Trojaner-Board - nach fake Anruf wird Systemmkennwort verlangt. Zurücksetzen von win10 funktioniert nicht

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - nach fake Anruf wird Systemmkennwort verlangt. Zurücksetzen von win10 funktioniert nicht (https://www.trojaner-board.de/183948-fake-anruf-systemmkennwort-verlangt-zuruecksetzen-win10-funktioniert.html)

nach Schreiben der ersten Zeile drücke ich Enter: Dann kommt syntaxfehler

Fehler bei mir??

sehe gerade, dass da auf einmal was anderes steht...
gebe nochmal ein

Bei allen fünf kommt die Meldung: Das System kann die angegebene Datei nicht finden.

Bei dem copy-Befehl kommt die Meldung: Das System kann den angegebenen PFad nicht finden. 0 Dateien kopiert

OK - das mit E: Laufwerk usw. stimmt aber noch ?

Und wie gesagt, wenn bei einem Befehl nen Fehler kommt erstmal nicht weitermachen sondern hier melden...

als ich eben den Befehl dir e...........\regback\ eingeben habe, kam als Meldung:
"Datenträger in Laufwerk E ist Boot
Volumeseriennummer: 86c4-5089
Verzeichnis von e: ...die fünf Dateien mit dem Datum vom 10.1.17, 8:01 Uhr...

Ah ok ich denke ich weiss wo der Fehler liegt ^^:

Gib am Anfang bitte E: ein, so wie hier in der Liste.
Sobald irgendwo ne Fehlermeldung kommt, stoppen und hier melden.

Code:

e:

cd e:\windows\system32\config\

ren DEFAULT DEFAULT.bak

ren SAM SAM.bak

ren SECURITY SECURITY.bak

ren SOFTWARE SOFTWARE.bak

ren SYSTEM SYSTEM.bak
 
 

copy e:\windows\system32\config\regback\ e:\windows\system32\config\

Meldung: 5 Dateien kopiert

Ok, hast du dann mal neugestartet ob dein Windows wieder läuft ?

ja, läuft wieder!! TOP

Was ist nun zu tun?

Naja, daraus lernen das man keine Fake Microsoft Mitarbeiter auf seinen Rechner lässt ;)
Microsoft ruft niemals an.

Mehr brauchst du nicht tun, nur halt immer schön skeptisch bleiben egal ob eMail mit Rechnung.exe im Gepäck oder angeblicher Tech-Call von Microsoft.

Im Zweifel einfach z.b. hier auf dem Board nachfragen.

Wie hoch schätzt Du die Wahrscheinlichkeit ein, dass evtl. Programme zum Ausspionieren aufgespielt worden sind und welche anti-malware-Programme empfiehlst Du zur Überprüfung bzw. zur Vorsorge?

Kann ich ohne Bedenken den Rechner wieder ans Netz (WLan) bringen?

Danke schon mal!!!!!

Also die Wahrscheinlichkeit ist eher gering. Aber lass uns ruhig auf Nummer Sicher gehen.

Dann wird das hier also noch zum "Offiziellen" Thread zwecks evtl. Malware-Suche ;)

Hallo dirkgo

:hallo:

Mein Name ist Timo und ich werde Dir bei deinem Problem behilflich sein.

Bitte arbeite alle Schritte der Reihe nach ab.
Hier findest du die Anleitung für Hilfesuchende
Lese die Anleitungen sorgfältig. Sollte es Probleme geben, bitte stoppen und hier so gut es geht beschreiben.
Nur Scans durchführen zu denen Du von einem Helfer aufgefordert wirst.
Bitte kein Crossposting ( posten in mehreren Foren).
Installiere oder Deinstalliere während der Bereinigung keine Software ausser Du wurdest dazu aufgefordert.
Lese Dir die Anleitung zuerst vollständig durch. Sollte etwas unklar sein, frage bevor Du beginnst.
Poste die Logfiles direkt in deinen Thread. Nicht anhängen ausser ich fordere Dich dazu auf.

Hinweis:
Ich kann Dir niemals eine Garantie geben, dass ich auch alles finde. Eine Formatierung ist immer der sicherste Weg.

Wir arbeiten hier alle freiwillig und meist auch nur in unserer Freizeit. Daher kann es bei Antworten zu Verzögerungen kommen.
Solltest du innerhalb 48 Std keine Antwort von mir erhalten, dann schreib mit eine PM
Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis ich oder jemand vom Team sagt, dass Du clean bist.

Führe sämtliche Tools mit administrativen Rechten aus, Vista, Win7,Win8, Win10 User mit Rechtsklick "als Administrator starten".

So funktioniert es:
Posten in CODE-Tags
Die Logfiles anzuhängen oder sogar vorher in ein ZIP, RAR, 7Z-Archive zu packen erschwert mir massiv die Arbeit, es sei denn natürlich die Datei wäre ansonsten zu gross für das Forum. Um die Logfiles in eine CODE-Box zu stellen gehe so vor:

Markiere das gesamte Logfile (geht meist mit STRG+A) und kopiere es in die Zwischenablage mit STRG+C.
Klicke im Editor auf das #-Symbol. Es erscheinen zwei Klammerausdrücke [CODE] [/CODE].
Setze den Cursor zwischen die CODE-Tags und drücke STRG+V.
Klicke auf Erweitert/Vorschau, um so prüfen, ob du es richtig gemacht hast. Wenn alles stimmt ... auf Antworten.

http://www.trojaner-board.de/picture...&pictureid=307

Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop:

FRST 32-Bit | FRST 64-Bit
(Wenn du nicht sicher bist: Lade beide Versionen oder unter Start > Computer (Rechtsklick) > Eigenschaften nachschauen)

Starte jetzt FRST.
Ändere ungefragt keine der Checkboxen und klicke auf Untersuchen.
Die Logdateien werden nun erstellt und befinden sich danach auf deinem Desktop.
Poste mir die FRST.txt und nach dem ersten Scan auch die Addition.txt in deinem Thread (#-Symbol im Eingabefenster der Webseite anklicken)

Hallo Tiemo, nachdem ich heute morgen den Rechner eingeschaltet habe, um dann FRST drüberlaufen zu lassen, lande ich immer wieder im Reperaturmodus von Win 10.
Zurücksetzen funktioniert nicht. Es kommt die Meldung: Problem beim Zurücksetzen des PCs. Es wurden keine Änderungen vorgenommen. Der Rechner startet im abgesicherten Modus in die Reperaturoptionen. Eingabeaufforderung funktioniert.

Hmm komisch - nach der Kopieraktion konntest du ja normal ins Windows starten ohne das der Syskey abgefragt wurde. FRST macht auch keine Änderungen am System, sehr seltsam.

Geht das hier:

Scan mit Farbar's Recovery Scan Tool (Recovery Mode - Windows Vista, 7, 8)

Hinweise für Windows 8-Nutzer: Anleitung 1 (FRST-Variante) und Anleitung 2 (zweiter Teil)

Downloade dir bitte die passende Version des Tools (im Zweifel beide) und speichere diese auf einen USB Stick: FRST 32-Bit | FRST 64-Bit

Schließe den USB Stick an das infizierte System an und boote das System in die System Reparatur Option.

Scanne jetzt nach der bebilderten Anleitung oder verwende die folgende Kurzanleitung:

Über den Boot Manager:

Starte den Rechner neu.

Während dem Hochfahren drücke mehrmals die F8 Taste

Wähle nun Computer reparieren.

Wähle dein Betriebssystem und Benutzerkonto und klicke jeweils "Weiter".

Mit Windows CD/DVD (auch bei Windows 8 möglich):

Lege die Windows CD in dein Laufwerk.

Starte den Rechner neu und starte von der CD.

Wähle die Spracheinstellungen und klicke "Weiter".

Klicke auf Computerreparaturoptionen !

Wähle dein Betriebssystem und Benutzerkonto und klicke jeweils "Weiter".

Wähle in den Reparaturoptionen: Eingabeaufforderung

Gib nun bitte notepad ein und drücke Enter.

Im öffnenden Textdokument: Datei > Speichern unter... und wähle Computer.
Hier wird dir der Laufwerksbuchstabe deines USB Sticks angezeigt, merke ihn dir.

Schließe Notepad wieder

Gib nun bitte folgenden Befehl ein.
e:\frst.exe bzw. e:\frst64.exe
Hinweis: e steht für den Laufwerksbuchstaben deines USB Sticks, den du dir gemerkt hast. Gegebenfalls anpassen.

Akzeptiere den Disclaimer mit Ja und klicke Untersuchen

Das Tool erstellt eine FRST.txt auf deinem USB Stick. Poste den Inhalt bitte hier nach Möglichkeit in Code-Tags (Anleitung).

hallo warlord,
der Syskey wird auch nicht mehr abgefragt. Der Rechner startet im abgesicherten Modus direkt in den Reperaturmodus. Computer reparieren oder System zurücksetzen oder Starthilfe im Reperaturmodus funktionieren nicht. Ich bekomme es auch nicht hin, den abgesicherten Modus zu verlassen.

hatte FRST auch noch gar nicht drin im usb. Wollte den Rechner nur anmachen und dann loslegen

Ok. Geh da nochmal in die Eingabeaufforderung.

Falls E: weiterhin das "Echte" Windows Laufwerk ist, bitte eingeben:

Code:

fsutil repair set e: 0

und mal Neustarten.