Laptop bereinigen nach "Microsoft-Anruf"
 

Hallo Trojaner-Team,

vor ein paar Tagen wurde der Acer-Laptop (Win7 x64 Home Edition) meiner Mutter nach einem für sie vermeintlichen Microsoft-Anruf (ca. 1 Std. Gespräch mit diversen "Mitarbeitern") mit einer Passwort-Zugangssperre versehen, ziemlich genau nach dem Ablauf in diesem Artikel:
hxxp://www.faz.net/aktuell/technik-motor/computer-internet/abzock-methode-von-vermeintlichen-microsoft-mitarbeitern-14044415.html

Zum Glück wurde sie bei der Aufforderung dass sie für Sicherheitsupdates zahlen sollte stutzig und hat die Verbindung gekappt. Die Typen haben danach noch mehrmals versucht anzurufen.

Zwischenzeitlich war während des Gesprächs leider eine Teamviewer-Verbindung mit den Herrschaften aktiv (den Teamviewer hatte ich ihr einmal für meinen Fernsupport installiert), sodass ich momentan nicht genau weiß was da alles im Argen liegt und während des Gesprächs installiert/ausgelesen/versteckt wurde.

Was ich bisher gemacht habe:

• Rechner über die Systemwiederherstellung auf den letzten Wiederherstellungspunkt zurückgesetzt und damit den installierten Fremd-Syskey wieder ausgehebelt, der Rechner startet jetzt wieder ohne die installierte Fremd-Passwort-Abfrage
• Hier im Forum bei einem ähnlichen Fall eingelesen und schon einmal die Tools auf CD heruntergeladen, der Laptop kommt mir erstmal nicht wieder ins Internet
• Mit diversen Live-CDs (Antivir, Kaspersky, Norton, AVG, Windows Defender Offline...) das System durchgecheckt, die haben aber alle bisher keine Malware gefunden
• Antivir deinstalliert, da es nach der Systemwiederherstellung deaktiviert war und nicht richtig funktionierte und zusammen mit den aktuellen Definitionen über eine CD neu installiert
• Alle Passwörter geändert, Bank-Karten etc. gesperrt und die Polizei informiert

Jetzt hoffe ich auf Eure Hilfe um das System wenn möglich im bestehenden Zustand wieder sauber zu bekommen.
Ich weiß dass eigentlich eine neue Installation von Windows am besten wäre, nur hole ich mir nacher über die (leider erst noch) zu sichernden Daten wieder die Malware mit rein.

Vielen Dank schon eimal vorab für den Support.

Mit freundlichen Grüßen
Jpcony

:hallo:

Mein Name ist Jürgen und ich werde Dir bei Deinem Problem behilflich sein. Zusammen schaffen wir das...:abklatsch:

• Bitte arbeite alle Schritte der Reihe nach ab.
• Lies die Anleitungen sorgfältig durch bevor Du beginnst. Wenn es Probleme gibt oder Du etwas nicht verstehst, dann stoppe mit Deiner Ausführung und beschreibe mir das Problem.
• Führe bitte nur Scans durch, zu denen Du von mir aufgefordert wurdest.
• Bitte kein Crossposting (posten in mehreren Foren).
• Installiere oder deinstalliere während der Bereinigung keine Software, außer Du wurdest dazu aufgefordert.
• Speichere alle unsere Tools auf dem Desktop ab. Link: So ladet Ihr unsere Tools richtig
• Poste die Logfiles direkt in Deinen Thread in Code-Tags.
• Bedenke, dass wir hier alle während unserer Freizeit tätig sind, wenn du innerhalb von 24 Stunden nichts von mir liest, dann schreibe mir bitte eine PM.

Los geht's:

Schritt 1
http://filepony.de/icon/frst.pnghttp://deeprybka.trojaner-board.de/b...e/frst/sn1.PNG

Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop: FRST 32-Bit | FRST 64-Bit
(Wenn du nicht sicher bist: Lade beide Versionen oder unter Start > Computer (Rechtsklick) > Eigenschaften nachschauen)

• Starte jetzt FRST.
• Ändere ungefragt keine der Checkboxen und klicke auf Untersuchen.
• Die Logdateien werden nun erstellt und befinden sich danach auf deinem Desktop.
• Poste mir die FRST.txt und nach dem ersten Scan auch die Addition.txt in deinem Thread (#-Symbol im Eingabefenster der Webseite anklicken)

Hallo Jürgen,

vielen Dank für Deine Hilfe.
Anbei die gewünschten Log-Dateien.

Hier Teil 2, die Datei war zu groß:

Und die Addition:

Wie kommst Du darauf? Wenn Du mit ner Live-CD bootest und private Dateien und Bilder sicherst, kann nicht viel passieren.

Wenn jemand direkten Zugriff auf den PC hatte, dann können dort Sachen laufen, die von keinem Scanner gefunden werden. Auch nicht von uns.

Also Mittel der Wahl ist hier eindeutig die neue Windows-Installation wenn - wie bereits von Dir erwähnt - Banking & sensible Logins durchgeführt werden. Klassische Malware wird in solchen Fällen von den Angreifern ja nicht verwendet.

Hallo Jürgen,

ich dachte nur dass evtl. Malware oder was auch immer die da installiert haben über die Dateien selbst wieder mit ins neue System kommen könnte.
In dem anfangs verlinkten Artikel steht ja zudem etwas von "einnisten unterhalb des Betriebssystems" auf Bios, Festplatten oder CD-Firmware Ebene. Keine Ahnung ob Scanner sowas finden würden...

Die wichtigen Sachen per Live-CD zu sichern wäre natürlich eine Möglichkeit. Kann ich danach die Wiederherstellungspartition von Acer benutzen, oder sollte ich alles komplett platt machen?
Dann müsste ich mich erstmal nach den mitgelieferten Treibern, der Installationsreihenfolge und den BS-CDs umsehen, ich weiß grad nicht wie Acer das handhabt oder ob die komplett auf die Recovery-Partition setzen.

Zeigt denn einer der Scans Auffälligkeiten, bzw. wonach guckt ihr genau in den Logs?

Gruß Jpcony

PS: Die haben heut nochmal angerufen, bei dem Wort "Polizei" aber ganz schnell aufhehängt :aufsmaul:

Ich würde gleich alles plattmachen. Evtl. auch gleich auf Windows 10 umsteigen.

Hallo Jürgen,

ich hab noch 3 Recovery Scheiben von damals gefunden, muss mal sehen ob da das BS auch bei ist, ich denke aber schon. Hatte die damals zur Sicherung nach Anleitung gebrannt.

Von Win10 halte ich nicht besonders viel, der Rechner würde das wahrschinlich sowieso nicht stemmen können, der ist schon zu alt...

Also mach ich das Ding platt :killpc:, danke für die Hilfe.

Gruß Jpcony

Alles klar. :)