Share via

SOLVED: Microsoft Windows Firewall Alert (2V7HGTVB) - Fake, black screen with text, disabled Taskmanager, cant't get rid of it (Service: ScreenConnect Client (....))

Anonymous
2024-03-14T12:16:25+00:00

English: U will find the solution @ page 2 signed with "SOLVED"

German: Die Lösung findet man auf der zweiten Seite mit "SOLVED" gekennzeichnet

ENGLISH (german version see below)

OS: Windows 10 Pro (22H2)

I have a problem with a “Microsoft Windows Firewall Alert” message. This message is fake.

Until now, I have always been able to stop similar messages on other computers using the task manager or closing the Firefox/Edge browser. I also deactivated the browser notifications on the affected computers.

But this message is more persistent.

Firstly, I couldn't start the task manager at all.

The message comes across the entire screen, no taskbar is accessible. I also can't get to the task manager via CTRL+ALT+ENF (CTRL+ALT+DEL). I also can't reach the command line (WIN+R) to start the task manager. Also the taskbar... so I can't start the task manager like that either.

What was interesting was that the task manager was deactivated in the registry. More on this below... *

If I disconnect the computer from the Internet, I can open the task manager after about 1 minute. The message disappears. I can do everything normally on the computer.

As soon as I connect the computer to the Internet again, it takes about 30 seconds and the message is back.

The message occurs during normal operation, but it also occurs when I start Windows in safe mode (with networking). The same behavior: If I plug in the network cable, the message appears... if I disconnect the network cable, then the message disappears again.

* The task manager could not be started using CTRL+ALT+DEL (CTRL+ALT+DEL)... because the task manager was simply missing from the list. I then reactivated the task manager via the registry. The following registry key: HKEY_LOCAL_MACHINE -> SOFTWARE -> Microsoft -> Windows NT -> CurrentVersion -> Winlogon

The missing Taskmanager looks like this:

At least I can now get back into the task manager... but ONLY when the PC is not connected to the Internet. If the PC is connected to the Internet, I haven't found a way to suppress the message.

ALT+F4 doesn't work either.

The Win key doesn't respond...

Of course I ran virus scans/malware scans on it.

In normal and also in safe mode.

Malwarebytes

Rouge Killer

Windows searches

Adware cleaned

Internet Explorer has been disabled for a long time

TEMP cleaned

I burned the virus software I used onto a CD and loaded it onto the computer.

What was noticeable were 4 BATCH files, such as "strg+alt+ent.bat". These have already been removed from the autostart in the task manager and also checked under "shell:startup" and "shell:common startup" that the startups are clean.

I uninstalled Edge

I uninstalled Firefox

But the message remains. If the computer is disconnected from the LAN cable, there is no message and I can work. If I plug in the LAN cable, then after a short while the fake message appears again.

SOLVED: see second page of the thread

=================== german version ========================

OS: Windows 10 Pro (22H2)

Ich habe da Problem mit einer "Microsoft Windows Firewall Alert" Meldung. Diese Meldung ist Fake.

Bisher konnte ich gleichartige Meldungen an anderen Rechnern immer über den Taskmanager beenden oder den Browser Firefox/Edge schließen. Bei den Betroffenen Rechnern habe ich auch dann die Benachrichtigungen vom Browser deaktiviert.

Diese Meldung ist aber hartnäckiger.

Zum einen konnte ich den Taskmanager gar nicht starten.

Die Meldung kommt über den ganzen Bildschirm, keine Taskleiste erreichbar. Ich komme auch nicht über STRG+ALT+ENF (CTRL+ALT+DEL) zum Taskmanager. Ich erreiche auch nicht die Kommandozeile (WIN+R) um den Taskmanager zu starten. Auch die Taskleiste... also kann ich den Taskmanager auch so nicht starten.

Interessant war, dass der Taskmanager in der Registry deaktiviert war. Hierzu unten mehr... *

Wenn ich den Computer vom Internet trenne, dann kann ich nach ca. 1 Minute den Taskmanager öffnen. Die Meldung verschwindet. Ich kann alles normal am Computer machen.

Sobald ich den Computer wieder mit dem Internet verbinde, dauert es ca. 30 Sekunden und die Meldung ist wieder da.

Die Meldung kommt im normalen Betrieb, sie kommt aber auch, wenn ich Windows im abgesicherten Modus (mit Netzwerk) starte. Das gleiche Verhalten: Wenn ich das Netzwerkkabel anstecke kommt die Meldung... trenne ich das Netzwerkkabel, dann verschwindet die Meldung wieder.

* Der Taskmanager konnte über STRG+ALT+ENTF (CTRL+ALT+DEL) nicht gestartet werden... denn in der Liste fehlte der Taskmanager einfach. Ich habe den Taskmanager dann über die Registry wieder aktiviert. Folgender Registry-Schlüssel: HKEY_LOCAL_MACHINE -> SOFTWARE -> Microsoft -> Windows NT -> CurrentVersion -> Winlogon

Ich komme jetzt zumindest wieder in den Taskmanager... aber NUR, wenn der PC nicht am Internet hängt. Wenn der PC am Internet hängt, dann habe ich keine Möglichkeit gefunden die Meldung wegzudrücken.

Auch ALT+F4 geht nicht.

Die Win-Taste reagiert nicht...

Natürlich habe ich Virenscans/Malwarescans drüber laufen lassen.

Im normalen und auch im abgesicherten Modus.

Malwarebytes

Rouge Killer

Windows Suchläufe

Adware bereinigt

Internet Explorer ist schon lange deaktiviert

TEMP-Ordner gelöscht

Auffällig waren 4 BATCH-Dateien, wie z.B. "strg+alt+ent.bat". Diese wurden bereits im Taskmanager aus dem Autostart genommen und auch unter "shell:startup" und "shell:common startup" geprüft, dass die startups sauber sind.

Edge habe ich deinstalliert

Firefox habe ich deinstalliert

Aber die Meldung bleibt. Ist der Rechner vom LAN-Kabel getrennt kommt keine Meldung und ich kann arbeiten. Stecke ich das LAN-Kabel an, dann kommt nach kurzer Zeit wieder die Fake-Meldung.

GELÖST: Siehe 2. Seite thes Threads

Windows for home | Windows 10 | Security and privacy

Locked Question. This question was migrated from the Microsoft Support Community. You can vote on whether it's helpful, but you can't add comments or replies or follow the question.

0 comments

26 answers

Sort by: Most helpful
Most helpful Newest Oldest
  1. Anonymous
    2024-03-16T22:30:50+00:00

    SOLVED

    === english version === (german version below)

    1st step

    Disconnect internet connection (WLAN; LAN; mobile)

    2nd step

    WIN+R > gpedit.msc

    Navigate to the key: User Configuration > Administrative Templates > System > Ctrl+Alt+Del Options

    Set "Remove Task Manager" to "0" (Disable) so that it appears again.

    3rd step

    CTRL+ALT+DEL > Task Manager > Startup

    Check the startup settings. Deactivate 4 entries: (thanks to Peter Trömmel1 for the name of the 4 entries)

    Entry 1: ctrl+alt+del.bat
    Entry 2: DeAlert.vbs
    Entry 3: hicn.bat
    Entry 4: watermark.vbs

    4th step

    WIN+R > services.msc

    Find the "ScreenConnect Client (....)" service and set it to "Disabled" so that it no longer starts automatically.

    5th step

    To be on the safe side, I also ran the following virus scanners/malware scanners:

    Note: None of the above scanners found the PUP on 15th March 2024. However, I isolated the malicious files and sent them to the respective manufacturers for testing in the hope that the malware databases will be expanded.

    6th step

    There are several files that were stored in the user directory under "C:\Users\XXX\AppData\Local\Apps\2.0..." and were executed from there.

    XXX = username

    I hope I was able to help with my short instructions. I would be happy to add to the solution and improve it if further information comes along. Unfortunately, I have already deleted the 4 batch files and no longer know what they were called.

    === german version ===

    1. Schritt

    Internetverbindung trennen (WLAN; LAN; mobil)

    1. Schritt

    WIN+R > gpedit.msc

    Navigiere zum Schlüssel: User Configuration > Administrative Templates > System > Ctrl+Alt+Del Options

    Setze "Remove Task Manager" auf "0" (Disable), damit dieser wieder angezeigt wird.

    1. Schritt

    STRG+ALT+ENTF > Task Manager > Autostart Prüfe die Autostart-Einstellungen. Hier müssten folgende 4 Einträge deaktiviert werden: (Danke an Peter Trömmel1 für die Namen der 4 Einträge)

    Eintrag 1: ctrl+alt+del.bat
    Eintrag 2: DeAlert.vbs
    Eintrag 3: hicn.bat
    Eintrag 4: watermark.vbs

    1. Schritt

    WIN+R > services.msc

    Suche den Dienst "ScreenConnect Client (....)" und setze ihn auf "Deaktiviert", damit dieser nicht mehr automatisch startet.

    1. Schritt

    Ich habe zur Sicherheit noch folgende Virenscanner/Malwarscanner laufen lassen:

    Hinweis: Keiner der obigen Scanner hat den PUP am 15.03.2024 gefunden. Ich habe die schädlichen Dateien aber isoliert und zur Prüfung an die jeweiligen Hersteller gesendet, in der Hoffnung, dass die Schädlingsdatenbanken erweitert werden.

    1. Schritt

    Es sind mehrere Dateien, welche sich im User-Verzeichnis unter "C:\Users\XXX\AppData\Local\Apps\2.0..." hinterlegt haben und von dort aus ausgeführt wurden.

    XXX = Username

    Ich hoffe, ich konnte mit meiner kurzen Anleitung weiterhelfen. Gerne kann ich die Lösung auch noch ergänzen, verbessern, wenn weitere Hinweise kommen.

    10+ people found this answer helpful.
    0 comments
  2. Anonymous
    2024-03-14T15:58:35+00:00

    english version (german version below)

    The PUP has installed itself as a service.

    It is not found by any virus/malware scanner I use.

    Malwarebytes

    ESET Online Scanner

    AdwCleaner

    Microsoft Defender

    RougeKiller

    Ultra Virus Killer

    Avast

    ...

    I laboriously went through all the startup processes (programs and services).

    When it comes to services, the service is mine

    "ScreenConnect Client (....)"

    noticed.

    I have removed autostart from this service.

    The service is now “Disabled”.

    I currently no longer receive fake reports.

    But I'll leave the system with me for a few more days before I finally remove the process/service. I'll do a few more experiments with it and check whether there are any other services in the background that might be loading malware.

    Using the service, I can precisely locate the malicious EXE file. I will forward the EXE file to known virus creators for testing.

    Image

    ===================== german version ===========================

    Das PUP hat sich als Dienst installiert.

    Es wird von keinem mir eingesetzten Viren/Malwarescanner gefunden.

    Malwarebytes

    ESET Online Scanner

    AdwCleaner

    Microsoft Defender

    RougeKiller

    Ultra Virus Killer

    Avast

    ...

    Ich bin mühselig alle Autostart-Prozesse durchgegangen (Programme und Dienste).

    Bei den Diensten ist mir der Dienst

    "ScreenConnect Client (....)"

    aufgefallen.

    Ich habe bei diesem Dienst den Autostart entfernt.

    Der Dienst ist jetzt auf "Deaktiviert".

    Aktuell erhalte ich keine Fake-Meldung mehr.

    Ich lasse das System aber noch ein paar Tage bei mir bevor ich den Prozess/Dienst endgültig entferne. Ich werde damit noch ein paar Experimente durchführen und prüfen ob evtl. noch weitere Dienste im Hintergrund sind, die evtl. Schadsoftware nachladen.

    Anhand des Dienstes kann ich die Schädliche EXE Datei genau lokalisieren. Ich werde die EXE Datei an bekannte Virenersteller zur Prüfung weiterleiten.

    5 people found this answer helpful.
    0 comments
  3. EmilyS726 225.5K Reputation points Independent Advisor
    2024-03-14T13:34:38+00:00

    I am as curious as you are.

    Yes, I understand the behavior. This is why I am suggesting setting up dual monitors, disconnect the internet, launch Task Manager before the pop up will disable it, and have it up and running on one monitor, and then connect the internet, and when the pop up comes, observe the task manager on the other monitor, to see if the task manager disappears, or if the pop up goes across both monitors, or if we get lucky, task manager can give us a clue what process pops up, does that make sense?

    In addition, I still think the clean boot (not clean install) is worth a go as well. If the pop up never comes up while you are in clean boot, you know for sure this is coming from some third party factor.

    1 person found this answer helpful.
    0 comments
  4. EmilyS726 225.5K Reputation points Independent Advisor
    2024-03-14T13:22:45+00:00

    Ah I see. That makes sense - didn't realize this computer was in two different network environments with the same behavior. You are right, in this case, it cannot be the router.

    Have you done a clean boot so far? https://support.microsoft.com/topic/how-to-perf... That can help see if this is coming from a third party (I really hope so).

    In addition, is it possible to set up dual monitos? I am curious to know - if you can get task manager up and running on one monitor, and see if this pop up is locking both displays, or can you take advantage of the task manager on the other monitor to see what pops up.

    1 person found this answer helpful.
    0 comments
  5. EmilyS726 225.5K Reputation points Independent Advisor
    2024-03-14T12:53:03+00:00

    Hello, this is Emily.

    This is very interesting behavior as it is not like the other IT support scam behavior.

    I wonder if the router/modem itself is compromised, and the redirect comes from there, instead of the computer. Try reset the modem/router, and see if that helps.

    1 person found this answer helpful.
    0 comments