Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung
Tr/sahagent.a

Tr/sahagent.a


Plagegeister aller Art und deren Bekämpfung: Tr/sahagent.a

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 12.02.2005, 20:20   #1
michi137
 
Tr/sahagent.a - Standard

Tr/sahagent.a


Hallo,
seit gestern haben wir offenbar den obigen Trojaner auf dem PC.
Seither ist alles blockiert, solange wir Antivir anhaben, kein Internet-Zugang, keine Netzwerkverbindung.
Antivir löscht angeblich die Datei jedes Mal, Sekunden später kommt aber die Warnung wieder, unzählige Male.

Habt ihr einen Rat?

Alt 12.02.2005, 20:29   #2
chaosman
 
Tr/sahagent.a - Standard

Tr/sahagent.a


@michi137
poste ein HJTlogfile
download
anleitung
chaosman
__________________

__________________
Alt 13.02.2005, 10:48   #3
michi137
 
Tr/sahagent.a - Standard

Tr/sahagent.a


Logfile of HijackThis v1.99.0
Scan saved at 10:45:27, on 13.02.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\LEXBCES.EXE
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\system32\LEXPPS.EXE
D:\WINDOWS\Explorer.EXE
D:\Programme\TweakNow PowerPack\VirDesk.exe
D:\PROGRA~1\T-DSLS~1\SpeedMgr.exe
D:\windows\system32\msbb.exe
D:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
D:\Programme\BySoft FreeRAM\FreeRAM.exe
D:\WINDOWS\system32\CAPRPCSN.EXE
D:\WINDOWS\system32\spool\drivers\w32x86\2\CAPPSWN.EXE
D:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
D:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
D:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
D:\Programme\AVPersonal\AVWUPSRV.EXE
D:\WINDOWS\System32\drivers\CDAC11BA.EXE
D:\WINDOWS\system32\nvsvc32.exe
D:\WINDOWS\System32\svchost.exe
D:\Programme\T-DSL SpeedManager\tsmsvc.exe
D:\Programme\Internet Explorer\IEXPLORE.EXE
D:\Programme\Mozilla Firefox\firefox.exe
D:\Programme\AVPersonal\AVGUARD.EXE
D:\Programme\Outlook Express\msimn.exe
D:\Dokumente und Einstellungen\Rucki\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://home.de.netscape.com/de/home/winsearch200.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.de.netscape.com/de/
O1 - Hosts: 69.0.197.152 noxchat.westwood.com
O2 - BHO: F1 Organizer Class - {00000EF1-0786-4633-87C6-1AA7A44296DA} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - (no file)
O2 - BHO: TGTSoft Explorer Toolbar Changer - {C333CF63-767F-4831-94AC-E683D962C63C} - D:\Programme\TGTSoft\StyleXP\TGT_BHO.dll
O4 - HKLM\..\Run: [VirtualDesk] D:\Programme\TweakNow PowerPack\VirDesk.exe
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "D:\PROGRA~1\T-DSLS~1\SpeedMgr.exe"
O4 - HKLM\..\Run: [msbb] d:\windows\system32\msbb.exe
O4 - HKLM\..\Run: [RAM Idle Professional] D:\Programme\TweakNow PowerPack\RAM_XP.exe
O4 - HKLM\..\Run: [TkBellExe] "D:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [PestPatrol Control Center] D:\Programme\PestPatrol\PPControl.exe
O4 - HKLM\..\Run: [kfavyjmx] D:\WINDOWS\kfavyjmx.exe
O4 - HKLM\..\Run: [ErrorGuard] D:\Programme\ErrorGuard\ErrorGuard.Exe
O4 - HKLM\..\Run: [AVGCtrl] D:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [msnmsgr] "D:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [BySoft FreeRAM] D:\Programme\BySoft FreeRAM\FreeRAM.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = D:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: Web Rebates - file://D:\Programme\Web_Rebates\Sy1150\Tp1150\scri1150a.htm
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - D:\Programme\AIM95\aim.exe
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - D:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - D:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe
O10 - Broken Internet access because of LSP provider 'd:\windows\system32\lsp.dll' missing
O15 - Trusted Zone: messenger.hotmail.com
O15 - Trusted Zone: messenger.msn.com
O15 - Trusted Zone: http://messenger.msn.de
O15 - Trusted Zone: loginnet.passport.com
O15 - Trusted Zone: login.passport.net
O15 - Trusted Zone: memberservicesnet.passport.net
O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab
O16 - DPF: Yahoo! Chat - http://us.chat1.yimg.com/us.yimg.com.../c381/chat.cab
O16 - DPF: {00000EF1-0786-4633-87C6-1AA7A44296DA} (F1 Organizer Class) - http://www.addictivetechnologies.net...ATPartners.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab30149.cab
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocache...tup1.0.0.6.cab
O16 - DPF: {1F2F4C9E-6F09-47BC-970D-3C54734667FE} (LSSupCtl Class) - https://www-secure.symantec.com/tech...a/LSSupCtl.cab
O16 - DPF: {205FF73B-CA67-11D5-99DD-444553540006} (CInstall Class) - http://www.errorguard.com/installation/Install.cab
O16 - DPF: {288C5F13-7E52-4ADA-A32E-F5BF9D125F98} (CR64Loader Object) - http://www.miniclip.com/platypus/miniclipGameLoader.dll
O16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} (Yahoo! Audio Conferencing) - http://us.chat1.yimg.com/us.yimg.com...45/yacscom.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {402EE96E-2CE8-482D-ADA5-CECEEA07E16D} (TurnTool Scene) - http://www.turntool.com/ViewerInstall.exe
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti..._v1-0-3-12.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O16 - DPF: {6A060448-60F9-11D5-A6CD-0002B31F7455} (ExentInf Class) - http://god.t-online.de/download/ExentCtl.ocx
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab27571.cab
O16 - DPF: {B020B534-4AA2-4B99-BD6D-5F6EE286DF5C} (Symantec Download Bridge) - http://www2.service.t-online.de/dyn/...5/2334156.html
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary...o.cab30149.cab
O16 - DPF: {CE28D5D2-60CF-4C7D-9FE8-0F47A3308078} (ActiveDataInfo Class) - https://www-secure.symantec.com/tech...a/SymAData.cab
O16 - DPF: {E77C0D62-882A-456F-AD8F-7C6C9569B8C7} (ActiveDataObj Class) - https://www-secure.symantec.com/regi...ActiveData.cab
O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IMDownloader Class) - http://www2.incredimail.com/contents...r/imloader.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary...n.cab27571.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{11B7DC54-9552-45BF-8258-2BC95B5EFF08}: NameServer = 217.237.150.33 217.237.151.161
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - D:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - D:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: C-DillaCdaC11BA - Macrovision - D:\WINDOWS\System32\drivers\CDAC11BA.EXE
O23 - Service: LexBce Server - Lexmark International, Inc. - D:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - D:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) - Unknown - %ProgramFiles%\WinPcap\rpcapd.exe (file missing)
O23 - Service: Symantec Network Drivers Service - Unknown - D:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe (file missing)
O23 - Service: TSMService - T-Systems Nova, Berkom - D:\Programme\T-DSL SpeedManager\tsmsvc.exe


Inzwischen ist es so, dass wir neue Seiten nur noch aus bereits geöffneten IE-Fenstern öffnen können.
Wollen wir ein neues Fenster öffnen, kommt "die Seite kann nicht angezeigt werden". Outlook geht auch nicht mehr.
__________________
Alt 13.02.2005, 13:05   #4
chaosman
 
Tr/sahagent.a - Standard

Tr/sahagent.a


@michi137
lade LSP-Fix download
lade spybot download
installiere spybot und update es

wechsle danach in den abgesicherten modus und lasse spybot scannen,
fixe danach mit HJT
O1 - Hosts: 69.0.197.152 noxchat.westwood.com
O2 - BHO: F1 Organizer Class - {00000EF1-0786-4633-87C6-1AA7A44296DA} - (no file)
O2 - BHO: (no name) - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - (no file)
O4 - HKLM\..\Run: [msbb] d:\windows\system32\msbb.exe
O4 - HKLM\..\Run: [kfavyjmx] D:\WINDOWS\kfavyjmx.exe
O4 - HKLM\..\Run: [ErrorGuard] D:\Programme\ErrorGuard\ErrorGuard.Exe
O8 - Extra context menu item: Web Rebates - file://D:\Programme\Web_Rebates\Sy1150\Tp1150\scri1150a.h tm

wenn du die von den O15 einträge eine oder mehrere nicht kennst, dann fixen

fixen:

O16 - DPF: {00000EF1-0786-4633-87C6-1AA7A44296DA} (F1 Organizer Class) - http://www.addictivetechnologies.ne.../ATPartners.cab
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocach...etup1.0.0.6.cab
O16 - DPF: {205FF73B-CA67-11D5-99DD-444553540006} (CInstall Class) - http://www.errorguard.com/installation/Install.cab
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) - Unknown - %ProgramFiles%\WinPcap\rpcapd.exe (file missing)
O23 - Service: Symantec Network Drivers Service - Unknown - D:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe (file missing)
lösche danach manuell
D:\Programme\ErrorGuard
D:\Programme\Web_Rebates
D:\WINDOWS\kfavyjmx.exe
d:\windows\system32\msbb.exe
neu booten, neues HJT logfile posten
wenn deine Internetverbindung nicht geht, dann mit LSP-Fix reparieren.

chaosman
__________________
Bonus vir semper tiro

Alt 13.02.2005, 20:37   #5
michi137
 
Tr/sahagent.a - Standard

Tr/sahagent.a


Ähm, darf ich mal dumm fragen?
Was heißt fixen?
Bin da leider nicht so versiert....

Was bewirkt der Virus eigentlich? Bzw. was macht er kaputt?


Alt 14.04.2005, 19:34   #6
Scooby00
 
Tr/sahagent.a - Standard

Tr/sahagent.a


würde mich auch noch wundernehmen, habe das vieh auch....

Antwort

Themen zu Tr/sahagent.a
alles blockiert, angeblich, antivir, blockiert, datei, gestern, inter, interne, lösch, löscht, sekunden, troja, trojaner, warnung


« Alte Suppe , neuer Koch ! Webviewer | PMS/WildTangent.B.1 »


Ähnliche Themen: Tr/sahagent.a


  1. W32/SAHAgent.D , Wurm?
    Plagegeister aller Art und deren Bekämpfung - 12.06.2005 (13)
  2. Hilfe, ein sahagent-cdt1004.exe....
    Plagegeister aller Art und deren Bekämpfung - 13.05.2005 (4)
  3. brauche dringend hilfe bei Wurmlöschung Trojanische Pferd TR/SahAgent.A
    Log-Analyse und Auswertung - 06.03.2005 (3)
  4. Sahagent
    Log-Analyse und Auswertung - 04.03.2005 (7)
  5. SahAgent.A
    Log-Analyse und Auswertung - 13.02.2005 (9)
  6. Bds/Sahagent
    Plagegeister aller Art und deren Bekämpfung - 05.02.2005 (6)
  7. BDS/SahAgent.A und WildTangent
    Plagegeister aller Art und deren Bekämpfung - 09.01.2005 (8)
  8. BDS/SahAgent.A
    Log-Analyse und Auswertung - 31.12.2004 (3)
  9. ncasepackage + sahagent - wie werde ich sie los?
    Log-Analyse und Auswertung - 21.12.2004 (1)
  10. Problem mit Sahagent.exe
    Plagegeister aller Art und deren Bekämpfung - 15.10.2004 (1)
  11. SahAgent (Bundle.exe/wupdater) und KeenValue.eUniverse nicht wegzukriegen
    Plagegeister aller Art und deren Bekämpfung - 01.09.2004 (3)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema Tr/sahagent.a - Hallo, seit gestern haben wir offenbar den obigen Trojaner auf dem PC. Seither ist alles blockiert, solange wir Antivir anhaben, kein Internet-Zugang, keine Netzwerkverbindung. Antivir löscht angeblich die Datei jedes - Tr/sahagent.a...
Archiv
Du betrachtest: Tr/sahagent.a auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130