzwerk dann mailwarebytes anti maileware Test herruntergeladen und ausgeführt.

Hier folgt der Log-Text, der nach dem Scan gezeigt wurde:

Malwarebytes Anti-Malware (Test) 1.61.0.1400
www.malwarebytes.org

Datenbank Version: v2012.06.22.12

Windows 7 Service Pack 1 x64 NTFS (Abgesichertenmodus/Netzwerkfähig)
Internet Explorer 8.0.7601.17514
Heimy :: HEIMY-PC [Administrator]

Schutz: Deaktiviert

23.06.2012 01:42:02
mbam-log-2012-06-23 (01-42-02).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 447530
Laufzeit: 39 Minute(n), 30 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 3
HKCR\CLSID\{F99BD4F5-D402-4c21-A8BC-510830B6BE37} (Trojan.Banker) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{F99BD4F5-D402-4C21-A8BC-510830B6BE37} (Trojan.Banker) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{F99BD4F5-D402-4C21-A8BC-510830B6BE37} (Trojan.Banker) -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 1
C:\Recycle.Bin (Trojan.Spyeyes) -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateien: 4
C:\Program Files (x86)\AVS4YOU\avs4you.all.products.activator.2011.(v1.1)-mpt.exe (PUP.Hacktool.Patcher) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Heimy\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\1KF1807A\about[1].exe (Trojan.Ransom.AMNGen) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Heimy\AppData\Roaming\Fsevkytn\tnhrouenr.exe (Trojan.Ransom.AMNGen) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Recycle.Bin\DDBB488B4D4B293 (Trojan.Spyeyes) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)


Es sind im Grunde alle Dateien (Filme,Musik,PDF,Bilder etc.) verschlüsselt.

Habe gerade einen Neustart gemacht und jetzt "läuft" wieder also keine Meldung mehr.

Habe mich jetzt gerade noch am Entschlüsseln der Dateien versuchen, nur leider finde ich den Anfang nicht so wirklich; also welche zwei Dateien ( infiziert und nich infiziert) ich nehmen soll.
komischer Weise wurden meine Windows Beispielbilder von der Verschlüsselung verschont.
Wie soll ich weiter vorgehen?

Vielen dank schon einmal im Vorraus.
Heimy

ok also ich hab mich jetzt mal noch was intensiver hier im Forum eingelesen und hab die wichtigsten Dokumente durch schattenkopien zum glück wieder. paar bilder und videos die ich noch nicht gesichert hatte sind leider weg aber den verlust werden ich verkraften können. werde mal die defekten Daten noch behalten für den Fall, dass ein anständiges entschlüßeln möglich ist.
Auch wenn mir hier niemand direkt geholfen hat möchte ich mich hier trotzdem bei dem Forum bedanken!!! war sehr hilfreich.