Wie der Titel es bereits sagt, habe ich mir den Bundespolizei-Trojaner eingefangen. Windows 7 startet nun nicht mehr richtig, da die typische Meldung von der „Bundespolizei" auftaucht. Mein PC sei aus einem der aufgelisteten Gründe gesperrt worden und ich soll umgehend 100 euro überweisen.

Nun bin ich echt aufgeschmissen, weil ich gelesen habe, dass der Virus echt gemein ist. Ich vermute, dass ich den Virus auf gutefrage.net eingegangen habe, nachdem ich dort völlig unüberlegt auf einen link geklickt habe.

Eigentlich wollte ich der Anleitung auf der Startseite des Forums hier folgen, doch habe ich jetzt hier gelesen, dass man, um sicher zu gehen, ein eigenes Thema eröffnen sollte.

Der Malwarebytes-Quick-Scan sagt folgendes:

Malwarebytes Anti-Malware (Test) 1.62.0.1300
www.malwarebytes.org

Datenbank Version: v2012.08.13.05

Windows 7 Service Pack 1 x64 NTFS (Abgesichertenmodus/Netzwerkfähig)
Internet Explorer 9.0.8112.16421
Norbert :: NORBERT-PC [Administrator]

Schutz: Deaktiviert

13.08.2012 20:01:55
mbam-log-2012-08-13 (20-05-11).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 189749
Laufzeit: 2 Minute(n), 12 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|themecpl (Spyware.Zbot) -> Daten: C:\Users\Norbert\AppData\Local\Microsoft\Windows\4256\themecpl.exe -> Keine Aktion durchgeführt.

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 1
C:\Users\Norbert\AppData\Local\Microsoft\Windows\4256\themecpl.exe (Spyware.Zbot) -> Keine Aktion durchgeführt.

(Ende)

Habe jetzt auch mal den OTL-scan drüberlaufen lassen (s. Anhang)

Außerdem habe ich 2 verdächtige Prozesse über msconfig beim Systemstart deaktiviert. Hier die Dateipfade:

Name: themecpl
Befehl: C:/Users/Norbert/AppData/Local/Microsoft/Windows/4256/themecpl.exe
Ort: HKCU/Software/Microsoft/Windows/CurrentVersion/Run

Name: Wavyadm
Befehl: C:/Users/Norbert/AppData/Roaming/Kopoq/unekr.exe
Ort: HKCU/Software/Microsoft/Windows/CurrentVersion/Run

Nachdem ich die beiden Prozesse deaktiviert habe, kann ich Windows (wenn auch langsamer als vorher) wieder normal starten.

Mir ist zuvor noch nie beim Ort "HKCU" aufgefallen, ist das normal?

@ Administrator: BITTE DAS THEMA LÖSCHEN!