| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Wie werde ich Win32/AgentBypass.gen!K endlich los???Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
03.02.2009, 00:04
| #1 |
| |  Wie werde ich Win32/AgentBypass.gen!K endlich los??? Hallo ihr da draußen, seit einer Weile kriege auch ich bei jedem Neustart die Fehlermeldung vom Defender, die hier schon ein paar andere plagt: Der Defender sagt, er hätte einen Trojaner namens Win32/AgentBypass.gen!K gefunden. Er fordert mich zum Löschen auf, was ich dann auch tue, aber beim nächsten Mal is er wieder da. Der Defender gibt mir als Ressource: "process: pid1280" an, was auch immer das heißt. Ich kenn mich da leider nicht aus. Kaspersky und Avira AntiVir finden beide nichts. Den CCleaner hab ich auch mal laufen lassen. Und nachdem ich hier auch die anderen Themen dazu gelesen habe, hab ich Hijack laufen lassen. Hier das Ergebnis: HTML-Code: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 23:48:20, on 02.02.2009 Platform: Windows Vista SP1 (WinNT 6.00.1905) MSIE: Internet Explorer v7.00 (7.00.6001.18000) Boot mode: Normal Running processes: C:\Windows\system32\taskeng.exe C:\Windows\system32\Dwm.exe C:\Windows\Explorer.EXE C:\Program Files\Windows Defender\MSASCui.exe C:\Windows\RtHDVCpl.exe C:\Program Files\Synaptics\SynTP\SynTPEnh.exe C:\Program Files\Launch Manager\LManager.exe C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe C:\Program Files\Windows Sidebar\sidebar.exe C:\Windows\ehome\ehtray.exe C:\Program Files\Windows Media Player\wmpnscfg.exe C:\Windows\ehome\ehmsas.exe C:\Acer\Empowering Technology\eRecovery\ERAGENT.EXE C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\Program Files\Internet Explorer\iexplore.exe C:\Program Files\Internet Explorer\iexplore.exe C:\Program Files\Microsoft Office\Office12\WINWORD.EXE C:\Program Files\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://de.rd.yahoo.com/customize/ycomp/defaults/sp/*http://de.yahoo.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://de.intl.acer.yahoo.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.intl.acer.yahoo.com R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://de.rd.yahoo.com/customize/ycomp/defaults/su/*http://de.yahoo.com R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file) O1 - Hosts: ::1 localhost O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\ievkbd.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll O2 - BHO: (no name) - {83A2F9B1-01A2-4AA5-87D1-45B6B8505E96} - (no file) O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - C:\Program Files\Free Download Manager\iefdm2.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [StartCCC] C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\LManager.exe O4 - HKLM\..\Run: [WarReg_PopUp] C:\Acer\WR_PopUp\WarReg_PopUp.exe O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe" O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe" O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun O4 - HKCU\..\Run: [StartCCC] C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe O4 - HKCU\..\Run: [Free Uploader Oe Integration] C:\Program Files\Free Download Manager\FUM\fumoei.exe O4 - HKCU\..\Run: [Free Download Manager] C:\Program Files\Free Download Manager\fdm.exe -autorun O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST') O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST') O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Empowering Technology Launcher.lnk = ? O8 - Extra context menu item: Alles mit FDM herunterladen - file://C:\Program Files\Free Download Manager\dlall.htm O8 - Extra context menu item: Auswahl mit FDM herunterladen - file://C:\Program Files\Free Download Manager\dlselected.htm O8 - Extra context menu item: Datei mit FDM herunterladen - file://C:\Program Files\Free Download Manager\dllink.htm O8 - Extra context menu item: Download all with Free Download Manager - file://C:\Program Files\Free Download Manager\dlall.htm O8 - Extra context menu item: Download selected with Free Download Manager - file://C:\Program Files\Free Download Manager\dlselected.htm O8 - Extra context menu item: Download video with Free Download Manager - file://C:\Program Files\Free Download Manager\dlfvideo.htm O8 - Extra context menu item: Download with Free Download Manager - file://C:\Program Files\Free Download Manager\dllink.htm O8 - Extra context menu item: Hinzufügen zu Anti-Banner - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\ie_banner_deny.htm O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000 O8 - Extra context menu item: Videos mit FDM herunterladen - file://C:\Program Files\Free Download Manager\dlfvideo.htm O9 - Extra button: Statistik für den Schutz des Web-Datenverkehrs - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\SCIEPlgn.dll O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL O9 - Extra button: Upload - {FD4E2FF8-973C-4A19-89BD-8E86B3CFCFE1} - C:\Program Files\Free Download Manager\FUM\fumiebtn.dll O13 - Gopher Prefix: O16 - DPF: {5D637FAD-E202-48D1-8F18-5B9C459BD1E3} (Image Uploader Control) - http://static.pe.studivz.net/photouploader/ImageUploader5.cab?nocache=1224359368 O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/player/DivXBrowserPlugin.cab O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://static.pe.studivz.net/photouploader/ImageUploader4.cab?nocache=1203520631 O16 - DPF: {BA162249-F2C5-4851-8ADC-FC58CB424243} (Image Uploader Control) - http://static.pe.studivz.net/photouploader/ImageUploader5.cab?nocache=1214496466 O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd.dll,C:\PROGRA~1\KASPER~1\KASPER~1\adialhk.dll,C:\PROGRA~1\KASPER~1\KASPER~1\kloehk.dll O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe O23 - Service: Kaspersky Internet Security (avp) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - c:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe (file missing) O23 - Service: eRecovery Service (eRecoveryService) - Acer Inc. - C:\Acer\Empowering Technology\eRecovery\eRecoveryService.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe O23 - Service: MobilityService - Unknown owner - C:\Acer\Mobility Center\MobilityService.exe O23 - Service: O2Micro Flash Memory Card Service (o2flash) - O2Micro International - C:\Program Files\O2Micro Oz128 Driver\o2flash.exe O23 - Service: XAudioService - Conexant Systems, Inc. - C:\Windows\system32\DRIVERS\xaudio.exe -- End of file - 9610 bytes Könnt ihr mir helfen? Ich hoffe es sehr, weil alleine bin ich aufgeschmissen... Schönen Gruß! Lyra |
|
03.02.2009, 01:32
| #2 |
  |  Wie werde ich Win32/AgentBypass.gen!K endlich los??? 1. Vom Internet trennen und alle Programme schließen.
__________________2. Scan dein Sytem mit Malwarebytes Anti-Malware. Vor dem Scan das Programm Updaten lassen. 3.Mit SUPERAntiSpyware Free (Erst Updaten, dann "Ihren Computer durchsuchen". Kundendefinierten Scan anwählen und bei allen Kästchen einen Haken setzen. Bei Ordner auswählen erstmal nur die Partition hizufügen, auf der Windows ist.) 4.Mit F-Secure Blacklight scannen. 5.Mit CCleaner System bereinigen. Vielleicht hilft das schon. |
|
04.02.2009, 08:30
| #3 |
| |  Wie werde ich Win32/AgentBypass.gen!K endlich los??? So, hier nun die ersten Ergebnisse:
__________________1. Der MalewareBytes scan - hat nichts gefunden: HTML-Code: Malwarebytes' Anti-Malware 1.33 Datenbank Version: 1705 Windows 6.0.6001 Service Pack 1 03.02.2009 22:55:56 mbam-log-2009-02-03 (22-55-56).txt Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|) Durchsuchte Objekte: 128387 Laufzeit: 1 hour(s), 20 minute(s), 40 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) 2. Der SUPERAntiSpyware Scan - hat was gefunden, aber... HTML-Code: SUPERAntiSpyware Scan Log
http://www.superantispyware.com
Generated 02/03/2009 at 11:34 PM
Application Version : 4.25.1012
Core Rules Database Version : 3742
Trace Rules Database Version: 1710
Scan type : Custom Scan
Total Scan Time : 00:35:52
Memory items scanned : 656
Memory threats detected : 0
Registry items scanned : 6307
Registry threats detected : 2
File items scanned : 26651
File threats detected : 17
Adware.Tracking Cookie
C:\Users\*\AppData\Roaming\Microsoft\Windows\Cookies\*@zbox.zanox[1].txt
C:\Users\*\AppData\Roaming\Microsoft\Windows\Cookies\*@doubleclick[1].txt
C:\Users\*\AppData\Roaming\Microsoft\Windows\Cookies\*@ad.zanox[3].txt
C:\Users\*\AppData\Roaming\Microsoft\Windows\Cookies\*@www.zanox-affiliate[3].txt
C:\Users\*\AppData\Roaming\Microsoft\Windows\Cookies\*@atdmt[1].txt
C:\Users\*\AppData\Roaming\Microsoft\Windows\Cookies\*@komtrack[2].txt
C:\Users\*\AppData\Roaming\Microsoft\Windows\Cookies\*@ad.zanox[2].txt
C:\Users\*\AppData\Roaming\Microsoft\Windows\Cookies\*@tradedoubler[2].txt
C:\Users\*\AppData\Roaming\Microsoft\Windows\Cookies\*@doubleclick[2].txt
C:\Users\*\AppData\Roaming\Microsoft\Windows\Cookies\*@traffictrack[2].txt
C:\Users\*\AppData\Roaming\Microsoft\Windows\Cookies\*@www.zanox-affiliate[1].txt
C:\Users\Gast\AppData\Roaming\Microsoft\Windows\Cookies\gast@bs.serving-sys[1].txt
C:\Users\Gast\AppData\Roaming\Microsoft\Windows\Cookies\gast@doubleclick[1].txt
C:\Users\Gast\AppData\Roaming\Microsoft\Windows\Cookies\gast@komtrack[2].txt
C:\Users\Gast\AppData\Roaming\Microsoft\Windows\Cookies\gast@mediaplex[1].txt
C:\Users\Gast\AppData\Roaming\Microsoft\Windows\Cookies\gast@serving-sys[2].txt
C:\Users\Gast\AppData\Roaming\Microsoft\Windows\Cookies\gast@statse.webtrendslive[1].txt
Adware.MyWebSearch/FunWebProducts
HKCR\CLSID\{9AFB8248-617F-460d-9366-D71CDEDA3179}
HKCR\CLSID\{9AFB8248-617F-460d-9366-D71CDEDA3179}\TreatAs ...obwohl ich die gefundenen Sachen alle gelöscht habe, kommt die Trojanermeldung bei nächsten Start wieder.  3. F-Secure blacklight konnt ich irgendwie nich downloaden. 4. CCleaner hab ich wieder laufen lassen, bis er keine nutzlosen Dateien mehr anzeigt, aber trotzdem is der Trojaner noch da!!! WAS SOLL ICH DENN JETZ MACHEN???  HILFE! Bitte weitere Anweisungen. Schon jetzt vielen Dank dafür! Viele Grüße Lyra |
|
04.02.2009, 11:37
| #4 |
| | Wie werde ich Win32/AgentBypass.gen!K endlich los??? F-Secure Blacklight Wo meldet denn der Defender den Fund, also in welchem Ordner? Du könntest mal versuchen, im abgesicherten Modus den Inhalt deiner Temporären Ordner zu löschen. C:\WINDOWS\Temp C:\Dokumente und Einstellungen\benutzername\Lokale Einstellungen\Temp C:\Dokumente und Einstellungen\benutzername\Lokale Einstellungen\Temporary Internet Files Dann noch den Prefetch Ordner leeren C:\Windows\Prefetch Und alle Inhalte deiner Quarantäneordner der Spyware/Virenscanner löschen Jeweils nur den Inhalt löschen, nicht die Ordner selbst. Im abgesichertenmodus mit SUPERAntiSpyware nocheinmal scannen, diesmal einen kompletten Scan. Und weil es so schön ist, denn CCleaner auch nochmal drüberlaufen lassen. Neustarten und anschliessend HijackThis Scan machen und posten. Geändert von Kaos (04.02.2009 um 12:34 Uhr) Grund: Was vergessen ; ) |
|
05.02.2009, 08:05
| #5 |
| |  Wie werde ich Win32/AgentBypass.gen!K endlich los??? So, über Nacht hab ich das alles weitergemacht (Schlaf wird vollkommen überbewertet, findest du nicht?  ) und das is passiert:1. F-Secure Blacklight hab ich runtergeladen und laufe lassen, es hat aber nur ein Cookie gefunden, das ich dann entfernt habe. 2. Hab im abgesicherten Modus den Inhalt all der Ordner gelöscht und den Virenscan durchgeführt. Der hat wieder nix gefunden. Und dann wieder den CCleaner, der nochmal richtig aufgeräumt hat.  3.Dann hab ich mich daran erinnert, dass du wissen wolltest, wo der Defender das meldet und da hab ich neu gestartet (DA WAR DIE FEHLERMELDUNG WIEDER DA!) und in der Meldung hatte es mir ressourcen: process: pid3820 angegeben. Darauf hin habe ich ganz abenteuerlustig den Task-Manager gestartet und nachgesehen, was das für ein Prozess ist: Es nannte sich "fumei.exe" und war im Ordner meines Free Download Managers, der mir selbst aber im letzten Jahr keine Probleme gemacht hat!  Hab das Programm deinstalliert und die verbliebenen Mülldateien alle von Hand gelöscht, bis auf eine namens "fumshext.dll", die ich nicht gelöscht kriege!!! Es kommt immer die Meldung, ich bräuchte Berechtigungen, aber wenn ich die ändern will, kann ich nich Vollzugriff aktivieren! Naja, hab dann nochmal den CCleaner laufen lassen. Als ich heute morgen wieder gestartet habe, KAM KEINE FEHLERMELDUNG MEHR! Hab nochmal F-Secure laufen lassen. Der hat nix gefunden. Und Hijack This... HTML-Code: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 07:33:23, on 05.02.2009 Platform: Windows Vista SP1 (WinNT 6.00.1905) MSIE: Internet Explorer v7.00 (7.00.6001.18000) Boot mode: Normal Running processes: C:\Windows\system32\taskeng.exe C:\Windows\system32\Dwm.exe C:\Windows\Explorer.EXE C:\Program Files\Windows Defender\MSASCui.exe C:\Windows\RtHDVCpl.exe C:\Program Files\Synaptics\SynTP\SynTPEnh.exe C:\Program Files\Launch Manager\LManager.exe C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe C:\Program Files\iTunes\iTunesHelper.exe C:\Program Files\Java\jre6\bin\jusched.exe C:\Program Files\Windows Sidebar\sidebar.exe C:\Windows\ehome\ehtray.exe C:\Program Files\Windows Media Player\wmpnscfg.exe C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe C:\Users\ALEXAN~1\AppData\Local\Temp\RtkBtMnt.exe C:\Acer\Empowering Technology\eRecovery\ERAGENT.EXE C:\Program Files\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://de.rd.yahoo.com/customize/ycomp/defaults/sp/*http://de.yahoo.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://de.intl.acer.yahoo.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.intl.acer.yahoo.com R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://de.rd.yahoo.com/customize/ycomp/defaults/su/*http://de.yahoo.com R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file) O1 - Hosts: ::1 localhost O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\ievkbd.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll O2 - BHO: (no name) - {83A2F9B1-01A2-4AA5-87D1-45B6B8505E96} - (no file) O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [StartCCC] C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\LManager.exe O4 - HKLM\..\Run: [WarReg_PopUp] C:\Acer\WR_PopUp\WarReg_PopUp.exe O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe" O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe" O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun O4 - HKCU\..\Run: [StartCCC] C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe O4 - HKCU\..\Run: [Free Uploader Oe Integration] C:\Program Files\Free Download Manager\FUM\fumoei.exe O4 - HKCU\..\Run: [Free Download Manager] C:\Program Files\Free Download Manager\fdm.exe -autorun O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST') O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST') O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Empowering Technology Launcher.lnk = ? O8 - Extra context menu item: Hinzufügen zu Anti-Banner - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\ie_banner_deny.htm O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000 O9 - Extra button: Statistik für den Schutz des Web-Datenverkehrs - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\SCIEPlgn.dll O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL O9 - Extra button: Upload - {FD4E2FF8-973C-4A19-89BD-8E86B3CFCFE1} - C:\Program Files\Free Download Manager\FUM\fumiebtn.dll (file missing) O13 - Gopher Prefix: O16 - DPF: {59136DB4-6CA3-4B40-8F2F-BBF84B6F1E91} (Attachment Upload Control) - https://stream.web.de/mail/activex/mail_upload_11213.cab O16 - DPF: {5D637FAD-E202-48D1-8F18-5B9C459BD1E3} (Image Uploader Control) - http://static.pe.studivz.net/photouploader/ImageUploader5.cab?nocache=1224359368 O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/player/DivXBrowserPlugin.cab O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://static.pe.studivz.net/photouploader/ImageUploader4.cab?nocache=1203520631 O16 - DPF: {BA162249-F2C5-4851-8ADC-FC58CB424243} (Image Uploader Control) - http://static.pe.studivz.net/photouploader/ImageUploader5.cab?nocache=1214496466 O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd.dll,C:\PROGRA~1\KASPER~1\KASPER~1\adialhk.dll,C:\PROGRA~1\KASPER~1\KASPER~1\kloehk.dll O20 - Winlogon Notify: !SASWinLogon - C:\Program Files\SUPERAntiSpyware\SASWINLO.dll O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe O23 - Service: Kaspersky Internet Security (avp) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - c:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe (file missing) O23 - Service: eRecovery Service (eRecoveryService) - Acer Inc. - C:\Acer\Empowering Technology\eRecovery\eRecoveryService.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe O23 - Service: MobilityService - Unknown owner - C:\Acer\Mobility Center\MobilityService.exe O23 - Service: O2Micro Flash Memory Card Service (o2flash) - O2Micro International - C:\Program Files\O2Micro Oz128 Driver\o2flash.exe O23 - Service: XAudioService - Conexant Systems, Inc. - C:\Windows\system32\DRIVERS\xaudio.exe -- End of file - 8386 bytes Also frag mich mich jetzt natürlich: a) Ist mein System wieder sauber, wenn ich bei 2 Starts keine Meldung mehr bekomme? b) Wie kann ich die verbliebene Datei auch noch löschen? c) Kann ich mir den Free Download Manager wieder runterladen? Kann die Antwort kaum erwarten, hoffe ja, dass ich das Scheißding jetz endlich los bin... !!! :aplaus: Gruß, Lyra |
|
05.02.2009, 11:03
| #6 |
| | Wie werde ich Win32/AgentBypass.gen!K endlich los??? Starte nochmal HijackThis mache einen "Do system scan only", dann folgende Einträge anwählen: O2 - BHO: (no name) - {83A2F9B1-01A2-4AA5-87D1-45B6B8505E96} - (no file) O9 - Extra button: Upload - {FD4E2FF8-973C-4A19-89BD-8E86B3CFCFE1} - C:\Program Files\Free Download Manager\FUM\fumiebtn.dll (file missing) Dann auf "Fix Checked" Das erste ist ein Eintrag, der auf eine fehlende Datei verweist, ist unnötig und kann daher weg. Das zweite ist vom Free Download Manager, sollte es zumindest, aber da die Datei nicht mehr dort existiert, kann der Eintrag auch gelöscht werden. Free Download Manager kannst du dann wieder installieren, hab den auch immer gerne benutzt, allerdings hab ich ihn noch nicht wieder drauf ....Keine Lust gehabt .Dein System sollte soweit sauber sein, allerdings kann man sich da nie ganz sicher sein. Wenn ein System einmal infiziert war, kann man nicht wissen was alles passiert ist während ein Angreifer Zugriff hatte. Ein kleines Beispiel: Ein System fängt sich einen Trojaner ein, mit dem es möglich ist Dateien hoch zu laden und zu starten. Nun könnte ein Angreifen auf dieses System zugreifen und eigene Programme hochladen und ausführen. Wenn dieses Programm gerade erst geschrieben wurde, wird es keinem Antivirenprogramm bekannt sein. Allein deshalb ist man da nie ganz sicher. Bei Virus Total kannst du verdächtige Dateien hochladen und untersuchen lassen, der spuckt dann einen log von mehreren Virenscannern aus. Am sichersten wäre es zu formatiern und neu zu installieren. Neu ausetzen und absichern Natürlich ist das immer recht ärgerlich und wer das unbedingt umgehen möchte, sollte sich dann gut mit seinem System auskennen, sowie zumindest Prozesse und den Datenverkehr überwachen. |
|
05.02.2009, 19:43
| #7 |
| |  Wie werde ich Win32/AgentBypass.gen!K endlich los??? Hallo! Hab gerade das mit HiJack This erledigt. Schön, dass ich nich auf den Free Download Manager verzichten muss, denn der hat mir sehr gute Dienste geleistet und es wäre mysteriös, wenn der an allem schuld sein sollte. Überhaupt frage ich mich mittlerweile, ob ich wirklich einen Trojaner hatte: Alle Scans und Cleaner usw haben an der Defender-Meldung nichts geändert, aber sobald ich einen Prozess beende und dauerhaft verhindere, indem ich die dazugehörigen Dateien lösche, is plötzlich Ruhe! Dabei hat auch VirusTotal gesagt, dass die Datei, die noch übrig ist, kein Virus o.Ä. enthält! Ich bin verwirrt! Spinnt vielleicht der Defender und gibt falschen Alarm? Ich fühle mich jetz eigentlich wieder relativ sicher (mit 6 Anti-Virenprogrammen! auf dem Laptop). Was mir noch fehlt zu meinem Glück, wäre, dass ich diese verdammte letzte Datei aus dem FDM-Ordner, der den Prozess verursacht hat, löschen könnte! Aber was ich auch tu, ICH KRIEGE DIESE FUMSHEXT.dll DATEI NICHT WEG! Du weißt nich zufällig einen Trick, der das in 1 min erledigt? Ansonsten werd ich es jetzt erstmal dabei belassen, Vista neu aufspielen kommt eigentlich aus mehreren Gründen nicht in Frage. Als "gebranntes Kind" werd ich aber natürlich einige Antivirenprogramme noch drauflassen und häufig komplett scannen, sowie die Prozesse im Auge behalten. VERGISS DAS WEIß GESCHRIEBENE, ICH BIN ECHT VIEL ZU NAIV!!!  hab hier und in anderen Foren gelesen, dass wohl doch diese dll-Datei der Trojaner ist und sie lässt sich wohl nicht löschen, weil der noch aktiv ist! Ich werde heute abend wohl noch einige der Tipps in anderen bereits vorhandenen Themen versuchen müssen! So langsam schwindet aber meine Hoffnung! Wie soll ich diesen Laptop nur wieder sauber kriegen? Geändert von Lyra (05.02.2009 um 20:33 Uhr) Grund: Hab mich nochmal informiert... :( |
|
06.02.2009, 00:06
| #8 |
| | Wie werde ich Win32/AgentBypass.gen!K endlich los??? Diese dll müsste zum FDM (Free Download Manager) gehöhren. Sie sollte eigentlich dafür sorgen, daß Dateien die gedownloaded werden vom FDM agefangen werden. Deshalb taucht auch diese Meldung vom FDM auf, in der gefragt wird wo sie gespeichert werden soll, falls kein Ordner angegeben wurde in den alle Dateien gespeichert werden. Diese .dll sollte im Programmordner vom FDM sein, wenn sie im Windowsordner oder Windows/System32 Ordner ist, wird es eher Schadsoftware sein. Versuch die Datei nochmal zu entfernen. Aber vorher noch unregistrieren. Start --> Ausführen und dann "regsvr32 /u FUMSHEXT.dll" Falls es nichts bringt versuch es mit dem Unlocker. Nach der Installation die FUMSHEXT.dll mit der rechten Maustaste anwählen und im Kotexmenü "Unlocker" anwählen. Danach sollte eine Dialogox erscheinen in der ein Dropdown Menü ist. Dort dann löschen anwählen und auf okay. Ich hoffe das es zum Erfolg führt. Auf dem Board umsehen ist eine gute Idee, dort kann man immer mal hilfreiche Posts finden. Es ist natürlich immer am besten, wenn mal direkt am PC helfen kann, da es viele Möglichkeiten gibt, Schädlinge zu finden, allerdings kann das sehr kompliziert werden. Das übers Internet zu beschreiben ist dann doch zu kompliziert. Allerdings hat john.doe hat hier wohl schon vielen geholfen. Vielleicht weiß er noch etwas... Combofix wäre da wohl noch eine gute Methode, allerdings kenne ich es noch nicht und kann dir damit leider nicht helfen, da es auch das System schrotten kann. |
|
07.02.2009, 00:09
| #9 |
| |  Wie werde ich Win32/AgentBypass.gen!K endlich los??? So, die dll-Datei is gelöscht! War bei der letzten Nachricht dann wohl etwas frustriert... jetz hab ich also keine Defender-Meldungen mehr,der Prozess, den dieser gemeldet hatte, ist hoffentlich für immer gestoppt und ich fühl mich relativ sicher. Aber natürlich hab ich Angst, dass da doch noch mal was kommt... Falls das passiert, werd ich wieder um Hilfe rufen und auch jetzt werd ich mich mal weiter umsehen, wie sicher ich mich fühlen sollte. Aber hier sind wir wohl erstmal fertig, also bleibt mir nur zu sagen: EIN RIESENDANKESCHÖN AN MEINEN KOMPETENTEN HELFER IN SCHIMMERNDER RÜSTUNG!  Hoffe, ich brauch dich nie wieder, aber bin echt total dankbar!!! Viele Grüße, Lyra |
|
| Themen zu Wie werde ich Win32/AgentBypass.gen!K endlich los??? |
| adobe, antivir, antivirus, avg, avira, bho, defender, fehlermeldung, free download, helper, hijack, hijackthis, internet, internet explorer, internet security, jusched.exe, launch, object, plug-in, pop-up-blocker, popup, rundll, schutz, security, senden, software, symantec, system, trojaner, vista, windows, windows defender, windows sidebar |
Linear-Darstellung
