Am 28.01.2026 erhielt ich eine Warnmeldung beim Aufruf einer Bedienungsanleitung auf "manualslib.de" (Windows 10 Pro PC, Vivaldi Browser mit uBlockOrigin Lite, Windows Firewall mit blockierten ausgehenden Verbindungen nach Regeln):
Scheinbar eine Meldung vom Microsoft Defender. In der Adressleiste stand aber die URL "billing.ndbinnovations.ca" und dahinter lief im Lauftext "Access to this System has been blocked for security reasons and Safety. Contact Windows Support 040 42237-9010" mit allerlei Sonderzeichen. Der Mauszeiger war verschwunden, Alt-Tab und Alt-F4 hatten keine Wirkung. Mit Esc erhielt ich eine Vollbilddarstellung und nun setzte sogar eine Audiowiedergabe ein, in der eine Frauenstimme auf deutsch erklärte, dass mein Computer gesperrt wurde, weil meine IP-Adresse verwendet worden sei, um Websites zu besuchen, die einen Identitätsdiebstahl-Virus enthalten. Ich solle den Support anrufen und den Computer nicht neu starten. Zusätzlich war ein Piepen zu hören (siehe Anhang).
Weil der PC tatsächlich nicht benutzbar war, habe ich über ein Android-Tablet nach Rufnummer und der URL gesucht. Zur Rufnummer habe ich keine Eintragungen gefunden. Die Google-Suche nach der URL ergab nur Ergebnisse mit chinesischem Text:
Der Aufruf einer Site (später auf dem PC) ergab eine Blockierung durch Cloudflare zur Website "yakito.ru.com" zu der ich auch nichts gefunden habe:
Dass es sich um ein Microsoft Tech Support Scam handelte war mir anhand dieses Erscheinungsbildes klar. Nach einem Neustart, wozu ich tatsächlich die Reset-Taste am PC betätigen musste, lief der Rechner auch wieder unauffällig. In der Windows Sicherheit fand sich auch kein Eintrag im Schutzverlauf.
Ich habe danach den Aufruf der Manualslib-Website mit der gleichen Suche nochmals versucht mit dem gleichen Ergebnis. Das weist darauf hin, dass dort das Problem lag. Eine Suche danach lieferte auch einige Erfahrungen gleicher Art. Ich glaube mich auch zu erinnern, dass ich Ähnliches vor langer Zeit bei der Suche nach einer Bedienungsanleitung gesehen habe, aber nicht in dieser intensiven Form.
In Brave und Firefox erhielt ich anschließend nichts Auffälliges beim Aufruf von "manualslib.de". Weitere Forschungen habe ich erst einige Stunden später unternehmen können und dann gab es auch bei Vivaldi keine Probleme mehr. Vielleicht ein temporäres Problem.
Im Browserverlauf fand war zu sehen, dass nach Öffnen von "manualslib.de" in beiden Fällen die URL "xsoktvpyi.com" aufgerufen wurde, beim zweiten Mal findet sich aber nicht die oben genannte URL im Verlauf, sondern "app.naratix.ai". Die Suche danach führt abermals zu einem Eintrag mit chinesischen Schriftzeichen. Aufgerufen habe ich die beiden URLs nicht.
Ich würde die Sache als erledigt ansehen, wenn ein anschließender Scan des Systems mit Malwarebytes erfolgreich gewesen wäre, aber das Programm, das ich schon länger nicht mehr benutzt hatte, startet nicht mehr. Auch eine Neuinstallation ist mit folgender Fehlermeldung abgebrochen worden:
Das gibt mir zu denken. Tips für ein weiteres Vorgehen? Meldung des Vorgangs an relevante Adressen?
Malwarebytes konnte ich nun über den Offline-Installer bei CB installieren. Es wurden ein paar Eintragungen in der Registry gefunden und eine Log-Datei mit der Endung *.dc von 2022. Malwarebytes scheint SlikVPN nicht zu mögen, welchen die Mehrheit in der Ergebnisliste darstellt.
Scheinbar eine Meldung vom Microsoft Defender. In der Adressleiste stand aber die URL "billing.ndbinnovations.ca" und dahinter lief im Lauftext "Access to this System has been blocked for security reasons and Safety. Contact Windows Support 040 42237-9010" mit allerlei Sonderzeichen. Der Mauszeiger war verschwunden, Alt-Tab und Alt-F4 hatten keine Wirkung. Mit Esc erhielt ich eine Vollbilddarstellung und nun setzte sogar eine Audiowiedergabe ein, in der eine Frauenstimme auf deutsch erklärte, dass mein Computer gesperrt wurde, weil meine IP-Adresse verwendet worden sei, um Websites zu besuchen, die einen Identitätsdiebstahl-Virus enthalten. Ich solle den Support anrufen und den Computer nicht neu starten. Zusätzlich war ein Piepen zu hören (siehe Anhang).
Weil der PC tatsächlich nicht benutzbar war, habe ich über ein Android-Tablet nach Rufnummer und der URL gesucht. Zur Rufnummer habe ich keine Eintragungen gefunden. Die Google-Suche nach der URL ergab nur Ergebnisse mit chinesischem Text:
Der Aufruf einer Site (später auf dem PC) ergab eine Blockierung durch Cloudflare zur Website "yakito.ru.com" zu der ich auch nichts gefunden habe:
Dass es sich um ein Microsoft Tech Support Scam handelte war mir anhand dieses Erscheinungsbildes klar. Nach einem Neustart, wozu ich tatsächlich die Reset-Taste am PC betätigen musste, lief der Rechner auch wieder unauffällig. In der Windows Sicherheit fand sich auch kein Eintrag im Schutzverlauf.
Ich habe danach den Aufruf der Manualslib-Website mit der gleichen Suche nochmals versucht mit dem gleichen Ergebnis. Das weist darauf hin, dass dort das Problem lag. Eine Suche danach lieferte auch einige Erfahrungen gleicher Art. Ich glaube mich auch zu erinnern, dass ich Ähnliches vor langer Zeit bei der Suche nach einer Bedienungsanleitung gesehen habe, aber nicht in dieser intensiven Form.
In Brave und Firefox erhielt ich anschließend nichts Auffälliges beim Aufruf von "manualslib.de". Weitere Forschungen habe ich erst einige Stunden später unternehmen können und dann gab es auch bei Vivaldi keine Probleme mehr. Vielleicht ein temporäres Problem.
Im Browserverlauf fand war zu sehen, dass nach Öffnen von "manualslib.de" in beiden Fällen die URL "xsoktvpyi.com" aufgerufen wurde, beim zweiten Mal findet sich aber nicht die oben genannte URL im Verlauf, sondern "app.naratix.ai". Die Suche danach führt abermals zu einem Eintrag mit chinesischen Schriftzeichen. Aufgerufen habe ich die beiden URLs nicht.
Ich würde die Sache als erledigt ansehen, wenn ein anschließender Scan des Systems mit Malwarebytes erfolgreich gewesen wäre, aber das Programm, das ich schon länger nicht mehr benutzt hatte, startet nicht mehr. Auch eine Neuinstallation ist mit folgender Fehlermeldung abgebrochen worden:
Das gibt mir zu denken. Tips für ein weiteres Vorgehen? Meldung des Vorgangs an relevante Adressen?
Ergänzung ()
Malwarebytes konnte ich nun über den Offline-Installer bei CB installieren. Es wurden ein paar Eintragungen in der Registry gefunden und eine Log-Datei mit der Endung *.dc von 2022. Malwarebytes scheint SlikVPN nicht zu mögen, welchen die Mehrheit in der Ergebnisliste darstellt.
Zuletzt bearbeitet:
allgemein vor Microsoft-Support-Scam warnt. Immerhin wird dort auf eine Microsoft-Seite hingewiesen, um solche Vorgänge zu melden. Dort wird aber im Wesentlichen nach Adressdaten der betrügerischen Firma gefragt, die vielleicht gar nicht der Betreiber von Manualslib ist.
