|
Wie werde ich Win32/AgentBypass.gen!K endlich los??? Hallo ihr da draußen, seit einer Weile kriege auch ich bei jedem Neustart die Fehlermeldung vom Defender, die hier schon ein paar andere plagt: Der Defender sagt, er hätte einen Trojaner namens Win32/AgentBypass.gen!K gefunden. Er fordert mich zum Löschen auf, was ich dann auch tue, aber beim nächsten Mal is er wieder da. Der Defender gibt mir als Ressource: "process: pid1280" an, was auch immer das heißt. Ich kenn mich da leider nicht aus. Kaspersky und Avira AntiVir finden beide nichts. Den CCleaner hab ich auch mal laufen lassen. Und nachdem ich hier auch die anderen Themen dazu gelesen habe, hab ich Hijack laufen lassen. Hier das Ergebnis: HTML-Code: Logfile of Trend Micro HijackThis v2.0.2Könnt ihr mir helfen? Ich hoffe es sehr, weil alleine bin ich aufgeschmissen... Schönen Gruß! Lyra |
1. Vom Internet trennen und alle Programme schließen. 2. Scan dein Sytem mit Malwarebytes Anti-Malware. Vor dem Scan das Programm Updaten lassen. 3.Mit SUPERAntiSpyware Free (Erst Updaten, dann "Ihren Computer durchsuchen". Kundendefinierten Scan anwählen und bei allen Kästchen einen Haken setzen. Bei Ordner auswählen erstmal nur die Partition hizufügen, auf der Windows ist.) 4.Mit F-Secure Blacklight scannen. 5.Mit CCleaner System bereinigen. Vielleicht hilft das schon. |
So, hier nun die ersten Ergebnisse: 1. Der MalewareBytes scan - hat nichts gefunden: HTML-Code: Malwarebytes' Anti-Malware 1.332. Der SUPERAntiSpyware Scan - hat was gefunden, aber... HTML-Code: SUPERAntiSpyware Scan Log...obwohl ich die gefundenen Sachen alle gelöscht habe, kommt die Trojanermeldung bei nächsten Start wieder. :heulen: 3. F-Secure blacklight konnt ich irgendwie nich downloaden. 4. CCleaner hab ich wieder laufen lassen, bis er keine nutzlosen Dateien mehr anzeigt, aber trotzdem is der Trojaner noch da!!! WAS SOLL ICH DENN JETZ MACHEN??? :kloppen: HILFE! Bitte weitere Anweisungen. Schon jetzt vielen Dank dafür! Viele Grüße Lyra |
F-Secure Blacklight Wo meldet denn der Defender den Fund, also in welchem Ordner? Du könntest mal versuchen, im abgesicherten Modus den Inhalt deiner Temporären Ordner zu löschen. C:\WINDOWS\Temp C:\Dokumente und Einstellungen\benutzername\Lokale Einstellungen\Temp C:\Dokumente und Einstellungen\benutzername\Lokale Einstellungen\Temporary Internet Files Dann noch den Prefetch Ordner leeren C:\Windows\Prefetch Und alle Inhalte deiner Quarantäneordner der Spyware/Virenscanner löschen Jeweils nur den Inhalt löschen, nicht die Ordner selbst. Im abgesichertenmodus mit SUPERAntiSpyware nocheinmal scannen, diesmal einen kompletten Scan. Und weil es so schön ist, denn CCleaner auch nochmal drüberlaufen lassen. Neustarten und anschliessend HijackThis Scan machen und posten. |
So, über Nacht hab ich das alles weitergemacht (Schlaf wird vollkommen überbewertet, findest du nicht? ;) ) und das is passiert: 1. F-Secure Blacklight hab ich runtergeladen und laufe lassen, es hat aber nur ein Cookie gefunden, das ich dann entfernt habe. 2. Hab im abgesicherten Modus den Inhalt all der Ordner gelöscht und den Virenscan durchgeführt. Der hat wieder nix gefunden. Und dann wieder den CCleaner, der nochmal richtig aufgeräumt hat. :) 3.Dann hab ich mich daran erinnert, dass du wissen wolltest, wo der Defender das meldet und da hab ich neu gestartet (DA WAR DIE FEHLERMELDUNG WIEDER DA!) und in der Meldung hatte es mir ressourcen: process: pid3820 angegeben. Darauf hin habe ich ganz abenteuerlustig den Task-Manager gestartet und nachgesehen, was das für ein Prozess ist: Es nannte sich "fumei.exe" und war im Ordner meines Free Download Managers, der mir selbst aber im letzten Jahr keine Probleme gemacht hat! :confused: Hab das Programm deinstalliert und die verbliebenen Mülldateien alle von Hand gelöscht, bis auf eine namens "fumshext.dll", die ich nicht gelöscht kriege!!! Es kommt immer die Meldung, ich bräuchte Berechtigungen, aber wenn ich die ändern will, kann ich nich Vollzugriff aktivieren! Naja, hab dann nochmal den CCleaner laufen lassen. Als ich heute morgen wieder gestartet habe, KAM KEINE FEHLERMELDUNG MEHR! Hab nochmal F-Secure laufen lassen. Der hat nix gefunden. Und Hijack This... HTML-Code: Logfile of Trend Micro HijackThis v2.0.2Also frag mich mich jetzt natürlich: a) Ist mein System wieder sauber, wenn ich bei 2 Starts keine Meldung mehr bekomme? b) Wie kann ich die verbliebene Datei auch noch löschen? c) Kann ich mir den Free Download Manager wieder runterladen? Kann die Antwort kaum erwarten, hoffe ja, dass ich das Scheißding jetz endlich los bin... !!! :aplaus: Gruß, Lyra |
Starte nochmal HijackThis mache einen "Do system scan only", dann folgende Einträge anwählen: O2 - BHO: (no name) - {83A2F9B1-01A2-4AA5-87D1-45B6B8505E96} - (no file) O9 - Extra button: Upload - {FD4E2FF8-973C-4A19-89BD-8E86B3CFCFE1} - C:\Program Files\Free Download Manager\FUM\fumiebtn.dll (file missing) Dann auf "Fix Checked" Das erste ist ein Eintrag, der auf eine fehlende Datei verweist, ist unnötig und kann daher weg. Das zweite ist vom Free Download Manager, sollte es zumindest, aber da die Datei nicht mehr dort existiert, kann der Eintrag auch gelöscht werden. Free Download Manager kannst du dann wieder installieren, hab den auch immer gerne benutzt, allerdings hab ich ihn noch nicht wieder drauf ....Keine Lust gehabt ;). Dein System sollte soweit sauber sein, allerdings kann man sich da nie ganz sicher sein. Wenn ein System einmal infiziert war, kann man nicht wissen was alles passiert ist während ein Angreifer Zugriff hatte. Ein kleines Beispiel: Ein System fängt sich einen Trojaner ein, mit dem es möglich ist Dateien hoch zu laden und zu starten. Nun könnte ein Angreifen auf dieses System zugreifen und eigene Programme hochladen und ausführen. Wenn dieses Programm gerade erst geschrieben wurde, wird es keinem Antivirenprogramm bekannt sein. Allein deshalb ist man da nie ganz sicher. Bei Virus Total kannst du verdächtige Dateien hochladen und untersuchen lassen, der spuckt dann einen log von mehreren Virenscannern aus. Am sichersten wäre es zu formatiern und neu zu installieren. Neu ausetzen und absichern Natürlich ist das immer recht ärgerlich und wer das unbedingt umgehen möchte, sollte sich dann gut mit seinem System auskennen, sowie zumindest Prozesse und den Datenverkehr überwachen. |
Hallo! Hab gerade das mit HiJack This erledigt. Schön, dass ich nich auf den Free Download Manager verzichten muss, denn der hat mir sehr gute Dienste geleistet und es wäre mysteriös, wenn der an allem schuld sein sollte. Überhaupt frage ich mich mittlerweile, ob ich wirklich einen Trojaner hatte: Alle Scans und Cleaner usw haben an der Defender-Meldung nichts geändert, aber sobald ich einen Prozess beende und dauerhaft verhindere, indem ich die dazugehörigen Dateien lösche, is plötzlich Ruhe! Dabei hat auch VirusTotal gesagt, dass die Datei, die noch übrig ist, kein Virus o.Ä. enthält! Ich bin verwirrt! Spinnt vielleicht der Defender und gibt falschen Alarm? Ich fühle mich jetz eigentlich wieder relativ sicher (mit 6 Anti-Virenprogrammen! auf dem Laptop). Was mir noch fehlt zu meinem Glück, wäre, dass ich diese verdammte letzte Datei aus dem FDM-Ordner, der den Prozess verursacht hat, löschen könnte! Aber was ich auch tu, ICH KRIEGE DIESE FUMSHEXT.dll DATEI NICHT WEG! Du weißt nich zufällig einen Trick, der das in 1 min erledigt? Ansonsten werd ich es jetzt erstmal dabei belassen, Vista neu aufspielen kommt eigentlich aus mehreren Gründen nicht in Frage. Als "gebranntes Kind" werd ich aber natürlich einige Antivirenprogramme noch drauflassen und häufig komplett scannen, sowie die Prozesse im Auge behalten. VERGISS DAS WEIß GESCHRIEBENE, ICH BIN ECHT VIEL ZU NAIV!!! :headbang: hab hier und in anderen Foren gelesen, dass wohl doch diese dll-Datei der Trojaner ist und sie lässt sich wohl nicht löschen, weil der noch aktiv ist! Ich werde heute abend wohl noch einige der Tipps in anderen bereits vorhandenen Themen versuchen müssen! So langsam schwindet aber meine Hoffnung!:heulen: Wie soll ich diesen Laptop nur wieder sauber kriegen? |
Diese dll müsste zum FDM (Free Download Manager) gehöhren. Sie sollte eigentlich dafür sorgen, daß Dateien die gedownloaded werden vom FDM agefangen werden. Deshalb taucht auch diese Meldung vom FDM auf, in der gefragt wird wo sie gespeichert werden soll, falls kein Ordner angegeben wurde in den alle Dateien gespeichert werden. Diese .dll sollte im Programmordner vom FDM sein, wenn sie im Windowsordner oder Windows/System32 Ordner ist, wird es eher Schadsoftware sein. Versuch die Datei nochmal zu entfernen. Aber vorher noch unregistrieren. Start --> Ausführen und dann "regsvr32 /u FUMSHEXT.dll" Falls es nichts bringt versuch es mit dem Unlocker. Nach der Installation die FUMSHEXT.dll mit der rechten Maustaste anwählen und im Kotexmenü "Unlocker" anwählen. Danach sollte eine Dialogox erscheinen in der ein Dropdown Menü ist. Dort dann löschen anwählen und auf okay. Ich hoffe das es zum Erfolg führt. Auf dem Board umsehen ist eine gute Idee, dort kann man immer mal hilfreiche Posts finden. Es ist natürlich immer am besten, wenn mal direkt am PC helfen kann, da es viele Möglichkeiten gibt, Schädlinge zu finden, allerdings kann das sehr kompliziert werden. Das übers Internet zu beschreiben ist dann doch zu kompliziert. Allerdings hat john.doe hat hier wohl schon vielen geholfen. Vielleicht weiß er noch etwas... Combofix wäre da wohl noch eine gute Methode, allerdings kenne ich es noch nicht und kann dir damit leider nicht helfen, da es auch das System schrotten kann. |
So, die dll-Datei is gelöscht! War bei der letzten Nachricht dann wohl etwas frustriert... jetz hab ich also keine Defender-Meldungen mehr,der Prozess, den dieser gemeldet hatte, ist hoffentlich für immer gestoppt und ich fühl mich relativ sicher. Aber natürlich hab ich Angst, dass da doch noch mal was kommt... Falls das passiert, werd ich wieder um Hilfe rufen und auch jetzt werd ich mich mal weiter umsehen, wie sicher ich mich fühlen sollte. Aber hier sind wir wohl erstmal fertig, also bleibt mir nur zu sagen: EIN RIESENDANKESCHÖN AN MEINEN KOMPETENTEN HELFER IN SCHIMMERNDER RÜSTUNG! :daumenhoc Hoffe, ich brauch dich nie wieder, aber bin echt total dankbar!!! Viele Grüße, Lyra |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 16:59 Uhr. |
Copyright ©2000-2025, Trojaner-Board