Guten Tag

In den Staaten sind diese betrügerischen CallCenter-Anrufe vom angeblichen Microsoft-Supportern die eine "Fernwartung" durchführen wollen ja schon länger eine Thema - und seit einiger Zeit treten sie auch im deutschsprachigen Raum vermehrt auf.

Einer der "Tricks" dieser Betrüger ist, dass sie den PC mit einem (unüblichen) Passwortschutz versehen, damit sich das Opfer, selbst wenn es den Betrug nach einer gewissen wittert und das Gespräch/dieFernwartung abbricht, nicht mehr einloggen kann. Die Betrüger versuchen dann noch mehrere Male das Opfer erneut anzurufen, und es quasi mit dem Passwort zu erpressen.

Heute hatte ich erstmals jemanden mit einem entsprechend gesperrten Gerät auf der Matte und hatte ziemlich schnell den Verdacht, dass es sich bei dieser Sperre nicht um Malware handelt (und dass folglich all die schönen Scan-Tools schon von Anfang an chancenlos sind), sondern effektiv um irgend ein Windows-Feature.

Google hat mich dann zwar zu diversen Threads von Hilfesuchenden mit genau diesem Problem geführt (einige davon hier im Trojaner Board, andere bei Microsoft Answers oder sonstwo), aber nirgendwo war eine brauchbare Lösung zu finden (zumindest nicht in den Threads, die ich auf die Schnelle gefunden habe).

Fündig wurde ich schliesslich bei einem (echten) US-Supporter. Er beschreibt nicht nur das Problem an sich (es handelt sich tatsächlich um einen Missbrauch des Windows SysKey Features) sondern auch die Lösung:

hxxp://triplescomputers.com/blog/casestudies/solution-this-is-microsoft-support-telephone-scam-computer-ransom-lockout/

Ich dachte, ich poste das mal hier, für den Fall dass ihr das noch nicht kennt.

(Denn zumindest bei den Threads zum entsprechenden Problem die ich hier gefunden hab, war man nie auf der richtigen Spur.)

Danke für den Hinweis. Es zeigt, dass Schadcode-Programmierer auch nicht immer ordentlich arbeiten. Das kann man natürlich ausnutzen.

System Restore hätte ich auch verschlüsselt oder gleich gelöscht. Soll das Opfer nachdem es bezahlt hat doch einfach neue Wiederansetzungspunkte anlegen. Wobei man nie zahlen sollte.
Wichtiger: einigermaßen aktuelles Backup, Verschlüsselungs-Trojaner kommt eigentlich einem Plattencrash (ohne RAID) gleich. Die Frage ist eigentlich nur was häufiger auftritt. Absichern sollte man beide Fälle.

Zitat:

Check to ensure that the folder %SYSTEMROOT%\system32\config\RegBack exists. If so, continue. If not, stop and immediately contact a technician.

Zitat:

System Restore hätte ich auch verschlüsselt oder gleich gelöscht.

Die SystemRestore Punkte werden ja tatsächlich auch gelöscht. Einzig den "RegBack" Ordner (den man manuell zurückkopieren muss) lassen sie in Ruhe.

Und der Verschlüsselungs-Trojaner ist ja nochmal was anderes. Da hat idR eh verloren.


Aber mit dem BackUp hast du natürlich völlig recht. Nur nützt das den Betroffenen die eben kein BackUp haben meist nicht sonderlich viel (oder zumindest erst für die Zukunft).

deshalb installiert man am besten nicht eine Fernzugrifssoftware auf seinem PC.......
Und selbst wenn man an diese "Fernwartung" glaubt , lädt man sich den Mist doch nicht aus unbekannten,dubiosen Seiten , sonder setzt das Hirn ein , und kommt drauf , dass es entweder die Microsoftseite sein muss , oder es ist der Betrüger........meiomei. nachdenken , Leute !!!

Zudem wäre es noch sinnvoll in Windows-Systemen nicht unbedingt dauerhaft als Administrator rumzuwerkeln, da dies solche "Scam" Aktionen begünstigen tut. Ein Standardkonto reicht in der regel unter Windows vollkommen aus. Dort kann man zwar auch noch schaden anrichten, aber weit aus weniger als Administrator.

Xas331, "brain.exe" hat halt auch manchmal seine Lags. Zum Beispiel früh morgens oder nach einem anstrengenden Arbeitstag oder wenn man aus einer interessanten Tätigkeit herausgerissen wird. Letzteres machen sich Anrufer zunutze.

trotzdem , ich mein beim 1.Mal vielleicht mal virus.exe runterzuladen passiert mal , aber einen vollkommen Fremden am eigenen PC rumwerkeln lassen ? wtf!

Zitat:

Zitat von Xas331

deshalb installiert man am besten nicht eine Fernzugrifssoftware auf seinem PC.......
Und selbst wenn man an diese "Fernwartung" glaubt , lädt man sich den Mist doch nicht aus unbekannten,dubiosen Seiten , sonder setzt das Hirn ein , und kommt drauf , dass es entweder die Microsoftseite sein muss , oder es ist der Betrüger........meiomei. nachdenken , Leute !!!

Sry, ich muss jetzt hier mal nachfragen, was Dich bewogen hat, diese Mumie aus ihrem Schlaf aufzuwecken
Die Problematik ist heute allseits bekannt. Geistige Onanie?

Es reicht, ich mach hier mal dicht.