Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   PC gesperrt nach Anruf falscher Windowsmitarbeiter (https://www.trojaner-board.de/174315-pc-gesperrt-anruf-falscher-windowsmitarbeiter.html)

joamar53 18.12.2015 20:51

PC gesperrt nach Anruf falscher Windowsmitarbeiter
 
Hallo,

auch ich bin auf die Masche mit den Microsoft- Mitarbeitern reingefallen. Dieser hat sich gleich auf 2 PC aufgeschaltet und nun ist Windows gesperrt durch ein Kennwort.
Es wurden sehr viele Fehlermeldungen aufgezeigt, die angeblich durch das abgelaufene Windows- Zertifikat entstehen konnten. Ich wurde aufgefordert eine Zahlung von 138,-€ zu leisten.
Als ich den Betrug erkannte, habe ich sofort beide PC ausgeschaltet, aber zu spät. Auf einem PC läuft windows XP und auf dem anderen Windows 10.
Beide sind nun gesperrt.
Da ich nicht so firm bin, hoffe ich hier Hilfe zu bekommen.

Deathkid535 18.12.2015 21:40

:hallo:

Mein Name ist Dennis und ich werde dir bei der Bereinigung helfen.

Bitte beachte, dass es ein paar Regeln gibt:
  • Bitte lies meine Posts komplett durch bevor du sie abarbeitest
  • Wenn ein Problem auftauchen sollte, unterbreche deine Arbeit, poste die entstandenen Logs und schildere dieses so genau wie möglich.
  • Bitte kein Crossposting
  • Installiere oder Deinstalliere keine Software ohne Aufforderung
  • Bitte verwende nur die Tools welche hier im Thread erwähnt werden
  • Antworte innerhalb von 24h um eine sinnvolle Bereinigung zu ermöglichen
  • Poste die Logs immer in CODE-Tags (#-Button), zur Not die Logs einfach aufteilen

Siehst du so einen Screen?

http://www.passcape.com/images/syske...p_password.png

Scan mit Farbar's Recovery Scan Tool (Recovery Mode - Windows Vista, 7, 8)
Hinweise für Windows 8-Nutzer: Anleitung 1 (FRST-Variante) und Anleitung 2 (zweiter Teil)
  • Downloade dir bitte die passende Version des Tools (im Zweifel beide) und speichere diese auf einen USB Stick: FRST Download FRST 32-Bit | FRST 64-Bit
  • Schließe den USB Stick an das infizierte System an und boote das System in die System Reparatur Option.
  • Scanne jetzt nach der bebilderten Anleitung oder verwende die folgende Kurzanleitung:
Über den Boot Manager:
  • Starte den Rechner neu.
  • Während dem Hochfahren drücke mehrmals die F8 Taste
  • Wähle nun Computer reparieren.
  • Wähle dein Betriebssystem und Benutzerkonto und klicke jeweils "Weiter".
Mit Windows CD/DVD (auch bei Windows 8 möglich):
  • Lege die Windows CD in dein Laufwerk.
  • Starte den Rechner neu und starte von der CD.
  • Wähle die Spracheinstellungen und klicke "Weiter".
  • Klicke auf Computerreparaturoptionen !
  • Wähle dein Betriebssystem und Benutzerkonto und klicke jeweils "Weiter".
Wähle in den Reparaturoptionen: Eingabeaufforderung
  • Gib nun bitte notepad ein und drücke Enter.
  • Im öffnenden Textdokument: Datei > Speichern unter... und wähle Computer.
    Hier wird dir der Laufwerksbuchstabe deines USB Sticks angezeigt, merke ihn dir.
  • Schließe Notepad wieder
  • Gib nun bitte folgenden Befehl ein.
    e:\frst.exe bzw. e:\frst64.exe
    Hinweis: e steht für den Laufwerksbuchstaben deines USB Sticks, den du dir gemerkt hast. Gegebenfalls anpassen.
  • Akzeptiere den Disclaimer mit Ja und klicke Untersuchen
Das Tool erstellt eine FRST.txt auf deinem USB Stick. Poste den Inhalt bitte hier nach Möglichkeit in Code-Tags (Anleitung).


joamar53 19.12.2015 17:54

Hallo Dennis,

ich möchte mich erst einmal für Deine zugesagte Hilfe bedanken. Ich habe mich jedoch entschlossen alles platt zu machen, komplett zu formatieren und dann neu aufspielen. Ich denke, dies ist für mich die beste Lösung. Alle für mich relevanten Daten habe ich extern . Die Festplatte habe ich bereits formatiert.
Trotzdem vielen Dank für die schnell angebotene Hilfe.

Deathkid535 20.12.2015 11:45

Alles klar :)

Wenn du unbedingt wieder Windows XP installieren willst, dann darfst du auf keinen Fall mehr mit dem ins Internet! Alternativ könntest du ein Linux installieren, falls der Rechner zu schwach ist.

joamar53 25.12.2015 09:14

Hallo Dennis,
erst einmal ein frohes Fest.
Nach Deiner Antwort mache ich mir doch Sorgen. Unterschätze ich das Ausmaß dieser Sperrung? Ich dachte nach der Formatierung ist das Problem erledigt.
Und bezieht sich das nur auf Windows XP oder generell auf Windows?

Gruß und schöne Feiertage
Achim !

Deathkid535 25.12.2015 11:08

Hi,

Danke, wünsche dir ebenfalls schöne Feiertage! http://www.world-of-smilies.com/wos_.../xlt_smile.gif

Falls die Sperre so ausgesehen hat wie in dem Bild von oben, dann ist das eine Syskey Sperre. Das ist grundsätzlich ein Windows Feature, wurde aber oft von Fake-Windowsmitarbeitern ausgenutzt. Das kann aber umgangen werden, wenn man weiss wie ;)

Das Problem ist hier Windows XP. Es bekommt seit April 2014 keine Updates mehr. Das heisst, alle Sicherheitslücken die drin sind, ob mittlerweile bekannt oder unbekannt, werden nicht mehr geschlossen. Wenn du dir Statistiken anschaust, dann siehst du, dass XP noch von mehr als 10% der Leute genutzt wird. Für Malware-Autoren ein leichtes Spiel, weil die bekannten Lücken die gleichen sind. Du musst nur auf eine präparierte Website gehen und hast schon einen Befall.

Du kannst genauso gut alle deine Passwörter an dein Adressbuch versenden und dazuschreiben, dass die Empfänger dieses auch gleich an alle bekannten weiterversenden sollen. Wenn du XP nur Offline verwendest, also zum Beispiel für Office, ist das aber OK. Online ist sehr riskant und fahrlässig.

Falls der Rechner zu schwach für eine neuere Windows-Version ist, dann gibt es sehr empfehlenswerte Linux-Distributionen: Ubuntu, Ubuntu Mate, Linux Mint, Elementary OS und viele mehr.

joamar53 25.12.2015 19:00

Hallo Dennis,

danke, dass Du trotz der Feiertage auf meine Anfrage geantwortet hast und mich vor vielleicht einer grossen Dummheit bewahrt hast.
Die Festplatte ist ja nun formatiert. Wenn ich ein anderes System, z.B. Windows 7 aufspielen könnte, kann ich dann davon ausgehen, dass ich erst einmal den Angriff der angeblichen Windowsmitarbeiter abgewehrt habe, oder könnte es da noch Probleme geben?

nochmal Danke und
Grüße

Achim

Deathkid535 25.12.2015 23:56

Hi,

Also ich denk wenn ich den Ablauf nochmal genau erklär erübrigt sich die Frage ;)

Irgendjemand sitzt vor einem Telefon und ruft einfach zufällige Nummern an, bis einmal abgehoben wird. Und das bist in dem Fall genau du. Er instruiert dich, auf irgendwelche Seiten/Einstellungsmenüs zu gehen wo in der Art steht: "Es wurden 500 Fehler gefunden". Natürlich beunruhigt fragst du was du tun kannst. Er will sich das jetzt selbst ansehen und lässt dich eine Remote-Control Software (z.B. TeamViewer) installieren, um deinen Computer fernsteuern zu können. Daraufhin sperrt er deinen PC mit Syskey und verlangt Geld für die Entsperrung.

Ob er jetzt noch Malware draufgeladen hat oder nicht kann ich nicht sagen. Aber grundsätzlich geht nach einer Formatierung keine Gefahr mehr aus, vor allem jetzt, wo du weisst, dass es solche Betrügermaschen gibt. Windows ruft in der Regel nicht an, dafür sind die viel zu beschäftigt :lach:

joamar53 26.12.2015 10:28

Hallo Dennis,

alles klar, dann wünsche ich noch einen guten Rutsch ins neue Jahr.

Gruß

Achim !

Deathkid535 27.12.2015 10:22

Hi,

sehr schön, dann gibts noch ein paar Abschluss-Tipps von mir :)

Schritt # 1: Empfohlene Software

Habe immer ein aktuelles Antivirenprogramm deiner Wahl installiert und aktiviere die automatischen Updates (standardmäßig eingeschaltet).

Ich empfehle:

Verwende nach Möglichkeit nicht den Internet Explorer, da dieser viele Sicherheitslücken enthält. Achte aber darauf, dass er immer up to date bleibt, weil viele Programme diesen zum Anzeigen von Websites benutzen.

Alternativ kannst du verwenden:Dazu sind folgende Add-ons empfehlenswert:

http://i1366.photobucket.com/albums/...psgqd3flcy.pnguBlock Origin (Chrome) --> Blockiert Werbung. Werbung kann sehr nervig sein, aber auch auf schädliche Links verweisen. uBlock ist effizienter als der Konkurrent AdblockPlus.
http://filepony.de/icon/tiny/ghostery_chrome.pngGhostery --> Blockiert Tracker und Cookies, welche dich im Internet nachverfolgen können. Stelle jedoch bei der Installation sicher, dass du Ghostrank nicht zustimmst.

Du kannst auch http://filepony.de/icon/tiny/malware...ti_exploit.pngMalwarebytes Anti-Exploit verwenden, um aktuelle Sicherheitslücken zu stopfen.

Halte immer deine Plug-ins und Software aktuell, vor allem:Du kannst diese komfortabel regelmäßig hiermit überprüfen:

PluginCheck
Filehippo App Manager



Schritt # 2: Tipps um eine Neuinfektion zu vermeiden

Downloade nach Möglichkeit immer direkt von der Herstellerseite oder alternativ von einem sauberen Download-Portal wie FilePony.de. Von Downloadern wie die von Chip, Softonic und Sourceforge raten wir ab: CHIP-Installer - was ist das? - Anleitungen

Auch versuchen sich immer mehr Programme durch Installationsroutinen auf den PC "durchzumogeln". Das klappt ganz gut, weil viele Anwender sich diese nicht genau durchlesen und schnell durchklicken. Manchmal steht auch in den Lizenzvereinbarungen, dass ein Programm, was eigentlich als Freeware angepriesen wird, nur genutzt werden kann, wenn man sich bestimmte Toolbars oder andere Programme mitinstallieren lässt.
Da hilft es nur aufmerksam zu sein.

Ein Tool, welches dich dabei gut unterstützen kann, ist: http://filepony.de/icon/tiny/unchecky.pngUnchecky. Dieses überwacht im Hintergrund Installationsprozesse und hakt automatisch nervige Adwarekomponenten wie Toolbars ab. Falls man etwas übersieht, warnt noch ein Pop-up, bevor man fortfahren kann.

Wir raten von jeglichen Optimizern, Cleanern, SpeedUps und Ähnlichem ab, da diese Softwareprodukte meist keinen Performancegewinn bringen. Du kannst jedoch regelmäßig deinen PC mit der windowsinternen Datenträgerbereinigung behandeln.

Überprüfe regelmäßig (mind. 1x pro Monat) deinen PC mit http://filepony.de/icon/tiny/malware...ti_malware.png Malwarebytes Anti-Malware und http://filepony.de/icon/tiny/eset_online_scanner.pngESET.

Falls du dir unsicher bist, ob ein Download wirklich sauber ist, kannst du immer https://www.virustotal.com/ zurate ziehen.



Schritt # 3: Unterstütze uns!

Wenn du uns mit einer kleinen Spende unterstützen möchtest, so kannst du dies hier tun: http://www.trojaner-board.de/79994-s...ndenkonto.html :party:

Es reicht aber auch schon ein simples :dankeschoen: hier, wenn du mit uns zufrieden warst. :)

http://3.bp.blogspot.com/--h4eLCX9kl...ike-symbol.png unsere Facebook-Seite!

Bitte gib mir bescheid, wenn du das alles gelesen hast und alles klar ist, damit ich dieses Thema aus meinen Abos löschen kann.


Alle Zeitangaben in WEZ +1. Es ist jetzt 22:28 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131