Trojan-Spy.Win32.KeyLogger.aa Problem

  • Hallo,


    Seit gestern zeigt meine Windows Firewall immer den Trojaner an (Trojan-Spy.Win32.KeyLogger.aa) der Name ändert sich öfters.


    ---------------------------------------------------------------------------
    "Name: Trojan-Spy. Win32.KeyLogger.aa
    Risk Level: CRITICAL
    Description: This Trojan has a keyboard logging funkction , wich is intended
    to steal in information from users of a range of on-line
    payment systems."
    ---------------------------------------------------------------------------


    Jetzt möchte ich ihn natürlich so schnell wie möglich loswerden, aber AntiVir und co haben mir bis jetzt noch nicht weitergeholfen.


    Über Google bin ich auf diesen Thread von euch gestossen (Paules-PC-Forum.de :: - - Anleitung zum Löschen von Viren / Thread erstellen) und bin das Schritt für Schritt durchgegangen.



    Und hier jetzt meine Berichte:


    1.Malwarebytes Bericht

    Einmal editiert, zuletzt von Volkmar ()

  • Hallo


    In dieser Reihenfolge ausführen:


    anwenden
    OTMoveIt.exe
    OTMoveIt
    öffne: OTMoveIt.exe


    Kopiere rein: im linken Fenster ,wo steht: Paste Standart List of
    Files/Folders to be Move


    C:\Programme\AdVantage\AdVantage.exe
    C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\That Face Camp Shim\okay jump.exe
    C:\WINDOWS\system32\vcvuhsvm.exe


    klicke auf den Roten MoveIt! Poste den Löschreport.



    Nun öffne das HijackThis -- Button "scan" -- vor diese Einträge ein Häkchen setzen -- Button "Fix checked" anklicken - PC nun neustarten


    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Internetsuche :: DAEMON-Search.com
    R3 - Default URLSearchHook is missing
    O4 - HKLM\..\Run: [CAMP SHIM EXIT HECK] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\That Face Camp Shim\okay jump.exe
    O4 - HKCU\..\Run: [AdVantage] "C:\Programme\AdVantage\AdVantage.exe"
    O4 - HKCU\..\Run: [apismartweb] C:\WINDOWS\system32\vcvuhsvm.exe
    O4 - HKLM\..\Policies\Explorer\Run: [X5kIsF1P9M] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\fezsnezg\fobyfyxc.exe


    Scanne nochmal mit Malwarebytes, Funde löschen, Report posten


    PC Neustart


    Arbeite die Punkte 1 und 2 ab
    LOP/CID Killer - cid-uninstaller - zedo uninstall
    poste den Report von Deljob


    CounterSpy V3 (untere Beschreibung) anwenden
    CounterSpy Anleitung -
    im Normalmodus anwenden, ändere die Voreinstellung auf "Deep System Scan"
    Ändere "Set Recommended Action" auf die Clean Action "Quarantine/Disinfect"
    alle Funde löschen lassen. Screenshot erstellen vom Report und posten --> siehe
    Richtig posten


    SDFIX anwenden, aber unbedingt im abgesicherten
    TU Berlin - Virus-Info - Extra-Blatt: Abgesicherter Modus
    Modus (bei Neustart F8 drücken)
    SDFix
    nach Neustart poste den Report.



    CCleaner
    nochmal anwenden


    Combofix wie beschrieben anwenden und posten (Antivir vorher deaktivieren!')
    Combofix

    Viele Grüße
    WhiteKnight

  • Löschreport:


    File move failed. C:\Programme\AdVantage\AdVantage.exe scheduled to be moved on reboot.
    C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\That Face Camp Shim\okay jump.exe moved successfully.
    File/Folder C:\WINDOWS\system32\vcvuhsvm.exe not found.

    OTMoveIt2 by OldTimer - Version 1.0.4.3 log created on 10072008_205307


    Files moved on Reboot...
    C:\Programme\AdVantage\AdVantage.exe moved successfully.

  • Malwarebytes' Anti-Malware 1.28
    Datenbank Version: 1240
    Windows 5.1.2600 Service Pack 3


    07.10.2008 21:50:55
    mbam-log-2008-10-07 (21-50-54).txt


    Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|F:\|G:\|H:\|I:\|J:\|K:\|L:\|)
    Durchsuchte Objekte: 156994
    Laufzeit: 43 minute(s), 44 second(s)


    Infizierte Speicherprozesse: 0
    Infizierte Speichermodule: 0
    Infizierte Registrierungsschlüssel: 0
    Infizierte Registrierungswerte: 0
    Infizierte Dateiobjekte der Registrierung: 0
    Infizierte Verzeichnisse: 0
    Infizierte Dateien: 0


    Infizierte Speicherprozesse:
    (Keine bösartigen Objekte gefunden)


    Infizierte Speichermodule:
    (Keine bösartigen Objekte gefunden)


    Infizierte Registrierungsschlüssel:
    (Keine bösartigen Objekte gefunden)


    Infizierte Registrierungswerte:
    (Keine bösartigen Objekte gefunden)


    Infizierte Dateiobjekte der Registrierung:
    (Keine bösartigen Objekte gefunden)


    Infizierte Verzeichnisse:
    (Keine bösartigen Objekte gefunden)


    Infizierte Dateien:
    (Keine bösartigen Objekte gefunden)

  • Hallo


    Folgendes ist noch zu machen:


    Bei Counterspy auch alle Funde gelöscht? Ansonsten "Select All" und "Clean".
    Bei Counterspy die Testzeit ausnutzen, dann erwerben oder deinstallieren, Freeware Alternative ist MS Defender
    http://www.paules-pc-forum.de/…erfekte-virenscanner.html


    Start - Ausführen - Kopiere rein: Combofix /U
    - klicke "OK"


    Bei OTMoveIT
    OTMoveIt
    drücke den Clean up Button
    cleanup.txt wird vom Internet geladen (von Firewall zulassen!)
    Begin cleanup process? klicke: Yes. - "Do you want to reboot?" klicke Yes
    Entferne auf C:\_OTMoveIt\ -->Papierkorb leeren

    wende auch Secunia
    Prüfung installierter Software auf Aktualität: Secunia Software Inspector
    an. Behebe alle Funde


    Tipp:
    Egal welches Antivirenprogramm verwendet wird, verwende zusätzlich immer die Freeware Sandboxie
    Paules-PC-Infothek - Thema anzeigen - Sicheres surfen mit der Freeware Sandboxie


    Das sollte es gewesen sein. Vorbeugend ändere alle wichtigen Passwörter. Noch Probleme?

    Viele Grüße
    WhiteKnight

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!