Hey Leute!

Also ich habe folgendes Problem auf dem Laptop meiner Mutter:

Fujitsu Siemens Celsius H250
Windows Vista Ultimate
McAfee Total Protection

Als Sie einen USB Stick meiner Tante mit Bildern drauf einsteckte, konnte Sie erst nicht auf den Stick zugreifen. Ein paar Minuten später ging es dann plötzlich.
Sie hat dann nur ein paar Bilder auf den Stick gezogen.
Dann kam von McAfee die Meldung "Trojaner enteckt/Isoliert".
Dann stürzte der Laptop ab.
Beim hochfahren startet alles normal. Dann gibt man das Passwort ein und dann kam ein Fenster wo man Windows aktivieren sollte.
Windows war aber schon lang aktiviert!
Wenn man dann dort auf irgendeine Option klickt, kam ein Fenster wo irgendein Fehlercode drinne stand und dass die Option nicht verfügbar sei.
Mehr konnte man nicht machen.

Das alles war am 16.Juni 2012

Am 02.Juli habe ich mich dann darum gekümmert.
Ich habe ihn nochmal hochgefahren und geguckt ob es immernoch so ist.
War auch so. Dann habe ich die Festplatte ausgebaut um die wichtigen Daten zu sichern. Hat auch alles geklappt.
Das einzigste, was ich vergessen zu sichern habe, war das Logfile und den Ordner, wo sich die isolierten Dateien von McAfee befinden.
Die Festplatte hab ich danach dann formatiert und das Betriebssystem neu aufgespielt.

Am 04.Juli wurde dann vom Konto meiner Mutter per Lastschriftverfahren Geld abgebucht.
Das war von 9flats.com für eine Unterkunft in Berlin vom 28.08.12 bis 30.08.12.
Wurde alles storniert und Geld ist auch zurück.
Dann war Sie im Online Banking und machte eine Überweisung mit dem mobile tan Verfahren.
Funktionierte auch alles.
Bei der 2. Überweisung klappte es dann irgendwie nicht.
Es kam die ganze zeit die Meldung, dass die Sitzung abgelaufen wäre.
Auch wenn Sie sich neu eingeloggt hat, kam die Meldung wieder.
Ist auch sehr komisch oder?
Das Konto ist jetzt erstmal gesperrt.

So... und nun die Frage an euch:

Gibt es eine Möglichkeit das Logfile und die isolierten Dateien von McAfee wiederherzustellen?

Habt ihr irgendeine Ahnung, was für ein Trojaner es war?

Was könnte er noch angerichtet haben?

Wo könnten die Hacker noch eingedrungen sein?


Ich sag schonmal DANKE!

Gruß

hi
ohne die logs können wir erst mal nichts weiter sagen
da geld abgebucht wurde, bitte anzeige erstatten.

bitte die freundin informieren und jeden der den stick am pc hatte, die mögen sich hier melden
du hast auch formatiert oder nur ne reperatur gemacht?
endert alle passwörter und passwort vergessen abfragen.
überall nen unterschiedliches passwort, das is ja klar
bei der passwort verwaltung und erstellung hilft roboform:
Passwort Manager, Formular Ausfueller, Passwort Management | RoboForm Passwort Manager
passwörter, mindestens 12 zeichen lang.
welches betriebssystem ist das?
Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Starte bitte die
  OTL.exe
  .
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Kopiere nun den Inhalt in die
  Textbox.

Code: Alles auswählenAufklappen

ATTFilter

activex
netsvcs
msconfig
%SYSTEMDRIVE%\*.
%PROGRAMFILES%\*.exe
%LOCALAPPDATA%\*.exe
%systemroot%\*. /mp /s
/md5start
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
explorer.exe
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\system32\*.dll /lockedfiles
%USERPROFILE%\*.*
%USERPROFILE%\Local Settings\Temp\*.exe
%USERPROFILE%\Local Settings\Temp\*.dll
%USERPROFILE%\Application Data\*.exe
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems|Windows /rs
CREATERESTOREPOINT
         

• Schliesse bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Quick Scan Button.
• Kopiere
  nun den Inhalt aus OTL.txt und Extra.txt hier in Deinen Thread