|
Fund von Kaspersky lässt sich nicht beheben MEM:Trojan-Spy.Win32.Agent.gen Hallo Liebes Trojaner Board Team, gestern bekam ich die Meldung von Kaspersky Internet Security das im System Memory "Trojan-Spy.Win32.Agent.gen" gefunden wurde, nach mehrmaligen Neustarts zur Behebung, bekomme ich die Meldung das es irreparabel sei. Habe keine Programme in den letzten Wochen installiert oder deinstalliert. Eset Online Scanner und Mbam habe ich vorhin scannen lassen mit paar Funden. Muss ich mir Sorgen machen? Oder das System neu aufsetzen? Würde mich über jede Hilfe freuen :) Code: ESET SCANCode: MBAM |
:hallo: Mein Name ist Matthias und ich werde dir bei der Bereinigung deines Computers helfen. Um die Bereinigung möchlichst effektiv und schnell gestalten zu können, bitte ich um Beachtung der folgenden Hinweise:
Bitte arbeite alle Schritte in der vorgegebenen Reihefolge nacheinander ab und poste alle Logdateien in CODE-Tags:  So funktioniert es:Posten in CODE-Tags Die Logfiles anzuhängen oder sogar vorher in ein ZIP, RAR, 7Z-Archive zu packen erschwert deinem Helfer massiv die Arbeit, es sei denn natürlich die Datei wäre ansonsten zu groß für das Forum. Um die Logfiles in eine CODE-Box zu stellen gehe so vor:
Danke für deine Mitarbeit! Bitte die Logdatei von Kaspersky mit dem Fund posten. Schritt 1 Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop:  FRST 32-Bit | FRST 64-Bit(Wenn du nicht sicher bist: Lade beide Versionen oder unter Start > Computer (Rechtsklick) > Eigenschaften nachschauen)
Bitte poste mit deiner nächsten Antwort
|
Hallo Matthias, danke für die schnelle Antwort! Gerne poste ich dir die Logfiles. Kaspersky Code: 20.02.2018 13.52.12 Das gefundene Objekt (Systemspeicher) wurde nicht verarbeitet. System Memory Systemspeicher: System Memory Objektname: MEM:Trojan-Spy.Win32.Agent.gen Objekttyp: Trojanisches Programm Zeitpunkt: 20.02.2018 13:52Code: Untersuchungsergebnis von Farbar Recovery Scan Tool (FRST) (x64) Version: 19.02.2018 |
Addition Code: Zusätzliches Untersuchungsergebnis von Farbar Recovery Scan Tool (x64) Version: 19.02.2018 |
Schritt 1 Downloade Dir bitte AdwCleaner auf deinen Desktop (Bebilderte Anleitung).
Schritt 2 Downloade Dir bitte Malwarebytes Anti-Malware 3 (Bebilderte Anleitung)
Schritt 3
Bitte poste mit deiner nächsten Antwort
|
Liste der Anhänge anzeigen (Anzahl: 1) Gerne Matthias poste die Logfiles Ich habe die 4 Dateien per WinRaR gepackt, hoffe das ist in Ordnung so :confused: |
Servus, bitte berichte, ob die Meldung nach Schritt 1 immer noch auftritt. Schritt 1
Schritt 2
Bitte poste mit deiner nächsten Antwort
|
Ja Matthias, die Meldung mit dem Fund bei Kaspersky geht leider nicht weg. Warum das aus dem Systemspeicher nicht verschwindet, kann ich leider nicht sagen. Sei irreparabel laut der Meldung vor ca 2-3 Tagen. Die Logs poste ich dir gerne. fixlog.txt Code: Entfernungsergebnis von Farbar Recovery Scan Tool (x64) Version: 21.02.2018Code: Untersuchungsergebnis von Farbar Recovery Scan Tool (FRST) (x64) Version: 21.02.2018 |
Addition.txt Code: Zusätzliches Untersuchungsergebnis von Farbar Recovery Scan Tool (x64) Version: 21.02.2018 |
Servus, ich sehe keine Schadsoftware in den Logdateien und tippe ehrlich gesagt auf einen Fehlalarm von Kaspersky. Downloade dir die passende Version von HitmanPro auf deinen Desktop: HitmanPro - 32 Bit | HitmanPro - 64 Bit.
|
Guten Abend Matthias, ich könnte versuchen Kaspersky Internet Security zu deinstallieren, und die Registrierungseinträge zu löschen. Meine Lizenz läuft in 16 Tagen ab, daher sichere ich die Lizenz. Die Logfile steht unten :) Hast du generell nichts verdächtiges entdeckt? Vielen Dank für deine Hilfe. Code: HitmanPro 3.8.0.292 |
Zitat:
Zitat:
Wir schauen uns noch kurz den einen Fund von ESET mit FRST näher an.
|
Guten Morgen Matthias, hier die Logfile aus FRST Code: Entfernungsergebnis von Farbar Recovery Scan Tool (x64) Version: 21.02.2018Oder ne Spyware startet beim booten direkt in den Arbeitsspeicher, reine Spekulation ;) Der Prozess svchost.exe der für die Windows-Dienste zuständig ist, hat nun eine 100% CPU Auslastung, zuvor hatte ich sowas nicht beobachten können Schönen Mittag wünsche ich dir |
Servus, komisch das Ganze... Lass mal bitte GMER laufen: Bitte lade dir  GMER herunter: (Dateiname zufällig)
Tauchen Probleme auf?
|
Leider bekomme ich immer einen Bluescreen, habe es im abgesicherten Modus mehrmals versucht, ohne Erfolg. Den Haken vor Devices habe ich immer entfernt :) Folgender Bluescreen erscheint: DRIVER_IRQL_NOT_LESS_EQUAL pglcqpog.sys Habe per google, kaum was dazu finden können, suche noch etwas weiter. |
Servus, führe bitte nochmal einen FRST-Suchlauf aus. |
Hatte die Meldung bekommen, habe immer auf no geklickt :) FRST Code: Untersuchungsergebnis von Farbar Recovery Scan Tool (FRST) (x64) Version: 23.02.2018 |
Addition Code: Zusätzliches Untersuchungsergebnis von Farbar Recovery Scan Tool (x64) Version: 23.02.2018 |
Also ich sehe beim besten Willen nichts in den Logdateien von FRST. Alle anderen Tools waren auch so gut wie sauber. Wir entfernen noch die .log Datei, die ESET beanstandet. Du solltest Kontakt zu Kaspersky aufnehmen, ich vermute einen Fehlalarm. Wenn es kein Fehlalarm ist, dann meld dich in ein paar Tagen/Wochen wieder... dann würde ich gerne wissen, welche Schadsoftware die Experten von Kaspersky auf deinem PC noch gefunden haben... man lernt ja bekanntlich nie aus. :) Reste entfernen
Dann wären wir durch! Wenn du keine Probleme mehr mit Malware hast, dann sind wir hier fertig. Deine Logdateien sind sauber. :daumenhoc Wenn Du möchtest, kannst Du hier sagen, ob Du mit mir und meiner Hilfe zufrieden warst...:dankeschoen: Vielleicht möchtest du das Forum mit einer kleinen Spende http://www.trojaner-board.de/extra/spende.png unterstützen. :applaus: Hinweise: Bitte gib mir eine kurze Rückmeldung wenn alles erledigt ist und keine Fragen mehr vorhanden sind, so dass ich dieses Thema aus meinen Abos löschen kann. Zum Schluss müssen wir noch ein paar abschließende Schritte unternehmen, um deinen Pc aufzuräumen und abzusichern. Cleanup Alle Logs gepostet? Dann lade Dir bitte http://filepony.de/icon/tiny/delfix.pngDelFix herunter.
DelFix entfernt u.a. alle verwendeten Programme, die Quarantäne unserer Scanner, den Java-Cache und löscht sich abschließend selbst. Starte deinen Rechner anschließend neu. Sollten jetzt noch Programme aus unserer Bereinigung übrig sein, kannst du diese bedenkenlos löschen. Virenscanner + Firewall Vorab sei erwähnt, dass man niemals die Schutzwirkung eines Virenscanners überbewerten darf! Kein Antivirusprogramm erkennt 100% der Schadsoftware. Sofern du noch unentschieden bist, verwende MAXIMAL EIN EINZIGES der folgenden Antivirusprogramme mit Echtzeitscanner und stets aktueller Signaturendatenbank:
Microsoft Security Essentials (MSE) / Windows Defender (WD) ist ab Windows 8 fest eingebaut, wenn du also Windows 8, 8.1 oder 10 und dich für MSE/WD entschieden hast, brauchst du nicht extra MSE/WD zu installieren. Bei Windows 7 muss es aber manuell installiert oder über die Windows Updates als optionales Update bezogen werden. Selbstverständlich ist ein legales/aktiviertes Windows Voraussetzung dafür. Verwende immer nur reine Virenscanner (keine Produkte mit "Suite", "Internet Security", "Endpoint" oder "Total Security" in Namen, denn diese bringen kontraproduktive Firewalls mit - die Windows-Firewall ist alles was benötigt wird) Zusätzlich kannst Du Deinen PC regelmäßig mit Malwarebytes Anti-Malware, AdwCleaner und mit dem ESET Online Scanner scannen. Diese Programme sind alle kostenlos und stören nicht den Betrieb deines Antivirenprogramms. Absicherungen Beim Betriebsystem Windows ist es wichtig, die automatischen Updates zu aktivieren. Auch sicherheitsrelevante Software sollte immer in aktueller Version vorliegen. Das zeitnahe Einspielen von Updates ist erforderlich, damit Sicherheitslücken geschlossen werden. Sicherheitslücken werden beispielsweise dazu ausgenutzt, um beim einfachen Besuch einer manipulierten Website per "Drive-by" Malware zu installieren. Besonders aufpassen bzgl. der Aktualität musst du insbesondere bei folgender Software - sofern diese überhaupt benötigt wird:
Optionale Browsererweiterungen
Grundsätzliches
Lesestoff:Backup-/Image-Tools IMHO sind Wiederherstellungspunkte nix weiter als eine Notlösung, wer sich auf was Funktionierendes verlassen will und muss, kommt um echte Backup/Imaging Software nicht herum. Ich nehme unter Windows immer Drive Snapshot - Disk Image Backup for Windows NT/2000/XP/2003/X64 Damit man sinnvolle Backups hat, muss man regelmäßig (z. B. wöchentlich) ein Image auf eine separate externe Festplatte erstellen. Diese externe Festplatte wird nur dann angeschlossen, wenn man das Backup erstellen will (oder etwas wiederherstellen muss), sonsten bleibt sie aus Sicherheitsgründen sicher im Schrank verwahrt - allein schon aus dem Grund, die Backups vor Krypto-Trojaner zu schützen. Option 1: Drivesnapshot Offizielle TB-Anleitung --> http://www.trojaner-board.de/186299-...esnapshot.html http://cosinus.trojaner-board.de/ima...napshot002.png Drive Snapshot - Disk Image Backup for Windows NT/2000/XP/2003/X64 Download (32-Bit) => http://www.drivesnapshot.de/download/snapshot.exe Download (64-Bit) => http://www.drivesnapshot.de/download/snapshot64.exe Es gibt da auch leicht abgespeckte Versionen von Acronis TrueImage gratis wenn man Platten von Seagate und/oder Western Digital hat. Vllt sagen diese Programme dir mehr zu. Mein Favorit aber ist das kleine o.g. Drivesnapshot. Option 2: Seagate DiscWizard Download => Seagate DiscWizard - Download - Filepony Screenshots: http://filepony.de/screenshot/seagate_discwizard5.jpg http://filepony.de/screenshot/seagate_discwizard4.png http://filepony.de/screenshot/seagate_discwizard3.jpg Option 3: Acronis TrueImage WD Edition Download => Acronis True Image WD Edition - Download - Filepony Screenshots: http://filepony.de/screenshot/acroni...d_edition1.jpg http://filepony.de/screenshot/acroni...d_edition2.jpg |
Liste der Anhänge anzeigen (Anzahl: 1) Hallo Matthias, nachdem Neustart, hatte sich ein CMD Fenster kurz geöffnet und sofort wieder geschlossen. (Desktop) Wie kann ich mein System nach Rootkits scannen? Malwarebytes Anti-Rootkit hat leider auch keine Funde, GMER hat ne Manipulation auf dem System entdeckt. GMER stürtzt ja leider ab. Zu einem ist mir aufgefallen, dass der Prozess Dllhost.exe (4x) versteckt sei. Im Taskmanager wird das nicht aufgeführt, GMER zeigt die jedoch an. Sobald ich auf einen der Dllhost.exe Prozess klicke, stürtzt GMER ab. Hoffe du hast noch eine Idee, wie ich dem nachgehen könnte :) Fixlog Code: Entfernungsergebnis von Farbar Recovery Scan Tool (x64) Version: 23.02.2018 |
Servus, Zitat:
Wenn du magst, können wir den Dienst trotzdem mit FRST entfernen.... ist nur ein Überbleibsel von früher. Zitat:
Kaspersky hat ein Anti-Rootkit-Tool mit integriert und findet nichts konkretes... GMER findet nichts, MBAR auch nicht... alle anderen Tools, die wir verwendet haben, finden auch nichts. Da ist kein Rootkit auf deinem System, wie gesagt, ich tippe auf Fehlalarm. |
Hallo Matthias, danke für die Rückmeldung. Denke auch das es sich um ein Fehlalarm handelt. Die xhunter1.sys Datei kann meiner Meinung auch bleiben. Danke dir nochmals für deine Hilfe, bin auch etwas froh das es nichts gravierendes gewesen ist. Wünsche dir einen schönen Sonntag! Machs gut Lieber Gruß Waldemar |
Ich bin froh, dass wir helfen konnten :abklatsch: In diesem Forum kannst du eine kurze Rückmeldung zur Bereinigung abgeben, sofern du das möchtest: Lob, Kritik und Wünsche Klicke dazu auf den Button "NEUES THEMA" und poste ein kleines Feedback. Vielen Dank! :) Dieses Thema scheint erledigt und wird aus meinen Abos gelöscht. Solltest Du das Thema erneut brauchen, schicke mir bitte eine PM inklusive Link zum Thema. Jeder andere bitte hier klicken und einen eigenen Thread erstellen. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 12:47 Uhr. |
Copyright ©2000-2025, Trojaner-Board
und 
und speichere die Logdatei auf Deinem Desktop.