Ich durfte wieder mal eine Variante des sogenannte Bundestrojaner vom Windows 7 Rechner eines Bekannten entfernen.

Der Trojaner sperrte den Rechner und verlangte ein Entgelt um diesen wieder frei zu geben.

Virenscanner wieder mal versagt !

Startete den Rechner mit einem USB-Stick auf dem sich Kaspersky Rescue Disk 10 befand und machte einen Scan der Festplatte.

Wie erwartet war der Rechner Malware frei !

Also Rechner im Abgesicherten Modus ( Taste F8 während des Startens drücken ) starten und die Autostarteinträge checken.

Systemsteuerung / Verwaltung / Systemkonfiguration / Systemstart

Dort fand ich den Eintrag rceewgwq.exe der sich im Ordner C:\ProgramData\ befand.

Habe den Eintrag Deaktiviert, und den Rechner neu gestartet.

Als Neugier scannte ich danach den Ordner C:\ProgramData\ mit dem Installierten Programm Microsoft Security Essentials, und wie erwartet war der Ordner Malware frei. Da fragt man sich für was man Virenscanner eigentlich installiert ?

Also ran an die manuelle Entfernung des Problems

Startete den Rechner Sicherheitshalber wieder in den Abgesicherten Modus und entfernte folgende Einträge:

• rceewgwq.exe aus dem Ordner C:\ProgramData\
• rvgxfgcjrdiwvzs aus dem Ordner C:\ProgramData\
• den Ordner kzkckzkevudrgma samt Inhalt (dort befanden sich Elemente für den Screen der gefakten Bundestrojaner Seite ) aus dem Ordner C:\ProgramData\

Nun setzte ich wieder den Hacken für die Datei rceewgwq.exe in den Starteinträgen um den Autostarteintrag aus der Registry entfernen zu können.

Systemsteuerung / Verwaltung / Systemkonfiguration / Systemstart

Danach unter Start / Suche / regedit eingeben und die Registry wird gestartet.

Dort suchte ich den Eintrag rceewgwq.exe der sich im Pfad

HKCU \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run

befand und löschte den Eintrag.

Fertig !