Windows Echtheits-"Virus"?

[XooL]

Hi zusammen,
dieser morgen fängt für mich persönlich schon super: Rechner eingeschaltet und bekam dann folgende Meldung nach dem Windows 7 einloggen:

Die Echtheit Ihrer Windows-Kopie wurde automatisch überprüft und nicht bestätigt.
Ihnen wurde folgende Identifikationsnummer 09xxx verliehen.
Es ist erforderlich, eine Windows-Lizenz aktivieren zu lassen. Dafür haben Sie 100 Euro an Microsoft Cooperation zu zahlen.

Zur Aktivierung ist folgendes notwendig:

1. Eine Paysafecard oder eine Ukash-Karte im Wert von 100 Euro zu kaufen.[...]

Ab da wurde es für mich unglaubwürdig, anschließend wurde mir noch mit dem Urheberrecht gedroht sowie Datenverlust. Meine Windows 7 Version ist auf jedenfall legal und habe diese auch regestriert (MSDNAA).
Habs schon mit dem abgesicherten Modus probiert: Keine Besserung. Ich kann mich nur via ALT + STRG + ENTF abmelden; Taskmanager sieht man nicht oder wird automatisch geschlossen....

Hier mal ein Foto davon:


Hoffe jemand kann mir helfen.

Edit: Nach dem dritten Neustart (wollte eigentlich von DVD aus booten), sah wie nach dem Einloggen alles wie gewohnt geladen wurde (Desktop, Icons, Tools etc.), ersst nachdem diese fertig waren kam dieser Bildschirm...

Lösung: Mit Kaspersky Rescue Disk booten, scannen und gefundene Objekte löschen.

 

[ryan_blackdrago]

Scareware : http://de.wikipedia.org/wiki/Scareware
MS würde niemals UCash & Co verwenden..

Abgesicherter Modus > Virenscan > Spybot

per Kaspersky-Live-CD:
https://www.computerbase.de/downloads/sicherheit/antimalware/kaspersky-rescue-disk/

 

[6shop]

das ist sicher nicht von windoof.

schau mal ob du regedit öffnen kannst.
der taskmanager ist vll einfach nur in der reg ausgeschaltet.

hier ein tutorial zum wieder einschalten des taskmanagers.

 

[accensy]

Guten Mögähnnn,


das sieht ganz und gar nicht nach einer windows lizenz abfrage aus. Ich würde erstmal den rechner intensiv nach vieren und Add-Ware (oder wie das Zeugsheist) durchsuchen.

 

[engelswut]

Von Live CD booten und vernünftigen Viren/Adware Scanner drüber laufen lassen oder Festplatte ausbauen und in nem Testrechner auf Viren etc. Scannen.

Ansonsten Format c:

 

[SB1888]

Das müsste die gleiche Masche sein wie bei XP mit dem Kriminalpolizei-"Virus".
Da gab es nur den Trick mit der mit der Eingabeaufforderung zu booten,
damals war in der Registry die Explorer.exe einfach mit diesem komischen Programm verknüpft.
Das dies aber zu Zeiten von Win7 immernoch geht.... hast du die Benutzerkontensteuerung aus?

Btw da z.B.: http://www.hardwareluxx.de/community/f67/tag-der-pc-sperre-trojaner-juhu-813876.html

 

[XooL]

die frage ist nur wie durchsuche ich nach viren und anderem dreck? Da bräuchte ich schon was von CD / USB Stick bootbarem, hätte da gerade jemand was gutes zur Hand?

 

[ozelot.junior]

Na herzlichen Glückwunsch. Sieht wie eine Kopie des allseits bekannten BKA-Trojaners aus, der in den letzten Monaten sein Unwesen treibt. Eben nur eine Windowsversion. Google doch mal nach diesem hier. Sollte mit antivir oder Kaspersky rescue disk was machbar sein.
Gruß

 

[XooL]

Danke werds mal durchlaufen lassen und später berichten...

 

[moelli]

Versuchs mal mit der Kaspersky Rescue Disk. Die hat bei diversen Kunden zumindest die ähnlich aussehende BKA Scareware erfolgreich entfernt.

 

[SB1888]

Siehe https://www.computerbase.de/forum/threads/windows-echtheits-virus.940165/#post-10458871 hilft nicht, zumindest nicht unter XP...

 

[heinzm62]

hab mal ein whois auf microsoft.net gemacht und folgende Antwort bekommen:

Domain Name: MICROSOFT.NET
Registrar: MELBOURNE IT, LTD. D/B/A INTERNET NAMES WORLDWIDE
Whois Server: whois.melbourneit.com
Referral URL: http://www.melbourneit.com
Name Server: NS1.MSFT.NET
Name Server: NS2.MSFT.NET
Name Server: NS3.MSFT.NET
Name Server: NS4.MSFT.NET
Name Server: NS5.MSFT.NET
Status: clientTransferProhibited
Updated Date: 28-apr-2010
Creation Date: 13-jan-1995
Expiration Date: 04-jun-201

das sieht mir nicht MS aus.

Oh, kurz abgelenkt und schon soviele erklärende Posts..

 

[Benzer]

Datenretten und formatieren. Alles andere ist nicht sauber genug bei einer derartigen manipulation...

 

[Freak-X]

Habe NIE eine so schlechte Fälschung gesehen - Unglaublich; wenn ich jemanden abzocken wollen würde, würde ich mir wenigstens mit dem Design etwas mehr Mühe geben. Das sieht ja aus, wie von nem Vorschulkind gemacht....

 

[Sir_Sascha]

Das ist der abgewandelte BKA-Trojaner. Diesen hatte eine Kollegin auch gerade erst auf dem Rechner. Da half leider nur eines: Daten über ext. Rechner sichern und dann platt machen. Alle Versuche von Lösungen die ich im Netz gefunden hatte, haben nicht funktioniert. Leider.

 

[Dunkelschwinge]

Neu Aufsetzen. Bei einem kontaminierten Sys würde ich nicht rumdoktern...

 

[83Husky]

ja auf jeden fall formatieren und nicht rumdoktern!! hatte sowas in der art auch gehabt

 

[heinzm62]

Interessant wäre zu wissen aus welchen Quellen man dieses Ding bekommt?
Ist das son Failbook teil oder durch konterminierte Websites oder oder?
Hilft ein aktueller Virenschutz damit das Teil sich nicht einnisten kann?

 

[SB1888]

Hilft ein aktueller Virenschutz damit das Teil sich nicht einnisten kann?

Nein ein einfacher Virenscanner hilft da nicht unbedingt.
Da muss ein Spywarescanner dran, den vom BKA erkennt GData bspw....

 

[6shop]

Habe NIE eine so schlechte Fälschung gesehen - Unglaublich; wenn ich jemanden abzocken wollen würde, würde ich mir wenigstens mit dem Design etwas mehr Mühe geben. Das sieht ja aus, wie von nem Vorschulkind gemacht....

und trotzdem funktioniert es sicherlich tausende mal, weil es immer menschen gibt die auf sowas reinfallen. genauso wie die, die auf links in mails klicken von dubiosen mailadressen.