|
nach fake Anruf wird Systemmkennwort verlangt. Zurücksetzen von win10 funktioniert nicht Nach einem fake-Anruf eines microsoft-mitarbeiters lässt sich das System nicht mehr starten. Ein Systemkennwort wird verlangt. Dies soll gegen Bezahlung freigegeben werden. Ich habe versucht, über die Problembehandlung diverse Optionen auszuführen, (z. B. System zurücksetzen) es kam immer die Meldung "es sind Probleme aufgetaucht, es wurden keine Veränderungen vorgenommen. Win 10 Version: 10.0.014393 |
Versuch mal 12345 oder 123456 |
Hallo Warlord, Danke für Deine Antwort. Keines der von Dir vorgeschlagenen Kennwörter führt zum Erfolg. Auch andere Versuche (z.B. Leerkennwort) funktionieren nicht. Da ich das System im Reperaturmodus auch nicht zurücksetzen bzw. verändern kann, vermute ich, dass mir ein Trojaner oder ähnliches aufgespielt wurde. Wäre schön, wenn mir da jemand helfen könnte. Dirk |
Nein, das ist kein Trojaner, sondern eine Windows Funktion, um die lokale Benutzerdatenbank zusätzlich mit einem Kennwort zu schützen. Dies hat der falsche Techniker eingerichtet. Sehr oft wird dabei ein einfaches Kennwort verwendet, wie 1234 oder abcde. |
Welche Lösung schlägst Du vor? Gibt es Möglichkeiten das Kennwort zu ermitteln oder zu umgehen, damit man das System wieder starten kann? |
Mit etwas Aufwand ist das möglich. Hast du eine Windows 10 DVD griffbereit ? |
Nein, System war installiert |
Ok, nicht so gut. Was wir machen müssen ist, die aktuelle Registry durch ggf. vorhandene Backups zu reparieren. Kommst du denn noch irgendwie in die Reparatur/Wiederherstellungsoptionen ? Beim Starten vom PC STRG+F8 drücken sollte dies ermöglichen. Dann Problembehandlung - Erweiterte Optionen - Eingabeaufforderung. Es kann jedoch sein, das du dank Syskey garnicht bis dorthin kommst, aber probier es mal aus. Alternative wäre, eine Linux Live CD/DVD zu brennen um darüber zu arbeiten. Das ganze hier über das Board zu regeln kann jedoch seine Zeit dauern, da ich nicht ständig auf das Board schaue. Gibt es evtl. irgend ne kleine PC-Schrauberbude in deiner Nähe ? Nicht Media-Markt oder so nen Schrott, die Mitarbeiter dort haben keine Ahnung. |
Komme in die Eingabeaufforderung rein, bin allerdings irgendwie in den abgesicherten Modus geraten. Weiß nicht, wie den deaktivieren kann. |
Ok, das ist schon ok. Ruf von dort aus bitte notepad.exe auf. Gehe dann im Notepad auf "ÖFFNEN". Damit bekommst du zumind. so etwas ähnliches wie ein Windows Explorer Fenster und wir können uns im Dateisystem umschauen. Schau, welchen Laufwerksbuchstaben dein "echtes" Windows 10 C: Laufwerk hat. Ich bin am Samstag erst gegen abend wieder erreichbar, nur als Hinweis. |
Bin im Notepad, wenn ich richtig sehe ist das Laufwerk E, das Laufwerk auf dem Windows liegt. |
OK - sorry mich hat leider die Grippe erwischt, egal. System zurücksetzen hattest du probiert, dennoch bitte einmal Code: rstrui.exe |
Falls das nichts gebracht hat, dann wie bereits geschehen in die Eingabeaufforderung booten. Dann gib mal bitte Code: dir e:\windows\system32\config\regback\Sind die vorhanden ? Wenn ja, welches Datum/Uhrzeit ? |
hi, gute Besserung!! alle fünf Dateien vorhanden alle fünf vom 10.01.17, 08:01 uhr am 11.1.17 erfolgte der fake-Anruf |
Ok. Jetzt gibst du folgendes ein: Code: cd e:\windows\system32\config\ |
nach Schreiben der ersten Zeile drücke ich Enter: Dann kommt syntaxfehler Fehler bei mir?? sehe gerade, dass da auf einmal was anderes steht... gebe nochmal ein Bei allen fünf kommt die Meldung: Das System kann die angegebene Datei nicht finden. Bei dem copy-Befehl kommt die Meldung: Das System kann den angegebenen PFad nicht finden. 0 Dateien kopiert |
OK - das mit E: Laufwerk usw. stimmt aber noch ? |
Und wie gesagt, wenn bei einem Befehl nen Fehler kommt erstmal nicht weitermachen sondern hier melden... |
als ich eben den Befehl dir e...........\regback\ eingeben habe, kam als Meldung: "Datenträger in Laufwerk E ist Boot Volumeseriennummer: 86c4-5089 Verzeichnis von e: ...die fünf Dateien mit dem Datum vom 10.1.17, 8:01 Uhr... |
Ah ok ich denke ich weiss wo der Fehler liegt ^^: Gib am Anfang bitte E: ein, so wie hier in der Liste. Sobald irgendwo ne Fehlermeldung kommt, stoppen und hier melden. Code: e: |
Meldung: 5 Dateien kopiert |
Ok, hast du dann mal neugestartet ob dein Windows wieder läuft ? |
ja, läuft wieder!! TOP Was ist nun zu tun? |
Naja, daraus lernen das man keine Fake Microsoft Mitarbeiter auf seinen Rechner lässt ;) Microsoft ruft niemals an. Mehr brauchst du nicht tun, nur halt immer schön skeptisch bleiben egal ob eMail mit Rechnung.exe im Gepäck oder angeblicher Tech-Call von Microsoft. Im Zweifel einfach z.b. hier auf dem Board nachfragen. |
Wie hoch schätzt Du die Wahrscheinlichkeit ein, dass evtl. Programme zum Ausspionieren aufgespielt worden sind und welche anti-malware-Programme empfiehlst Du zur Überprüfung bzw. zur Vorsorge? Kann ich ohne Bedenken den Rechner wieder ans Netz (WLan) bringen? Danke schon mal!!!!! |
Also die Wahrscheinlichkeit ist eher gering. Aber lass uns ruhig auf Nummer Sicher gehen. Dann wird das hier also noch zum "Offiziellen" Thread zwecks evtl. Malware-Suche ;) Hallo dirkgo :hallo: Mein Name ist Timo und ich werde Dir bei deinem Problem behilflich sein.
 Hinweis: Ich kann Dir niemals eine Garantie geben, dass ich auch alles finde. Eine Formatierung ist immer der sicherste Weg. Wir arbeiten hier alle freiwillig und meist auch nur in unserer Freizeit. Daher kann es bei Antworten zu Verzögerungen kommen. Solltest du innerhalb 48 Std keine Antwort von mir erhalten, dann schreib mit eine PM Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis ich oder jemand vom Team sagt, dass Du clean bist. Führe sämtliche Tools mit administrativen Rechten aus, Vista, Win7,Win8, Win10 User mit Rechtsklick "als Administrator starten". So funktioniert es:Posten in CODE-Tags Die Logfiles anzuhängen oder sogar vorher in ein ZIP, RAR, 7Z-Archive zu packen erschwert mir massiv die Arbeit, es sei denn natürlich die Datei wäre ansonsten zu gross für das Forum. Um die Logfiles in eine CODE-Box zu stellen gehe so vor:
Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop:  FRST 32-Bit | FRST 64-Bit(Wenn du nicht sicher bist: Lade beide Versionen oder unter Start > Computer (Rechtsklick) > Eigenschaften nachschauen)
|
Hallo Tiemo, nachdem ich heute morgen den Rechner eingeschaltet habe, um dann FRST drüberlaufen zu lassen, lande ich immer wieder im Reperaturmodus von Win 10. Zurücksetzen funktioniert nicht. Es kommt die Meldung: Problem beim Zurücksetzen des PCs. Es wurden keine Änderungen vorgenommen. Der Rechner startet im abgesicherten Modus in die Reperaturoptionen. Eingabeaufforderung funktioniert. |
Hmm komisch - nach der Kopieraktion konntest du ja normal ins Windows starten ohne das der Syskey abgefragt wurde. FRST macht auch keine Änderungen am System, sehr seltsam. Geht das hier: Scan mit Farbar's Recovery Scan Tool (Recovery Mode - Windows Vista, 7, 8) Hinweise für Windows 8-Nutzer: Anleitung 1 (FRST-Variante) und Anleitung 2 (zweiter Teil) |
hallo warlord, der Syskey wird auch nicht mehr abgefragt. Der Rechner startet im abgesicherten Modus direkt in den Reperaturmodus. Computer reparieren oder System zurücksetzen oder Starthilfe im Reperaturmodus funktionieren nicht. Ich bekomme es auch nicht hin, den abgesicherten Modus zu verlassen. hatte FRST auch noch gar nicht drin im usb. Wollte den Rechner nur anmachen und dann loslegen |
Ok. Geh da nochmal in die Eingabeaufforderung. Falls E: weiterhin das "Echte" Windows Laufwerk ist, bitte eingeben: Code: fsutil repair set e: 0 |
Achja, parallel dazu auch bitte ausführen: Code: chkdsk e: /v /f /r |
Meldung: Selbstreperatur für e ist deaktiviert. Beim Neustart dann aber wieder im Reperaturmodus In der Eingabeaufforderung wird mir x: \windows\system32> angezeigt. Jetzt auch mit den parallel Eingabeaufforderung. Meldung: ...diverse Selbstreperaturen sind deaktiviert. Beim Neustart dann wieder Reperaturmodus. Anzeige Eingabeaufforderung: x:\Windows\system32> |
Ok. Dann geh nochmal in die Eingabeaufforderung. Finde erneut dein Windows Laufwerk, evtl wieder E: Hatten wir ja am Anfang mit Hilfe von Notepad.exe und dem Öffnen Dialog gut finden können. Wenn es E: ist, gib bitte ein: Code: e:Ansonsten bitte schauen ob die Dateien vorhanden sind:
Und kurze Info welches Datum die Dateien haben und welche Größe. Achja und das gleiche bitte mit Code: |
Liste der Anhänge anzeigen (Anzahl: 1) Hier das Foto |
2. Foto mit regback Liste der Anhänge anzeigen (Anzahl: 1) Foto nach regback |
Ok, sieht eigentlich alles gut aus. Probier bitte noch diese Befehle und teste, ob das System wieder startet: Code: bootrec.exe /rebuildbcd |
Liste der Anhänge anzeigen (Anzahl: 1) Leider beim Neustart wieder...... |
Liste der Anhänge anzeigen (Anzahl: 1) Nachdem rebuildbcd-Befehl kommt die Meldung: Gesamtanzahl der identifizierten Windows Installationen: 0 !! |
Sorry, wechsel mal bitte wieder auf das "echte" Windows Laufwerk e:" Also so: Code: e: |
Gemacht. Wenn ich dann den Laptop ausschalte und neu starte, bin ich wieder im Reperaturmodus |
Liste der Anhänge anzeigen (Anzahl: 1) Bin jetzt wieder in der Eingabeaufforderung und habe das oben eingegebe., Rechner ist an. |
Hi - du musst jeden Befehl einzeln eingeben - eine Zeile, ein Befehl |
Achja eins ist mir noch aufgefallen, scheinbar wurde eine der 5 Dateien nicht korrekt kopiert. Bitte nochmal dies eingeben, Zeile pro Zeile und am besten am Ende nen screenshot. Wenn dabei irgendwo eine Fehlermeldung kommt, nicht weitermachen, sondern Screenshot: Code: e: |
Meldung: ...RegBack\SECURITY 1 Datei(en) kopiert E:\windows\System32\config> Keine weitere Fehlermeldung ..Screenshot gerade nicht möglich.. |
Ok. Wenn du noch Screenshots machen willst ist das gut, ansonsten mal Neustarten und schauen obs nun geht. |
System läuft!!!!! Top!!! Beim letzten mal bin ich nach dem Ausschalten beim erneuten Einschalten wieder im Reperaturmodus gelandet. Kann das diesmal auch sein? Bis hier hin schon mal allerbesten Dank!!!! Melde mich nochmal, um zu erfahren, was noch zu tun ist. Vorsorge, Virenscanner usw. Top!! |
Sollte eigentlich nicht passieren. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 00:43 Uhr. |
Copyright ©2000-2025, Trojaner-Board