Verschlüsselungstrojaner ohne Verschlüsselung?
 

Guten Tag.

Ich habe hier ein Laptop vorliegen, das wohl auf den ersten Blick mit dem neuesten Verschlüsselungstrojaner infiziert war (Windows Update).
Alle persönlichen Daten wurden unbenannt und deren Dateiendung auch entfernt.

Die Dateien heißen nun nach dem Schema "JeLOAqfELpvADgrTQDgra", sind aber an sich unverändert und können mit der richtigen Dateiendung geöffnet werden.

Aus dem Tempverzeichnis habe ich bereits die Daten des Trojaners gesichert:

Ich habe eine $$0-Datei mit einer Größe von 821 kb.
Ich habe eine $02-Datei mit einer Größe von 3.841 kb.
Ich habe eine Datei ohne Endung, die aber den selben Namen wie die beiden anderen Dateien trägt und eine Größe von 2kb hat.
Ich habe eine Desk.$00-Datei, die eine Größe von 1kb hat und als Inhalt "ACHTUNG-LESEN.txt" enthält.
Auf dem Desktop befindet sich die ACHTUNG-LESEN.txt, "anscheinend wurde das Update Programm vollständig unterbrochen...200 EUR UKASH".

Folgende Frage:
Nach meiner Recherche müsste die $02-Datei den Katalog enthalten, der die tatsächlichen Dateien noch mit dem richtigen Namen enthält - so richtig schlau werde ich aber aus der Datei nicht. Da die Daten meines Erachtens ansich nicht verändert wurden, bräuchte ich ein Tool, welches die richtigen Namen wieder vergibt... Gibt es das?

Auf dem System waren wohl zwei Schädlinge aktiv.
Laut Kaspersky (vollständige Scan muss ich noch machen) einmal dieser: "Trojan-Spy.Win32.Zbot.dwdc" und einmal dieser: "Trojan-Dropper.Win32.Injector.ffbm", welcher auch mit dem Datum der oben genannten Daten übereinstimmt - dieser muss also mit dem Verschlüsselungstrojaner zusammen hängen.

Interessanterweise konnte ich sehr leicht den Trojaner ausschalten: Abgesicherter Modus mit Eingabeaufforderung, dann msconfig, und die entsprechenden Starteinträge deaktiviert ....
Habe schon einmal eine andere Version gesehen, bei dem der abgesicherte Modus lahmgelegt worden ist ...

Hat jemand eine Idee?

Herzlichen Dank.