Achtung! Aus Sicherheitsgründen wurde Ihr Windowssystem blockiert.

Stoßen Sie auf diese Meldung, wurden Sie mit einem Cash-Trojaner infiziert. Erst durch Bezahlung einer Gebühr über Paypal oder Ukash wird das Betriebssystem angeblich wieder freigegeben. Wir zeigen wie Sie diesen Schädling am schnellsten wieder los werden.

Diagnose

Bei aktiver Internetverbindung erscheint nach dem Anmeldebildschirm beim Laden des Desktops ein ausgetrautes Fenster mit folgender Aufschrift:

Achtung! Aus Sicherheitsgründen wurde Ihr Windowssystem blockiert.
Durch das Besuchen von Seiten mit infizierten und pornografischen Inhalten ist das Computersystem an eine kritische Grenze angekommen, nach der das System zusammenbrechen und die ganzen Dateien verloren gehen können. Um das System wiederherstellen zu können, müssen Sie ein zusätzliches Sicherheitsupdate herunterladen.
Dieses Update ist ein kostenpflichtiges Upgrade für besonders infizierte Windowssysteme. Es beschützt das System vollständig von Virus und Schadprogrammen, stabilisiert Ihr Computersystem und verhindert den Datenverlust.

Lt. externer Seite soll es sich um eine Mutation des BKA Bundes-Trojaners handeln der die Meldung „Bundespolizei es ist die ungesetzliche tätigkeit enthüllt“ ausgiebt.

Infektion

Infektionen wurden unter Windows Vista und Windows 7 beim Öffnen eines infizierten Email-Anhangs. Nach dem Öffnen des Anhangs können Pop-Ups erscheinen.

Eine weitere Infektion habe ich selber durch ansurfen einer Website entdeckt. Offensichtlich erfolgt die Infektion über ein Java Applet.

Ein aktuelles „Avira Free Antivirus“ konnte vor der Infektion nicht schützen und konnte beim Scannen im abgesicherten Modus den Trojaner nicht finden und entfernen.

Aktivierung

Der Trojaner wird nur bei bestehender Internetverbindung aktiv. Besteht keine Internetverbindung, kann der Windows Pc offensichtlich normal benützt werden.

Entfernung

Automatische Entfernung

Die automatische Entfernung funktioniert mit einem kostenpflichtigen Programm namens Trojan Killer der Firma GrindinSoft.

Das Programm kann auf trojan-killer.net gekauft werden. In der Testversion kann nur gescannt, der Trojaner aber nicht entfernt, werden.

Wir hatten mit dieser Software gute Erfahrungen gemacht, wenn diese im abgesicherten Modus (beim Starten des Rechners mehrmals F8 drücken) durchgeführt wurde.

Allerdings sind 30 Euro für eine Anwendung, die warscheinlich nur einmal zum Einsatz kommt, etwas fragwürdig. Denn in der Testversion kann der Trojaner nicht entfernt werden kann!

Die Software kann hier gekauft werden, wenn Sie nicht über andere Wege bezogen wird.

Der Trojan Killer der Firma GrindinSoft konnte die Dateien

  • ycduh.exe
  • hostrun.exe
  • winphost.dss
  • dllhsts.exe

als Trojaner erkennen und erfolgreich entfernen.

Der beschriebene Trojaner konnte erfolgreich entfernt werden und das Fenster „aus Sicherheitsgründen wurde ihr Windowssystem blockiert“ konnte entfernt werden.

Manuelle Entfernung

  1. Zwei Benutzer konnte den Schädling mit einer einfachen Windows Systemwiederherstellung entfernen. Dies funktionierte auf Windows 7, sowie auf Windows Vista.
    Meistens hilft diese Methode nichts, aber Sie ist einen Versuch wert, weil sie schnell funktioniert und keine Benutzerdateien ändert. Sie ist ausserdem am einfachsten und am sichersten anzuwenden! 

    Windows 7: Start -> Systemwiederherstellung (schreiben) -> Zeitpunkt auswählen -> Wiederherstellen
    Windows Vista
    : Systemsteuerung -> Sichern und Wiederherstellen -> Windows mittels Systemwiederherstellung reparieren.

  2. Auf http://trojan-killer.net/de/achtung-aus-sicherheitsgrunden-wurde-ihr-windowssystem-blockiert-scam/ gibt es eine Anleitung zum manuellen Entfernen des Trojaners.
    Diese Möglichkeit hat bei uns nicht funktioniert weil um Registrierungseintrag Shell dennoch explorer.exe eingetragen war.
  3. Eine weitere Anleitung zum manuellen Entfernen der Malware finden Sie auf deletevirus.net

    Schenken Sie dieser Anleitung beachtung, wenn die erste Möglichkeit nicht funktioniert, weil dennoch „explorer.exe“ im Registrierungseintrag steht.

Bezahlen

Womöglich wird durch Bezahlung der Gebühr der Computer wieder freigegeben. Sie können sich nicht darauf verlassen, dass nach Bezahlung die Meldung „aus sicherheitsgründen wurde ihr windowssystem blockiert“ wieder verschwindet. Ausserdem sollen Sie auf keine Fall kriminelle Machenschaften unterstützen.

Das Programm zur Entfernung kostet übrigens 20 Euro weniger als der Cash Trojaner verlangt.

Ukash und Paypal

Es werden nur diese beiden Zahlungsverfahren angewendet, weil diese eine hohe Anonymität für die Betrüger darstellt.

Ukash wird übrigens häufig zum Waschen von Geld verwendet.

Kritik

Ich möchte auf keinen Fall Werbung für das Produkt von GrindinSoft machen. Es ist allerdings verwunderlich, dass nur dieses Programm den Schädling entfernen kann.

Sei sozial und teile

Über den Autor Andreas Grundner

Ich bin Wordpress, Joomla, Typo3 Integrator, Unix Rootserver Administrator und Webanwendungsprogrammierer. Mittlerweile habe ich über 70 Webprojekte weitgehend selbstständig mit enger Kundenabsprache realisiert. Ich bin auf One Page Websites auf Wordpress-Basis spezialisiert, biete aber auch Suchmaschinenoptimierung (SEO), Blogs, Facebook, Youtube und Google+ Seiten an. Meine Verpflichtung gilt dem Datenschutz, meine Leidenschaft dem Finden und Aufzeigen von Sicherheitslücken in Webanwendungen.

27 Reaktionen zu Achtung! Aus Sicherheitsgründen wurde Ihr Windowssystem blockiert.

  1. thomas schmidt
    06.04.2012 at 20:52 · Antworten

    hallo, danke besonders für die hinweise von deletevirus und irene (die ja wohl doch identisch sind). Recht kryptisch ist der hinweis, man möge eine sichere (!) version von explorer.exe runterladen. Da muss ich lachen.

    In einer anderen ratgeberseite stand, dass schon die suche nach explorer exe zum download eine abendfüllende beschäftigung sein wird, davon abgesehen, dass es ein massiver eingriff ins betriebssystem ist, explorer.exe zu ersetzen. Das dürfte also nicht so besonders funktionieren.

    In besagter Seite wurde dann empfohlen, die eigene windows-cd einzulegen und explorer auf diese weise zu ersetzen. Klingt allzu einfach. Ist das möglich? Hat das schon mal jemand gemacht? kann die deletevirus-methode da angewendet werden?

    Und: Warum erkennt Avira diese bka-. gema-, achtung-trojaner nicht? Dringender Rat an alle: Java deaktivieren! Das scheint das einfallstor zu sein!

  2. Louis
    31.03.2012 at 16:29 · Antworten

    Liebe Helfer,

    einen meiner Rechner hatte am 29.03.2012 eine offensichtlich neue Version erwischt: Fenster wie oben aber zusätzlich unten die Logos von Antivir, Kasparsky und drei weiteren Anbietern der Branche, wobei ich davon ausgehe, dass die nicht dahinter stecken. Mein 360 Norton hat offensichtlich gepennt, obwohl stets aktuell.

    Bin alles losgeworden mit dem Tipp von Fred (malewarebytes). Die über einen Stick installierte Version (zuvor von der Originalsite Maleware heruntergeladen) fand zunächst allerdings gar nichts.

    Habe dann den Rechner ans Netz geschlossen und geschwind Malewarebytes aktualisiert. Das böse Trojanerfenster erschien erst ca. 4 Min. nach Netzanschluss, sodass dies möglich war. Der anschließende Scann brachte 8 böse Dateien auf, davon 6 in der Registrierung.

    Habe dann den Norton aktualisiert, obwohl der dies eigentglich automatisch machen müsste und drüberlaufenlassen. Norton hat dann noch eine Trojaner Datei (Trojan.Maljava) gefunden, die Malewarebytes nicht erwischt hat. Da die unter den Anwendungsdaten von Java versteckt war, ist sie wohl demselben Befall zuzuordnen.

    Noch was: Der Trojaner hatte die Breitbandverbindung auf „Wählbetrieb“ umgestellt, was man von Hand wieder ändern muss. Der Befall kündigt sich zunächst übrigens damit an, dass der Rechner sich meldet, weil die Internetverbung weg ist und man wählen soll.

    Also: Besten Dank an Euch alle. Nur diese Seite hat geholfen.

    Beste Grüße

    Louis

    • admin
      01.04.2012 at 09:27 ·

      Vielen Dank für deinen Tipp Louis!

  3. Exizk
    29.03.2012 at 19:47 · Antworten

    Hallo zusammen,
    hatte bis heute Mittag das gleiche Problem. Habe es auf diese Art gelöst:

    1. Windows im abgesicherten Modus mit Netztreibern starten
    2. „Emsisoft Anti-Malware“ von Chip.de herunterladen (müsste die „6.0 Deutsch“ Version anzeigen)
    3. Programm installieren & anschließend den Virenscann durchlaufen lassen
    4. Nach Abschluss des Scanns die angezeigten „kritischen Dateien“ entfernen
    5. Windows normal neu starten

    Seitdem Funktioniert wieder alles reibungslos.
    Da dieses Programm nur eine 30-Tage-Testversion ist, stelle ich mir nur noch die Frage, was dannach passiert. Aber immer positiv denken 🙂

    Ich hoffe, ich konnte euch helfen.

    Gruß,
    Exizk

    • admin
      30.03.2012 at 17:05 ·

      Hallo Exizk!

      Nach den 30 Tagen, kannst du das Programm nicht mehr zum Entfernen von Schädlingen verwenden. Diese Frist reicht meistens aus um das Problem zu lösen.

      Danke für deinen Tipp!

  4. SPonge
    11.03.2012 at 22:01 · Antworten

    Hallo,
    wollte nur sagen, dass anscheinend die Systemwiederherstellung wirklich wunder bewirkt.
    Bei mir auf Windows7 hat sie gerade geholfen. Ich hoffe es bleibt so.
    lg

  5. Fred
    11.03.2012 at 20:10 · Antworten

    und hier hab ich was gefunden wenn das alles nichts helfen sollte… http://blog.botfrei.de/2011/08/malwarebytes-anti-malware-free/
    ich habe heute mehrere Stunden damit verbracht den Laptop von meinem Bruder wieder flott zu bekommen. mit dem Programm habe ich es erfolgreich geschafft. man läd sich das Programm bei einem Freund oder wenn man einen Zweitcomputer hat runter. man läd es auf einen USB-Stick. man starten den Computer im abgesicherten Modus(beim Systemstart F8 drücken) und installiert das Programm. einfach scannen und zack hat das Programm den Trojaner gefunden:D den Trojaner entfernen und nochmal neu starten. ich hoffe ich konnte euch damit helfen.

    Gruß Fred

  6. Fred
    11.03.2012 at 14:19 · Antworten

    als Alternative gibt es auch hier noch was kostenloses um das Problem zu lösen;)
    http://www.chip.de/downloads/AntiVir-Rescue-System_30971022.html

  7. Fred
    10.03.2012 at 15:57 · Antworten

    @ülülü

    du musst dazu offline sein. solange du offline bist kommt die beschriebene Seite mit der Warnung nämlich nicht. also wenn du offline bist kannst du alles ganz normal machen. nur wenn du online bist schlatet sich der Virus ein. ich weis nicht warum?!? man muss die Systemwiederherstellung also auch nicht zwingend im abgesicherten Modus starten, es geht auch so, wie gesagt so lange man offline ist. ich kann nur berichten wie es bei mir war;)

    Gruß Fred

  8. Virusmagnet
    05.03.2012 at 17:48 · Antworten

    Hey lieber Admin dumme Frage aber bei mir öffnet sich die Systemwiederherstellung im abgesicherten Modus nicht.. woran kann das liegen?? habe vista und das Program als Administrator ausgeführt, tut sich einfach nichts..

  9. ülülü
    04.03.2012 at 16:11 · Antworten

    Aber Fred, der Virus ist viel zu schnell, bis ich in Systemwiederherstellung bin, ist der virus schon da und nichts mehr geht, wie machst du das?

  10. Fred
    28.02.2012 at 17:21 · Antworten

    hi!
    ich habe Windows Vista Home Premium drauf. wie gesagt….Systemsteuerung–>Sichern und Wiederherstellen–>Windows mittels Systemwiederherstellung reparieren….und dann einfach einen älteren Wiederherstellungspunkt auswählen, von dem man sicher weis das da noch keine Problem waren und laufen lassen. also bei mir hat es auf jeden Fall funktioniert. vielleicht einfach mal ausprobieren, denn passieren kann nicht viel. wie gesagt als Leihe würde ich das so erklären, dass das System ansich so wiederhergestellt wird wie es vor der Infektion war.
    Gruß Fred

    • admin
      28.02.2012 at 19:45 ·

      Hallo Fred.

      Vielen Dank für die Mitteilung, dass die Systemwiederherstellung ebenfalls auf Windows Vista funktioniert.
      Danke für den Hinweis.

      Mfg,
      Admin

  11. Fred
    24.02.2012 at 19:17 · Antworten

    also ich hab den Trojaner erfolgreich entfernt:) ich hab ne Systemwiederherstellung einer älteren Sicherung gemacht. anscheinend macht Windows öfter mal ne Sicherung des Systems. es sind auch keine weiteren Daten verloren gegangen. ich denke mal Windows stellt nur das System ansich wieder her….wie der Name auch schon sagt:D auf jeden Fall war das Problem dann gelöst. und lasst die Finger von der „kostenlosen“ GrindinSoft aus unsicheren Quellen. die enthalten auch meist Trojaner……

    • admin
      25.02.2012 at 19:09 ·

      Hallo Fred!

      Das freut uns, dass bei dir die Systemwiederherstellung geklappt hat. In den meisten Fällen nützt die nämlich gar nichts. Kannst du uns dein Betriebssystem bekannt geben?

      Mfg,
      Admin

  12. Michel
    23.02.2012 at 11:56 · Antworten

    Äh, blöde Frage:
    Wenn ich im abgesicherten Modus bin, wie installiere und starte ich dann die Trojan-Killer-SW dann aus dem abgesicherten Modus heraus…..

    Gruß, Michel

    • admin
      23.02.2012 at 17:08 ·

      Hallo Michael!

      Ganz genau gleich wie im „normalen“ Modus. Einfach beim Bootvorgang von Windows F8 drücken und „Abgesichterter Modus“ auswählen. Hochfahren. Eventuell wird jetzt das Admin-Passwort benötigt.
      Programm normal installieren und scannen.

      Mfg,
      Admin

  13. Karin
    21.02.2012 at 15:14 · Antworten

    Wie sicher ist der kostenpflichtige TrojanKillerder Firma GrindinSoft GrindinSoft? Ich will natürlich nicht zahlen wenns nicht zu 95 % sîcher ist das der Virus auch gefunden wird 🙂

    • admin
      22.02.2012 at 20:14 ·

      Hallo Karin!

      Wenn es sich um den hier beschriebenen Schädlin handelt, kann das Programm diesen zu 99% entfernen. Also relativ sicher.

      Mfg

  14. Elena
    20.02.2012 at 20:08 · Antworten

    Hallo, nachdem ich die Anleitung von deletevirus.net befolgt und einen Virenscan gemacht habe, kommt die Meldung immer noch, es sei denn, ich stelle den registry editor nicht mehr auf explorer.exe zurück (und arbeite dann also ohne Explorer…). Ich habe auch schon Antivir durchlaufen lassen, das hat auch einen Virus gefunden (ich weiß nicht, ob es der ist, um den es hier geht) und gelöscht…
    Lg Elena

    • admin
      22.02.2012 at 20:20 ·

      Hallo Elena.

      Wenn du nicht mehr auf explorer.exe zurückstellst, wird dieser beim Systemstart auch nicht gestartet. Versuche mal den Explorer über den Taskmanager manuell zu starten. Das geht mit STRG+SHIFT+ESC, Reiter Anwendungen, Button „Neuer Task“, „explorer.exe“, Ok.
      Eventuell kannst du jetzt wieder arbeiten.

      Unseres wissens kann Avira den Schädling derzeit noch nicht erkennen, es sei denn dein gefundener Schädling stimmt mit einer unserer Dateien überein.

      Mfg

  15. admin
    10.02.2012 at 19:45 · Antworten

    Vielen Dank Irene!

    Diese Methode ist tatsächlich neu und weicht von meiner beschriebenen manuellen Methode ab.

    Womöglich kann Ihr Tipp einigen helfen.

  16. Muckel
    09.02.2012 at 09:26 · Antworten

    Hallo , ich habe ein Problem ! Mein Mann hat sich den U-Cash Trojaner eingefangen und ich habe nun schon einiges gemacht um ihn wieder loszuwerden doch leider greift keine der Maßnahmen . Mit der Avira Rescue CD zeigt er mir an das ich 16 Bedrohungen habe lasse ich jedoch z.B. Malewarebytes laufen so findet er nichts … Nun habe ich den Avira DE-Cleaner durchlaufen lassen doch auch der kann kein ergebnis liefern … Ich bin echt verzweifelt , vielleicht kann mir ja hier jemand der mehr Ahnung hat als ich helfen ???
    Lieben Gruss

    • admin
      09.02.2012 at 18:13 ·

      Hallo Muckel!

      Wenn es sich tatsächlich um die beschriebene U-Cash Malware handelt, dann hilft Avira nicht. Auch nicht wenn es die neuesten Updates heruntergeladen hat. Das ist der Stand bis heute, 09.02.2012.

      Wenn dir die Verwendung von „Trojan Killer“ der Firma GrindinSoft nicht helfen konnte ist die einfachste, schnellste und gemütlichste Methode meistens das neu Aufsetzten des Rechners.

      Der PC ist vermutlich in 3-4 Stunden wieder fit und entmüllt. Eine Fehlersuche ist bei diesem Schädling schwierig.

  17. Rainer hilz
    25.12.2011 at 22:54 · Antworten

    Hallo – eine Frage – ich habe den GrindinSoft kostenlos downloaden können – bin am Laptop nicht sehr bewandert – d-h- ich bin Laie…… wie gehe ich vor – ich habe auf 2ten Laptop den TrojanerKiller…..
    Wie gehe ich nun am besten weiter vor?
    Ohne Internetverbindung läuft der Laptop ja ohne Probleme…..ich check halt wenig bis gar nix am Laptop was diese Sache angeht……kann mir hier jemand kurze Hilfestellung (Anleitung) geben wie ich hier nun weiter vorhen soll????

    • admin
      26.12.2011 at 18:22 ·

      Hallo.
      Danke für deine Frage. Natürlich gebe ich dir so weit wie Möglich eine Hilfestellung.

      Die gesamte Anleitung ist auf dem infizierten Rechner auszuführen!

      1. Windows im abgesicherten Modus starten. Beim Booten öfter F8 drücken.
      2. Trojan Killer installieren (kann auch im normalen Modus geschehen)
      4. Mit Trojan Killer komplett Scannen (ca. 15 Minuten)
      5. Trojan Killer die gefundenen Trojaner entfernen lassen.

      Entfernen der Trojaner funktioniert mit der kostenlosen Testversion NICHT!

Meinung sagen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.