Nach "Microsoft Anruf" Gerät gesperrt -> "Kennwort für Systemstart"
 

Hallo zusammen,

versuche soeben ein Gerät, Windows 8.1, von einem Virus / Trojaner zu befreien.
Wenn ich das Gerät starte erscheint die Meldung "Kennwort für Systemstart" in einer Windows 98 Optik.

Habe bisher mit autoruns alles was komisch aussah gelöscht, das hat aber nichts gebracht.

Das FRST Tool sagt folgendes :
FRST Logfile:
--- --- ---



Für Tipps wäre ich dankbar.

Grüße


Nachtrag :

...davor habe ich die Platte mit der Kaspersky Rescue Disk bearbeitet, gefunden wurde ein Trojaner und 2 Malware Einträge, die wurden durch die Disk gelöscht

Hi,

bitte nochmal scannen, Haken bei BCD setzen.

Hier mit dem gesetzten "List BCD"
FRST Logfile:
--- --- ---


Danke

:hallo:

Ich habe dein Thema in Arbeit und melde mich so schnell als möglich mit weiteren Anweisungen.

Bitte beachte, dass alle meine Antworten zuerst von einem Ausbilder freigegeben werden müssen, bevor ich diese hier posten darf. Dies garantiert, dass Du Hilfe von einem ausgebildeten Helfer bekommst.

Ich bedanke mich für deine Geduld :)

Mein Name ist Dennis und ich werde dir bei der Bereinigung helfen.

Bitte beachte, dass es ein paar Regeln gibt:

• Bitte lies meine Posts komplett durch bevor du sie abarbeitest
• Wenn ein Problem auftauchen sollte, unterbreche deine Arbeit, poste die entsandenen Logs und schildere dieses so genau wie möglich.
• Bitte kein Crossposting
• Installiere oder Deinstalliere keine Software ohne Aufforderung
• Bitte verwende nur die Tools welche hier im Thread erwähnt werden
• Antworte innerhalb von 24h um eine sinnvolle Bereinigung zu ermöglichen
• Poste die Logs immer in CODE-Tags (#-Button), zur Not die Logs einfach aufteilen

Los gehts :)

Schritt # 1: FRST Fix

Drücke bitte die + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument

Speichere diese bitte als Fixlist.txt auf deinem USB Stick.

• Starte deinen Rechner erneut in die Reparaturoptionen
• Starte nun die FRST.exe erneut und klicke den Entfernen Button.

Das Tool erstellt eine Fixlog.txt auf deinem USB Stick. Poste den Inhalt bitte hier.


Schritt # 2: Versuch zu Booten

Kannst du nun normal oder in den abgesicherten Modus hochfahren?



Schritt # 3: Neuer FRST Scan

WENN du normal booten kannst:

Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop: FRST 32-Bit | FRST 64-Bit
(Wenn du nicht sicher bist: Lade beide Versionen oder unter Start > Computer (Rechtsklick) > Eigenschaften nachschauen)

• Starte jetzt FRST.
• Ändere ungefragt keine der Checkboxen und klicke auf Untersuchen.
• Die Logdateien werden nun erstellt und befinden sich danach auf deinem Desktop.
• Poste mir die FRST.txt und nach dem ersten Scan auch die Addition.txt in deinem Thread (#-Symbol im Eingabefenster der Webseite anklicken)

Ansonsten:

Scan mit Farbar's Recovery Scan Tool (Recovery Mode - Windows Vista, 7, 8)

Hinweise für Windows 8-Nutzer: Anleitung 1 (FRST-Variante) und Anleitung 2 (zweiter Teil)

• Downloade dir bitte die passende Version des Tools (im Zweifel beide) und speichere diese auf einen USB Stick: FRST 32-Bit | FRST 64-Bit
• Schließe den USB Stick an das infizierte System an und boote das System in die System Reparatur Option.
• Scanne jetzt nach der bebilderten Anleitung oder verwende die folgende Kurzanleitung:

Über den Boot Manager:

• Starte den Rechner neu.
• Während dem Hochfahren drücke mehrmals die F8 Taste
• Wähle nun Computer reparieren.
• Wähle dein Betriebssystem und Benutzerkonto und klicke jeweils "Weiter".

Mit Windows CD/DVD (auch bei Windows 8 möglich):

• Lege die Windows CD in dein Laufwerk.
• Starte den Rechner neu und starte von der CD.
• Wähle die Spracheinstellungen und klicke "Weiter".
• Klicke auf Computerreparaturoptionen !
• Wähle dein Betriebssystem und Benutzerkonto und klicke jeweils "Weiter".

Wähle in den Reparaturoptionen: Eingabeaufforderung

• Gib nun bitte notepad ein und drücke Enter.
• Im öffnenden Textdokument: Datei > Speichern unter... und wähle Computer.
  Hier wird dir der Laufwerksbuchstabe deines USB Sticks angezeigt, merke ihn dir.
• Schließe Notepad wieder
• Gib nun bitte folgenden Befehl ein.
  e:\frst.exe bzw. e:\frst64.exe
  Hinweis: e steht für den Laufwerksbuchstaben deines USB Sticks, den du dir gemerkt hast. Gegebenfalls anpassen.
• Akzeptiere den Disclaimer mit Ja und klicke Untersuchen

Das Tool erstellt eine FRST.txt auf deinem USB Stick. Poste den Inhalt bitte hier nach Möglichkeit in Code-Tags (Anleitung).

Schritt # 4: Bitte Posten

• Das Fixlog von FRST
• Die Antwort auf meine Frage
• Das frische FRST-Log

Hallo Dennis und Danke bis hierhin.

Schritt # 1 + 2 ausgeführt, Boot ins OS danach nicht möglich (bzw. nur bis zu der Passwortabfrage, dem Virus)

In den abgesicherten Modus von Windows 8.1 komme ich aktuell nicht rein, kenne auch nur den Weg über das laufende OS dort rein zu gelangen.

Fixlog.txt :

Fix result of Farbar Recovery Scan Tool (x86) Version: 24-06-2015
Ran by SYSTEM at 2015-06-26 15:45:23 Run:1
Running from C:\
Boot Mode: Recovery

==============================================

fixlist content:
*****************
HKU\Stefan\...\Run: [Device Smart Session Net.Tcp] => C:\sxeracq\nadintj.exe
S2 CouponarificService64; C:\Program Files (x86)\08F60977-C840-42C6-A2D3-06E8FE3787F5\xtloowpkjv64.exe [X]
S2 Level Quality Watcher; C:\Program Files\Level Quality Watcher\v1.01\levelqualitywatcher64.exe run options=01110010010000000000000000000000 sourceguid=F59A0002-F007-46FB-97D3-3BC5D2551041 [X]
S2 sarconsogulpe; C:\Program Files\sarconsogulpe\sarconsogulpe.exe run options=00001009990000000000000000000000 sourceguid=F59A0002-F007-46FB-97D3-3BC5D2551041 [X]

C:\sxeracq
C:\lxiktqcagqa4b
C:\Windows\lxiktqcagqa4b
C:\Program Files (x86)\08F60977-C840-42C6-A2D3-06E8FE3787F5
C:\Program Files\Level Quality Watcher
C:\Program Files\sarconsogulpe
*****************

HKU\Stefan\Software\Microsoft\Windows\CurrentVersion\Run\\Device Smart Session Net.Tcp => value removed successfully.
CouponarificService64 => Service removed successfully.
Level Quality Watcher => Service removed successfully.
sarconsogulpe => Service removed successfully.
C:\sxeracq => moved successfully.
C:\lxiktqcagqa4b => moved successfully.
C:\Windows\lxiktqcagqa4b => moved successfully.
"C:\Program Files (x86)\08F60977-C840-42C6-A2D3-06E8FE3787F5" => File/Folder not found.
"C:\Program Files\Level Quality Watcher" => File/Folder not found.
"C:\Program Files\sarconsogulpe" => File/Folder not found.

==== End of Fixlog 15:45:23 ====

Schritt # 3

FRST Scan :
FRST Logfile:
--- --- ---


Danke

Hi,

Schritt # 1: Frage

Wie machst du denn den Scan derzeit? Mit einer Windows DVD?


Schritt # 2: Besorgen von 64 Bit CD

Du benötigst eine 64 Bit Windows 8.1 CD. Diese kannst du hier herunterladen.

Wähle im Downloader einfach unter "Edition" Windows 8.1 und unter "Architektur" 64-Bit (x64) aus.

Boote zukünftig von dieser statt von der alten.


Schritt # 3: Korrekter FRST Scan

Bitte mit Methode CD/DVD machen.

Scan mit Farbar's Recovery Scan Tool (Recovery Mode - Windows Vista, 7, 8)

Hinweise für Windows 8-Nutzer: Anleitung 1 (FRST-Variante) und Anleitung 2 (zweiter Teil)

• Downloade dir bitte die passende Version des Tools (im Zweifel beide) und speichere diese auf einen USB Stick: FRST 32-Bit | FRST 64-Bit
• Schließe den USB Stick an das infizierte System an und boote das System in die System Reparatur Option.
• Scanne jetzt nach der bebilderten Anleitung oder verwende die folgende Kurzanleitung:

Über den Boot Manager:

• Starte den Rechner neu.
• Während dem Hochfahren drücke mehrmals die F8 Taste
• Wähle nun Computer reparieren.
• Wähle dein Betriebssystem und Benutzerkonto und klicke jeweils "Weiter".

Mit Windows CD/DVD (auch bei Windows 8 möglich):

• Lege die Windows CD in dein Laufwerk.
• Starte den Rechner neu und starte von der CD.
• Wähle die Spracheinstellungen und klicke "Weiter".
• Klicke auf Computerreparaturoptionen !
• Wähle dein Betriebssystem und Benutzerkonto und klicke jeweils "Weiter".

Wähle in den Reparaturoptionen: Eingabeaufforderung

• Gib nun bitte notepad ein und drücke Enter.
• Im öffnenden Textdokument: Datei > Speichern unter... und wähle Computer.
  Hier wird dir der Laufwerksbuchstabe deines USB Sticks angezeigt, merke ihn dir.
• Schließe Notepad wieder
• Gib nun bitte folgenden Befehl ein.
  e:\frst.exe bzw. e:\frst64.exe
  Hinweis: e steht für den Laufwerksbuchstaben deines USB Sticks, den du dir gemerkt hast. Gegebenfalls anpassen.
• Akzeptiere den Disclaimer mit Ja und klicke Untersuchen

Das Tool erstellt eine FRST.txt auf deinem USB Stick. Poste den Inhalt bitte hier nach Möglichkeit in Code-Tags (Anleitung).

Schritt # 4: Bitte Posten

• Antwort auf meine Frage
• Das neue FRST Log

Hallo,

den Scan habe ich unter einer Windows 7 Live CD gemacht.
Hier der Scan unter dem von Dir genannten Windows 8.1 Install Datenträger :
FRST Logfile:
--- --- ---

Danke

Hi,

Schritt # 1: FRST Fix

Drücke bitte die + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument

Speichere diese bitte als Fixlist.txt auf deinem USB Stick.

• Starte deinen Rechner erneut in die Reparaturoptionen
• Starte nun die FRST.exe erneut und klicke den Entfernen Button.

Das Tool erstellt eine Fixlog.txt auf deinem USB Stick. Poste den Inhalt bitte hier.


Schritt # 2: Frage

Kannst du jetzt normal in dein Windows booten?



Schritt # 3: Neuer FRST-Scan

Falls ja, dann:

Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop: FRST 32-Bit | FRST 64-Bit
(Wenn du nicht sicher bist: Lade beide Versionen oder unter Start > Computer (Rechtsklick) > Eigenschaften nachschauen)

• Starte jetzt FRST.
• Ändere ungefragt keine der Checkboxen und klicke auf Untersuchen.
• Die Logdateien werden nun erstellt und befinden sich danach auf deinem Desktop.
• Poste mir die FRST.txt und nach dem ersten Scan auch die Addition.txt in deinem Thread (#-Symbol im Eingabefenster der Webseite anklicken)

Falls nicht, dann:

Scan mit Farbar's Recovery Scan Tool (Recovery Mode - Windows Vista, 7, 8)

Hinweise für Windows 8-Nutzer: Anleitung 1 (FRST-Variante) und Anleitung 2 (zweiter Teil)

• Downloade dir bitte die passende Version des Tools (im Zweifel beide) und speichere diese auf einen USB Stick: FRST 32-Bit | FRST 64-Bit
• Schließe den USB Stick an das infizierte System an und boote das System in die System Reparatur Option.
• Scanne jetzt nach der bebilderten Anleitung oder verwende die folgende Kurzanleitung:

Über den Boot Manager:

• Starte den Rechner neu.
• Während dem Hochfahren drücke mehrmals die F8 Taste
• Wähle nun Computer reparieren.
• Wähle dein Betriebssystem und Benutzerkonto und klicke jeweils "Weiter".

Mit Windows CD/DVD (auch bei Windows 8 möglich):

• Lege die Windows CD in dein Laufwerk.
• Starte den Rechner neu und starte von der CD.
• Wähle die Spracheinstellungen und klicke "Weiter".
• Klicke auf Computerreparaturoptionen !
• Wähle dein Betriebssystem und Benutzerkonto und klicke jeweils "Weiter".

Wähle in den Reparaturoptionen: Eingabeaufforderung

• Gib nun bitte notepad ein und drücke Enter.
• Im öffnenden Textdokument: Datei > Speichern unter... und wähle Computer.
  Hier wird dir der Laufwerksbuchstabe deines USB Sticks angezeigt, merke ihn dir.
• Schließe Notepad wieder
• Gib nun bitte folgenden Befehl ein.
  e:\frst.exe bzw. e:\frst64.exe
  Hinweis: e steht für den Laufwerksbuchstaben deines USB Sticks, den du dir gemerkt hast. Gegebenfalls anpassen.
• Akzeptiere den Disclaimer mit Ja und klicke Untersuchen

Das Tool erstellt eine FRST.txt auf deinem USB Stick. Poste den Inhalt bitte hier nach Möglichkeit in Code-Tags (Anleitung).

Schritt # 4: Bitte Posten

• Das Fixlog von FRST
• Die Antwort auf meine Frage
• Das FRST-Log

Hallo,

hier ist das Fixlog :

Fix result of Farbar Recovery Scan Tool (x64) Version:24-06-2015
Ran by SYSTEM at 2015-06-30 10:48:36 Run:3
Running from E:\
Boot Mode: Recovery
==============================================

fixlist content:
*****************
LastRegBack: 2015-06-22 09:11
*****************

DEFAULT hive copied successfully to System32\config\HiveBackup
DEFAULT hive restored successfully from registry back up.
SAM hive copied successfully to System32\config\HiveBackup
SAM hive restored successfully from registry back up.
SECURITY hive copied successfully to System32\config\HiveBackup
SECURITY hive restored successfully from registry back up.
SOFTWARE hive copied successfully to System32\config\HiveBackup
SOFTWARE hive restored successfully from registry back up.
SYSTEM hive copied successfully to System32\config\HiveBackup
SYSTEM hive restored successfully from registry back up.

==== End of Fixlog 10:48:39 ====


Das starten in das Betriebssystem funktioniert noch nicht, es erscheint das Sperrbild mit der Eingabe des "Codes"

Frst Scan Log :
FRST Logfile:
--- --- ---



Danke

Hi,

Schritt # 1: Passwort auslesen

Downloade dir dieses Programm, brenne es auf eine CD und boote von dieser.

Wähle als Sprache deutsch aus, bei Wiederherstellungsmodus SAM und in dem untersten Auswahlfenster "Lookup SYSKEY startup password". Klicke auf weiter.

Wähle unten bei "Password mutation level" die Intensive Suche aus. Klicke aufs Zahnrad --> keyboard layout --> load new layout --> dein Tastaturlayout in Windows (wahrscheinlich German - Germany). Klicke auf weiter.

Lass die Standardpfade, klick auf weiter und danach auf "Finde Passwörter".

Das kann jetzt etwas länger dauern.

Wenn ein Passwort gefunden wurde, werden die ersten 3 Zeichen angezeigt. Poste diese hier damit wir versuchen können das richtige Passwort zu erraten. Du kannst natürlich auch selbst herumprobieren.

Schritt # 2: Bitte Posten

• Die ersten 3 Zeichen des Passwortes.

Hallo,

die ersten 3 Buchstaben sind sup

Wenn ich zwei mal ein falsches PW eingebe geht das Notebook aus, muss es dann neu starten, zum Glück ist eine SSD verbaut...

Habs !!!

Das Kennwort lautet support123 , fühl mich als hätte ich im Lotto gewonnen !

Ich komme jetzt ins OS, was muss ich nun tun?

Daten sichern, neu installieren ?

Wenn ich unter den instalölierten Programmen schauen und sortiere nach "zuletzt installiert" taucht da nichts auffälliges auf.

Grüße

Hi,

den kriegen wir noch sauber keine Angst :)

Schritt # 1: Passwort deaktivieren

Drücke gleichzeitig die Windows + R - Taste. Gebe in die Textbox "syskey" ein.

Klicke auf den Button "Aktualisieren". Wähle nun die unterste Option aus --> "Vom System generiertes Kennwort" --> "Schlüssel für den Systemstart lokal speichern".

Klicke auf "OK". Du wirst zur Bestätigung nochmal das alte Passwort eingeben müssen.



Schritt # 2: MBAR-Scan

Downloade dir bitte Malwarebytes Anti-Rootkit und speichere es auf deinem Desktop.

• Starte bitte die mbar.exe.
• Folge den Anweisungen auf deinem Bildschirm gemäß Anleitung zu Malwarebytes Anti-Rootkit
• Aktualisiere unbedingt die Datenbank und erlaube dem Tool, dein System zu scannen.
• Klicke auf den CleanUp Button und erlaube den Neustart.
• Während dem Neustart wird MBAR die gefundenen Objekte entfernen, also bleib geduldig.
• Nach dem Neustart starte die mbar.exe erneut.
• Sollte nochmal was gefunden werden, wiederhole den CleanUp Prozess.

Das Tool wird im erstellten Ordner eine Logfile ( mbar-log-<Jahr-Monat-Tag>.txt ) erzeugen. Bitte poste diese hier.

Starte keine andere Datei in diesem Ordner ohne Anweisung eines Helfers


Schritt # 3: Scan mit FRST

Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop: FRST 32-Bit | FRST 64-Bit
(Wenn du nicht sicher bist: Lade beide Versionen oder unter Start > Computer (Rechtsklick) > Eigenschaften nachschauen)

• Starte jetzt FRST.
• Ändere ungefragt keine der Checkboxen und klicke auf Untersuchen.
• Die Logdateien werden nun erstellt und befinden sich danach auf deinem Desktop.
• Poste mir die FRST.txt und nach dem ersten Scan auch die Addition.txt in deinem Thread (#-Symbol im Eingabefenster der Webseite anklicken)

Schritt # 4: Frage

Macht der Rechner sonst noch irgendwelche Probleme?



Schritt # 5: Bitte Posten

• Rückmeldung, ob das Passwort nun erfolgreich verschwunden ist
• Das MBAR-Log
• Die FRST-Logs
• Die Antwort auf meine Frage

Hallo,

leider tauchen im System massig Probleme auf, diverse Dienste starten nicht, Maustreiber hat sich abgeschossen, lässt sich nicht neu installieren, sfc /scannow bricht ab...

Ich werde jetzt eine Datensicherung und Neuinstallation durchführen.

Danke für die Hilfe !

Dann wären wir hier durch. :)

Abschließend noch ein paar Tipps von mir:

Schritt # 1: Empfohlene Software

Habe immer ein aktuelles Antivirenprogramm deiner Wahl installiert und aktiviere die automatischen Updates (standardmäßig eingeschaltet).

Verwende nach Möglichkeit nicht den Internet Explorer, da dieser viele Sicherheitslücken enthält. Achte aber darauf, dass er immer up to date bleibt, weil viele Programme diesen zum Anzeigen von Websites benutzen.

Alternativ kannst du verwenden:

• http://filepony.de/icon/tiny/firefox.pngMozilla Firefox
• http://filepony.de/icon/tiny/google_chrome.pngGoogle Chrome

Dazu sind folgende Add-ons empfehlenswert:

http://filepony.de/icon/tiny/adblock_firefox.pngAdblock Plus --> Blockiert Werbung. Werbung kann sehr nervig sein, aber auch auf schädliche Links verweisen.
http://filepony.de/icon/tiny/wot_chrome.pngWeb Of Trust --> Zeigt Userbewertungen zu besuchten Internetseiten an.

Du kannst auch http://filepony.de/icon/tiny/malware...ti_exploit.pngMalwarebytes Anti-Exploit verwenden, um aktuelle Sicherheitslücken zu stopfen.

Halte immer deine Plug-ins und Software aktuell, vor allem:

• Deinen Browser
• http://filepony.de/icon/tiny/flashplayer_firefox.pngFlash Player
• http://filepony.de/icon/tiny/jre_64.pngJava
• http://filepony.de/icon/tiny/adobe_reader.pngPDF Reader

Du kannst diese komfortabel regelmäßig hiermit überprüfen:

PluginCheck
Filehippo App Manager



Schritt # 2: Tipps um eine Neuinfektion zu vermeiden

Downloade nach Möglichkeit immer direkt von der Herstellerseite oder alternativ von einem sauberen Download-Portal wie FilePony.de. Von Downloadern wie die von Chip und Softonic raten wir ab: CHIP-Installer - was ist das? - Anleitungen

Auch versuchen sich immer mehr Programme durch Installationsroutinen auf den PC "durchzumogeln". Das klappt ganz gut, weil viele Anwender sich diese nicht genau durchlesen und schnell durchklicken. Manchmal steht auch in den Lizenzvereinbarungen, dass ein Programm, was eigentlich als Freeware angepriesen wird, nur genutzt werden kann, wenn man sich bestimmte Toolbars oder andere Programme mitinstallieren lässt.
Da hilft es nur aufmerksam zu sein.

Ein Tool, welches dich dabei gut unterstützen kann, ist: http://filepony.de/icon/tiny/unchecky.pngUnchecky. Dieses überwacht im Hintergrund Installationsprozesse und hakt automatisch nervige Adwarekomponenten wie Toolbars ab. Falls man etwas übersieht, warnt noch ein Pop-up, bevor man fortfahren kann.

Wir raten von jeglichen Optimizern, Cleanern, SpeadUps und Ähnlichem ab, da diese Softwareprodukte meist keinen Performancegewinn bringen. Du kannst jedoch regelmäßig deinen PC mit der windowsinternen Datenträgerbereinigung behandeln.

Überprüfe regelmäßig (mind. 1x pro Monat) deinen PC mit http://filepony.de/icon/tiny/malware...ti_malware.png Malwarebytes Anti-Malware und http://filepony.de/icon/tiny/eset_online_scanner.pngESET.

Falls du dir unsicher bist, ob ein Download wirklich sauber ist, kannst du immer https://www.virustotal.com/ zurate ziehen.



Schritt # 3: Unterstütze uns!

Wenn du uns mit einer kleinen Spende unterstützen möchtest, so kannst du dies hier tun: http://www.trojaner-board.de/79994-s...ndenkonto.html :party:

Es reicht aber auch schon ein simples :dankeschoen: hier, wenn du mit uns zufrieden warst. :)

http://3.bp.blogspot.com/--h4eLCX9kl...ike-symbol.png unsere Facebook-Seite!.

Bitte gib mir bescheid, wenn du das alles gelesen hast und alles klar ist, damit ich dieses Thema aus meinen Abos löschen kann.

Bescheid !

Und Danke nochmal