Trojaner-Board - Dateien veschlüsselt

Hallo.

Folgendes Problem:

Bei einem Freund war WindowsXP infiziert. Beim Versuch sich am System anzumelden wurde der Benutzer direkt wieder abgemeldet.
Starten im Abgesicherten Modus brachte das selbe Ergebnis.

Nach ein wenig suchen fand ich eine Möglichkeit den Login wieder gangbar zu machen, und zwar mit dieser Anleitung:
Windows XP meldet sich sofort wieder ab

Die Malware hatte den 2. Weg über den Debugger gewählt.
Die Datei, die für die Userinit.exe dort eingetragen war, hieß SRVVU.exe. Verweis auf "C:\windows\system32\srvvu.exe".

Hier beginnen dann die Schwierigkeiten:
Nachdem ich mich dann wieder am System anmelden konnte, wollte ich genau diese Datei löschen, leider habe ich keine Datei mit diesem Namen finden können.(versteckte Dateien wurden angezeigt und Systemdateien nicht ausgeblendet.)

Aber der schwierigere Teil kommt nun:
Dateien wurden verschlüsselt.
Leider habe ich nur Lösungen zum UKash-Trojaner und Trojan.Encrypt (hieß der so?) gefunden. Alle Lösungen haben bis jetzt versagt.
Leider, wie so oft, kein Backup, keine Schattenkopie oder ähnliches.

Die Dateinamen der verschlüsselten Datein ist scheinbar willkürlich gewählt und hält sich nicht an eine direkt ersichtliche Konvention.

Beispiele von Bilddateien:
aGvvLqsetVNrqoTTd
DtugAjDaUUgvLnpl
eGvgjADXfVrJnLX

Sogar die Erweiterung wurden überschrieben/gelöscht.
PDF-Erweiterungen dagegen scheinen noch zu existieren.
Ein einfaches umbenennen der Dateien in z.B. test.jpg hat auch nichts gebracht.

Hatte mal jemand den Fall und konnte die Dateien wiederherstellen?

Wie bereits erwähnt, Suche in Google und im verschiedenen Foren blieb bis jetzt leider Erfolglos.
Bin für alle Hilfe dankbar, da es sich bei den Dateien um persönliche Bilder handelt, die nicht wieder zu produzieren sind.

MfG,
MSJones