Seit langem habe ich mal wieder richtige Arbeit aber da kapituliere selbst ich.
Von Anfang an.
Mein Kumpel brachte mir seinen PC nach dem seine Freundin ein E-Mail Anhang geöffnet hatte von angeblich Otto mit einer Bestellung vom 06-2012.zip (Inhalt: Bestellung vom 06-2012.com).
Es dauerte wohl auch nicht lange und sie wahr ausgesperrt.
Es kam ein grünes Fenster wo drin stand das sie ein Strafverfahren gegen sie eingeleitet wurde da sie Raubkopien und Pornos geladen haben. Gegen ein per Ukash oder Paysafecard bezahlten Bußgeld werde der Rechner wieder entsperrt.
Wie auf dem Anhang zu sehen.
Ich habe mich gleich an die Arbeit gemacht erst einmal ein Backup vom System dann mit Kaspersky Rescue CD denn PC vor-gesäubert.
Mit dem Kaspersky Registry Editor alle falschen Einträge entfernt.
Dann PC neu gestartet und dort mit Emsisoft Anti Malware weiter gesucht. Nach dem er nix mehr gefunden hatte bin ich noch mal mit HijackThis drüber um denn Rest zu entfernen.

Wie konnte das passieren?
Fehler wahr auch schnell gefunden abgelaufenes AV-Programm und keine Alternative drauf.
Sie hat denn E-Mail Anbieter bei freenet.

Hier mal die Datei und das was ich schon herausgefunden habe:

https://www.virustotal.com/file/b2241ede9a25ab73061ae265e0b17b3d39dc1cb0b9fe40901f73ad4dee6dc090/analysis/1343150926/

Nun habe ich festgestellt das nur die D: Partition verschlüsselt ist ich hab schon alle Tools durch aber ich glaub da ist nix mehr zu machen vielleicht habt ihr ja eine Lösung parat.

Gruß win7-nik

Zitat:

Wie konnte das passieren?
Fehler wahr auch schnell gefunden abgelaufenes AV-Programm und keine Alternative drauf.

Ein weitere Fehler ist es, sich zu sehr auf den Virenscanner zu verlassen. Auch topaktuelle Scanner mit ebenso topaktuellen Signaturen erkennen logischerweise nicht jeden Schädling.
Man muss bei jeder Mail auch mal überlegen, ob diese wirklich legitim ist und darf nicht einfach panisch auf jeden Anhang klicken.

Zitat:

Nun habe ich festgestellt das nur die D: Partition verschlüsselt ist ich hab schon alle Tools durch aber ich glaub da ist nix mehr zu machen vielleicht habt ihr ja eine Lösung parat.

Eine Entschlüsselung ist unwahrscheinlich bis unmöglich!

Zitat:

3. Bei Dateien wie locked-<DATEINAME>.<ENDUNG>.wxyz entschlüsseln:Übersicht der 8 Entschlüsselungs-Tools
ansonsten Daten retten / Daten wiederherstellen: Daten retten nach Verschlüsselungstrojaner

Wenn das keine einfache Verschlüsselung mit "locked-" im Dateinamen ist, sollte man sich um Datenrettung und nicht um Entschlüsselung kümmern!
Wenn Vista oder Win7 im Einsatz sind, den ShadowExplorer testen! Aber keine unnötige Zeit mit Entschlüsselungsversuchen verschwenden