Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: PC gesperrt nach angeblichem MS-Anrufer und vermutlich etliche Dateien verschlüsselt

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 08.05.2017, 16:54   #1
micha6944
 
PC gesperrt nach angeblichem MS-Anrufer und vermutlich etliche Dateien verschlüsselt - Standard

PC gesperrt nach angeblichem MS-Anrufer und vermutlich etliche Dateien verschlüsselt



Hallo,
ich kann meinen PC mit WIN10 nicht mehr booten, seit dem 28.01.17 erscheint ein Fenster mit "Kennwort für Systemstart erforderlich" , sofort zu Beginn vor dem booten.

Ich hatte Kontakt mit Dennis (Deathkid535) aufgenommen, der mir mitteilte, dass ich einen Scan mit FRST machen und das posten soll. Außerdem hat er gesagt, dass der Helfer mal eine Systemwiederherstellung und ein LastRegBack versuchen soll.

Mit Hilfe eines ähnlichen Beitrages habe ich versucht, dass Passwort mit Passcape ausfindig zu machen. Es wurde mir folgendes angezeigt:

125 <DEMO VERSION>

...das mit der Demo bezieht wohl auf das eingesetzte Programm, oder ?

Habe verschiedene PW ausprobiert wie support125 etc....leider ohne Erfolg.

Bei meinem FRST-Scan kam folgendes raus:

Code:
ATTFilter
Untersuchungsergebnis von Farbar Recovery Scan Tool (FRST) (x64) Version:13-04-2016
durchgeführt von SYSTEM auf MININT-OTLLGP9 (08-05-2017 16:04:04)
Gestartet von j:\FRST
Platform: Windows 10 Pro (X64) Sprache: Deutsch (Deutschland)
Internet Explorer Version 11
Start-Modus: Recovery
Standard: ControlSet001
ACHTUNG!:=====> Wenn das System startfähig ist sollte FRST im normalen oder abgesicherten Modus ausgeführt werden, um ein vollständiges Ergebnis zu erhalten.

Anleitung für Farbar Recovery Scan Tool: hxxp://www.geekstogo.com/forum/topic/335081-frst-tutorial-how-to-use-farbar-recovery-scan-tool/

==================== Registry (Nicht auf der Ausnahmeliste) ===========================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Registryeintrag auf den Standardwert zurückgesetzt oder entfernt. Die Datei wird nicht verschoben.)

HKLM\...\Run: [RTHDVCPL] => C:\Program Files\Realtek\Audio\HDA\RtkNGUI64.exe [8492800 2015-06-24] (Realtek Semiconductor)
HKLM\...\Run: [RtHDVBg_DTS] => C:\Program Files\Realtek\Audio\HDA\RAVBg64.exe [1402624 2015-06-24] (Realtek Semiconductor)
HKLM\...\Run: [AdobeAAMUpdater-1.0] => C:\Program Files (x86)\Common Files\Adobe\OOBE\PDApp\UWA\UpdaterStartupUtility.exe [508128 2016-01-07] (Adobe Systems Incorporated)
HKLM\...\Run: [iTunesHelper] => C:\Program Files\iTunes\iTunesHelper.exe [176440 2016-12-06] (Apple Inc.)
HKLM-x32\...\Run: [StartCCC] => C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\amd64\CLIStart.exe [767176 2015-11-04] (Advanced Micro Devices, Inc.)
HKLM-x32\...\Run: [] => [X]
HKLM-x32\...\Run: [Acrobat Assistant 8.0] => C:\Program Files (x86)\Adobe\Acrobat 11.0\Acrobat\Acrotray.exe [3498720 2016-10-01] (Adobe Systems Inc.)
HKLM-x32\...\Run: [AVMWlanClient] => C:\Program Files (x86)\avmwlanstick\FRITZWLANMini.exe [937984 2015-07-31] (AVM Berlin)
HKLM-x32\...\Run: [ProductUpdater] => C:\Program Files (x86)\Common Files\Freemake Shared\ProductUpdater\ProductUpdater.exe [75264 2016-03-29] ()
HKLM-x32\...\Run: [ConnectionCenter] => C:\Program Files (x86)\Citrix\ICA Client\concentr.exe [407904 2015-04-08] (Citrix Systems, Inc.)
HKLM-x32\...\Run: [Redirector] => C:\Program Files (x86)\Citrix\ICA Client\redirector.exe [153952 2015-04-08] (Citrix Systems, Inc.)
HKLM-x32\...\Run: [SunJavaUpdateSched] => C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe [595992 2016-05-20] (Oracle Corporation)
HKLM-x32\...\Run: [KeePass 2 PreLoad] => C:\Program Files (x86)\KeePass Password Safe 2\KeePass.exe [2779136 2016-06-11] (Dominik Reichl)
HKLM-x32\...\Run: [AvgUi] => C:\Program Files (x86)\AVG\Framework\Common\avguirna.exe [240400 2016-12-06] (AVG Technologies CZ, s.r.o.)
HKLM-x32\...\Run: [CanonQuickMenu] => C:\Program Files (x86)\Canon\Quick Menu\CNQMMAIN.EXE [1314432 2016-06-09] (CANON INC.)
HKU\DefaultAppPool\...\RunOnce: [WAB Migrate] => C:\Program Files\Windows Mail\wab.exe [517632 2015-10-30] (Microsoft Corporation)
HKU\micha\...\Run: [CAHeadless] => C:\Program Files (x86)\Adobe\Elements 12 Organizer\CAHeadless\ElementsAutoAnalyzer.exe [1401064 2015-08-22] (Adobe Systems Incorporated)
IFEO\AcroRd32.exe: [Debugger] "C:\Program Files (x86)\AVG\AVG PC TuneUp\TUAutoReactivator64.exe"
IFEO\dacfgwz.exe: [Debugger] "C:\Program Files (x86)\AVG\AVG PC TuneUp\TUAutoReactivator64.exe"
IFEO\dago.exe: [Debugger] "C:\Program Files (x86)\AVG\AVG PC TuneUp\TUAutoReactivator64.exe"
IFEO\fritzwlanmini.exe: [Debugger] "C:\Program Files (x86)\AVG\AVG PC TuneUp\TUAutoReactivator64.exe"
IFEO\helpdesk.exe: [Debugger] "C:\Program Files (x86)\AVG\AVG PC TuneUp\TUAutoReactivator64.exe"
IFEO\itunes.exe: [Debugger] "C:\Program Files (x86)\AVG\AVG PC TuneUp\TUAutoReactivator64.exe"
IFEO\javacpl.exe: [Debugger] "C:\Program Files (x86)\AVG\AVG PC TuneUp\TUAutoReactivator64.exe"
IFEO\javaw.exe: [Debugger] "C:\Program Files (x86)\AVG\AVG PC TuneUp\TUAutoReactivator64.exe"
IFEO\javaws.exe: [Debugger] "C:\Program Files (x86)\AVG\AVG PC TuneUp\TUAutoReactivator64.exe"
IFEO\keepass.exe: [Debugger] "C:\Program Files (x86)\AVG\AVG PC TuneUp\TUAutoReactivator64.exe"
IFEO\landingpage.exe: [Debugger] "C:\Program Files (x86)\AVG\AVG PC TuneUp\TUAutoReactivator64.exe"
IFEO\launcher.exe: [Debugger] "C:\Program Files (x86)\AVG\AVG PC TuneUp\TUAutoReactivator64.exe"
IFEO\lxupdatemanager.exe: [Debugger] "C:\Program Files (x86)\AVG\AVG PC TuneUp\TUAutoReactivator64.exe"
IFEO\mmdbtool.exe: [Debugger] "C:\Program Files (x86)\AVG\AVG PC TuneUp\TUAutoReactivator64.exe"
IFEO\pbplaner.exe: [Debugger] "C:\Program Files (x86)\AVG\AVG PC TuneUp\TUAutoReactivator64.exe"
IFEO\pbrestore.exe: [Debugger] "C:\Program Files (x86)\AVG\AVG PC TuneUp\TUAutoReactivator64.exe"
IFEO\persbackup.exe: [Debugger] "C:\Program Files (x86)\AVG\AVG PC TuneUp\TUAutoReactivator64.exe"
IFEO\setup.exe: [Debugger] "C:\Program Files (x86)\AVG\AVG PC TuneUp\TUAutoReactivator64.exe"
IFEO\sysdiag.exe: [Debugger] "C:\Program Files (x86)\AVG\AVG PC TuneUp\TUAutoReactivator64.exe"
IFEO\teamviewerqs_de.exe: [Debugger] "C:\Program Files (x86)\AVG\AVG PC TuneUp\TUAutoReactivator64.exe"
IFEO\timercfg.exe: [Debugger] "C:\Program Files (x86)\AVG\AVG PC TuneUp\TUAutoReactivator64.exe"
IFEO\unins000.exe: [Debugger] "C:\Program Files (x86)\AVG\AVG PC TuneUp\TUAutoReactivator64.exe"
IFEO\update.exe: [Debugger] "C:\Program Files (x86)\AVG\AVG PC TuneUp\TUAutoReactivator64.exe"
IFEO\wbstart.exe: [Debugger] "C:\Program Files (x86)\AVG\AVG PC TuneUp\TUAutoReactivator64.exe"
IFEO\wlangui.exe: [Debugger] "C:\Program Files (x86)\AVG\AVG PC TuneUp\TUAutoReactivator64.exe"

==================== Dienste (Nicht auf der Ausnahmeliste) ========================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)

S2 AdobeActiveFileMonitor12.0; C:\Program Files (x86)\Adobe\Elements 12 Organizer\PhotoshopElementsFileAgent.exe [181152 2013-09-03] (Adobe Systems Incorporated)
S2 AGSService; C:\Program Files (x86)\Common Files\Adobe\AdobeGCClient\AGSService.exe [2021592 2016-04-05] (Adobe Systems, Incorporated)
S2 AMD FUEL Service; C:\Program Files\ATI Technologies\ATI.ACE\Fuel\Fuel.Service.exe [351944 2015-11-04] (Advanced Micro Devices, Inc.)
S4 Apple Mobile Device Service; C:\Program Files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe [83768 2016-09-22] (Apple Inc.)
S2 avgsvc; C:\Program Files (x86)\AVG\Framework\Common\avgsvca.exe [1146128 2016-12-06] (AVG Technologies CZ, s.r.o.)
S4 AvmSwitchUsb; C:\Program Files (x86)\avmwlanstick\AVMSwitchUsb.exe [125440 2015-07-31] ()
S2 chip1click; C:\Program Files (x86)\Chip Digital GmbH\chip1click\chip 1-click installer.exe [91136 2016-10-27] (Chip Digital GmbH)
S2 ClickToRunSvc; C:\Program Files\Microsoft Office 15\ClientX64\OfficeClickToRun.exe [3042032 2016-12-13] (Microsoft Corporation)
S4 DTSAudioSvc; C:\Program Files\Realtek\Audio\HDA\DTSU2PAuSrv64.exe [249328 2015-06-24] (DTS, Inc)
S2 HvHost; C:\Windows\System32\hvhostsvc.dll [61440 2016-05-29] (Microsoft Corporation)
S2 MSSQL$WBINSTANCE; C:\Program Files (x86)\Microsoft SQL Server\MSSQL10_50.WBINSTANCE\MSSQL\Binn\sqlservr.exe [43130032 2015-03-29] (Microsoft Corporation)
S2 ProductAgentService; C:\Program Files\Bitdefender Agent\ProductAgentService.exe [1100392 2016-10-28] (Bitdefender)
S4 SQLAgent$WBINSTANCE; C:\Program Files (x86)\Microsoft SQL Server\MSSQL10_50.WBINSTANCE\MSSQL\Binn\SQLAGENT.EXE [381104 2015-03-29] (Microsoft Corporation)
S2 TuneUp.UtilitiesSvc; C:\Program Files (x86)\AVG\AVG PC TuneUp\TuneUpUtilitiesService64.exe [5907216 2017-01-09] (AVG Technologies CZ, s.r.o.)
S2 UPDATESRV; C:\Program Files\Bitdefender\Bitdefender 2017\updatesrv.exe [218416 2017-01-18] (Bitdefender)
S3 vmcompute; C:\Windows\system32\vmcompute.exe [1142272 2016-09-07] (Microsoft Corporation)
S2 vmms; C:\Windows\system32\vmms.exe [14384640 2016-10-25] (Microsoft Corporation)
S2 VSSERV; C:\Program Files\Bitdefender\Bitdefender 2017\vsserv.exe [1526528 2017-01-18] (Bitdefender)
S2 vsservp; C:\Program Files\Bitdefender\Bitdefender 2017\vsservp.exe [524872 2016-08-25] (Bitdefender)
S4 WB14WatchDog; C:\Program Files (x86)\Buhl\WISO Börse 2014\bin\watchdog.exe [1255816 2013-09-30] (vwd Vereinigte Wirtschaftsdienste AG)
S3 WdNisSvc; C:\Program Files\Windows Defender\NisSrv.exe [364464 2016-10-25] (Microsoft Corporation)
S3 WinDefend; C:\Program Files\Windows Defender\MsMpEng.exe [24864 2016-10-25] (Microsoft Corporation)

===================== Treiber (Nicht auf der Ausnahmeliste) ==========================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)

S2 AODDriver4.3; C:\Program Files\ATI Technologies\ATI.ACE\Fuel\amd64\AODDriver2.sys [59616 2014-02-11] (Advanced Micro Devices)
S3 AtiHDAudioService; C:\Windows\system32\drivers\AtihdWT6.sys [102912 2015-05-28] (Advanced Micro Devices)
S0 avc3; C:\Windows\System32\DRIVERS\avc3.sys [1605376 2016-09-20] (BitDefender)
S3 avckf; C:\Windows\System32\DRIVERS\avckf.sys [878072 2016-09-20] (BitDefender)
S3 AVMCOWAN; C:\Windows\system32\DRIVERS\AVMCOWAN.sys [82432 2012-07-19] (AVM GmbH)
S0 bdelam; C:\Windows\System32\drivers\bdelam.sys [23672 2016-03-14] (Bitdefender)
S1 bdfwfpf; C:\Program Files\Common Files\Bitdefender\Bitdefender Firewall\bdfwfpf.sys [128400 2016-06-24] (BitDefender LLC)
S1 BDVEDISK; C:\Windows\system32\DRIVERS\bdvedisk.sys [87912 2015-12-04] (BitDefender)
S3 dg_ssudbus; C:\Windows\system32\DRIVERS\ssudbus.sys [131712 2016-09-05] (Samsung Electronics Co., Ltd.)
S3 fpcibase; C:\Windows\system32\DRIVERS\fpcibase.sys [649344 2012-07-19] (AVM Berlin)
S3 fwlanusb6_860; C:\Windows\system32\DRIVERS\fwlanusb6_860.sys [2242720 2015-07-31] (AVM GmbH)
S3 fwlanusbn; C:\Windows\system32\DRIVERS\fwlanusbn.sys [714368 2010-10-22] (AVM GmbH)
S0 gzflt; C:\Windows\System32\DRIVERS\gzflt.sys [182944 2016-10-29] (BitDefender LLC)
S1 hvservice; C:\Windows\System32\drivers\hvservice.sys [71008 2016-05-29] (Microsoft Corporation)
S0 ignis; C:\Windows\system32\DRIVERS\ignis.sys [309280 2017-01-18] (Bitdefender)
S3 lunparser; C:\Windows\System32\drivers\lunparser.sys [22528 2016-05-29] (Microsoft Corporation)
S3 NdisImPlatformMp; C:\Windows\System32\drivers\NdisImPlatform.sys [126976 2015-10-30] (Microsoft Corporation)
S3 passthruparser; C:\Windows\System32\drivers\passthruparser.sys [23552 2016-05-29] (Microsoft Corporation)
S3 pcip; C:\Windows\System32\drivers\pcip.sys [44544 2016-05-29] (Microsoft Corporation)
S3 pvhdparser; C:\Windows\System32\drivers\pvhdparser.sys [50176 2016-05-29] (Microsoft Corporation)
S0 PxHlpa64; C:\Windows\System32\Drivers\PxHlpa64.sys [56336 2013-07-19] (Corel Corporation)
S3 rt640x64; C:\Windows\System32\drivers\rt640x64.sys [589824 2015-10-30] (Realtek                                            )
S3 ssudmdm; C:\Windows\system32\DRIVERS\ssudmdm.sys [165504 2016-09-05] (Samsung Electronics Co., Ltd.)
S3 Synth3dVsp; C:\Windows\System32\drivers\synth3dvsp.sys [101888 2016-05-29] (Microsoft Corporation)
S0 trufos; C:\Windows\System32\DRIVERS\trufos.sys [520032 2016-06-22] (BitDefender S.R.L.)
S3 TuneUpUtilitiesDrv; C:\Program Files (x86)\AVG\AVG PC TuneUp\TuneUpUtilitiesDriver64.sys [32304 2016-11-25] (AVG Netherlands B.V.)
S3 vhdparser; C:\Windows\System32\drivers\vhdparser.sys [26624 2016-05-29] (Microsoft Corporation)
S3 vmsmp; C:\Windows\System32\drivers\vmswitch.sys [972800 2016-10-25] (Microsoft Corporation)
S2 VMSP; C:\Windows\System32\drivers\vmswitch.sys [972800 2016-10-25] (Microsoft Corporation)
S0 vmsproxy; C:\Windows\System32\drivers\vmsproxy.sys [22016 2016-05-29] (Microsoft Corporation)
S3 VMSVSF; C:\Windows\System32\drivers\vmswitch.sys [972800 2016-10-25] (Microsoft Corporation)
S3 VMSVSP; C:\Windows\System32\drivers\vmswitch.sys [972800 2016-10-25] (Microsoft Corporation)
S3 WdBoot; C:\Windows\system32\drivers\WdBoot.sys [44568 2015-10-30] (Microsoft Corporation)
S3 WdFilter; C:\Windows\system32\drivers\WdFilter.sys [293216 2015-10-30] (Microsoft Corporation)
S3 WdNisDrv; C:\Windows\System32\Drivers\WdNisDrv.sys [118112 2015-10-30] (Microsoft Corporation)
S3 WinNat; C:\Windows\System32\drivers\winnat.sys [350720 2016-05-29] (Microsoft Corporation)
S3 idsvc; kein ImagePath

==================== NetSvcs (Nicht auf der Ausnahmeliste) ===================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)


==================== Ein Monat: Erstellte Dateien und Ordner ========

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird die Datei/der Ordner verschoben.)

2017-05-08 15:51 - 2017-05-08 15:52 - 00000000 ____D C:\FRST
2017-05-03 00:57 - 2017-05-03 00:57 - 00000049 _____ C:\.directory
2017-05-03 00:52 - 2017-05-03 00:52 - 00000071 _____ C:\Windows\.directory
2017-05-03 00:26 - 2017-05-03 00:26 - 00000000 ___HD C:\$SysReset

==================== Ein Monat: Geänderte Dateien und Ordner ========

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird die Datei/der Ordner verschoben.)

2017-05-03 00:26 - 2017-01-28 17:01 - 00000000 _____ C:\Recovery.txt

Dateien, die verschoben oder gelöscht werden sollten:
====================
C:\Users\micha\pb-setup-x64-5.7.0201.exe


Einige Dateien in TEMP:
====================
C:\Users\micha\AppData\Local\Temp\kernel32.dll
C:\Users\micha\AppData\Local\Temp\MSETUP4.EXE


==================== Known DLLs (Nicht auf der Ausnahmeliste) =========================

[2015-10-30 08:17] - [2015-10-30 08:17] - 0442720 ____A (Microsoft Corporation) C:\Windows\System32\coml2.dll
[2015-10-30 08:18] - [2015-10-30 08:18] - 0358240 ____A (Microsoft Corporation) C:\Windows\SysWOW64\coml2.dll

==================== Bamital & volsnap =================

(Es ist kein automatischer Fix für Dateien vorhanden, die an der Verifikation gescheitert sind.)

C:\Windows\System32\winlogon.exe
[2016-05-29 23:11] - [2016-05-29 23:11] - 0585728 ____A (Microsoft Corporation) 5C156EC4E44E30331BCC865A3B61D839

C:\Windows\System32\wininit.exe
[2016-05-29 23:11] - [2016-05-29 23:11] - 0291360 ____A (Microsoft Corporation) C1C81AAF533552B3C4D9F11A5FF97700

C:\Windows\explorer.exe
[2016-11-11 21:52] - [2016-10-25 09:37] - 4515256 ____A (Microsoft Corporation) 7A009B9036ECF89AB57011EB615D5E1B

C:\Windows\SysWOW64\explorer.exe
[2016-11-11 21:54] - [2016-10-25 08:26] - 4074160 ____A (Microsoft Corporation) 9093B6600C625A903CBC481E8A9D49B2

C:\Windows\System32\svchost.exe
[2015-10-30 08:17] - [2015-10-30 08:17] - 0043944 ____A (Microsoft Corporation) 8497852ED44AFF902D502015792D315D

C:\Windows\SysWOW64\svchost.exe
[2015-10-30 08:18] - [2015-10-30 08:18] - 0037256 ____A (Microsoft Corporation) 6A1212077C0559029CDFB9C39580C835

C:\Windows\System32\services.exe
[2016-02-13 18:02] - [2016-02-13 18:02] - 0440152 ____A (Microsoft Corporation) 6FF8248F3A9D69A095C7F3F42BC29CB2

C:\Windows\System32\User32.dll
[2016-12-14 17:07] - [2016-11-22 11:02] - 1399216 ____A (Microsoft Corporation) EB29608D1405D016617EFEBD5B03C0F2

C:\Windows\SysWOW64\User32.dll
[2016-12-14 17:08] - [2016-11-22 09:47] - 1337240 ____A (Microsoft Corporation) EC1C204E1798C1139BA2913618B99D5D

C:\Windows\System32\userinit.exe
[2015-10-30 08:17] - [2015-10-30 08:17] - 0030720 ____A (Microsoft Corporation) 8F3ECCB5DC878FA14887B43CD148CBA9

C:\Windows\SysWOW64\userinit.exe
[2015-10-30 08:18] - [2015-10-30 08:18] - 0026112 ____A (Microsoft Corporation) A878CF325C93723B5017642E6FDB80E8

C:\Windows\System32\rpcss.dll
[2016-09-15 09:46] - [2016-09-07 05:30] - 0904704 ____A (Microsoft Corporation) 68E07DF3E6D1DFED440B82D3D33542B1

C:\Windows\System32\dnsapi.dll
[2016-05-29 23:11] - [2016-05-29 23:11] - 0686976 ____A (Microsoft Corporation) 9A3E17CDB177913C2A111C80F3D0DBB4

C:\Windows\SysWOW64\dnsapi.dll
[2016-05-29 23:11] - [2016-05-29 23:11] - 0535080 ____A (Microsoft Corporation) 6A7ACABAE92C837F5C1330188EAE36AE

C:\Windows\System32\Drivers\volsnap.sys
[2015-10-30 08:17] - [2015-10-30 08:17] - 0414560 ____A (Microsoft Corporation) E1F91A727A04C9F8199D04FF3BBBF63C


==================== EXE Verknüpfungen (Nicht auf der Ausnahmeliste) =============


==================== Wiederherstellungspunkte =========================


==================== Speicherinformationen =========================== 

Prozentuale Nutzung des RAM: 10%
Installierter physikalischer RAM: 8093.57 MB
Verfügbarer physikalischer RAM: 7256.2 MB
Summe virtueller Speicher: 8093.57 MB
Verfügbarer virtueller Speicher: 7291.18 MB

==================== Laufwerke ================================

Drive c: () (Fixed) (Total:237.94 GB) (Free:131.1 GB) NTFS
Drive d: (Volume) (Fixed) (Total:458.98 GB) (Free:456.74 GB) NTFS
Drive e: (System-reserviert) (Fixed) (Total:0.1 GB) (Free:0.06 GB) NTFS ==>[System mit Startkomponenten (eingeholt von Laufwerk)]
Drive g: () (Fixed) (Total:0.44 GB) (Free:0.1 GB) NTFS
Drive j: (Passcape) (Removable) (Total:3.68 GB) (Free:3.42 GB) NTFS
Drive x: (Boot) (Fixed) (Total:0.5 GB) (Free:0.49 GB) NTFS
Drive y: (Volume) (Fixed) (Total:472.4 GB) (Free:424.92 GB) NTFS

==================== MBR & Partitionstabelle ==================

========================================================
Disk: 0 (MBR Code: Windows 7 or 8) (Size: 931.5 GB) (Disk ID: 00000000)

Partition: GPT.

========================================================
Disk: 1 (MBR Code: Windows 7 or 8) (Size: 238.5 GB) (Disk ID: FC5C6917)
Partition 1: (Active) - (Size=100 MB) - (Type=07 NTFS)
Partition 2: (Not Active) - (Size=237.9 GB) - (Type=07 NTFS)
Partition 3: (Not Active) - (Size=450 MB) - (Type=27)

========================================================
Disk: 2 (MBR Code: Windows 7 or Vista) (Size: 3.7 GB) (Disk ID: 00000000)

Partition: GPT.


LastRegBack: 2017-01-18 08:28

==================== Ende von FRST.txt ============================
         
Ich hoffe, es kann mir jemand weiterhelfen und danke bereits im voraus dafür.

Gruß
Micha
Miniaturansicht angehängter Grafiken
-startfenster.jpg  

Alt 10.05.2017, 09:00   #2
Warlord711
/// TB-Ausbilder
 
PC gesperrt nach angeblichem MS-Anrufer und vermutlich etliche Dateien verschlüsselt - Standard

PC gesperrt nach angeblichem MS-Anrufer und vermutlich etliche Dateien verschlüsselt



Hast du mal 12345 oder 123456 ausprobiert ? meistens sind die Typen nicht sonderlich einfallsreich.
__________________

__________________

Alt 10.05.2017, 09:43   #3
micha6944
 
PC gesperrt nach angeblichem MS-Anrufer und vermutlich etliche Dateien verschlüsselt - Standard

PC gesperrt nach angeblichem MS-Anrufer und vermutlich etliche Dateien verschlüsselt



Das kann ich mal probieren, da mein Passwort aber mit 125 beginnt, sind die Möglichkeiten noch zahlreicher und nach 3 Fehlversuchen "bootet" der PC erst mal neu....in einem anderen Beitrag lautetet dass Passwort 123support o.ä......daher habe ich so was in der Art mal probiert
__________________

Alt 12.05.2017, 11:35   #4
Warlord711
/// TB-Ausbilder
 
PC gesperrt nach angeblichem MS-Anrufer und vermutlich etliche Dateien verschlüsselt - Standard

PC gesperrt nach angeblichem MS-Anrufer und vermutlich etliche Dateien verschlüsselt



Wenn du technisch bissl mit Linux umgehen kannst, kannst du diesem Topic hier sinngemäß folgen:

http://www.trojaner-board.de/183948-...ktioniert.html


Im Endeffekt musst du die Dateien

Code:
ATTFilter
DEFAULT 
SAM 
SECURITY 
SOFTWARE 
SYSTEM
         
unter windows\system32\config\ erstmal umbennen oder wegkopieren und dann mit einer jeweiligen Kopie aus windows\system32\config\regback\ ersetzen/tauschen.
__________________
Lerne, zurück zu schlagen und unterstütze uns!
TB Akademie | Spende | Lob & Kritik

Alt 12.05.2017, 15:00   #5
micha6944
 
PC gesperrt nach angeblichem MS-Anrufer und vermutlich etliche Dateien verschlüsselt - Standard

PC gesperrt nach angeblichem MS-Anrufer und vermutlich etliche Dateien verschlüsselt



Danke für die Info....geht das auch, wenn ich die gesperrte FP an ein anderes funktionierendes System anhänge oder muss ich zwingend diese FP als Boot-FP nutzen ?


Alt 14.05.2017, 09:39   #6
micha6944
 
PC gesperrt nach angeblichem MS-Anrufer und vermutlich etliche Dateien verschlüsselt - Standard

PC gesperrt nach angeblichem MS-Anrufer und vermutlich etliche Dateien verschlüsselt



Hallo,
ich habe das regback über die Eingabeaufforderung probiert, mir werden allerdings die 5 Dateien nicht angezeigt, was kann ich noch tun ? Passwörter habe ich auch noch ein paar probiert.....

Habe das Passwort nach weiteren zahlreichen Versuchen rausbekommen....1256 lautet es...wirklich zu simpel.....hatte mit mehr Stellen gerechnet und probiert....danke für Eure Hilfe.....muss jetzt mal rausfinden, welche Dateien verschlüsselt wurden bei mir....

Antwort

Themen zu PC gesperrt nach angeblichem MS-Anrufer und vermutlich etliche Dateien verschlüsselt
bitdefender, booten, dateien, defender, explorer, firewall, gelöscht, gesperrt, ics, micro, microsoft, ordner, passwort, programm, realtek, registry, scan, server, stick, systemwiederherstellung, temp, treiber, vista, windows, wiso




Ähnliche Themen: PC gesperrt nach angeblichem MS-Anrufer und vermutlich etliche Dateien verschlüsselt


  1. Rechner verschlüsselt, vermutlich Cryakl
    Diskussionsforum - 16.02.2017 (4)
  2. Nach angeblichem Microsoft-Anruf: PC eventuell verseucht
    Plagegeister aller Art und deren Bekämpfung - 10.02.2016 (7)
  3. Computer startet nach Virusinfektion nicht mehr, Dateien auch auf Netzlaufwerk sind verschlüsselt
    Log-Analyse und Auswertung - 02.06.2014 (9)
  4. Dateien nach Trojaner verschlüsselt enc.rft
    Plagegeister aller Art und deren Bekämpfung - 26.03.2014 (1)
  5. Dateien nach Bundespolizei Trojaner verschlüsselt
    Log-Analyse und Auswertung - 17.01.2014 (15)
  6. Dateien nach Virus verschlüsselt?
    Plagegeister aller Art und deren Bekämpfung - 27.05.2013 (12)
  7. Dateien verschlüsselt nach Trojanerinfizierung (TR/Crypt.XPACK.Gen8, TR/Matsnu.EB.98)
    Plagegeister aller Art und deren Bekämpfung - 26.01.2013 (1)
  8. Dateien verschlüsselt nach verschlüsselungstrojaner
    Plagegeister aller Art und deren Bekämpfung - 17.09.2012 (1)
  9. nach trojaner dateien verschlüsselt
    Plagegeister aller Art und deren Bekämpfung - 10.09.2012 (1)
  10. Dateien verschlüsselt nach Mail von flirt-fever
    Plagegeister aller Art und deren Bekämpfung - 29.06.2012 (8)
  11. Nach Virusbefall Dateien verschlüsselt und absolut unbrauchbare Dateinamen #2
    Plagegeister aller Art und deren Bekämpfung - 07.06.2012 (1)
  12. Nach neuem Trojaner alle Dateien verschlüsselt!
    Plagegeister aller Art und deren Bekämpfung - 04.06.2012 (32)
  13. Windows Update Virus, Nach Beseitigung bleiben eigene Dateien und Fotos verschlüsselt!
    Log-Analyse und Auswertung - 24.05.2012 (1)
  14. Nach einer Rechnungsmail sind alle jpq Dateien umbenannt und verschlüsselt
    Plagegeister aller Art und deren Bekämpfung - 22.05.2012 (2)
  15. Nach Virusbefall Dateien verschlüsselt und absolut unbrauchbare Dateinamen
    Plagegeister aller Art und deren Bekämpfung - 18.05.2012 (0)
  16. Penny.de nach angeblichem Hackerangriff offline
    Nachrichten - 20.07.2011 (0)
  17. nach Formatieren fehlen etliche Dateien
    Alles rund um Windows - 21.04.2007 (3)

Zum Thema PC gesperrt nach angeblichem MS-Anrufer und vermutlich etliche Dateien verschlüsselt - Hallo, ich kann meinen PC mit WIN10 nicht mehr booten, seit dem 28.01.17 erscheint ein Fenster mit "Kennwort für Systemstart erforderlich" , sofort zu Beginn vor dem booten. Ich hatte - PC gesperrt nach angeblichem MS-Anrufer und vermutlich etliche Dateien verschlüsselt...
Archiv
Du betrachtest: PC gesperrt nach angeblichem MS-Anrufer und vermutlich etliche Dateien verschlüsselt auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.