Trojaner-Board - VerschlüsselungsTrojaner entfernt, Dateien immernoch verschlüsselt

Hallo,
meine Freundin hat sich vorgestern diesen Verschlüsselungstrojaner eingefangen (100€ Ukash). Ich bin nach dieser Anleitung vorgegangen http://www.trojaner-board.de/114999-...trojaner.html. Im Abgesicheren Modus konnte ich Malwarebytes laufen lassen. Hier die Logfile:

Malwarebytes Anti-Malware 1.61.0.1400
www.malwarebytes.org

Datenbank Version: v2012.06.01.02

Windows 7 Service Pack 1 x64 NTFS (Abgesichertenmodus/Netzwerkfähig)
Internet Explorer 9.0.8112.16421
Nicola :: NICOLA-PC [Administrator]

01.06.2012 12:11:06
mbam-log-2012-06-01 (12-11-06).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 221981
Laufzeit: 2 Minute(n), 10 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|2484EBDD (Packer.ModifiedUPX) -> Daten: C:\Users\Nicola\AppData\Roaming\Scbib\BDE12DAD2484EBDDF305.exe -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 2
C:\Users\Nicola\AppData\Roaming\Scbib\BDE12DAD2484EBDDF305.exe (Packer.ModifiedUPX) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Nicola\AppData\Local\Temp\rpqftgnkcl.pre (Packer.ModifiedUPX) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)

Anschließend neugesatret und den Vorgang wiederholt.
logfile:
Malwarebytes Anti-Malware 1.61.0.1400
www.malwarebytes.org

Datenbank Version: v2012.06.01.02

Windows 7 Service Pack 1 x64 NTFS (Abgesichertenmodus/Netzwerkfähig)
Internet Explorer 9.0.8112.16421
Nicola :: NICOLA-PC [Administrator]

01.06.2012 12:28:52
mbam-log-2012-06-01 (12-28-52).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 222079
Laufzeit: 17 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)

Ich kann jetzt auch wieder im normalen Modus starten allerdings sind die dateinamen verschlüsselt. Im Anhang sind z.B. die Beispielbilder:
Die Programme zum Entschlüssseln habe ich ausprobiert. Leider erfolglos. Kann mit bitte jemand helfen?

Lg

Achso ganz vergessen:
was hat es eigentlich mit diesem Shadowexplorer auf sich? damit kann ich die dateien wiederherstellen das habe ich an einem bild mal versucht. War auch erfolgreich kann ich das auch irgendwie für alle dateien machen?
Danke schonmal