Hallo zusammen. Mich hat Google zu dieser tollen Seite geführt, nachdem ich mir einen Trojaner eingefangen habe. Ich hoffe ihr könnt mir helfen, bisher hat noch nichts geholfen.

Vor einigen Tagen habe ich eine E-mail bekommen von einem Freund mit einigen alten Daten, um die ich ihn gebeten habe. Ich dachte mir nichts böses dabei und habe sie heruntergeladen. Kurz danach sah ich, dass dieselbe E-mail von Googlemail nicht herruntergeladen wurde (ich leite meine Mails zusätzlich von GMX zu Google), da ein Virus oder ähnliches erkannt wurde.
Passsiert ist erstmal nichts. Am nächsten Tag hat mich meine Frau auf eine komische Meldung hingewiesen, die bei einem plötzlichen selbst-Neustart des Rechners kam, aber nur sich nur von oben nach unten Ansatzweise aufgebaut hat aber nicht ganz. Dort stand anscheinden irgend etwas ähnliches wie "Sie haben einen Trojaner" oder sowas in der Art.
Daraufhin hat Sie unser Virenprogramm (Windows Defender) laufen lassen.
Als ich heimkam hat Sie es mir gezeigt und Windows Defender hatte einen Trojaner gefunden und in Quarantäne verschoben. Ich hab ihn da dann erstmal belassen und da ich keine Zeit hatte etwas zu unternehmen auch nichts unternommen. Das war etwa am 14.6.
Gestern hat Sie mir dann aufgeregt im Geschäft angerufen und mir geschildert, dass sicher der PC wieder plötzlich selber neu gestartet hatte und sie anschließend nochmal in den Windows Defender hineingeschaut hat. Dort sah sie im Verlauf, dass der Trojaner noch in Quarantäne steckt und dass empfohlen wird, diesen zu löschen, was sie dann gemacht hat...
Danach waren dann sehr sehr viele Daten auf dem PC verschlüsselt. Dies betrifft Musikdateien, Filme, Excel und Word, PDF, Bilder, ... Erstaunlicherweise sind aber fast alle Bilder unverschont geblieben.
Ein Beispielbild heißt "aaUyuppsAsrDQGEe" ohne Dateiendung.
Auf dem Desktop ist eine TXT-Datei mit dem Titel "Achtung-Lesen". Darin steht folgende Meldung:

Zitat:

Sehr geehrte Damen und Herren,
anscheinend wurde das Update Programm vollständig unterbrochen. Jetzt kann das Virus nur manuell beseitigt werden. Dies brauchen Sie um Ihre Dateien benutzen zu können. Falls Sie also die gesperrten Daten brauchen, senden Sie uns bitte 200 Euro Ukash Code an die Email: software-update@inbox.lt, so bald dieser Code geprüft wurde, erhalten Sie ein Update Programm. Falls Sie Ihre Daten nicht brauchen raten wir Ihnen dringend Ihren Computer zu formatieren um den Virus vollständig zu entfernen. Ukash können Sie an einer beliebigen Tankstelle erwerben und auch in mehreren Internetcafes in Ihrer Nähe.
mfG Ihr Security Team

Über das Googeln dieses Textes bin ich hier bei euch gelandet.
Ich hab hier auch schon einiges gelesen und verschiedene Sachen versucht aber noch zu keinem Ergebnis gekommen.

Das Suchergebnis von Malwarebytes ergabe keinen Fund:

Zitat:

Malwarebytes Anti-Malware (Test) 1.61.0.1400
www.malwarebytes.org

Datenbank Version: v2012.06.22.11

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
Simon :: SIMON_LAPTOP [Administrator]

Schutz: Aktiviert

23.06.2012 01:05:10
mbam-log-2012-06-23 (01-05-10).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 461520
Laufzeit: 1 Stunde(n), 29 Minute(n), 12 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)

Ein Scan mit Eset ergabe folgenden Treffer:

Zitat:

Arbeitsspeicher Variante von Win32/Spy.Zbot.YW Trojaner

Ich habe mir anschließend die Entschlüsselungstools mal angeschaut und scareuncrypt und Avira-RansomFileUnlocker-1.0.1 Versucht mit Hilfe eines PDF-Datenpaares, welches ich in verschlüsselter und unverschlüsselter Form vorliegen hatte, jedoch ohne Ergebnis.
Kann mir vielleicht jemand weiterhelfen? Das wäre echt super.

Gruß Simple7

Zitat:

Kann mir vielleicht jemand weiterhelfen? Das wäre echt super.

Wobei genau? Kiste bereinigen oder Daten entschlüsseln?
Entschlüsseln geht nicht, beachte die Hinweisbox oben


Allgemeine Hinweise bzgl. des Verschlüsselungstrojaners:

Zur Entschlüsselung/Wiederherstellung bitte die fette Hinweisbox oben beachten!

Wann genau deine Daten entschlüsselt werden können wird dir niemand genau sagen können außer vllt einer es kann sein, dass du eine neuere Variante hast, deren Verschlüsselungsalgorithmus noch unbekannt ist. Sowas kann man (noch) nicht entschlüsseln und ohne Schlüssel schon garnicht - ist ja auch logisch, sonst wär es ja keine vernünftige Verschlüsselung
Einfach hier nochmal reinsehen in regelmäßigen Abständen, obige Hinweise beachten. 8 Tools mitsamt hunderten Diskussionsbeiträgen stehen da schon

Eine Notlösung für Vista und Win7-User => http://www.trojaner-board.de/115496-...erstellen.html

Entschlüsselungsversuche der verschlüsselten Dateien sind nur auf zusätzliche Kopien der verschlüsselten Dateien anzuwenden, sonst zerhackt man sich die noch weiter ohne die "original" verschlüsselte Datei mehr zu haben. Das willst du sicher nicht!

Man darf sich aber keine falschen Hoffnungen machen. Mittlerweile sieht es finster aus => http://www.delphipraxis.net/1169769-post147.html

Und in Zukunft willst du sicher mal an ein besseres Backupkonzept denken. Hier ein Denkanstoß => http://www.trojaner-board.de/115678-...r-backups.html