Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   PC gesperrt nach angeblichem MS-Anrufer und vermutlich etliche Dateien verschlüsselt (https://www.trojaner-board.de/185495-pc-gesperrt-angeblichem-ms-anrufer-vermutlich-etliche-dateien-verschluesselt.html)

micha6944 08.05.2017 16:54
PC gesperrt nach angeblichem MS-Anrufer und vermutlich etliche Dateien verschlüsselt
 
Liste der Anhänge anzeigen (Anzahl: 1)
Hallo,
ich kann meinen PC mit WIN10 nicht mehr booten, seit dem 28.01.17 erscheint ein Fenster mit "Kennwort für Systemstart erforderlich" , sofort zu Beginn vor dem booten.

Ich hatte Kontakt mit Dennis (Deathkid535) aufgenommen, der mir mitteilte, dass ich einen Scan mit FRST machen und das posten soll. Außerdem hat er gesagt, dass der Helfer mal eine Systemwiederherstellung und ein LastRegBack versuchen soll.

Mit Hilfe eines ähnlichen Beitrages habe ich versucht, dass Passwort mit Passcape ausfindig zu machen. Es wurde mir folgendes angezeigt:

125 <DEMO VERSION>

...das mit der Demo bezieht wohl auf das eingesetzte Programm, oder ?

Habe verschiedene PW ausprobiert wie support125 etc....leider ohne Erfolg.

Bei meinem FRST-Scan kam folgendes raus:

Code:
Untersuchungsergebnis von Farbar Recovery Scan Tool (FRST) (x64) Version:13-04-2016
durchgeführt von SYSTEM auf MININT-OTLLGP9 (08-05-2017 16:04:04)
Gestartet von j:\FRST
Platform: Windows 10 Pro (X64) Sprache: Deutsch (Deutschland)
Internet Explorer Version 11
Start-Modus: Recovery
Standard: ControlSet001
ACHTUNG!:=====> Wenn das System startfähig ist sollte FRST im normalen oder abgesicherten Modus ausgeführt werden, um ein vollständiges Ergebnis zu erhalten.

Anleitung für Farbar Recovery Scan Tool: hxxp://www.geekstogo.com/forum/topic/335081-frst-tutorial-how-to-use-farbar-recovery-scan-tool/

==================== Registry (Nicht auf der Ausnahmeliste) ===========================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Registryeintrag auf den Standardwert zurückgesetzt oder entfernt. Die Datei wird nicht verschoben.)

HKLM\...\Run: [RTHDVCPL] => C:\Program Files\Realtek\Audio\HDA\RtkNGUI64.exe [8492800 2015-06-24] (Realtek Semiconductor)
HKLM\...\Run: [RtHDVBg_DTS] => C:\Program Files\Realtek\Audio\HDA\RAVBg64.exe [1402624 2015-06-24] (Realtek Semiconductor)
HKLM\...\Run: [AdobeAAMUpdater-1.0] => C:\Program Files (x86)\Common Files\Adobe\OOBE\PDApp\UWA\UpdaterStartupUtility.exe [508128 2016-01-07] (Adobe Systems Incorporated)
HKLM\...\Run: [iTunesHelper] => C:\Program Files\iTunes\iTunesHelper.exe [176440 2016-12-06] (Apple Inc.)
HKLM-x32\...\Run: [StartCCC] => C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\amd64\CLIStart.exe [767176 2015-11-04] (Advanced Micro Devices, Inc.)
HKLM-x32\...\Run: [] => [X]
HKLM-x32\...\Run: [Acrobat Assistant 8.0] => C:\Program Files (x86)\Adobe\Acrobat 11.0\Acrobat\Acrotray.exe [3498720 2016-10-01] (Adobe Systems Inc.)
HKLM-x32\...\Run: [AVMWlanClient] => C:\Program Files (x86)\avmwlanstick\FRITZWLANMini.exe [937984 2015-07-31] (AVM Berlin)
HKLM-x32\...\Run: [ProductUpdater] => C:\Program Files (x86)\Common Files\Freemake Shared\ProductUpdater\ProductUpdater.exe [75264 2016-03-29] ()
HKLM-x32\...\Run: [ConnectionCenter] => C:\Program Files (x86)\Citrix\ICA Client\concentr.exe [407904 2015-04-08] (Citrix Systems, Inc.)
HKLM-x32\...\Run: [Redirector] => C:\Program Files (x86)\Citrix\ICA Client\redirector.exe [153952 2015-04-08] (Citrix Systems, Inc.)
HKLM-x32\...\Run: [SunJavaUpdateSched] => C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe [595992 2016-05-20] (Oracle Corporation)
HKLM-x32\...\Run: [KeePass 2 PreLoad] => C:\Program Files (x86)\KeePass Password Safe 2\KeePass.exe [2779136 2016-06-11] (Dominik Reichl)
HKLM-x32\...\Run: [AvgUi] => C:\Program Files (x86)\AVG\Framework\Common\avguirna.exe [240400 2016-12-06] (AVG Technologies CZ, s.r.o.)
HKLM-x32\...\Run: [CanonQuickMenu] => C:\Program Files (x86)\Canon\Quick Menu\CNQMMAIN.EXE [1314432 2016-06-09] (CANON INC.)
HKU\DefaultAppPool\...\RunOnce: [WAB Migrate] => C:\Program Files\Windows Mail\wab.exe [517632 2015-10-30] (Microsoft Corporation)
HKU\micha\...\Run: [CAHeadless] => C:\Program Files (x86)\Adobe\Elements 12 Organizer\CAHeadless\ElementsAutoAnalyzer.exe [1401064 2015-08-22] (Adobe Systems Incorporated)
IFEO\AcroRd32.exe: [Debugger] "C:\Program Files (x86)\AVG\AVG PC TuneUp\TUAutoReactivator64.exe"
IFEO\dacfgwz.exe: [Debugger] "C:\Program Files (x86)\AVG\AVG PC TuneUp\TUAutoReactivator64.exe"
IFEO\dago.exe: [Debugger] "C:\Program Files (x86)\AVG\AVG PC TuneUp\TUAutoReactivator64.exe"
IFEO\fritzwlanmini.exe: [Debugger] "C:\Program Files (x86)\AVG\AVG PC TuneUp\TUAutoReactivator64.exe"
IFEO\helpdesk.exe: [Debugger] "C:\Program Files (x86)\AVG\AVG PC TuneUp\TUAutoReactivator64.exe"
IFEO\itunes.exe: [Debugger] "C:\Program Files (x86)\AVG\AVG PC TuneUp\TUAutoReactivator64.exe"
IFEO\javacpl.exe: [Debugger] "C:\Program Files (x86)\AVG\AVG PC TuneUp\TUAutoReactivator64.exe"
IFEO\javaw.exe: [Debugger] "C:\Program Files (x86)\AVG\AVG PC TuneUp\TUAutoReactivator64.exe"
IFEO\javaws.exe: [Debugger] "C:\Program Files (x86)\AVG\AVG PC TuneUp\TUAutoReactivator64.exe"
IFEO\keepass.exe: [Debugger] "C:\Program Files (x86)\AVG\AVG PC TuneUp\TUAutoReactivator64.exe"
IFEO\landingpage.exe: [Debugger] "C:\Program Files (x86)\AVG\AVG PC TuneUp\TUAutoReactivator64.exe"
IFEO\launcher.exe: [Debugger] "C:\Program Files (x86)\AVG\AVG PC TuneUp\TUAutoReactivator64.exe"
IFEO\lxupdatemanager.exe: [Debugger] "C:\Program Files (x86)\AVG\AVG PC TuneUp\TUAutoReactivator64.exe"
IFEO\mmdbtool.exe: [Debugger] "C:\Program Files (x86)\AVG\AVG PC TuneUp\TUAutoReactivator64.exe"
IFEO\pbplaner.exe: [Debugger] "C:\Program Files (x86)\AVG\AVG PC TuneUp\TUAutoReactivator64.exe"
IFEO\pbrestore.exe: [Debugger] "C:\Program Files (x86)\AVG\AVG PC TuneUp\TUAutoReactivator64.exe"
IFEO\persbackup.exe: [Debugger] "C:\Program Files (x86)\AVG\AVG PC TuneUp\TUAutoReactivator64.exe"
IFEO\setup.exe: [Debugger] "C:\Program Files (x86)\AVG\AVG PC TuneUp\TUAutoReactivator64.exe"
IFEO\sysdiag.exe: [Debugger] "C:\Program Files (x86)\AVG\AVG PC TuneUp\TUAutoReactivator64.exe"
IFEO\teamviewerqs_de.exe: [Debugger] "C:\Program Files (x86)\AVG\AVG PC TuneUp\TUAutoReactivator64.exe"
IFEO\timercfg.exe: [Debugger] "C:\Program Files (x86)\AVG\AVG PC TuneUp\TUAutoReactivator64.exe"
IFEO\unins000.exe: [Debugger] "C:\Program Files (x86)\AVG\AVG PC TuneUp\TUAutoReactivator64.exe"
IFEO\update.exe: [Debugger] "C:\Program Files (x86)\AVG\AVG PC TuneUp\TUAutoReactivator64.exe"
IFEO\wbstart.exe: [Debugger] "C:\Program Files (x86)\AVG\AVG PC TuneUp\TUAutoReactivator64.exe"
IFEO\wlangui.exe: [Debugger] "C:\Program Files (x86)\AVG\AVG PC TuneUp\TUAutoReactivator64.exe"

==================== Dienste (Nicht auf der Ausnahmeliste) ========================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)

S2 AdobeActiveFileMonitor12.0; C:\Program Files (x86)\Adobe\Elements 12 Organizer\PhotoshopElementsFileAgent.exe [181152 2013-09-03] (Adobe Systems Incorporated)
S2 AGSService; C:\Program Files (x86)\Common Files\Adobe\AdobeGCClient\AGSService.exe [2021592 2016-04-05] (Adobe Systems, Incorporated)
S2 AMD FUEL Service; C:\Program Files\ATI Technologies\ATI.ACE\Fuel\Fuel.Service.exe [351944 2015-11-04] (Advanced Micro Devices, Inc.)
S4 Apple Mobile Device Service; C:\Program Files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe [83768 2016-09-22] (Apple Inc.)
S2 avgsvc; C:\Program Files (x86)\AVG\Framework\Common\avgsvca.exe [1146128 2016-12-06] (AVG Technologies CZ, s.r.o.)
S4 AvmSwitchUsb; C:\Program Files (x86)\avmwlanstick\AVMSwitchUsb.exe [125440 2015-07-31] ()
S2 chip1click; C:\Program Files (x86)\Chip Digital GmbH\chip1click\chip 1-click installer.exe [91136 2016-10-27] (Chip Digital GmbH)
S2 ClickToRunSvc; C:\Program Files\Microsoft Office 15\ClientX64\OfficeClickToRun.exe [3042032 2016-12-13] (Microsoft Corporation)
S4 DTSAudioSvc; C:\Program Files\Realtek\Audio\HDA\DTSU2PAuSrv64.exe [249328 2015-06-24] (DTS, Inc)
S2 HvHost; C:\Windows\System32\hvhostsvc.dll [61440 2016-05-29] (Microsoft Corporation)
S2 MSSQL$WBINSTANCE; C:\Program Files (x86)\Microsoft SQL Server\MSSQL10_50.WBINSTANCE\MSSQL\Binn\sqlservr.exe [43130032 2015-03-29] (Microsoft Corporation)
S2 ProductAgentService; C:\Program Files\Bitdefender Agent\ProductAgentService.exe [1100392 2016-10-28] (Bitdefender)
S4 SQLAgent$WBINSTANCE; C:\Program Files (x86)\Microsoft SQL Server\MSSQL10_50.WBINSTANCE\MSSQL\Binn\SQLAGENT.EXE [381104 2015-03-29] (Microsoft Corporation)
S2 TuneUp.UtilitiesSvc; C:\Program Files (x86)\AVG\AVG PC TuneUp\TuneUpUtilitiesService64.exe [5907216 2017-01-09] (AVG Technologies CZ, s.r.o.)
S2 UPDATESRV; C:\Program Files\Bitdefender\Bitdefender 2017\updatesrv.exe [218416 2017-01-18] (Bitdefender)
S3 vmcompute; C:\Windows\system32\vmcompute.exe [1142272 2016-09-07] (Microsoft Corporation)
S2 vmms; C:\Windows\system32\vmms.exe [14384640 2016-10-25] (Microsoft Corporation)
S2 VSSERV; C:\Program Files\Bitdefender\Bitdefender 2017\vsserv.exe [1526528 2017-01-18] (Bitdefender)
S2 vsservp; C:\Program Files\Bitdefender\Bitdefender 2017\vsservp.exe [524872 2016-08-25] (Bitdefender)
S4 WB14WatchDog; C:\Program Files (x86)\Buhl\WISO Börse 2014\bin\watchdog.exe [1255816 2013-09-30] (vwd Vereinigte Wirtschaftsdienste AG)
S3 WdNisSvc; C:\Program Files\Windows Defender\NisSrv.exe [364464 2016-10-25] (Microsoft Corporation)
S3 WinDefend; C:\Program Files\Windows Defender\MsMpEng.exe [24864 2016-10-25] (Microsoft Corporation)

===================== Treiber (Nicht auf der Ausnahmeliste) ==========================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)

S2 AODDriver4.3; C:\Program Files\ATI Technologies\ATI.ACE\Fuel\amd64\AODDriver2.sys [59616 2014-02-11] (Advanced Micro Devices)
S3 AtiHDAudioService; C:\Windows\system32\drivers\AtihdWT6.sys [102912 2015-05-28] (Advanced Micro Devices)
S0 avc3; C:\Windows\System32\DRIVERS\avc3.sys [1605376 2016-09-20] (BitDefender)
S3 avckf; C:\Windows\System32\DRIVERS\avckf.sys [878072 2016-09-20] (BitDefender)
S3 AVMCOWAN; C:\Windows\system32\DRIVERS\AVMCOWAN.sys [82432 2012-07-19] (AVM GmbH)
S0 bdelam; C:\Windows\System32\drivers\bdelam.sys [23672 2016-03-14] (Bitdefender)
S1 bdfwfpf; C:\Program Files\Common Files\Bitdefender\Bitdefender Firewall\bdfwfpf.sys [128400 2016-06-24] (BitDefender LLC)
S1 BDVEDISK; C:\Windows\system32\DRIVERS\bdvedisk.sys [87912 2015-12-04] (BitDefender)
S3 dg_ssudbus; C:\Windows\system32\DRIVERS\ssudbus.sys [131712 2016-09-05] (Samsung Electronics Co., Ltd.)
S3 fpcibase; C:\Windows\system32\DRIVERS\fpcibase.sys [649344 2012-07-19] (AVM Berlin)
S3 fwlanusb6_860; C:\Windows\system32\DRIVERS\fwlanusb6_860.sys [2242720 2015-07-31] (AVM GmbH)
S3 fwlanusbn; C:\Windows\system32\DRIVERS\fwlanusbn.sys [714368 2010-10-22] (AVM GmbH)
S0 gzflt; C:\Windows\System32\DRIVERS\gzflt.sys [182944 2016-10-29] (BitDefender LLC)
S1 hvservice; C:\Windows\System32\drivers\hvservice.sys [71008 2016-05-29] (Microsoft Corporation)
S0 ignis; C:\Windows\system32\DRIVERS\ignis.sys [309280 2017-01-18] (Bitdefender)
S3 lunparser; C:\Windows\System32\drivers\lunparser.sys [22528 2016-05-29] (Microsoft Corporation)
S3 NdisImPlatformMp; C:\Windows\System32\drivers\NdisImPlatform.sys [126976 2015-10-30] (Microsoft Corporation)
S3 passthruparser; C:\Windows\System32\drivers\passthruparser.sys [23552 2016-05-29] (Microsoft Corporation)
S3 pcip; C:\Windows\System32\drivers\pcip.sys [44544 2016-05-29] (Microsoft Corporation)
S3 pvhdparser; C:\Windows\System32\drivers\pvhdparser.sys [50176 2016-05-29] (Microsoft Corporation)
S0 PxHlpa64; C:\Windows\System32\Drivers\PxHlpa64.sys [56336 2013-07-19] (Corel Corporation)
S3 rt640x64; C:\Windows\System32\drivers\rt640x64.sys [589824 2015-10-30] (Realtek                                            )
S3 ssudmdm; C:\Windows\system32\DRIVERS\ssudmdm.sys [165504 2016-09-05] (Samsung Electronics Co., Ltd.)
S3 Synth3dVsp; C:\Windows\System32\drivers\synth3dvsp.sys [101888 2016-05-29] (Microsoft Corporation)
S0 trufos; C:\Windows\System32\DRIVERS\trufos.sys [520032 2016-06-22] (BitDefender S.R.L.)
S3 TuneUpUtilitiesDrv; C:\Program Files (x86)\AVG\AVG PC TuneUp\TuneUpUtilitiesDriver64.sys [32304 2016-11-25] (AVG Netherlands B.V.)
S3 vhdparser; C:\Windows\System32\drivers\vhdparser.sys [26624 2016-05-29] (Microsoft Corporation)
S3 vmsmp; C:\Windows\System32\drivers\vmswitch.sys [972800 2016-10-25] (Microsoft Corporation)
S2 VMSP; C:\Windows\System32\drivers\vmswitch.sys [972800 2016-10-25] (Microsoft Corporation)
S0 vmsproxy; C:\Windows\System32\drivers\vmsproxy.sys [22016 2016-05-29] (Microsoft Corporation)
S3 VMSVSF; C:\Windows\System32\drivers\vmswitch.sys [972800 2016-10-25] (Microsoft Corporation)
S3 VMSVSP; C:\Windows\System32\drivers\vmswitch.sys [972800 2016-10-25] (Microsoft Corporation)
S3 WdBoot; C:\Windows\system32\drivers\WdBoot.sys [44568 2015-10-30] (Microsoft Corporation)
S3 WdFilter; C:\Windows\system32\drivers\WdFilter.sys [293216 2015-10-30] (Microsoft Corporation)
S3 WdNisDrv; C:\Windows\System32\Drivers\WdNisDrv.sys [118112 2015-10-30] (Microsoft Corporation)
S3 WinNat; C:\Windows\System32\drivers\winnat.sys [350720 2016-05-29] (Microsoft Corporation)
S3 idsvc; kein ImagePath

==================== NetSvcs (Nicht auf der Ausnahmeliste) ===================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)


==================== Ein Monat: Erstellte Dateien und Ordner ========

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird die Datei/der Ordner verschoben.)

2017-05-08 15:51 - 2017-05-08 15:52 - 00000000 ____D C:\FRST
2017-05-03 00:57 - 2017-05-03 00:57 - 00000049 _____ C:\.directory
2017-05-03 00:52 - 2017-05-03 00:52 - 00000071 _____ C:\Windows\.directory
2017-05-03 00:26 - 2017-05-03 00:26 - 00000000 ___HD C:\$SysReset

==================== Ein Monat: Geänderte Dateien und Ordner ========

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird die Datei/der Ordner verschoben.)

2017-05-03 00:26 - 2017-01-28 17:01 - 00000000 _____ C:\Recovery.txt

Dateien, die verschoben oder gelöscht werden sollten:
====================
C:\Users\micha\pb-setup-x64-5.7.0201.exe


Einige Dateien in TEMP:
====================
C:\Users\micha\AppData\Local\Temp\kernel32.dll
C:\Users\micha\AppData\Local\Temp\MSETUP4.EXE


==================== Known DLLs (Nicht auf der Ausnahmeliste) =========================

[2015-10-30 08:17] - [2015-10-30 08:17] - 0442720 ____A (Microsoft Corporation) C:\Windows\System32\coml2.dll
[2015-10-30 08:18] - [2015-10-30 08:18] - 0358240 ____A (Microsoft Corporation) C:\Windows\SysWOW64\coml2.dll

==================== Bamital & volsnap =================

(Es ist kein automatischer Fix für Dateien vorhanden, die an der Verifikation gescheitert sind.)

C:\Windows\System32\winlogon.exe
[2016-05-29 23:11] - [2016-05-29 23:11] - 0585728 ____A (Microsoft Corporation) 5C156EC4E44E30331BCC865A3B61D839

C:\Windows\System32\wininit.exe
[2016-05-29 23:11] - [2016-05-29 23:11] - 0291360 ____A (Microsoft Corporation) C1C81AAF533552B3C4D9F11A5FF97700

C:\Windows\explorer.exe
[2016-11-11 21:52] - [2016-10-25 09:37] - 4515256 ____A (Microsoft Corporation) 7A009B9036ECF89AB57011EB615D5E1B

C:\Windows\SysWOW64\explorer.exe
[2016-11-11 21:54] - [2016-10-25 08:26] - 4074160 ____A (Microsoft Corporation) 9093B6600C625A903CBC481E8A9D49B2

C:\Windows\System32\svchost.exe
[2015-10-30 08:17] - [2015-10-30 08:17] - 0043944 ____A (Microsoft Corporation) 8497852ED44AFF902D502015792D315D

C:\Windows\SysWOW64\svchost.exe
[2015-10-30 08:18] - [2015-10-30 08:18] - 0037256 ____A (Microsoft Corporation) 6A1212077C0559029CDFB9C39580C835

C:\Windows\System32\services.exe
[2016-02-13 18:02] - [2016-02-13 18:02] - 0440152 ____A (Microsoft Corporation) 6FF8248F3A9D69A095C7F3F42BC29CB2

C:\Windows\System32\User32.dll
[2016-12-14 17:07] - [2016-11-22 11:02] - 1399216 ____A (Microsoft Corporation) EB29608D1405D016617EFEBD5B03C0F2

C:\Windows\SysWOW64\User32.dll
[2016-12-14 17:08] - [2016-11-22 09:47] - 1337240 ____A (Microsoft Corporation) EC1C204E1798C1139BA2913618B99D5D

C:\Windows\System32\userinit.exe
[2015-10-30 08:17] - [2015-10-30 08:17] - 0030720 ____A (Microsoft Corporation) 8F3ECCB5DC878FA14887B43CD148CBA9

C:\Windows\SysWOW64\userinit.exe
[2015-10-30 08:18] - [2015-10-30 08:18] - 0026112 ____A (Microsoft Corporation) A878CF325C93723B5017642E6FDB80E8

C:\Windows\System32\rpcss.dll
[2016-09-15 09:46] - [2016-09-07 05:30] - 0904704 ____A (Microsoft Corporation) 68E07DF3E6D1DFED440B82D3D33542B1

C:\Windows\System32\dnsapi.dll
[2016-05-29 23:11] - [2016-05-29 23:11] - 0686976 ____A (Microsoft Corporation) 9A3E17CDB177913C2A111C80F3D0DBB4

C:\Windows\SysWOW64\dnsapi.dll
[2016-05-29 23:11] - [2016-05-29 23:11] - 0535080 ____A (Microsoft Corporation) 6A7ACABAE92C837F5C1330188EAE36AE

C:\Windows\System32\Drivers\volsnap.sys
[2015-10-30 08:17] - [2015-10-30 08:17] - 0414560 ____A (Microsoft Corporation) E1F91A727A04C9F8199D04FF3BBBF63C


==================== EXE Verknüpfungen (Nicht auf der Ausnahmeliste) =============


==================== Wiederherstellungspunkte =========================


==================== Speicherinformationen ===========================

Prozentuale Nutzung des RAM: 10%
Installierter physikalischer RAM: 8093.57 MB
Verfügbarer physikalischer RAM: 7256.2 MB
Summe virtueller Speicher: 8093.57 MB
Verfügbarer virtueller Speicher: 7291.18 MB

==================== Laufwerke ================================

Drive c: () (Fixed) (Total:237.94 GB) (Free:131.1 GB) NTFS
Drive d: (Volume) (Fixed) (Total:458.98 GB) (Free:456.74 GB) NTFS
Drive e: (System-reserviert) (Fixed) (Total:0.1 GB) (Free:0.06 GB) NTFS ==>[System mit Startkomponenten (eingeholt von Laufwerk)]
Drive g: () (Fixed) (Total:0.44 GB) (Free:0.1 GB) NTFS
Drive j: (Passcape) (Removable) (Total:3.68 GB) (Free:3.42 GB) NTFS
Drive x: (Boot) (Fixed) (Total:0.5 GB) (Free:0.49 GB) NTFS
Drive y: (Volume) (Fixed) (Total:472.4 GB) (Free:424.92 GB) NTFS

==================== MBR & Partitionstabelle ==================

========================================================
Disk: 0 (MBR Code: Windows 7 or 8) (Size: 931.5 GB) (Disk ID: 00000000)

Partition: GPT.

========================================================
Disk: 1 (MBR Code: Windows 7 or 8) (Size: 238.5 GB) (Disk ID: FC5C6917)
Partition 1: (Active) - (Size=100 MB) - (Type=07 NTFS)
Partition 2: (Not Active) - (Size=237.9 GB) - (Type=07 NTFS)
Partition 3: (Not Active) - (Size=450 MB) - (Type=27)

========================================================
Disk: 2 (MBR Code: Windows 7 or Vista) (Size: 3.7 GB) (Disk ID: 00000000)

Partition: GPT.


LastRegBack: 2017-01-18 08:28

==================== Ende von FRST.txt ============================
Ich hoffe, es kann mir jemand weiterhelfen und danke bereits im voraus dafür.

Gruß
Micha

Warlord711 10.05.2017 09:00
Hast du mal 12345 oder 123456 ausprobiert ? meistens sind die Typen nicht sonderlich einfallsreich.

micha6944 10.05.2017 09:43
Das kann ich mal probieren, da mein Passwort aber mit 125 beginnt, sind die Möglichkeiten noch zahlreicher und nach 3 Fehlversuchen "bootet" der PC erst mal neu....in einem anderen Beitrag lautetet dass Passwort 123support o.ä......daher habe ich so was in der Art mal probiert

Warlord711 12.05.2017 11:35
Wenn du technisch bissl mit Linux umgehen kannst, kannst du diesem Topic hier sinngemäß folgen:

http://www.trojaner-board.de/183948-...ktioniert.html


Im Endeffekt musst du die Dateien

Code:
DEFAULT
SAM
SECURITY
SOFTWARE
SYSTEM
unter windows\system32\config\ erstmal umbennen oder wegkopieren und dann mit einer jeweiligen Kopie aus windows\system32\config\regback\ ersetzen/tauschen.

micha6944 12.05.2017 15:00
Danke für die Info....geht das auch, wenn ich die gesperrte FP an ein anderes funktionierendes System anhänge oder muss ich zwingend diese FP als Boot-FP nutzen ?

micha6944 14.05.2017 09:39
Hallo,
ich habe das regback über die Eingabeaufforderung probiert, mir werden allerdings die 5 Dateien nicht angezeigt, was kann ich noch tun ? Passwörter habe ich auch noch ein paar probiert.....

Habe das Passwort nach weiteren zahlreichen Versuchen rausbekommen....1256 lautet es...wirklich zu simpel.....hatte mit mehr Stellen gerechnet und probiert....danke für Eure Hilfe.....muss jetzt mal rausfinden, welche Dateien verschlüsselt wurden bei mir....


Alle Zeitangaben in WEZ +1. Es ist jetzt 12:12 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131