BKA Trojaner / Entschlüsselung privater Dateien bisher erfolglos

Jan FfM

Hallo,

lieder hat meine Frau eine dubiose Email geöffnet (gefakt von Flirt Fever mit einer Mahung) woraufin sich der BKA Trojaner auf meinem Rechner ausgebreitet hat bzw. sämtliche private Dateien verschlüsselt hat. Angeblich hat sie dabei den Anhang der Mail nicht geöffnet. In der Windows-Download-Liste war die Datei allerdings aufgeführt.

Dank Eurer Beiträge konnte ich die Sperre umgehen und auch den Trojaner los werden. Auch ein Scan vom ESET-Online Scanner zeigt keinen Befall mehr an.

Leider habe ich nicht von allen privaten Daten Backups und muss hier unbedingt zu einer Wiederherstellung kommen. Die von Euch angeprisenen Entschlüsselungsprogramme (hab alle versucht) konnten keinen Schlüssel erkennen. Im Gegensatz zu anderen Betroffenen kann ich auch nicht erkennen, dass die Dateien zwangsläufig verschlüsselt sind. Andere beschrieben, dass bei den Dateien auch ein Vermerk "locked" zu erkennen ist. Das ist bei mir - glaube ich zumindest - nicht der Fall. Die Files heißen nun z.B. tyEGfUqdxtLsjEo ohne z.B. .jpg und haben immer noch die gleiche Größe wie zuvor.

Die Email hat meine Frau noch, die kann ich Euch gern weiterleiten. Ich habe auch Dateien vor und nach der Verschlüsselung mit denen ich die Entschlüsselung bereits versucht habe.

Vielen Dank für Eure Hilfe vorab.

Anbei das Log von Malwarebytes:

Malwarebytes Anti-Malware (Test) 1.61.0.1400
www.malwarebytes.org

Datenbank Version: v2012.06.08.02

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 8.0.7601.17514
Jan :: JAN-PC [Administrator]

Schutz: Aktiviert

08.06.2012 12:29:23
mbam-log-2012-06-08 (12-29-23).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 421019
Laufzeit: 52 Minute(n), 32 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 2
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|30DABD87 (Backdoor.Bot.LameNova) -> Daten: C:\Users\Jan\AppData\Roaming\Wbibslf\F9FD24B730DABD871487.exe -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|DisableRegedit (Hijack.Regedit) -> Daten: 1 -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateiobjekte der Registrierung: 2
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|DisableRegistryTools (PUM.Hijack.Regedit) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|DisableTaskMgr (PUM.Hijack.TaskManager) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 5
C:\Users\Jan\AppData\Roaming\Wbibslf\F9FD24B730DABD871487.exe (Backdoor.Bot.LameNova) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\$Recycle.Bin\S-1-5-21-3550453765-2568194808-2432561980-1000\$R05CE9X.exe (Trojan.FakeAlert) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\install\Windows XP KeyGen\XPKey.exe (Trojan.Downloader) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Jan\AppData\Local\Temp\aszbnxlpfc.pre (Backdoor.Bot.LameNova) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Jan\Downloads\DecryptHelper-0.5.3.exe (Trojan.FakeAlert) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)

anbei eine Datei im Original

sowie die verschlüsselte Variante