Kürzlich wurde ich unverhofft von einer WhatsApp-Nachricht überrascht von einem Handwerksbetrieb, bei dem ich hin und wieder Computer- und IT-Support leiste. Diese Nachricht enthielt ein Video, welches ich hier auch mal beigefügt habe. Der verunsicherte Anruf folgte sogleich auf die Nachricht ehe ich das Video überhaupt anschauen konnte.
In dem 3-Mann-Büro des Handwerkbetriebs waren alle aufgeschreckt, als ein Alarmton ausgehend vom Rechner der Team-Assistentin losging und gleichzeitig eine eindringliche Frauenstimme repetitiv folgenden Text im nervigen Tonfall aufsagte:
Wichtige Sicherheitsmeldung. Ihr Computer wurde gesperrt. Ihre IP-Adresse wurde ohne Ihr Wissen oder Zustimmung verwendet, um Webseiten zu besuchen, die den Virus-Identitätsdiebstahl entfalten, um den Computer zu entsperren. Bitte rufen Sie sofort den Support an. Bitte versuchen Sie nicht Ihren Computer herunterzufahren oder neu zu starten, da dies zu Datenverlust und Identitätsdiebstahl führen kann. Die Computersperre soll illegale Aktivitäten unterbinden. Bitte rufen Sie umgehend den Support an.
Der Alarmton war echt nervig, man hätte denken können, dass es sich um eine Feuerübung handel und alle gleich auf dem Sammelplatz wiederfinden. Aber stattdessen tauchten verschiedene Fensterchen auf dem Computer-Monitor auf mit der Meldung:
Microsoft Windows Firewall-Warnung!
PC mit Torjaner-Spyware infiziert
(Fehlercode: 2V7HGTVB.dll)
Der Zugriff auf dem PC wurde aus Sicherheitsgründen gesperrt.
Bitte rufen Sie den Windows-Support an: 0711-2050-1991
Weiter hieß es in einem Popup-Fensterchen:
Bitte kontaktieren Sie uns umgehend. Unser Techniker wird Sie telefonisch durch den Entfernungsprozess führen. Ihr Computer wurde deaktiviert.
Windows Rufen Sie den Support an: 0711-2050-1991
Obwohl das ziemlich gutes Deutsch ist, sieht man an ein paar Kleinigkeiten, dass es wahrscheinlich von einer ausländischen Übersetzung herstammt.
Die Texte plus der Audioansage und dem Alarmton sollen natürlich zu einer Kurzschlussreaktion animieren, dass man irgendwas anklickt oder gar diese ominöse Nummer versucht anzurufen. Die Kollegen vom besagten Handwerksbetrieb taten nichts dergleichen und warteten meine Empfehlung ab. Was ich prinzipiell gutheißen kann.
Behebung des Problems
Was war aber nun zu tun? War der Rechner unwiderruflich verloren oder breitete sich gar ein Virus übers Netzwerk aus? Letzteres glaube ich nicht und der Rechner ist wieder funktionstüchtig.
Es stellte sich schnell heraus, dass die Firewall-Warnung mit dem Fehlercode 2V7HGTVB aus dem Browser, in diesem Fall Microsoft Edge kam. Bevor man nun aber wild irgendwelche Buttons klickt, um das Ding loszuwerden, war die klare Empfehlung den Browser über den Task-Manager zu schließen.
Dazu entweder Strg + Alt + Entf als Tastenkombination drücken und dann auf „Task-Manager“ klicken oder den Task-Manager direkt mit der Tastenkombination Strg + Shift + Esc aufrufen.
Man sieht dann ein solches oder ein ähnliches Fenster vom Task-Manager. Ggf. muss man die Anzeige noch erweitern, um weitere Details anzuzeigen.
Im Task-Manager geht man dann auf „Prozesse“ und sucht sich den Browser raus, der die Windows-Warnmeldung ausgibt. Dann macht man Rechtsklick auf den Browser und wählt „Task beenden“ aus.
Danach kehrt eine angenehme, erleichternde Ruhe ein.
Eine gewisse Unsicherheit verbleibt, ob man sich nicht doch etwas eingefangen hat. Hier kann man ja sicherheitshalber noch einen Virusscan hinterher schieben. Nach meinem Dafürhalten handelt es sich dabei aber nur um geschickt konstruierte Browser-Apps/-Popups, die auf die spontane Verunsicherung der Leute abzielen. Gefährlich wirds, wenn man unbedarft irgendwelche Buttons klickt oder sich auf den telefonischen „Support-Anruf“ einlässt.
Hallo, guten Abend,
ich habe gestern Abend die gleiche Warnung erhalten, jedoch mit der Tel.-Nr. 030 1663 4688, die ich natürlich nicht angerufen habe. Nachdem die Meldung auf dem Bildschirm erschien, hat diese alles überlagert, man konnte im ersten Moment nichts machen, da auch keine Taskleiste mehr erschien. Ich habe dann in meiner Not die ESC-Taste gedrückt. Die Taskleiste kam wieder, dass ich meine Fenster schließen und den Computer herunterfahren konnte. Habe ihn aber bisher nicht mehr angeschaltet, aber mit meinem Tablet im Internet recherchiert. Der Fehlercode scheint tatsächlich, wie Sie sagen, ein Fake zu sein. In anderen Berichten sind die Nutzer aber gar nicht mehr in den Task-Manager gekommen. Im Gegensatz zu Ihrem 3-Mann-Betrieb habe ich als Browser aber Mozilla-Firefox.
Ist die Vorgehensweise dann dieselbe? Wie haben Sie gesehen bzw. wie sieht man, dass diese Fake-Warnung vom Browser kam/kommt? Ist mit „Task beenden“ die Meldung dann vom Computer verschwunden bzw. gelöscht? Kann ich anschließend meinen vorgenannten Browser wieder benutzen? Wie kann ich sicherstellen ,dass diese Meldung nicht wiederkommt? Als Virenschutz habe ich übrigens Bitdefender.
Über eine Antwort von Ihnen würde ich mich freuen.
Freundliche Grüße
Jürgen Kleeberg
Also, wenn es sich nur um reine Scareware handelt, die, wie beschrieben, sich nur im Browser manifestiert, dann ist es egal ob es sich um einen Mozilla Firefox Browse, Edge oder Chrome handelt. Die Vorgehensweise „sollte“ dann dieselbe sein. „Sollte“ in Anführungszeichen, da man nie sicher sein kann und man auch nicht aus der Ferne entscheiden kann, ob es sich um dasselbe handelt. Es ist gut möglich, dass man sich auch andere Varianten von Scareware oder Malware einfängt, die sich im Hintergrund installieren und dann verhindern, dass man bestimmte Programme ausführen kann, wie z.B. den Taskmanager. Dann kann man noch forensisch versuchen die bösen Dateien und bösen Exe ausfindig zu machen z.B. mit Hilfe von Antiviren-Programmen oder entsprechenden Recherchen, um diese dann manuell zu entfernen, in der Hoffnung, dass der Rechner wieder Clean ist. Wenn das alles nichts hilft, kommt man nicht umhin, das System neu aufzusetzen.