Hallo zusammen.

@Marcu:
> .. idlet vor sich hin ....
War bei mir ja auch so, als ich versucht habe neue Dateien zu verschlüsseln.
Vielleicht läuft der nur 1 Mal und setzt dann ein Flag, zB in der Registry, oder er legt sich ein Lockfile an. Vielleicht muss man den Virus auf ein frisches System loslassen, aber deine Beschreibung klingt so als hättest du genau das getan. Bist du sicher dass er die virtuelle Umgebung nicht bemerkt? Du könntest mal Virtualbox probieren. Das geht auch mit VMware-Diskimages ohne umwandeln.
Kann es sein dass es nur einen Schlüssel für alle infizierten Rechner gibt? Wie soll der beim Entschlüsseln den Rechner wiedererkennen bei dynamischen IPs? Oder legt der eine art coockie an? Lädt der Trojaner eigentlich code nach? Und mit welchem Programm würde der entschlüsseln, oder ist der unlock-code im Trojaner selbst enthalten?
Bei dem Win7-System das ich dahatte hatte übrigens der abgesicherte Modus funktioniert. Und meistens konnte ich im Normalmode den taskmgr starten und der wurde sauber angezeigt.
Noch eine Idee, vielleicht muss die Systemzeit auf letzten Mittwoch oder Donnerstag zurückgedreht werden - falls er das nicht via Internet verifiziert.
Viel Erfolg beim weiteren Debuggen!
> ... drive by...
Die Benutzerin liest Mails oft om Webbrowser, das würde es erklären.

@Michael:
Diese Fehlermeldung hatte ich auch (so aus dem Kopf heraus) als ich den Trojaner auf C:\ gestartet habe. Aif D:\ kam kein Fehler, vermutlich weil ich das Schreibrechte hatte, und da hat dei Neuinfektion auch geklappt.


mfg Werner