Lösung zum Problem : Windows System blockiert(nur durch bezahlung aufhebbar)
 

Hallo,
Da ich sied gestern mittag das wohl hier bekannte Problem mit dem roten Bildschirm und dem blockierten System hatte, bin ich durch googlen auf dieses Board gestoßen, wo das Problem wohl schon öfters behandelt wurde.

Ich habe das Problem (was sich natürlich als Backdoor agent entpuppte) zusammen mit einem Freund nun auf eigene Art gelöst bekommen, und wollte nun fragen, ob ihr denkt, dass das reicht.

Beschreibung des Problems: Wenn man windows mit angeschlossener Internetverbingung gestartet hat ist nach wenigen Sekunden ein Fenster aufgetaucht, was einem Windows Fenster sehr ähnlich sah. Man konnte nichts andere tun und dieses auch nicht loswerden. Die einzige Möglichkeit war ein button mit "Bezahlen und runterladen"

Durch google hab ich erfahren das es sich wohl um einen virus handelt und hier im forum verschiedene lösungen mit ner menge Logfiles gefunden.

Ein Freund kam dann auf folgende Lösung: Das Programm muss sich ja im Autostart befinden wenn es mit windows angeht. Somit habe ich also unter Systemstart alle Programme deaktiviert und siehe da es ging. Nun habe ich ( im abgesicherten Modus) einzeln die Häckchen wieder gesetzt um herauszufinden, welches das problem verursacht. Am Ende bin ich zu dem ergebnis gekommen das es ein Programm namens "Stunnix Java script Obfuscator" ist. Die exe dazu lag im Users/***/Appdata/Roaming/microsoft Ordner und hieß svhcost.exe

Es wurden in der exe also einfach nur das "c" und "h" vertauscht. Exe gelöscht, und alles funktioniert wieder. :Boogie:

Es ist nur komisch das kein Viren/malware/spyware scanner diese Datei gefunden hat.

Es funktioniert jetzt wieder alles wie gewohnt.
Meine frage ist nun: Reicht das? Oder sollte ich wirklich Formatieren und neu aufsetzen.
Und natürlich ist es (mit Absegnung) ein Lösungsvorschlag :)


Ich hoffe das hier ist das richtige Forum für diesen Lösungsansatz.
Wenn nicht schonmal Entschuldigung dafür :D
Wie gesagt bin neu hier ;)

Danke schonmal im Vorraus

"Wer" ist "kein"?
Also welche (jeweils absolut aktuellen) Scanner haben denn deine Festplatte komplett durchsuchen dürfen und nichts gefunden?

Der erste war mein normales antivir, das zweite Malwarebytes und das dritte SUPERantispyware Malwarebytes und SUPERantispyware extra dafür heruntergeladen( dadurch aktuell) und antivir vorher im abgesicherten Modue geupdatet.

Hallo bin auch neu hier und nahzu absoluter Laie. Habe das gleiche Problem. Und daher würde mich interessieren, ob diese Lösung hier wirklich "Die Lösung" ist? Habe das gerade mal ausprobiert. Allerdings lässt sich diese Datei bei mir nicht löschen. Es erscheint die Meldung: Die Aktion kann nicht abgeschlossen werden, da die Datei in einem anderen Programm geöffnet ist. Was tun?

Hallo EwaldLienen und :hallo:

Willst du darüber diskutieren oder willst du dein Malwareproblem gelöst haben?
Wenn zweiteres der Fall ist, dann befindest du dich leider im falschen Unterforum.

Bitte lies folgende verlinkte Anleitung vollständig durch => Für alle Hilfesuchenden! Was muss ich vor der Eröffnung eines Themas beachten?
und erstelle anschließend dort => Plagegeister aller Art und deren Bekämpfung ein neues Thema.

Hi
hab genau die gleiche Fehlermeldung gehabt. Immer nach dem Hochfahren kam dieser rote Bildschirm mit der Zahlungsaufforderung. Man kann nichts machen, um das Fenster zu schließen. str,alt,entf geht, aber man kann dann nur noch neustarten. Ich hab naiver Weise einfach mal mein Netzwerkkabel ausm PC gezogen, dann neu gestartet.
Dann hat er normal hochgefahren, ohne Fehlermeldung. Ich konnt alles machen, hab auch zwischendurch wieder mit inet verbunden. Nach 10-30 min kam die Fehlermeldung aber wieder und nichts ging mehr.
Also wieder hochgefahren ohne internetverbindung. dann im task manager die datei "hostrun.exe" beendet.
Seitdem läuft alles normal. Fehlermeldung kommt nicht wieder.
Würd trotzdem gern wissen, ob das reicht. Ich finde keine "svhcost.exe" -Datei auf meinem Rechner. Hab also auch nichts gelöscht. Meine Viren-Programme (Antivir,malwarebytes) finden auch nichts.

Antivirenprogramme, soviel Zeit muss sein.

die Datei hostrun.exe solltest du überprüfen und auch löschen
=> im Web auf Malware testen, z.B. bei

"Jotti" => Jottis Malwarescanner
"Virustotal" => VirusTotal - Free Online Virus, Malware and URL Scanner

Ob diese Malware (als ganzes) damit weg ist, weiß ich nicht, dies scheint aber ab und zu so einfach zu gehen. http://www.cheesebuerger.de/images/s...onfus/a050.gif

hehe, ja meint ich doch.
Hatte die Datei jetzt schon gelöscht. Wird immer unlogischer. Hab hostrun.exe ausm Papierkorb aufn Desktop gezogen(um zu überprüfen), dann hat sich auf einmal antivir gemeldet und hat irgendeine malware entdeckt (2mal), hab "entfernen" geklickt. danach hab ich die hostrun.exe -Datei nicht mehr gefunden.
is dann wohl eher ein armutszeugnis für antivir, dass das programm, die datei vorher nicht gefunden hat ?

Nein, es gibt ständig neue Versionen von der Malware.
Apropos Armutszeugnis, wer hat die Software auf deinen PC getan? :blabla:

Ich hatte vor ein paar Tagen bei einem Kunden einen "Bruder" oder "Schwester" deiner hostrun.exe (hieß u.a. anders), dies hat von den insgesamt paar Dutzend AV-Programmen bei Jotti UND ViruTotal nur eine Handvoll erkannt und komischerweise waren dies alles "Außenseiter".

Welche Software auf den PC? hostrun? Die hab ich seltsamer Weise schon seit über 6 Monaten auf dem Rechner gehabt, laut Änderungsdatum der Datei.
Gab aber erst seit kurzem das Problem.
Tja, ka vielleicht sind die Außenseiter-Programme dann besser? Ich kenn mich da nicht aus. Hat mich nur gewundert, da ich die hostrun-Datei selber ganz einfach mit der Windowssuche gefunden habe und Antivir die nicht gefunden hat bzw. nicht beanstandet hat.

Hast du sie mal wie oben empfohlen mit den Jotti und VirusTotal überprüft?

ne hab ich nicht. Nach dem Ziehen auf den Desktop, kam grad die Meldung von AntiVir. Danach war hostrun.exe nicht mehr auf meinem Rechner.
Naja, seit dem keine Probleme mehr. Hätte nicht erwartet, dass es so relativ einfach geht.

Es scheint sehr simpel gestrickte Varianten zu geben, vielleicht sind sie aber auch nur extrem hinterfotzig, allerdings spricht bisher nichts dafür.

Wie genau hast du es denn hinbekommen?

Hab ich eigentlich in meinem ersten Post hier im Thread geschrieben:
1.) Netzwerkkabel aus meinem Computer gezogen.
2.) PC hochgefahren (so kam ich ins Windows rein ohne dass vorher die Fehlermeldung alles blockierte)
3.) Task-Manager aufgemacht und Datei "hostrun.exe" angewählt und dann auf "Task beenden" geklickt.
(nach dem Beenden der Datei kam die Fehlermeldung auch später nach dem hochfahren nicht mehr wieder)
4.) "hostrun.exe" in der windowssuche eingegeben und gesucht.
5.) angewählt und gelöscht.
--> das war schon alles.

hab sie dann nachträglich ausm papierkorb nochma rausgeholt, um sie zu überprüfen, aber dann hat antivir die datei auf einmal gemeldet und ganz gelöscht.

Ich hatte das selbe Problem mit einem Ukash-Trojaner.
Wenn der Pc hochgefahren ist, Strg,Alt & Entf gleichzeitig drücken, dann kommt ein Menü von Windows mit der enthaltenen Option "Coputer herunterfahren". Dannach drückt man die ganze Zeit die Taste "A", da der Coputer kurz nachfragt ob man das "Herunterfahren erzwingen" soll, oder halt "Abbrechen" soll. Da der UkashTrojaner aber direkt beendet wird, ist die Sperre nach dem Abbruch des Herunterfahrens aufgehoben und ihr könnt euch in Ruhe darum kümmern euern Pc zu scannen und den Trojaner zu löschen. Wenn euer Antivierenprogramm nichts gefunden hat, empfehle ich das kostenlose Antivirenprogramm "SpyBot SD". Hat bei mir den UkashTrojaner gefunden und gelöscht.

Spybot Search & Destroy (S&D) ist kein Antivirenprogramm, auch wenn es hier hilft (und streng genommen ist diese Malware übrigens auch kein Computervirus).

Ich stelle meine Frage mal hier mit rein (da ich mich ja an die Regeln hier halten will und nicht wusste wo sonst damitt hinn)

Ich hatte diesen Ukash Trojaner auch auf dem Pc (mein erster Virus seid 10 Jahren)

Ist es mit der Löschung des Trojaners getan oder kann er sich auch noch woanders eingenisstet haben?
Und wäre dies jemals auffindbar?

Denn mich wundert es das doch in sovielen anderen Threads eine individuelle Anleitung zur Löschung des Trojaners gegeben wird, aber nie der hinweis zu Formatierung und Neuinsterlation.

Lg Ferrys

Vielleicht weil du den Fachbegriff "Trojaner" eventuell nicht richtig einordnest?
"Trojaner" bezeichnet nur den Verbreitungsweg durch eine Tarnung und sagt nichts über die Gefährlichkeit oder überhaupt über die Art der Schädigung aus.

Bisher scheint es tatsächlich so, dass hier "nur" das Windowssystem blockiert wird und versucht wird € 50,- (oder andere Beträge) zu erpressen.
Auch wenn es natürlich auch die Fraktion gibt, die schon bei Tracking-Cookies neuformatieren oder bei einem (menschlichen) Schnupfen Antibiotika in großen Mengen und Vielfalt wollen.
Und es gibt die Möglichkeit natürlich, dass irgendwann der 50-Euro-Trojaner noch wa im Handgepäck hat - oder jetzt schon gänzlich unerkannt (was aber unwahrscheinlich ist).

Wollte hier auch keinenfalls irgendwen auf den "Schlips treten".
Die Frage ensteht ja daraus das ich mich in diesem Berreich nicht so gut auskenne. Deine ausage beruhigt mich aufjedenfall. Kritisch sein ist doch nie verkehrt (solange es nicht ausartet) da es ja auch um sensible Daten gehen kann.

Danke für die Info

Bist du m.E: auch deutlich niemanden.
Nein, deshalb sollte man sich aber auch z.B. immer fragen, was hat mean beigetragen zu so einer Infektion.
Die eigenen Daten, das eigene Surfverhalten sollte immer zu den sensiblen Daten gerechnet werden.
Und um Gefahren wenigstens ein bisschen abschätzen zu können, ist es auch wichtig zu wissen was was ist. Ein "Trojaner" im fachsprachlichen Sinn sagt eben nichts über die Gefährlichkeit aus. Der Begriff "Trojaner", im Sinn wie er von fachfernen Medien wie Computer-Bild, Tagesschau, SAT1RTLVOX, FAZ, Spiegel etc. gerne falsch benutzt wird, aber schon.

Hallo, zu Deiner Frage

gibt es keine sichere Antwort. Unter Windows XP war ich auf dem PC meiner Tochter bereits mehrfach betroffen. Habe bis jetzt dort auf ein Neuaufsetzen des PCs verzichtet; die betroffenen Benutzer aber komplett gelöscht und damit auch auf einfache Weise die Trojaner stillgelegt.

Ob jetzt noch manipulierte Registry-Einträge vorhanden sind, kann ich z.Zt. nicht nachprüfen. Wenn ja, haben sie sicher keine Auswirkungen. Die Trojaner der BKA/Ukash/Gema/Paypal-Familie befallen nach meinen Erfahrungen immer nur e i n e Benutzerkennung - auch wenn diese über Admin-Rechte verfügt.

Hier im Forum habe ich irgendwo gelesen, dass nur sehr professionell programmierte Viren/Trojaner z.B. in der Lage sind, Treiber so zu manipulieren, dass darüber der PC neu infiziert wird. Der mutmaßlich vom CIA programmierte Trojaner zur Infektion der iranischen Atomanlagen war wohl so gebaut.

Ein Neuaufsetzen des PC mit Neuformatieren der Festplatte ist m.E. deshalb nur dann empfehlenswert, wenn auf dem PC z.B. Telebanking betrieben wird.

Gruß DV-Opa