Heute habe ich mir offenbar eine neuere Version des Bundespolizeit Schädlings eingefangen. Das angezeigte Bild hat sich ein wenig verändert und auch die Art und Weise, auf die sich der Schädling ins System einträgt.



Hier eine kleine Anleitung, wie man das Ding wegbekommt. Die Anleitung geht davon aus, dass man den Registrierungs-Editor schon einmal verwendet hat. Wer damit nichts anfangen kann, sollte lieber jemanden zur Hilfe rufen, der die folgenden Begriffe vollkommen versteht.

Anleitung zum Entfernen des Bundespolizei Schädlings (aktuelle Version, heute "eingefangen"):

1) Windows im abgesicherten Modus starten (vor Windows Start Taste F8 drücken)

2) Regedit öffnen und folgenden Pfad suchen:

Computer\HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows

3) Ihr solltet dort den folgend genannten "Load"-Eintrag finden:

"Load" = "C:\Users\[BENUTZERNAME]\LOCALS~1\Temp\[DATEINAME].EXE"

Notiert den Dateinamen _und_ Pfad der dort genannten Datei [DATEINAME].EXE! Mit diesem Eintrag wird die Schädlingsdatei beim Start geladen. (Die Datei hieß bei mir beispielsweise "MSWALQ.EXE"; könnte aber auch zufällige andere Namen haben)

4) Öffnet den Windows Explorer (Windows Taste + E), navigiert an den eben notierten Dateipfad und löscht die Datei [DATEINAME].EXE durch markieren und Drücken von "UMSCHALTEN + ENTF".

5) Löscht ebenso die Dateien im folgend genannten Ordner:

C:\Users\[BENUTZERNAME]\AppData\Roaming\gizza

Dieser Ordner enthält das Bild welches angezeigt wird und die ermittelte IP Adresse des Rechners.

6) Startet den Rechner neu. Der nervige Bildschirm mit der Zahlungsaufforderung sollte jetzt nicht mehr erscheinen.

7) Öffnet erneut den Registry Editor als Administrator (!) und löscht den unter 3) gennanten "Load"-Eintrag nachdem Ihr die Rechte auf den übergeordneten Registry-Pfad so gesetzt habt, dass "Jeder" Vollzugriff hat.

8) Dieser Starteintrag kommt mehrfach in der Registry vor. Sucht deshalb in der Registry mit Taste STRG+F (Suchen) nach dem eben notierten Dateinamen [DATEINAME].EXE in der gesamten Registrierung. Es sollten sich mehr "Load"-Einträge wie der unter 3) genannte finden. Löscht diese komplett.

9) Der Schädling sollte nun ruhe geben und es ist Zeit für gute Schutzmaßnahmen wie einen Durchlauf des aktualisierten Virenscanners (sollte vorhanden sein) sowie Malwarebytes Anti Malware.

Savant

naja, die genutzten sicherheitslücken bleiben in der anleitung offen, außerdem wird nicht nach unbekannter malware gesucht, denn ein Malwarebytes durchlauf und ein durchlauf des avs sind keine garantie.
also, ne manuelle analyse ist in jedem falle nötig.