Hallo zusammen,
ich, dumm wie ich war, habe mir den Verschlüsselungstrojaner am 12.06. eingehandelt, nachdem ich den Anhang "zip.Datei" einer Mahnung von Foto Thun geöffnet habe. Der Anhang sollte angeblich die Rechnung anzeigen.
Leider wurden sämtliche Bilder, Videos, Dokumente und Tabellen auf meiner Festplatte verschlüsselt, und zwar auf den Partitionen C:, D:, E:. Ich konnte das System nur noch von der Original CD wieder hochbooten. Anschließend habe ich mit Hilfe einer Software infizierte Ausführungsdateien repariert. Vermutlich nicht vollständig!!! Die Benutzerkonten weisen immer noch ein anderes Symbol aus. Früher waren es drei verschiedene Symbole für drei Benutzer. Jetzt ist bei allen Benutzern ein Schachbrett abgebildet. Nach der Abbildung nach dem Hochfahren des Rechners erfolgt ein kurzer "Piepston". Mit Hilfe meines Benutzennamens komme ich dann wieder auf die Windows-Oberfläche. Mit Hilfe der Dattenrettungsempfehlungen konnte ich die Dateien bislang nicht entschlüsseln. JPEG Recovery hat für Bilder Ergebnisse, aber aus meiner Sicht zu schlechte, geliefert. Die Entschlüsselungsprogramme konnten selbst an Hand einer Originaldatei und einer verschlüsselten Datei keinen Decodierungsschlüssel erzeugen. Vielleicht schafft es jemand hier aus dem Board bzw. kann mir jemanden nennen, dem die Entschlüsselung geglückt ist. Beiliegend finden sich als Beispiel eine Originaldatei und die dazu verschlüsselte Datei. Meine letzte Sicherung liegt leider eine Weile zurück. Aber immerhin konnte ich an Hand der Sicherung eine Anzahl an Dateien retten.

Im Anhang sind eine unverschlüsselte Datei im Original und dazu die verschlüsselte Datei. Die verschlüsselte Datei hat auf meiner Festplatte keine Endung. Ich habe ihr die Endung "txt" gegeben, damit ich sie hochladen konnte. Über Hinweise und Tipps zur Entschlüsselung wäre ich sehr dankbar!

Nachtrag: Leider Windows XP, Shadow Explorer hilft mir nicht!

Ich muss nach 60 Minuten noch 3 Dateien anfügen. Vielleicht helfen Sie bei der Analyse.

Malwarebytes Anti-Malware (Trial) 1.61.0.1400
Malwarebytes : Free anti-malware, anti-virus and spyware removal download

Database version: v2012.06.16.05

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
Jens Wendte :: JWENDTE [administrator]

Protection: Enabled

16.06.2012 22:57:41
mbam-log-2012-06-16 (22-57-41).txt

Scan type: Quick scan
Scan options enabled: Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken | PUP | PUM
Scan options disabled: P2P
Objects scanned: 272972
Time elapsed: 11 minute(s), 2 second(s)

Memory Processes Detected: 0
(No malicious items detected)

Memory Modules Detected: 0
(No malicious items detected)

Registry Keys Detected: 1
HKCR\CLSID\{147A976F-EEE1-4377-8EA7-4716E4CDD239} (PUP.MyWebSearch) -> Quarantined and deleted successfully.

Registry Values Detected: 2
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|DisableRegedit (Hijack.Regedit) -> Data: 1 -> Quarantined and deleted successfully.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|richtx64.exe (Trojan.Agent) -> Data: C:\DOKUME~1\JENSWE~1\LOKALE~1\Temp\richtx64.exe -> Quarantined and deleted successfully.

Registry Data Items Detected: 0
(No malicious items detected)

Folders Detected: 0
(No malicious items detected)

Files Detected: 0
(No malicious items detected)

(end)

Files Detected: 1
C:\System Volume Information\_restore{F4590F1F-1C65-4C31-BF92-A80ED054E26A}\RP1\A0006033.exe (Risktool.KillFiles) -> Quarantined and deleted successfully.

(end)

Malwarebytes Anti-Malware (Test) 1.61.0.1400
Malwarebytes : Free anti-malware, anti-virus and spyware removal download

Datenbank Version: v2012.06.25.10

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
Jens Wendte :: JWENDTE [Administrator]

Schutz: Aktiviert

25.06.2012 23:27:00
mbam-log-2012-06-25 (23-27-00).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 463368
Laufzeit: 2 Stunde(n), 12 Minute(n), 50 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 1
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\adobe gamma loader.exe (Security.Hijack) -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 86
C:\System Volume Information\_restore{F4590F1F-1C65-4C31-BF92-A80ED054E26A}\RP34\A0013721.exe (PUP.Adware.InstallCore) -> Keine Aktion durchgeführt.
D:\Recovery\Dokumente und Einstellungen\Jens Wendte\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0PL0LJVB\iconTrsMini_oneline[1].gif (Extension.Mismatch) -> Erfolgreich gelöscht und in Quarantäne gestellt.
D:\Recovery\Dokumente und Einstellungen\Jens Wendte\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0PL0LJVB\68858_1[1].jpg (Extension.Mismatch) -> Erfolgreich gelöscht und in Quarantäne gestellt.