Stoßen Sie auf diese Meldung, wurden Sie mit einem Cash-Trojaner infiziert. Erst durch Bezahlung einer Gebühr über Paypal oder Ukash wird das Betriebssystem angeblich wieder freigegeben. Wir zeigen wie Sie diesen Schädling am schnellsten wieder los werden.

Diagnose

Bei aktiver Internetverbindung erscheint nach dem Anmeldebildschirm beim Laden des Desktops ein ausgetrautes Fenster mit folgender Aufschrift:

Achtung! Aus Sicherheitsgründen wurde Ihr Windowssystem blockiert.
Durch das Besuchen von Seiten mit infizierten und pornografischen Inhalten ist das Computersystem an eine kritische Grenze angekommen, nach der das System zusammenbrechen und die ganzen Dateien verloren gehen können. Um das System wiederherstellen zu können, müssen Sie ein zusätzliches Sicherheitsupdate herunterladen.
Dieses Update ist ein kostenpflichtiges Upgrade für besonders infizierte Windowssysteme. Es beschützt das System vollständig von Virus und Schadprogrammen, stabilisiert Ihr Computersystem und verhindert den Datenverlust.

Lt. externer Seite soll es sich um eine Mutation des BKA Bundes-Trojaners handeln der die Meldung „Bundespolizei es ist die ungesetzliche tätigkeit enthüllt“ ausgiebt.

Infektion

Infektionen wurden unter Windows Vista und Windows 7 beim Öffnen eines infizierten Email-Anhangs. Nach dem Öffnen des Anhangs können Pop-Ups erscheinen.

Eine weitere Infektion habe ich selber durch ansurfen einer Website entdeckt. Offensichtlich erfolgt die Infektion über ein Java Applet.

Ein aktuelles „Avira Free Antivirus“ konnte vor der Infektion nicht schützen und konnte beim Scannen im abgesicherten Modus den Trojaner nicht finden und entfernen.

Aktivierung

Der Trojaner wird nur bei bestehender Internetverbindung aktiv. Besteht keine Internetverbindung, kann der Windows Pc offensichtlich normal benützt werden.

Entfernung

Automatische Entfernung

Die automatische Entfernung funktioniert mit einem kostenpflichtigen Programm namens Trojan Killer der Firma GrindinSoft.

Das Programm kann auf trojan-killer.net gekauft werden. In der Testversion kann nur gescannt, der Trojaner aber nicht entfernt, werden.

Wir hatten mit dieser Software gute Erfahrungen gemacht, wenn diese im abgesicherten Modus (beim Starten des Rechners mehrmals F8 drücken) durchgeführt wurde.

Allerdings sind 30 Euro für eine Anwendung, die warscheinlich nur einmal zum Einsatz kommt, etwas fragwürdig. Denn in der Testversion kann der Trojaner nicht entfernt werden kann!

Die Software kann hier gekauft werden, wenn Sie nicht über andere Wege bezogen wird.

Der Trojan Killer der Firma GrindinSoft konnte die Dateien

  • ycduh.exe
  • hostrun.exe
  • winphost.dss
  • dllhsts.exe

als Trojaner erkennen und erfolgreich entfernen.

Der beschriebene Trojaner konnte erfolgreich entfernt werden und das Fenster „aus Sicherheitsgründen wurde ihr Windowssystem blockiert“ konnte entfernt werden.

Manuelle Entfernung

  1. Zwei Benutzer konnte den Schädling mit einer einfachen Windows Systemwiederherstellung entfernen. Dies funktionierte auf Windows 7, sowie auf Windows Vista.
    Meistens hilft diese Methode nichts, aber Sie ist einen Versuch wert, weil sie schnell funktioniert und keine Benutzerdateien ändert. Sie ist ausserdem am einfachsten und am sichersten anzuwenden! 

    Windows 7: Start -> Systemwiederherstellung (schreiben) -> Zeitpunkt auswählen -> Wiederherstellen
    Windows Vista
    : Systemsteuerung -> Sichern und Wiederherstellen -> Windows mittels Systemwiederherstellung reparieren.

  2. Auf http://trojan-killer.net/de/achtung-aus-sicherheitsgrunden-wurde-ihr-windowssystem-blockiert-scam/ gibt es eine Anleitung zum manuellen Entfernen des Trojaners.
    Diese Möglichkeit hat bei uns nicht funktioniert weil um Registrierungseintrag Shell dennoch explorer.exe eingetragen war.
  3. Eine weitere Anleitung zum manuellen Entfernen der Malware finden Sie auf deletevirus.net

    Schenken Sie dieser Anleitung beachtung, wenn die erste Möglichkeit nicht funktioniert, weil dennoch „explorer.exe“ im Registrierungseintrag steht.

Bezahlen

Womöglich wird durch Bezahlung der Gebühr der Computer wieder freigegeben. Sie können sich nicht darauf verlassen, dass nach Bezahlung die Meldung „aus sicherheitsgründen wurde ihr windowssystem blockiert“ wieder verschwindet. Ausserdem sollen Sie auf keine Fall kriminelle Machenschaften unterstützen.

Das Programm zur Entfernung kostet übrigens 20 Euro weniger als der Cash Trojaner verlangt.

Ukash und Paypal

Es werden nur diese beiden Zahlungsverfahren angewendet, weil diese eine hohe Anonymität für die Betrüger darstellt.

Ukash wird übrigens häufig zum Waschen von Geld verwendet.

Kritik

Ich möchte auf keinen Fall Werbung für das Produkt von GrindinSoft machen. Es ist allerdings verwunderlich, dass nur dieses Programm den Schädling entfernen kann.