Wichtige Anmerkung: KEINE dieser Maßnahmen kann die Daten wieder entschlüsseln. Auch eine Neuinstallation bringt dafür KEINE Lösung! Es wird lediglich erst mal versucht das System vom Schädling selbst zu befreien.

1. Eine Systemwiederherstellung (Weitere Maßnahmen anschließend notwendig!)
2. Ein Backup zurückspielen (Weitere Maßnahmen anschließend notwendig!)
3. Die InstallationsCD/DVD für eine Reparaturinstallation (Weitere Maßnahmen anschließend evtl. notwendig!)
4. Anschluss der Festplatte per USB-Adapter an einen anderen (vollständig aktuellen & geschützten) Computer
5. Bei Windows 7 und Windows Vista Systemen kann über [F8] eine Computerreperatur probiert werden. (Weitere Maßnahmen anschließend notwendig!)

Sollte das nicht reichen/klappen, dann bitte mit möglichst genauer Fehlerbeschreibung eine Mail an mich.
Ansonsten biete ich noch Punkt P12 an.

1. (Beispiel) locked-DATEINAME-Komische Dateiendung
Diese Variante kann in der Regel entschlüsselt werden. Dazu Bedarf es allerdings mindestens EINER Original Datei die NICHT verschlüsselt ist und exakt einer Datei die verschlüsselt wurde entspricht.
Woher diese saubere Datei kommt ist dabei natürlich egal. Sie kann aus einer Mail stammen, von einem USB-Stick, von einer CD/DVD, einer externen Festplatte, etc..

2. (Beispiel) yLEAyojLAAnqjL
Diese Variante kann bislang (Stand: 07.06.2012 15:28 Uhr) MEINES Wissens nach NICHT wieder zurückkonvertiert werden.
Sämtliche Antivirenhersteller und sonstige Freien Leute die sich damit beschäftigen, arbeiten an einer Lösung. Wie es aber aussieht, wird mit Public-Keys und einer AES 128-Bit Verschlüsselung gearbeitet. Dies wiederum würde bedeuten das man OHNE die Beschlagnahmung der C&C-Server (Command & Control Server) KEINE Chance hätte diese Daten wieder zurückzuentschlüsseln.
Ein manuelles entschlüsseln würde alleine für wenige Dateien wohl 10tausende bist 100tausende Jahre dauern.

ACHTUNG! Dieser Trojaner schafft es mit "Leichtigkeit" auch die Daten auf Les/-Schreibbaren Netzwerkfreigaben sowie externen Festplatten etc. zu verschlüsseln - innerhalb weniger Sekunden bis Minuten!

Einzige Möglichkeiten evtl. wieder an seine Daten ranzukommen sind diese 2 Möglichkeiten:
1. Man hat auf seinem Rechner sogenannte VolumeShadowCopies (VSS) aktiviert - in der Regel lassen sich diese in Windows oder per extra Programm wieder verfügbar machen bzw. nutzen.
2. Man hat ein wenige Tage oder Wochen altes Backup und kann dieses "zurückspielen". Bitte aber vorher sicherstellen das der Schädling selbst nicht mehr vorhanden/aktiv ist!

Mehr zu diesem und anderen Themen findet sich auch in den NEWS...

Auszug aus einem Comment von "Savar":

Windows:
* JPEG Recovery (kostenpflichtig, siehe Reparaturanleitungen für Dateien vom Verschlüsselungstrojaner "12 kB / neue Version" funktionierte bei mir)
* JPEG Snoop (kostenlos, siehe gleiche Link wie bei JPEG Recovery, funktionierte bei mir _nicht_, bei den zwei von mir verwendeten Bildern!)

Linux (kostenlos):
* recoverjpeg (kam glaube ich in diesem Thread, klappte bei mir bei den 2 von mir getesten Dateien nicht, weiss nicht ob es bei anderen Bildern klappen würde)
* foremost (kam auch schon irgendwo, vielleicht auch in diesem Thread, er läuft grade und findet definitiv Sachen, wobei ich nicht sagen kann, ob er die eigentlichen Dateien "wiederherstellt" oder einfach gelöschte findet, da er ja die gesamte Festplatte scannt)

Quelle....(klick)

Auszug aus einem Comment von "AdminBot":

Entschlüsselung ist unwahrscheinlich: Delphi-PRAXiS - Einzelnen Beitrag anzeigen - Verschlüsselungs-Trojaner, Hilfe benötigt

Eine vollständige Entschlüsselung wäre nur möglich, wenn der sog. C&C Server sichergestellt und analysiert werden könnte. Die Erfolgschance ist jedoch niedrig.

...weiterlesen

Am besten wäre natürlich Daten sichern und Neuinstallieren, denn nur damit kann man sich eigentlich sicher sein dass das System wieder clean ist.
Man kann aber auch erstmal seinen PC mit einer Boot-CD/DVD/Stick die ein Antiviren-System beinhaltet starten. Solange Windows nicht aktiv ist, können auch die meisten Schädlinge nicht aktiv sein (abgesehen von MBR-Viren/Trojanern/Rootkits).
Die Chance eventuell noch eine Datei die sich im laufenden Windowsbetrieb sonst verstecken würde beim Start von CD/DVD/Stick zu finden ist damit signifikant höher. Und liefert in der Regel somit zuverlässigere Werte als ein Virenscanner im laufenden Windows-Betrieb.

Weiterhin wird DRINGEND empfohlen sämtliche Passwörter zu ändern, denn die Malware enthält in vielen Fällen auch eine Backdoor-Funktion. Da ich nicht genau weiß ob eventuell auch somit Tasteneingaben mitgeloggt und versendet werden, empfehle ich ALLE Passwörter zu ändern (Anmeldung am System, Mailkonten falls Webmail wie GMX etc. genutzt werden, Onlinebanking, etc.).

Klare Antwort: Ja
Theoretisch kann sich der Schädling mit allen nötigen Dateien auch in andere Benutzerverzeichnisse eingetragen haben. Sinnvollerweise schaut man auch dort gleich mal im Abgesicherten Modus nach, ob noch etwas verdächtiges zu finden ist.
Die Realität hat bislang gezeigt, das es zumindest auch ein paar Varianten des Schädlings gibt die solch eine Aktion machen. Nicht jede macht dies aber.

Klare Antwort: Ja
Es gibt mittlerweile Varianten die auch im Netzwerk nach Dokumenten und sonstigen selbsterstellen Daten suchen. Entsprechend können selbst diese Daten verschlüsselt und damit "gelocked" werden.

(F-Secure) F-Secure Ransomcrypt Decryption Script

(Avira) Avira RansomFile-Unlocker

(Trojaner-Board) "Decrypt-Helper v0.5.3"

(Trojaner-Board) "Decrypt-Helper v0.5.3" JAVA-Variante

(Dr. Web) "Trojan.Matsnu.1 decrypter"

(BitFox) ScareUncrypt von BitFox

(Dr. Web) "Trojan.Encoder.94 Decryptor"

(BitDefender) "Trojan.Ransom.HM Decrypt v1"

Sollte es Probleme dabei geben, bitte die Anleitung(en) lesen. Sollte das nicht reichen/klappen, dann bitte mit möglichst genauer Fehlerbeschreibung eine Mail an mich.

Removal-Tools/Cleaner von ESET

Avira Rescue Disc

Bitdefender Rescue Disc

AVG Rescue Disc

c't-Notfall-Windows-2011

Desinfec't vom Security-Sonderheft der c't

Im Autostart (Aufruf des Autostarts > Siehe P06!) sind immer eigentlich eine oder mehrere dubiose *.exe-Dateinamen zu finden...

Aktuell erschienen, ist die Meldung über einen Registryeintrag unter
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Users^[Benutzername]^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^[Programmname]
Dort gibt es dann auch einen Eintrag "item" mit dem Wert einer langen "Zahlenkollone.exe" (siehe Bild).

Weiterhin ist die Datei/sind die Dateien eigentlich fast immer unter den Roaming-Profiles zu finden. Der einfachste Weg dorthin führt über den Windows-Explorer und die Eingabe von %APPDATA% in der Adressleiste.

Es geht aber natürlich auch über den Button Start > Ausführen > %APPDATA% > [OK] Button. Sollte dieser nicht erreichbar sein, so kann man es auch per [WindowsTaste]+[R] > %APPDATA% > [OK] Button versuchen.

Letzte Möglichkeit an die Roaming-Profiles des aktuellen Benutzers ranzukommen ist ist über den Taskmanager > Datei > Neuer Task (Ausführen...) > %APPDATA% [OK]

Weiterhin verstecken sich Teile des Schädlings auch gerne mal in den Unterverzeichnissen des Users in den "Temponary Internet Files", sowie im Ordner "Cache" von JAVA.
(Bei Windows 7 unter C:\Users\"Benutzername"\AppData\LocalLow\Sun\Java\Deployment\cache zu finden.
Unter WindowsXP müsste der Pfad somit C:\Dokumente und Einstellungen\"Benutzername"\AppData\LocalLow\Sun\Java\Deployment\cache heißen).

Weiterhin stehen die Dateien auch gerne mal im TEMP-Verzeichnis des Users.
Unter WindowsXP wäre dies dann: [Laufwerksbuchstabe]:\Dokumente und Einstellungen\"Username"\Lokale Einstellungen\Temp

Und das nächste: C:\ProgramData\ <- Seit dem 23.04.2012 befinden sich dort Dateien mt sehr langem meist wildem Buchstabengewusel. Die meisten dieser Dateien enthielten bislang Rootkit/BackDoor-Funktionen!

Unter [Laufwerksbuchstabe]:\Dokumente und Einstellungen\”Benutzername”\Lokale Einstellungen\Temporary Internet Files\Content.IE5\ werden mehrere Unterverzeichnisse mit zufälligen Namen (8 Zeichen) angelegt (z.B. “SRKBUTOP”, “S6JZACFV”, “DNYHQU88").

Der Reycle.Bin Ordner (C:\$Recycle.Bin) ist aauch ab und an mal mit von der Partie. Dies ist aber nur im Abgesicherten Modus dann zu erkennen. Und selbst dann sind es ellenlange Verzeichnisnamen die durchwühlt werden wollen.

Aller Angaben hier sind bisher gefundene Dateien/Namen. Die Wahrscheinlichkeit genau das Selbe bei sich zu finden ist nahe 0 (schätze ich mal). Aber so oder ähnlich könnte es halt aussehen:

Die Dateien werden nun in der neusten Variante (16.05.2012) komplett UMBENANNT und sind daher mit den aktuell bekannten Methoden NICHT mehr zu entschlüsseln. Sobald es dafür eine Lösung gibt, wird diese hier natürlich ebenfalls einsehbar sein.

Bisherige Programmnamen:
muqyoag
rahnwnunzhxsjgt
shake your youes

Bisherige Herstellernamen:
Unbekannt
Al Momento Non è Registrata

Bisherige locked-"Dateiname".* Endungen:
*.upya
*.sfjs
*.hfgt
*.ofdp
*.flzi
*.piyp
*.EnCiPhErEd

Bisherige *.zip Dateinamen:
Bestellung.zip (TR/Crypt.Gypikon.A.4 | ) <- gefunden in C:\Dokumente und Einstellungen\"Benutzername"\Lokale Einstellungen\Temp\
Mahnung.zip ( | )
Buchung.zip ( | )
Bescheid.zip ( | )
08-2012.zip ( | )
2012-08-zip ( | )

Bisherige *.dll Dateinamen:

Bisherige *.pif Dateinamen:
etdgdrwjgqcifvh ( | ) <- gefunden in C:\ProgramData
rechnung.pif ( | )

Bisherige *.job Dateinamen:

Bisherige *.exe Dateinamen:
atjheslkslhgsz.exe ( | ) <- gefunden in C:\ProgramData\
rahnwnunzhxsjgt.exe (Win32/Weelsof.B Trojaner | Systemneuinstallation dringend empfohlen!) <- gefunden in C:\ProgramData\
rahnwnunzhxsjgt.exe (Win32/Weelsof.B Trojaner | Systemneuinstallation dringend empfohlen!) <- gefunden in C:\ProgramData\
lgfjlckbvkm.exe (Win32/Trustezeb.C Trojaner | ) <- gefunden in ...\Appdata\Roaming\Qojb
SHCT_TRAY_PROGRAMG_A10D8603999C4E9488776EF2533C58C9.exe ( | ) <- gefunden in C:\Windows\Installer\{F0559C5E-7912-4391-B1A0-6B975F0E5064}
tpl_0_c.exe (Win32/Cryptor | Systemneuinstallation empfohlen!) <- gefunden in C:\Windows\system32\

Bisherige *.class Dateinamen:

Bisherige *.### Dateinamen:
MBX@6CC@A02740.### ( | ) <- gefunden in C:\Users\"Benutzername"\.#
MBX@6CC@A02770.### ( | ) <- gefunden in C:\Users\"Benutzername"\.#
MBX@40C@1FA2740.### ( | ) <- gefunden in C:\Users\"Benutzername"\.#
MBX@40C@1FA2770.### ( | ) <- gefunden in C:\Users\"Benutzername"\.#

Bisherige *.cfg Dateinamen:

Bisherige *.tmp Dateinamen:

Bisherige *.chm Dateinamen:

Bisherige *.com Dateinamen:
bescheid.com
08-2012.com

Bisherige *.sys Dateinamen:
SVKP.sys (Trojan.Agent | Systemneuinstallation dringend empfohlen!) <- gefunden in C:\WINDOWS\system32\

Bisherige *.pre Dateinamen:
pbruynnlkx.pre (Trojan.Agent.H | Systemneuinstallation dringend empfohlen!) <- gefunden in C:\Dokumente und Einstellungen\"Benutzername"\Lokale Einstellungen\Temp\
hbhiiibbhn.pre (Win32/Trustezeb.A Trojaner | ) <- gefunden in C:\Dokumente und Einstellungen\"Benutzername"\Lokale Einstellungen\Temp\
eiovlfahyr.pre (Win32/Trustezeb.B Trojaner | )
iuwzlfnrjs.pre (Win32/Trustezeb.B Trojaner | )
krsyabpvrj.pre (Win32/Trustezeb.B Trojaner | )
nqflfaiovr.pre (Win32/Trustezeb.B Trojaner | )
tppoygfwnq.pre (Win32/Trustezeb.B Trojaner | )

Bisherige Änderungen an der Registry:
HKEY_Local_Machine\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run|65480 (Trojan.Agent | Systemneuinstallation dringend empfohlen!)
HKEY_Local_Machine\System\CurrentControlSet\Services\SVKP (Trojan.Agent | Systemneuinstallation dringend empfohlen!)
HKEY_Local_Machine\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe (Security.Hijack) <- Falscher Starteintrag - löschen oder durch umbenennen des Schlüssels unschädlich machen!
HKEY_Local_Machine\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.exe (Security.Hijack) <- Falscher Starteintrag - löschen oder durch umbenennen des Schlüssels unschädlich machen!
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|DisableRegedit (Hijack.Regedit) <- Deaktivierter Registrierungseditor Regedit
HKEY_Local_Machine\Software\Microsoft\Windows\CurrentVersion\Policies\System|DisableRegedit (Hijack.Regedit) <- Deaktivierter Registrierungseditor Regedit
HKEY_Current_User\Software\Microsoft\Windows\CurrentVersion\Policies\System|DisableRegistryTools (PUM.Hijack.Regedit) -> Bösartig: (1) Gut: (0) <- Deaktivierter Registrierungseditor Regedit
HKEY_Local_Machine\Software\Microsoft\Shared Tools\MSConfig\startupreg\008EDBB0|Valpxfjn ( | )
HKEY_Local_Machine\Software\Microsoft\Shared Tools\MSConfig\startupreg\94877619 ( | )
HKEY_Current_User\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders\Startup ( | ) <- Alternativer Starteintrag bei starten des Rechners

Bisherige infizierte Ordnernamen:
Qndfhnhuvum
Valpxfjn
ydzzgrdwucqdtht ( | ) <- gefunden in C:\ProgramData (Inhalt Files zur Darstellung der Erpresserseite)
Rrfnamxucql (Win32/Trustezeb.B Trojaner | ) <- gefunden in ...\Appdata\Local\Temp
Qojb(Win32/Trustezeb.C Trojaner | )<- gefunden in ...\Appdata\Roaming
{F0559C5E-7912-4391-B1A0-6B975F0E5064} ( | ) <- gefunden in C:\Windows\Installer
.# ( | ) <- gefunden in C:\Users\"Benutzername"\

Bisherige Zahlenkollonen-Dateinamen:
0.9032096590678262.exe ( | )
060B6EC7BE9ED/7A68B1F.exe ( | ) <- gefunden unter ...\AppData\Roming\Qndfhnhuvum
88ECCE1F008EDBB019C5.exe (Win32/Trustezeb.B Trojaner | ) <- gefunden in ...\AppData\Roaming\Valpxfjn
0.4950149137931984.exe,NameFunEx ( | ) <- gefunden in ...\Appdata\Local\Temp\
0.5343427630147063.exe,NameFunEx ( | ) <- gefunden in ...\Appdata\Local\Temp\
0.4950149137931984.exe,NameFunEx ( | ) <- gefunden in C:\Windows\pss
0.5343427630147063.exe,NameFunEx ( | ) <- gefunden in C:\Windows\pss


ACHTUNG: Dateien im Verzeichnis C:\Windows\System32 sind in der Regel Systemdateien und sollten niemals gelöscht werden.
Sollte eine Datei in diesem Verzeichnis infiziert sein, müsste diese Datei ebenso wie die explorer.exe ausgetauscht werden, oder das System am besten neuinstalliert werden!

Dies geht über den Button Start > Ausführen > msconfig [ENTER]. Sollte dieser nicht erreichbar sein, so kann man es auch per [WindowsTaste]+[R] > msconfig [ENTER] probieren.

Letzte Möglichkeit an den Autostart des aktuellen Benutzers ranzukommen ist ist über den Taskmanager > Datei > Neuer Task (Ausführen...) > msconfig [OK]

Weiterhin nicht zu verachten, der regulär erreichbare Autostart über Start > Alle Programme > Autostart.

Die unsichtbaren meist Systemdateien kann man recht einfach im Windows-Explorer unter dem Menüpunkt Extras > Ordneroptionen > [Reiter] Ansicht unter den Punkten "Geschützte Systemdateien ausblenenden (empfohlen)" und "Ausgeblendete Dateien, Ordner und Laufwerke anzeigen" aktivieren bzw. deaktivieren.

Bei Windows 7 und Windows Vista ist dies sehr einfach.
Man lege die Installations-DVD ein und boote von dieser. Dann wählt man im ersten Menü die Sprache aus um dann einen Klick weiter die "Computerreperaturoptionen" anzuwählen. Ab dort wird man durchgeleitet um einen früheren Systemwiederherstellungspunkt wieder herzustellen.

Unter WindowsXP ist es noch etwas komplizierter. Man benötigt (soweit ich mich daran noch zurückerinnern kann *schmunzel*) noch Zugang zum System selbst, und wenn dies auch nur im Abgesicherten Modus wäre. Bekommt man diesen nicht, braucht man eine Boot-CD, wie z.B. einen ERD-Commander von Microsoft. (Diesen gibt es allerdings nur legal für MSDN-Kunden und fällt damit wohl für 98% aller Leute hier flach).

Die Verteilung der Malware kommt in den meisten Fälle aktuell aber per Mail in angeblichen Rechnungen (siehe News).

In einigen Fällen wirst Du/werden Sie eine Seite besucht haben, welche schon seit Jahren besucht wurde und nie etwas geschehen ist. Nun aber ist zum Beispiel einer von hunderten Werbebannern infiziert gewesen und hat genau jetzt zugeschlagen.
Es gibt auch die Möglichkeit das sich im Hintergrund ein PopUp geöffnet hat und dies den Schädling aufgerufen hat.
Oder es wurde ein Link angeklickt weil zum Beispiel mit einem Browserspiel geworben wurde.

Natürlich könnte man auch auf einer illegelan Webseite gewesen sein, bzw. mit nicht legalen Inhalten. Dann widerum geschieht es sogesehen (auch wenn das jetzt böse klingt) fast schon zurecht das man sich so etwas einfängt.

Theoretisch wäre auch eine Verbreitung per CD/DVD, USB-Stick, USB-Festplatte, Netzwerk denkbar. Dies ist aber mir bislang noch nicht aufgefallen/untergekommen.

Eine genaue Erklärung muss ich dabei Schuldig bleiben. Aber zumindest kommt diese Art von Schädling bislang eigentlich ALLEN Fällen die mir bekannt sind an wohl nicht aktuellem JAVA vorbei. Bis der Virenscanner dies erkannt hat, ist es dann leider zu spät.
Java lässt sich eigentlich ganz einfach per Besuch der Webseite http://www.java.com aktuell halten. Noch einfacher ist das eigentlich immer wieder auftauchende Icon (orange) in der Taskleiste/Superbar bei der Systemuhr.
Dort den Download bestätigen und aktuell halten/bleiben. Der beste schutz gegen JAVA-Viren ist damit zumindest schon mal in Kraft. Nagut noch besser ist natürlich JAVA gar nicht auf dem System installiert zu haben. Da es aber häufig gebraucht wird, ist das leider nicht in allen Fällen möglich.

Zu JAVA gehört die jusched.exe welche im Autostart aktiviert sein sollte dazu. Diese Datei ist also, insofern sie nicht selbst infiziert wurde, eine ganz reguläre Datei und sollte nicht gelöscht werden.

Der Schädling selbst ist kein reiner Virus. Namentlich nennt sich solche Software “Malware”.
Prinzipiell infiziert diese Software den Rechner und verschlüsselt alle Dateien die von Relevanz sein könntne für den User/die Userin.

Die Virenscanner prüfen auf “reine” Viren nicht unbedingt aber auch auf Änderungen an nicht Systemdateien.
Weiterhin muss auch keine Prüfung zu sehen sein, weil viele User/Userinnen als Lokale Administrative Benutzer angemeldet sind (besonders bei Heimrechner).

Entsprechend kann ein Browser & Betriebssystemhersteller machen was er will. Es nützt nichts wenn ein User/eine Userin als lokaler Admin dran ist, evtl. auch noch UAC (User Access Control unter WindowsVista/Windows7) runtergestellt oder gar ausgeschaltet haben und dann noch JAVA für Browserspiele nutzen und dies dann nicht aktuell halten.

Die Verantwortung für solche Probleme liegt dann leider einzig und alleine beim User/bei der Userin.

Klar wäre es das. Aber warum "Verbrechern" dieser Art auch noch Geld schenken?
Simple Antwort. Weil danach das Problem zu 99% immernoch herrschen würde. Sprich Geld für immer weg, Schädling und verschlüsselte weiterhin da!
Es gibt sogar Varianten solcher oder ähnlicher Schädlinge welche NACH dem Bezahlen sogar noch mehr Schädlinge runterladen und damit das System meist komplett lahmlegen und eine Neuinstallation unabdingbar machen.

Ja und Nein.
Die bisherigen Varianten welche man "zurückverfolgen" konnte, kamen alle augenscheinlich aus den USA oder aus der Ukraine. Das blöde an der Geschichte ist, das die IP (sowas wie bei Dir/Ihnen zuhause z.B: 192.168.1.2, nur halt global fürs Internet) nicht diejenige sein wird hinter der diese "Verbrecher" tatsächlich sitzen.
Mittlerweile gibt es genug Möglichkeiten um (wie man ja merkt) Tage/Wochen/Monate unerkannt bleiben zu können. Es lässt sich zwar im Endeffekt fast alles zurückverfolgen. Die Frage ist dann aber eher wie viel Aufwand und Zeit steckt man darein.
Im Endeffekt hört für die meisten Behörden - zumindest meiner subjektiven Meinung nach - nach ein paar Versuchen der Spaß erst mal auf und man versucht es evtl. später nochmal, wenn man mehr Kapaziäten etc. hat oder die Gesamtmenge der Meldung sich dermaßen erhöht hat.
Melden kann man sich mit diesem Problem in Deutschland beim BSI (Bundesamt für Sicherheit in der Informationstechnik):

Computer-Viren, Schadprogrammen
eMail an: antivir@bsi.bund.de
Telefonisch unter: 01805 274100 [1]

Oder wohl auch unter:
Blog.botfrei.de - Kontakt

Eine Meldung bei der Örtlichen Polizeibehörde wird keinen Erfolg haben, da man dort mit der Aussage "Wir können damit nichts anfangen, wir sind ja keine Computer-Spezialisten" kommen wird.^^

Ich stehe Dir/Ihnen auch persönlich, gegen eine (kleine) Unkostenpauschale, nach Termin & Ortsabsprache zur Verfügung. Voraussetzung ist allerdings das Du/Sie in der Umgebung von Frankfurt (am Main) wohnst/wohnen.
Ich würde dann entweder zu Dir/Ihnen kommen oder Du/Sie kommen hier her. Daraufhin würde ich dann den PC/Laptop untersuchen und versuchen dem Schädling Herr zu werden.

In seltenen Fälle kann es aber natürlich dennoch vorkommen, so wie bei regulären Kunden in der Firma in welcher ich Hauptberuflich arbeite, das eine Neuinstallation mit vorheriger Datensicherung unabdingbar ist/wäre.

Voraussetzung: Man kann in die Registry rein.

Dr.Windows hat dies sehr gut beschrieben... (Klick)

Ja, nach aktuellem Stand versuchen manche Varianten durchaus zu diverseen Webseiten und/oder C&C-Servern (Command and Control - Server) eine Verbindung aufzubauen. Dies geschieht in der Regel um sich entweder "aktuell" zu halten, oder aber um Daten die auspioniert werden/wurden an bestimmte Seiten zu senden und damit zu "stehlen".

Weiterhin wird damit die Verschlüsselung "geladen" und aktiviert. Wenn man sich da Teil also einfängt und SOFORT das Internet kappt, hat man gute Chancen den Rechner noch UNVERSCHLÜSSELT vorzufinden.

59.108.115.113 = polskamaskas.com
173.194.35.5 = google.com
173.194.35.184 = google.de
ogutors-free.com
ogutors-free.com/a.php
polskamaskas.com/a.php
spatbe-w.com/a.php
qua-a.com/a.php
horad-forum.com/a.php
spatbe-web.com/a.php
qua-acc.com/a.php
horad-fo.com/a.php

Quelle der Liste...(klick)

Ab Version 2.000.11
wmeu-list.com
dnaey-shop.com
bigedpn-adult.com
wiutumh.com
tsavwu.com
knishka-mir.ru
klubni-mir.ru

Quelle der Liste...(klick)