Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Wie werde ich Win32/AgentBypass.gen!K endlich los???

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 03.02.2009, 00:04   #1
Lyra
 
Wie werde ich Win32/AgentBypass.gen!K endlich los??? - Icon32

Wie werde ich Win32/AgentBypass.gen!K endlich los???



Hallo ihr da draußen,


seit einer Weile kriege auch ich bei jedem Neustart die Fehlermeldung vom Defender, die hier schon ein paar andere plagt:

Der Defender sagt, er hätte einen Trojaner namens Win32/AgentBypass.gen!K gefunden. Er fordert mich zum Löschen auf, was ich dann auch tue, aber beim nächsten Mal is er wieder da.

Der Defender gibt mir als Ressource: "process: pid1280" an, was auch immer das heißt. Ich kenn mich da leider nicht aus.

Kaspersky und Avira AntiVir finden beide nichts. Den CCleaner hab ich auch mal laufen lassen. Und nachdem ich hier auch die anderen Themen dazu gelesen habe, hab ich Hijack laufen lassen. Hier das Ergebnis:




HTML-Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:48:20, on 02.02.2009
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Windows Defender\MSASCui.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Launch Manager\LManager.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Windows\ehome\ehmsas.exe
C:\Acer\Empowering Technology\eRecovery\ERAGENT.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Microsoft Office\Office12\WINWORD.EXE
C:\Program Files\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://de.rd.yahoo.com/customize/ycomp/defaults/sp/*http://de.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://de.intl.acer.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.intl.acer.yahoo.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://de.rd.yahoo.com/customize/ycomp/defaults/su/*http://de.yahoo.com
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O1 - Hosts: ::1 localhost
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\ievkbd.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: (no name) - {83A2F9B1-01A2-4AA5-87D1-45B6B8505E96} - (no file)
O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - C:\Program Files\Free Download Manager\iefdm2.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [StartCCC] C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\LManager.exe
O4 - HKLM\..\Run: [WarReg_PopUp] C:\Acer\WR_PopUp\WarReg_PopUp.exe
O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [StartCCC] C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [Free Uploader Oe Integration] C:\Program Files\Free Download Manager\FUM\fumoei.exe
O4 - HKCU\..\Run: [Free Download Manager] C:\Program Files\Free Download Manager\fdm.exe -autorun
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Empowering Technology Launcher.lnk = ?
O8 - Extra context menu item: Alles mit FDM herunterladen - file://C:\Program Files\Free Download Manager\dlall.htm
O8 - Extra context menu item: Auswahl mit FDM herunterladen - file://C:\Program Files\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Datei mit FDM herunterladen - file://C:\Program Files\Free Download Manager\dllink.htm
O8 - Extra context menu item: Download all with Free Download Manager - file://C:\Program Files\Free Download Manager\dlall.htm
O8 - Extra context menu item: Download selected with Free Download Manager - file://C:\Program Files\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Download video with Free Download Manager - file://C:\Program Files\Free Download Manager\dlfvideo.htm
O8 - Extra context menu item: Download with Free Download Manager - file://C:\Program Files\Free Download Manager\dllink.htm
O8 - Extra context menu item: Hinzufügen zu Anti-Banner - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\ie_banner_deny.htm
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Videos mit FDM herunterladen - file://C:\Program Files\Free Download Manager\dlfvideo.htm
O9 - Extra button: Statistik für den Schutz des Web-Datenverkehrs - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\SCIEPlgn.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: Upload - {FD4E2FF8-973C-4A19-89BD-8E86B3CFCFE1} - C:\Program Files\Free Download Manager\FUM\fumiebtn.dll
O13 - Gopher Prefix: 
O16 - DPF: {5D637FAD-E202-48D1-8F18-5B9C459BD1E3} (Image Uploader Control) - http://static.pe.studivz.net/photouploader/ImageUploader5.cab?nocache=1224359368
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/player/DivXBrowserPlugin.cab
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://static.pe.studivz.net/photouploader/ImageUploader4.cab?nocache=1203520631
O16 - DPF: {BA162249-F2C5-4851-8ADC-FC58CB424243} (Image Uploader Control) - http://static.pe.studivz.net/photouploader/ImageUploader5.cab?nocache=1214496466
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd.dll,C:\PROGRA~1\KASPER~1\KASPER~1\adialhk.dll,C:\PROGRA~1\KASPER~1\KASPER~1\kloehk.dll
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
O23 - Service: Kaspersky Internet Security (avp) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - c:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe (file missing)
O23 - Service: eRecovery Service (eRecoveryService) - Acer Inc. - C:\Acer\Empowering Technology\eRecovery\eRecoveryService.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: MobilityService - Unknown owner - C:\Acer\Mobility Center\MobilityService.exe
O23 - Service: O2Micro Flash Memory Card Service (o2flash) - O2Micro International - C:\Program Files\O2Micro Oz128 Driver\o2flash.exe
O23 - Service: XAudioService - Conexant Systems, Inc. - C:\Windows\system32\DRIVERS\xaudio.exe

--
End of file - 9610 bytes



Könnt ihr mir helfen? Ich hoffe es sehr, weil alleine bin ich aufgeschmissen...

Schönen Gruß!

Lyra

Alt 03.02.2009, 01:32   #2
Kaos
 
Wie werde ich Win32/AgentBypass.gen!K endlich los??? - Standard

Wie werde ich Win32/AgentBypass.gen!K endlich los???



1. Vom Internet trennen und alle Programme schließen.

2. Scan dein Sytem mit Malwarebytes Anti-Malware. Vor dem Scan das Programm Updaten lassen.

3.Mit SUPERAntiSpyware Free (Erst Updaten, dann "Ihren Computer durchsuchen". Kundendefinierten Scan anwählen und bei allen Kästchen einen Haken setzen. Bei Ordner auswählen erstmal nur die Partition hizufügen, auf der Windows ist.)

4.Mit F-Secure Blacklight scannen.

5.Mit CCleaner System bereinigen.

Vielleicht hilft das schon.
__________________


Alt 04.02.2009, 08:30   #3
Lyra
 
Wie werde ich Win32/AgentBypass.gen!K endlich los??? - Ausrufezeichen

Wie werde ich Win32/AgentBypass.gen!K endlich los???



So, hier nun die ersten Ergebnisse:

1. Der MalewareBytes scan - hat nichts gefunden:

HTML-Code:
Malwarebytes' Anti-Malware 1.33
Datenbank Version: 1705
Windows 6.0.6001 Service Pack 1

03.02.2009 22:55:56
mbam-log-2009-02-03 (22-55-56).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|)
Durchsuchte Objekte: 128387
Laufzeit: 1 hour(s), 20 minute(s), 40 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)


2. Der SUPERAntiSpyware Scan - hat was gefunden, aber...

HTML-Code:
SUPERAntiSpyware Scan Log
http://www.superantispyware.com

Generated 02/03/2009 at 11:34 PM

Application Version : 4.25.1012

Core Rules Database Version : 3742
Trace Rules Database Version: 1710

Scan type       : Custom Scan
Total Scan Time : 00:35:52

Memory items scanned      : 656
Memory threats detected   : 0
Registry items scanned    : 6307
Registry threats detected : 2
File items scanned        : 26651
File threats detected     : 17

Adware.Tracking Cookie
	C:\Users\*\AppData\Roaming\Microsoft\Windows\Cookies\*@zbox.zanox[1].txt
	C:\Users\*\AppData\Roaming\Microsoft\Windows\Cookies\*@doubleclick[1].txt
	C:\Users\*\AppData\Roaming\Microsoft\Windows\Cookies\*@ad.zanox[3].txt
	C:\Users\*\AppData\Roaming\Microsoft\Windows\Cookies\*@www.zanox-affiliate[3].txt
	C:\Users\*\AppData\Roaming\Microsoft\Windows\Cookies\*@atdmt[1].txt
	C:\Users\*\AppData\Roaming\Microsoft\Windows\Cookies\*@komtrack[2].txt
	C:\Users\*\AppData\Roaming\Microsoft\Windows\Cookies\*@ad.zanox[2].txt
	C:\Users\*\AppData\Roaming\Microsoft\Windows\Cookies\*@tradedoubler[2].txt
	C:\Users\*\AppData\Roaming\Microsoft\Windows\Cookies\*@doubleclick[2].txt
	C:\Users\*\AppData\Roaming\Microsoft\Windows\Cookies\*@traffictrack[2].txt
	C:\Users\*\AppData\Roaming\Microsoft\Windows\Cookies\*@www.zanox-affiliate[1].txt
	C:\Users\Gast\AppData\Roaming\Microsoft\Windows\Cookies\gast@bs.serving-sys[1].txt
	C:\Users\Gast\AppData\Roaming\Microsoft\Windows\Cookies\gast@doubleclick[1].txt
	C:\Users\Gast\AppData\Roaming\Microsoft\Windows\Cookies\gast@komtrack[2].txt
	C:\Users\Gast\AppData\Roaming\Microsoft\Windows\Cookies\gast@mediaplex[1].txt
	C:\Users\Gast\AppData\Roaming\Microsoft\Windows\Cookies\gast@serving-sys[2].txt
	C:\Users\Gast\AppData\Roaming\Microsoft\Windows\Cookies\gast@statse.webtrendslive[1].txt

Adware.MyWebSearch/FunWebProducts
	HKCR\CLSID\{9AFB8248-617F-460d-9366-D71CDEDA3179}
	HKCR\CLSID\{9AFB8248-617F-460d-9366-D71CDEDA3179}\TreatAs

...obwohl ich die gefundenen Sachen alle gelöscht habe, kommt die Trojanermeldung bei nächsten Start wieder.

3. F-Secure blacklight konnt ich irgendwie nich downloaden.

4. CCleaner hab ich wieder laufen lassen, bis er keine nutzlosen Dateien mehr anzeigt, aber trotzdem is der Trojaner noch da!!!

WAS SOLL ICH DENN JETZ MACHEN???
HILFE!

Bitte weitere Anweisungen.
Schon jetzt vielen Dank dafür!

Viele Grüße
Lyra
__________________

Alt 04.02.2009, 11:37   #4
Kaos
 
Wie werde ich Win32/AgentBypass.gen!K endlich los??? - Standard

Wie werde ich Win32/AgentBypass.gen!K endlich los???



F-Secure Blacklight

Wo meldet denn der Defender den Fund, also in welchem Ordner?

Du könntest mal versuchen, im abgesicherten Modus den Inhalt deiner Temporären Ordner zu löschen.

C:\WINDOWS\Temp
C:\Dokumente und Einstellungen\benutzername\Lokale Einstellungen\Temp
C:\Dokumente und Einstellungen\benutzername\Lokale Einstellungen\Temporary Internet Files

Dann noch den Prefetch Ordner leeren C:\Windows\Prefetch

Und alle Inhalte deiner Quarantäneordner der Spyware/Virenscanner löschen

Jeweils nur den Inhalt löschen, nicht die Ordner selbst.

Im abgesichertenmodus mit SUPERAntiSpyware nocheinmal scannen, diesmal einen kompletten Scan. Und weil es so schön ist, denn CCleaner auch nochmal drüberlaufen lassen.

Neustarten und anschliessend HijackThis Scan machen und posten.

Geändert von Kaos (04.02.2009 um 12:34 Uhr) Grund: Was vergessen ; )

Alt 05.02.2009, 08:05   #5
Lyra
 
Wie werde ich Win32/AgentBypass.gen!K endlich los??? - Lächeln

Wie werde ich Win32/AgentBypass.gen!K endlich los???



So, über Nacht hab ich das alles weitergemacht (Schlaf wird vollkommen überbewertet, findest du nicht? ) und das is passiert:

1. F-Secure Blacklight hab ich runtergeladen und laufe lassen, es hat aber nur ein Cookie gefunden, das ich dann entfernt habe.

2. Hab im abgesicherten Modus den Inhalt all der Ordner gelöscht und den Virenscan durchgeführt. Der hat wieder nix gefunden. Und dann wieder den CCleaner, der nochmal richtig aufgeräumt hat.

3.Dann hab ich mich daran erinnert, dass du wissen wolltest, wo der Defender das meldet und da hab ich neu gestartet (DA WAR DIE FEHLERMELDUNG WIEDER DA!) und in der Meldung hatte es mir

ressourcen: process: pid3820

angegeben. Darauf hin habe ich ganz abenteuerlustig den Task-Manager gestartet und nachgesehen, was das für ein Prozess ist:

Es nannte sich "fumei.exe" und war im Ordner meines Free Download Managers, der mir selbst aber im letzten Jahr keine Probleme gemacht hat!

Hab das Programm deinstalliert und die verbliebenen Mülldateien alle von Hand gelöscht, bis auf eine namens "fumshext.dll", die ich nicht gelöscht kriege!!! Es kommt immer die Meldung, ich bräuchte Berechtigungen, aber wenn ich die ändern will, kann ich nich Vollzugriff aktivieren!

Naja, hab dann nochmal den CCleaner laufen lassen.

Als ich heute morgen wieder gestartet habe, KAM KEINE FEHLERMELDUNG MEHR! Hab nochmal F-Secure laufen lassen. Der hat nix gefunden. Und Hijack This...


HTML-Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 07:33:23, on 05.02.2009
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Windows Defender\MSASCui.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Launch Manager\LManager.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Users\ALEXAN~1\AppData\Local\Temp\RtkBtMnt.exe
C:\Acer\Empowering Technology\eRecovery\ERAGENT.EXE
C:\Program Files\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://de.rd.yahoo.com/customize/ycomp/defaults/sp/*http://de.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://de.intl.acer.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.intl.acer.yahoo.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://de.rd.yahoo.com/customize/ycomp/defaults/su/*http://de.yahoo.com
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O1 - Hosts: ::1 localhost
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\ievkbd.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: (no name) - {83A2F9B1-01A2-4AA5-87D1-45B6B8505E96} - (no file)
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [StartCCC] C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\LManager.exe
O4 - HKLM\..\Run: [WarReg_PopUp] C:\Acer\WR_PopUp\WarReg_PopUp.exe
O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [StartCCC] C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [Free Uploader Oe Integration] C:\Program Files\Free Download Manager\FUM\fumoei.exe
O4 - HKCU\..\Run: [Free Download Manager] C:\Program Files\Free Download Manager\fdm.exe -autorun
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Empowering Technology Launcher.lnk = ?
O8 - Extra context menu item: Hinzufügen zu Anti-Banner - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\ie_banner_deny.htm
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Statistik für den Schutz des Web-Datenverkehrs - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\SCIEPlgn.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: Upload - {FD4E2FF8-973C-4A19-89BD-8E86B3CFCFE1} - C:\Program Files\Free Download Manager\FUM\fumiebtn.dll (file missing)
O13 - Gopher Prefix: 
O16 - DPF: {59136DB4-6CA3-4B40-8F2F-BBF84B6F1E91} (Attachment Upload Control) - https://stream.web.de/mail/activex/mail_upload_11213.cab
O16 - DPF: {5D637FAD-E202-48D1-8F18-5B9C459BD1E3} (Image Uploader Control) - http://static.pe.studivz.net/photouploader/ImageUploader5.cab?nocache=1224359368
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/player/DivXBrowserPlugin.cab
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://static.pe.studivz.net/photouploader/ImageUploader4.cab?nocache=1203520631
O16 - DPF: {BA162249-F2C5-4851-8ADC-FC58CB424243} (Image Uploader Control) - http://static.pe.studivz.net/photouploader/ImageUploader5.cab?nocache=1214496466
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd.dll,C:\PROGRA~1\KASPER~1\KASPER~1\adialhk.dll,C:\PROGRA~1\KASPER~1\KASPER~1\kloehk.dll
O20 - Winlogon Notify: !SASWinLogon - C:\Program Files\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
O23 - Service: Kaspersky Internet Security (avp) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - c:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe (file missing)
O23 - Service: eRecovery Service (eRecoveryService) - Acer Inc. - C:\Acer\Empowering Technology\eRecovery\eRecoveryService.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: MobilityService - Unknown owner - C:\Acer\Mobility Center\MobilityService.exe
O23 - Service: O2Micro Flash Memory Card Service (o2flash) - O2Micro International - C:\Program Files\O2Micro Oz128 Driver\o2flash.exe
O23 - Service: XAudioService - Conexant Systems, Inc. - C:\Windows\system32\DRIVERS\xaudio.exe

--
End of file - 8386 bytes


Also frag mich mich jetzt natürlich:

a) Ist mein System wieder sauber, wenn ich bei 2 Starts keine Meldung mehr bekomme?

b) Wie kann ich die verbliebene Datei auch noch löschen?

c) Kann ich mir den Free Download Manager wieder runterladen?


Kann die Antwort kaum erwarten, hoffe ja, dass ich das Scheißding jetz endlich los bin... !!! :aplaus:

Gruß,
Lyra


Alt 05.02.2009, 11:03   #6
Kaos
 
Wie werde ich Win32/AgentBypass.gen!K endlich los??? - Standard

Wie werde ich Win32/AgentBypass.gen!K endlich los???



Starte nochmal HijackThis mache einen "Do system scan only", dann folgende Einträge anwählen:

O2 - BHO: (no name) - {83A2F9B1-01A2-4AA5-87D1-45B6B8505E96} - (no file)

O9 - Extra button: Upload - {FD4E2FF8-973C-4A19-89BD-8E86B3CFCFE1} - C:\Program Files\Free Download Manager\FUM\fumiebtn.dll (file missing)

Dann auf "Fix Checked"

Das erste ist ein Eintrag, der auf eine fehlende Datei verweist, ist unnötig und kann daher weg.

Das zweite ist vom Free Download Manager, sollte es zumindest, aber da die Datei nicht mehr dort existiert, kann der Eintrag auch gelöscht werden.

Free Download Manager kannst du dann wieder installieren, hab den auch immer gerne benutzt, allerdings hab ich ihn noch nicht wieder drauf ....Keine Lust gehabt .

Dein System sollte soweit sauber sein, allerdings kann man sich da nie ganz sicher sein. Wenn ein System einmal infiziert war, kann man nicht wissen was alles passiert ist während ein Angreifer Zugriff hatte.

Ein kleines Beispiel: Ein System fängt sich einen Trojaner ein, mit dem es möglich ist Dateien hoch zu laden und zu starten. Nun könnte ein Angreifen auf dieses System zugreifen und eigene Programme hochladen und ausführen. Wenn dieses Programm gerade erst geschrieben wurde, wird es keinem Antivirenprogramm bekannt sein. Allein deshalb ist man da nie ganz sicher.

Bei Virus Total kannst du verdächtige Dateien hochladen und untersuchen lassen, der spuckt dann einen log von mehreren Virenscannern aus.

Am sichersten wäre es zu formatiern und neu zu installieren.

Neu ausetzen und absichern

Natürlich ist das immer recht ärgerlich und wer das unbedingt umgehen möchte, sollte sich dann gut mit seinem System auskennen, sowie zumindest Prozesse und den Datenverkehr überwachen.

Alt 05.02.2009, 19:43   #7
Lyra
 
Wie werde ich Win32/AgentBypass.gen!K endlich los??? - Icon21

Wie werde ich Win32/AgentBypass.gen!K endlich los???



Hallo!
Hab gerade das mit HiJack This erledigt.

Schön, dass ich nich auf den Free Download Manager verzichten muss, denn der hat mir sehr gute Dienste geleistet und es wäre mysteriös, wenn der an allem schuld sein sollte.

Überhaupt frage ich mich mittlerweile, ob ich wirklich einen Trojaner hatte:
Alle Scans und Cleaner usw haben an der Defender-Meldung nichts geändert, aber sobald ich einen Prozess beende und dauerhaft verhindere, indem ich die dazugehörigen Dateien lösche, is plötzlich Ruhe! Dabei hat auch VirusTotal gesagt, dass die Datei, die noch übrig ist, kein Virus o.Ä. enthält! Ich bin verwirrt! Spinnt vielleicht der Defender und gibt falschen Alarm?

Ich fühle mich jetz eigentlich wieder relativ sicher (mit 6 Anti-Virenprogrammen! auf dem Laptop).

Was mir noch fehlt zu meinem Glück, wäre, dass ich diese verdammte letzte Datei aus dem FDM-Ordner, der den Prozess verursacht hat, löschen könnte! Aber was ich auch tu, ICH KRIEGE DIESE FUMSHEXT.dll DATEI NICHT WEG!
Du weißt nich zufällig einen Trick, der das in 1 min erledigt?

Ansonsten werd ich es jetzt erstmal dabei belassen, Vista neu aufspielen kommt eigentlich aus mehreren Gründen nicht in Frage. Als "gebranntes Kind" werd ich aber natürlich einige Antivirenprogramme noch drauflassen und häufig komplett scannen, sowie die Prozesse im Auge behalten.


VERGISS DAS WEIß GESCHRIEBENE, ICH BIN ECHT VIEL ZU NAIV!!!

hab hier und in anderen Foren gelesen, dass wohl doch diese dll-Datei der Trojaner ist und sie lässt sich wohl nicht löschen, weil der noch aktiv ist!
Ich werde heute abend wohl noch einige der Tipps in anderen bereits vorhandenen Themen versuchen müssen!

So langsam schwindet aber meine Hoffnung!

Wie soll ich diesen Laptop nur wieder sauber kriegen?

Geändert von Lyra (05.02.2009 um 20:33 Uhr) Grund: Hab mich nochmal informiert... :(

Alt 06.02.2009, 00:06   #8
Kaos
 
Wie werde ich Win32/AgentBypass.gen!K endlich los??? - Standard

Wie werde ich Win32/AgentBypass.gen!K endlich los???



Diese dll müsste zum FDM (Free Download Manager) gehöhren. Sie sollte eigentlich dafür sorgen, daß Dateien die gedownloaded werden vom FDM agefangen werden. Deshalb taucht auch diese Meldung vom FDM auf, in der gefragt wird wo sie gespeichert werden soll, falls kein Ordner angegeben wurde in den alle Dateien gespeichert werden.

Diese .dll sollte im Programmordner vom FDM sein, wenn sie im Windowsordner oder Windows/System32 Ordner ist, wird es eher Schadsoftware sein.

Versuch die Datei nochmal zu entfernen. Aber vorher noch unregistrieren. Start --> Ausführen und dann "regsvr32 /u FUMSHEXT.dll"

Falls es nichts bringt versuch es mit dem Unlocker.

Nach der Installation die FUMSHEXT.dll mit der rechten Maustaste anwählen und im Kotexmenü "Unlocker" anwählen. Danach sollte eine Dialogox erscheinen in der ein Dropdown Menü ist. Dort dann löschen anwählen und auf okay.

Ich hoffe das es zum Erfolg führt.

Auf dem Board umsehen ist eine gute Idee, dort kann man immer mal hilfreiche Posts finden.

Es ist natürlich immer am besten, wenn mal direkt am PC helfen kann, da es viele Möglichkeiten gibt, Schädlinge zu finden, allerdings kann das sehr kompliziert werden. Das übers Internet zu beschreiben ist dann doch zu kompliziert.

Allerdings hat john.doe hat hier wohl schon vielen geholfen. Vielleicht weiß er noch etwas... Combofix wäre da wohl noch eine gute Methode, allerdings kenne ich es noch nicht und kann dir damit leider nicht helfen, da es auch das System schrotten kann.

Alt 07.02.2009, 00:09   #9
Lyra
 
Wie werde ich Win32/AgentBypass.gen!K endlich los??? - Daumen hoch

Wie werde ich Win32/AgentBypass.gen!K endlich los???



So, die dll-Datei is gelöscht! War bei der letzten Nachricht dann wohl etwas frustriert...

jetz hab ich also keine Defender-Meldungen mehr,der Prozess, den dieser gemeldet hatte, ist hoffentlich für immer gestoppt und ich fühl mich relativ sicher. Aber natürlich hab ich Angst, dass da doch noch mal was kommt...

Falls das passiert, werd ich wieder um Hilfe rufen und auch jetzt werd ich mich mal weiter umsehen, wie sicher ich mich fühlen sollte.

Aber hier sind wir wohl erstmal fertig, also bleibt mir nur zu sagen: EIN RIESENDANKESCHÖN AN MEINEN KOMPETENTEN HELFER IN SCHIMMERNDER RÜSTUNG!

Hoffe, ich brauch dich nie wieder, aber bin echt total dankbar!!!

Viele Grüße,
Lyra

Antwort

Themen zu Wie werde ich Win32/AgentBypass.gen!K endlich los???
adobe, antivir, antivirus, avg, avira, bho, defender, fehlermeldung, free download, helper, hijack, hijackthis, internet, internet explorer, internet security, jusched.exe, launch, object, pop-up-blocker, popup, rundll, schutz, security, senden, software, symantec, system, trojaner, vista, windows, windows defender, windows sidebar



Ähnliche Themen: Wie werde ich Win32/AgentBypass.gen!K endlich los???


  1. Trojan Win32/Necurs.A wie werde ich ihn los?
    Plagegeister aller Art und deren Bekämpfung - 03.02.2014 (20)
  2. Nach PWS:WIN32/Zbot.gen!Am jetzt PWS:WIN32/Zbot.AJB - wie werde ich diesen los
    Log-Analyse und Auswertung - 16.08.2013 (10)
  3. Wie werde ich Win32.Downloader.gen los?
    Log-Analyse und Auswertung - 02.07.2013 (11)
  4. Rootkit.Win32.TDSS - Endlich "one click" Entfernung mit Virenscanner?
    Plagegeister aller Art und deren Bekämpfung - 23.04.2010 (2)
  5. PC CONFIDENTIAL (/WINFERNO); Wie werde ich den Schädling endlich los?
    Plagegeister aller Art und deren Bekämpfung - 22.10.2009 (1)
  6. AgentBypass.gen!K in explorer.exe
    Plagegeister aller Art und deren Bekämpfung - 27.04.2009 (1)
  7. Trojan:Win32/AgentByPass.gen!K
    Plagegeister aller Art und deren Bekämpfung - 20.04.2009 (6)
  8. Trojan:Win32/agentBypass.gen!K
    Plagegeister aller Art und deren Bekämpfung - 16.02.2009 (17)
  9. Trojan:Win32/agentBypass.gen!K
    Plagegeister aller Art und deren Bekämpfung - 08.02.2009 (1)
  10. Suche Hilfe gegen Trojaner Win32/AgentBypass.gen!K
    Plagegeister aller Art und deren Bekämpfung - 09.01.2009 (0)
  11. Wie werde ich WIN32:Vundo@dll los?
    Plagegeister aller Art und deren Bekämpfung - 03.06.2008 (14)
  12. worm.win32.NetSky : wie werde ich ihn los??
    Plagegeister aller Art und deren Bekämpfung - 18.03.2008 (5)
  13. win32.agent.pz Scheinbar ein Trojaner. Wie werde ich den los?
    Plagegeister aller Art und deren Bekämpfung - 10.02.2008 (1)
  14. Tronjanische Pferd TR/Dldr.MSuse.dll_Wie werde ich es endlich los
    Plagegeister aller Art und deren Bekämpfung - 17.02.2007 (9)
  15. Win32:Small-gen2 [Trj] werde ihn nicht los.
    Plagegeister aller Art und deren Bekämpfung - 30.11.2006 (4)
  16. Werde Win32.look2Me nicht los
    Log-Analyse und Auswertung - 22.12.2005 (1)
  17. Win32:RPCexploit - wie werde ich das Teil los?
    Plagegeister aller Art und deren Bekämpfung - 27.12.2003 (2)

Zum Thema Wie werde ich Win32/AgentBypass.gen!K endlich los??? - Hallo ihr da draußen, seit einer Weile kriege auch ich bei jedem Neustart die Fehlermeldung vom Defender, die hier schon ein paar andere plagt: Der Defender sagt, er hätte einen - Wie werde ich Win32/AgentBypass.gen!K endlich los???...
Archiv
Du betrachtest: Wie werde ich Win32/AgentBypass.gen!K endlich los??? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.