Trojaner Alarm - Popup und akustischer Alarm - PC blockiert
 

Hallo,
mein Kumpel bringt mir gestern mal wieder seinen angeblich 'verwanzten' Win7 Laptop, mit der Bitte diesen für ihn zu säubern.
Mein Kumpel berichtet wenn er im Firefox über die Google Startseite z.B. nach 'Wetter in Berlin' sucht, poppt eine Trojanermeldung hoch zusammen mit einem akustischen Alarm und einer Ansage das der Computer befallen sei und nur durch sofortiges anrufen einer +35 ... Nummer könnte er gerettet werden. Offensichtlich passiert das nur wenn eine freie Googlesuche eingegeben wird. Links und Bookmarks funktionieren wie gewohnt. Der Rechner ist anschliessend 'blockiert' und lässt sich nur noch brutal ausschalten.

Das Verrückte ist nur, ich kann die beschriebene Symptome bei mir zuhause nicht nachstellen. Der Laptop verhält sich bei mir absolut unauffällig. Keine Popups, kein Alarm.

Einziger offensichtlicher Unterschied ist die andere Lokation und damit eine andere Netzwerkverbindung. Beide Netzwerke sind private DSL Anschlüsse mit Wlan Router.

Vor einigen Wochen hatte sich der gleiche Rechner schon mal sehr ähnlich verhalten. Ich habe ihn dann nach Anleitung hier im Board bereinigt und alles lief scheinbar sauber bis vor ca.14 Tagen.

Vor einigen Monaten wurde von der Telekom der Router wegen Umstellung auf VOIP ausgetauscht. Ich konnte mir den 'neuen' Router bisher noch nicht ansehen. Wenn ich dort bin werde ich mir mal ansehen ob irgendwelche ungewöhnlichen Ports geöffnet sind. Aber sonst habe ich kein Idee was das mit dem Netzwerk zu tun haben könnte.

Ich bin demnächst vor Ort. Vielleicht könnt ihr mir noch ein paar Tipps geben was ich alles ansehen bzw. dokumentieren soll.

Besten Dank.
Jack.X

Das klingt eher danach, dass die Angaben nicht ganz passen. Diese Meldung(en) erst Recht im Zusammenhang der "Nicht-Nachstellbarkeit" klingen viel mehr danach, dass er "dubiose" Seiten ansurft, die ihn dann auf eine solche Seite weiterleitet.

Mit den dubiosen Seiten war genau meine erste Reaktion . Ich hatte ihm das nach der letzten Infizierung ausdrücklich 'untersagt':nono:. Er sagt er hält sich dran und er schwört es ist genau so wie beschrieben. Er startet den Rechner, dann den Firefox Browser mit Google als Startseite. Er sucht in der Tat oft nach der Wettervorhersage in seinem Heimatort´, ja und dann schlägt der Wahnsinn zu.
Aber lange Rede, gar kein Sinn. Ich schaue mir das 'live' an, werde Screenshots schiessen und dokumentieren was mir auffällt.

Ich melde mich.
Gruß Jack.X

Offene Ports hattest du bereits geschrieben -> von extern eingehend sollte da zumindest nichts manuell geöffnet worden sein. Firmwarestand vom Router auf jeden Fall #dokumentieren und dann nach Bedarf auf eine aktuelle Version hochziehen. Mit FRST-Logs machst du auch nichts verkehrt.

Selbst wenn da ein Portforwarding (DNAT) eingerichtet wurde auf dem Router: die Windows-Firewall muss auch eine entsprechende Regel haben. Eingehend wird nämlich grundsätzlich alles blockiert.