Trojaner-Board - TR/Fakewarn.d.5 - Windows Lizenz blockiert

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - TR/Fakewarn.d.5 - Windows Lizenz blockiert (https://www.trojaner-board.de/96453-tr-fakewarn-d-5-windows-lizenz-blockiert.html)

TR/Fakewarn.d.5 - Windows Lizenz blockiert

Hallo,

gerade wurde meine Windows 7 (Ultimate x64 SP1) Lizenz blockiert. Ich spreche hier nicht von einem deaktiviertem Key oder einen kleinen Meldung. Nein, Windows lässt sich nicht mehr benutzen. Nach dem Booten sehe ich kurz den Desktop, dann wird der Hintergrund grau und ein blaues Feld erscheint. Dort steht das meine Lizenz blockiert wurde, eine Wiederherstellung (Systemwiederherstellung) Datenverlust zur Folge haben könnte und ich die Möglichkeit habe mein Windows nach einer telefonischen Reaktivierung wieder zu verwenden. Wer das Office 2010 - Prozedere kennt, weiß wovon ich rede. Das Fenster lässt sich nicht wegklicken oder sonst beseitigen.. Windows läuft, ich höre Systemsounds, aber es ist nicht benutzbar. Ich hatte kurz vorher einen Trojaner entdeckt, den ich aber sofort per Antivir in Quarantäne verschoben habe - danach wurde ich von Antivir aufgefordert neu zu starten, seitdem funktioniert Windows nicht mehr. Im abgesicherten Modus kann ich normal weiterarbeiten und starten.
Also, es wäre schön wenn mir jemand helfen könnte.

Vielen Dank im Vorraus!

Edit/Update:
Ich habe den Trojaner "TR/Fakewarn.d.5" (lt.AntiVir) jetzt komplett gelöscht. Nachdem ich die Datei heruntergeladen hatte, habe ich sie nochmal manuell geprüft da ich mir ziemlich unsicher war. Antivir (Premium) schlug nicht an. Nachdem ich ein Update machte (das letzte war ca. 1h her) erkannte Antivir den Virus.
Ich habe jetzt die Internet-Verbindung getrennt, per Ccleaner nach ungewöhnlich einträgen im Autostart gesucht, aber nichts gefunden. Mache jetzt einen Fullscan mit Antivir, denn im abgesicherten Modus startet Windows normal.

Hallo und :hallo:

Bitte routinemäßig einen Vollscan mit malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!

Danach OTL:

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

Doppelklick auf die OTL.exe
Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
Unter Extra Registry, wähle bitte Use SafeList
Klicke nun auf Run Scan links oben
Wenn der Scan beendet wurde werden 2 Logfiles erstellt
Poste die Logfiles hier in den Thread.

Ich habe im abgesicherten Modus bei getrennter Internetverbindung jetzt einen kompletten Systemscan mit AntiVir gemacht. Die .exe gelöscht - dazugehörige Verzeichnisse im Autostart oder sonstige Verknüpfungen scheint es nicht zu geben. Der Trojaner scheint also eine Blockade der Windows-Lizenz vorzutäuschen, um den Nutzer zur Eingabe des Windows-Keys zu bewegen. Wie genau die Methode funktionieren soll, kann ich nicht nachvollziehen, da man sich erst bei einer Auswahl von Telefonnummer melden muss um den dort erhaltenen Code dann einzutragen -> Office Aktivierungsmethode.
Vielen Dank für die Hilfe - und die Moral von der Geschicht: mindestens jede Stunde das Antiviren-Programm updaten!

P.S. Die angegeben Nummer haben nicht mit 0900 o.ä. Vorwahlen begonnen.. soweit ich mich erinnere mit 02. Vielleicht wird man, wenn man dort anruft, in einen Werbeverteiler aufgenommen.. ich weiß es nicht.