| |
| |||||||
Log-Analyse und Auswertung: Windows 8.1: System gesperrt nach Telefon-BetrugWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
09.04.2016, 12:05
| #1 |
| |  Windows 8.1: System gesperrt nach Telefon-Betrug Hallo! Ich habe hier einen Rechner von einer Verwandten, die leider auf Telefon-Betrug hereingefallen ist. Der Anrufer hat sich als Microsoft-Mitarbeiter ausgegeben und offenbar Anweisungen zur Installation einer Fernwartungssoftware gegeben. Die Masche ist wohl bekannt, stand auch schon in der Zeitung. Das System zeigt nach dem Starten kurz einen Windows-ähnlichen Boot-Screen und dann folgenden Dialog: "Kennwort für Systemstart. Zum Starten des Computers ist ein Kennwort erforderlich. Geben Sie das Startkennwort ein." Ich habe mit einer Knoppix-Boot-CD feststellen können, dass die Daten nicht verschlüsselt sind. Es wohl nur eine Boot-Sperre. Das Avira Rescue System habe ich auch probiert, aber der Scan blieb bei der Windows-Registry hängen (mehrere Stunden gewartet). Mit Hilfe einer Windows-CD habe ich ein FRST-Logfile erzeugt: FRST.txt Code:
ATTFilter Untersuchungsergebnis von Farbar Recovery Scan Tool (FRST) (x64) Version:05-03-2016 01
durchgeführt von SYSTEM auf MININT-NBLC8FA (08-04-2016 20:26:54)
Gestartet von e:\tools
Platform: Windows 8.1 (X64) Sprache: Deutsch (Deutschland)
Internet Explorer Version 11
Start-Modus: Recovery
Standard: ControlSet001
ACHTUNG!:=====> Wenn das System startfähig ist sollte FRST im normalen oder abgesicherten Modus ausgeführt werden, um ein vollständiges Ergebnis zu erhalten.
Anleitung für Farbar Recovery Scan Tool: hxxp://www.geekstogo.com/forum/topic/335081-frst-tutorial-how-to-use-farbar-recovery-scan-tool/
==================== Registry (Nicht auf der Ausnahmeliste) ===========================
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Registryeintrag auf den Standardwert zurückgesetzt oder entfernt. Die Datei wird nicht verschoben.)
HKLM\...\Run: [RTHDVCPL] => C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe [16408320 2015-12-11] (Realtek Semiconductor)
HKLM-x32\...\Run: [StartCCC] => C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\amd64\CLIStart.exe [767200 2014-04-17] (Advanced Micro Devices, Inc.)
HKLM-x32\...\Run: [CLMLServer_For_P2G8] => C:\Program Files (x86)\CyberLink\Power2Go8\CLMLSvc_P2G8.exe [111576 2013-08-05] (CyberLink)
HKLM-x32\...\Run: [CLVirtualDrive] => C:\Program Files (x86)\CyberLink\Power2Go8\VirtualDrive.exe [490760 2014-03-12] (CyberLink Corp.)
HKLM-x32\...\Run: [HP Software Update] => C:\Program Files (x86)\Hp\HP Software Update\HPWuSchd2.exe [96056 2013-05-30] (Hewlett-Packard)
HKLM-x32\...\Run: [SunJavaUpdateSched] => C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe [597040 2015-10-06] (Oracle Corporation)
HKLM-x32\...\Run: [Advanced File Optimizer] => C:\Program Files (x86)\Advanced File Optimizer\AdvancedFileOptimizer.exe [5468992 2015-08-06] (Systweak)
HKLM\...\Policies\Explorer: [ConfirmFileDelete] 1
HKU\Barbara\...\Run: [HP Officejet Pro 8600 (NET)] => C:\Program Files\HP\HP Officejet Pro 8600\Bin\ScanToPCActivationApp.exe [2573416 2012-10-17] (Hewlett-Packard Co.)
HKU\Barbara\...\Run: [DTAGSSDVDReport] => C:\Users\Barbara\AppData\Local\Dtag\Dtor.exe [4960192 2012-10-17] (Deutsche Telekom AG)
HKU\Barbara\...\Run: [AppEx Accelerator UI] => C:\Program Files\AMD Quick Stream\AMDQuickStream.exe [482528 2014-03-31] (AppEx Networks Corporation)
HKU\Barbara\...\Run: [Advanced System Optimizer - Memory Optimizer] => c:\program files (x86)\advanced system optimizer 3\memoryoptimizer.exe [166136 2015-07-16] (Systweak Software)
Startup: C:\Users\Barbara\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Tintenwarnungen überwachen - .lnk [2015-03-25]
ShortcutTarget: Tintenwarnungen überwachen - .lnk -> C:\Program Files\HP\HP Officejet Pro 8600\Bin\HPStatusBL.dll (Hewlett-Packard Co.)
BootExecute: autocheck autochk * sasnative64
==================== Dienste (Nicht auf der Ausnahmeliste) ========================
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)
S2 AMD FUEL Service; C:\Program Files\ATI Technologies\ATI.ACE\Fuel\Fuel.Service.exe [344064 2014-04-17] (Advanced Micro Devices, Inc.)
S2 amdacpusrsvc; C:\AMD\amdacpusrsvc.exe [82432 2014-04-17] ()
S2 ASO3DiskOptimizer; C:\Program Files (x86)\Advanced System Optimizer 3\ASO3DefragSrv64.exe [264440 2015-07-16] (Systweak Software)
S2 ClickToRunSvc; C:\Program Files\Common Files\Microsoft Shared\ClickToRun\OfficeClickToRun.exe [2804976 2016-02-04] (Microsoft Corporation)
S3 EasyAntiCheat; C:\windows\SysWOW64\EasyAntiCheat.exe [245544 2016-01-30] (EasyAntiCheat Ltd)
S2 HPSupportSolutionsFrameworkService; C:\Program Files (x86)\Hewlett-Packard\HP Support Solutions\HPSupportSolutionsFrameworkService.exe [26168 2015-12-20] (Hewlett-Packard Company)
S2 Netzmanager Service; C:\Program Files\Netzmanager\NMInfraIS2\Netzmanager_Service.exe [2635776 2012-07-20] (Deutsche Telekom AG)
S2 RBClientService; C:\Program Files (x86)\Right Backup\RBClientService.exe [49664 2016-02-05] (Systweak)
S2 RichVideo64; C:\Program Files\CyberLink\Shared files\RichVideo64.exe [389896 2013-03-06] ()
S2 TeamViewer; C:\Program Files (x86)\TeamViewer\TeamViewer_Service.exe [6940944 2016-02-16] (TeamViewer GmbH)
S2 WajaNetEn Monitor; C:\Program Files\WajaNetEn\fd56e7c0dbaa63ee7c888580c49fb114.exe [3052544 2016-01-25] ()
S2 ggbugreport; "C:\Program Files (x86)\SearchesToYesbnd\bugreport.exe" {154DFF63-3402-4815-941A-AAD63AE8B428} [X]
S2 HPSLPSVC; C:\Users\Barbara\AppData\Local\Temp\7zS62D8\hpslpsvc64.dll [X]
S2 McAfee SiteAdvisor Service; "c:\PROGRA~2\mcafee\SITEAD~1\mcsacore.exe" [X]
S2 mccspsvc; "C:\Program Files\Common Files\McAfee\CSP\1.6.1180.0\McCSPServiceHost.exe" [X]
S3 WdNisSvc; "%ProgramFiles%\Windows Defender\NisSrv.exe" [X]
S3 WinDefend; "%ProgramFiles%\Windows Defender\MsMpEng.exe" [X]
S2 Winsere; "C:\Program Files (x86)\Winsere\Winsere\Winsere.exe" {79740E79-A383-47A7-B513-3DF6563D007F} {A16B1AF7-982D-40C3-B5C1-633E1A6A6678} [X]
===================== Treiber (Nicht auf der Ausnahmeliste) ==========================
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)
S2 amdacpksd; C:\Windows\system32\drivers\amdacpksd.sys [306424 2015-08-28] (Advanced Micro Devices)
S3 amdiommu; C:\Windows\System32\drivers\amdkiomd.sys [77312 2013-12-24] (Advanced Micro Devices, Inc.)
S0 amdkmafd; C:\Windows\System32\drivers\amdkmafd.sys [21160 2012-09-23] (Advanced Micro Devices, Inc.)
S2 AODDriver4.3; C:\Program Files\ATI Technologies\ATI.ACE\Fuel\amd64\AODDriver2.sys [59616 2014-02-11] (Advanced Micro Devices)
S2 APXACC; C:\Windows\system32\DRIVERS\appexDrv.sys [228032 2014-08-08] (AppEx Networks Corporation)
S3 AtiHDAudioService; C:\Windows\system32\drivers\AtihdWB6.sys [102912 2015-07-15] (Advanced Micro Devices)
S1 CLVirtualDrive; C:\Windows\system32\DRIVERS\CLVirtualDrive.sys [91712 2013-03-05] (CyberLink)
S0 ebdrv; C:\Windows\System32\drivers\evbda.sys [3357024 2013-08-22] (Broadcom Corporation)
S0 mfeelamk; C:\Windows\System32\drivers\mfeelamk.sys [82072 2015-08-10] (McAfee, Inc.)
S3 NETwNe64; C:\Windows\system32\DRIVERS\NETwew02.sys [4649440 2013-06-18] (Intel Corporation)
S3 RtlWlanu; C:\Windows\system32\DRIVERS\rtwlanu.sys [3860224 2015-08-05] (Realtek Semiconductor Corporation )
S5 RTSPER; C:\Windows\System32\Drivers\RTSPER.sys [788696 2014-12-23] (Realsil Semiconductor Corporation)
S3 RTSUER; C:\Windows\system32\Drivers\RtsUer.sys [408280 2015-09-17] (Realsil Semiconductor Corporation)
S3 TelekomNM6; C:\Program Files\Netzmanager\NMInfraIS2\Driver\TelekomNM6.sys [45664 2010-09-16] (Deutsche Telekom AG AG, Marmiko IT-Solutions GmbH)
S3 WdBoot; C:\Windows\system32\drivers\WdBoot.sys [35856 2013-10-31] (Microsoft Corporation)
S0 WdFilter; C:\Windows\System32\drivers\WdFilter.sys [236888 2013-10-31] (Microsoft Corporation)
S3 WdNisDrv; C:\Windows\System32\Drivers\WdNisDrv.sys [124760 2013-10-31] (Microsoft Corporation)
S0 iaStorAV; System32\drivers\iaStorAV.sys [X]
==================== NetSvcs (Nicht auf der Ausnahmeliste) ===================
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)
==================== Ein Monat: Erstellte Dateien und Ordner ========
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird die Datei/der Ordner verschoben.)
2016-04-08 20:26 - 2016-04-08 20:26 - 00000000 ____D C:\FRST
2016-04-08 20:24 - 2016-04-08 20:24 - 00000000 _____ C:\Recovery.txt
2016-03-09 09:54 - 2016-03-09 09:54 - 00239117 _____ C:\Users\Barbara\Documents\Die automatische Lastschrift von OnlinePay24 konnte nicht durch.oxps
==================== Ein Monat: Geänderte Dateien und Ordner ========
(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird die Datei/der Ordner verschoben.)
2016-04-06 20:10 - 2014-05-07 15:59 - 00065536 _____ C:\Windows\System32\spu_storage.bin
2016-03-09 20:15 - 2016-02-19 18:07 - 00000316 _____ C:\Windows\Tasks\Start Driver Reviver for BÄRBEL-PC1@Barbara(logon).job
2016-03-09 20:15 - 2016-02-15 15:11 - 00000364 _____ C:\Windows\Tasks\Start Registry Reviver for BÄRBEL-PC1@Barbara(logon).job
2016-03-09 20:15 - 2013-08-22 15:45 - 00000006 ____H C:\Windows\Tasks\SA.DAT
2016-03-09 20:15 - 2013-08-22 14:25 - 00524288 ___SH C:\Windows\System32\config\BBI
2016-03-09 20:09 - 2015-05-20 19:58 - 00001140 _____ C:\Windows\Tasks\GoogleUpdateTaskMachineUA.job
2016-03-09 20:01 - 2014-08-07 15:05 - 00003946 _____ C:\Windows\System32\Tasks\User_Feed_Synchronization-{DC252592-AB98-4954-A8E0-24CE2A419FCA}
2016-03-09 19:46 - 2014-11-10 15:04 - 00000884 _____ C:\Windows\Tasks\Adobe Flash Player Updater.job
2016-03-09 15:43 - 2014-08-07 17:31 - 00000000 ____D C:\Windows\System32\MRT
2016-03-09 15:43 - 2014-04-24 17:12 - 143659408 _____ (Microsoft Corporation) C:\Windows\System32\MRT.exe
2016-03-09 13:36 - 2014-08-07 15:04 - 00003594 _____ C:\Windows\System32\Tasks\Optimize Start Menu Cache Files-S-1-5-21-1342304682-3634369636-71169481-1002
2016-03-09 13:31 - 2015-05-20 19:59 - 00002431 _____ C:\Users\Public\Desktop\Google Chrome.lnk
2016-03-09 11:09 - 2015-05-20 19:58 - 00001136 _____ C:\Windows\Tasks\GoogleUpdateTaskMachineCore.job
2016-03-09 09:02 - 2014-04-28 12:38 - 00741062 _____ C:\Windows\System32\perfh007.dat
2016-03-09 09:02 - 2014-04-28 12:38 - 00155730 _____ C:\Windows\System32\perfc007.dat
2016-03-09 09:02 - 2014-03-18 16:26 - 01791630 _____ C:\Windows\System32\PerfStringBackup.INI
2016-03-09 09:02 - 2013-08-22 14:36 - 00000000 ____D C:\Windows\Inf
2016-03-09 07:05 - 2013-08-22 16:20 - 00000000 ____D C:\Windows\CbsTemp
Dateien, die verschoben oder gelöscht werden sollten:
====================
C:\ProgramData\RegistryReviver.exe
==================== Known DLLs (Nicht auf der Ausnahmeliste) =========================
==================== Bamital & volsnap =================
(Es ist kein automatischer Fix für Dateien vorhanden, die an der Verifikation gescheitert sind.)
C:\Windows\System32\winlogon.exe => MD5 ist legitim
C:\Windows\System32\wininit.exe => MD5 ist legitim
C:\Windows\explorer.exe => MD5 ist legitim
C:\Windows\SysWOW64\explorer.exe => MD5 ist legitim
C:\Windows\System32\svchost.exe => MD5 ist legitim
C:\Windows\SysWOW64\svchost.exe => MD5 ist legitim
C:\Windows\System32\services.exe => MD5 ist legitim
C:\Windows\System32\User32.dll => MD5 ist legitim
C:\Windows\SysWOW64\User32.dll => MD5 ist legitim
C:\Windows\System32\userinit.exe => MD5 ist legitim
C:\Windows\SysWOW64\userinit.exe => MD5 ist legitim
C:\Windows\System32\rpcss.dll => MD5 ist legitim
C:\Windows\System32\dnsapi.dll => MD5 ist legitim
C:\Windows\SysWOW64\dnsapi.dll => MD5 ist legitim
C:\Windows\System32\Drivers\volsnap.sys => MD5 ist legitim
==================== EXE Verknüpfungen (Nicht auf der Ausnahmeliste) =============
==================== Wiederherstellungspunkte =========================
Wiederherstellungspunkt Datum: 2016-03-02 15:01
Wiederherstellungspunkt Datum: 2016-03-09 15:42
Wiederherstellungspunkt Datum: 2016-03-09 15:42
==================== Speicherinformationen ===========================
Prozentuale Nutzung des RAM: 17%
Installierter physikalischer RAM: 3948.48 MB
Verfügbarer physikalischer RAM: 3255.97 MB
Summe virtueller Speicher: 3948.48 MB
Verfügbarer virtueller Speicher: 3280.45 MB
==================== Laufwerke ================================
Drive c: (Boot) (Fixed) (Total:1801.31 GB) (Free:1737.39 GB) NTFS
Drive d: (Recover) (Fixed) (Total:59.99 GB) (Free:43.6 GB) NTFS
Drive e: (ESD-USB) (Removable) (Total:29.26 GB) (Free:25.91 GB) FAT32
Drive x: (Boot) (Fixed) (Total:0.5 GB) (Free:0.5 GB) NTFS
==================== MBR & Partitionstabelle ==================
========================================================
Disk: 0 (Size: 1863 GB) (Disk ID: 00000000)
Partition: GPT.
========================================================
Disk: 2 (MBR Code: Windows 7 or 8) (Size: 29.3 GB) (Disk ID: 00000000)
Partition: GPT.
LastRegBack: 2016-03-02 15:46
==================== Ende von FRST.txt ============================
Gruß, Cla5 |
| Themen zu Windows 8.1: System gesperrt nach Telefon-Betrug |
| adobe, adobe flash player, avira, booten, dateien, defender, desktop, dnsapi.dll, explorer, fernwartungssoftware, flash player, gesperrt, hängen, installation, monitor, officejet, onlinepay24, ordner, realtek, scan, services.exe, siteadvisor, starten, svchost.exe, system, temp, treiber, windows, winlogon.exe |
Baum-Darstellung