Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   SahAgent.A (https://www.trojaner-board.de/13764-sahagent-a.html)

Mosimo 13.02.2005 16:05

SahAgent.A
 
Mein Mann geht über eine lan Verbindung ins Netz und hat sich den Trojaner SahAgent.A eingefangen. Fazit: er kann keine I-Verbindung herstellen bzw. keinen Explorer aufrufen.

Habe da mal was kopiert,vondem ich annehme,dass es ein Log ist-ich kenne mcih da nämlich absolut nicht aus.Wäre schön,wenn jemand wüßte was man machen kann-notfalls über Remoute???

Logfile of HijackThis v1.99.0
Scan saved at 15:45:20, on 13.02.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\Mixer.exe
C:\WINDOWS\System32\SahAgent.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Dokumente und Einstellungen\Helmut\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis_199.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.0.1:80
F3 - REG:win.ini: run=
O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL
O2 - BHO: URLLink Class - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Programme\NewDotNet\newdotnet6_38.dll (file missing)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: LBBHO - {EFD84954-6B46-42f4-81F3-94CE9A77052D} - C:\WINDOWS\lbbho.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: My &Search Bar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: GMX Toolbar - {2D1DDD38-CE4D-459b-A01C-F11BC92D5B69} - C:\Programme\GMX\GMX Toolbar\toolbar.dll
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [SAHAgent] C:\WINDOWS\System32\SahAgent.exe
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~1.DLL,NewDotNetStartup -s
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O10 - Broken Internet access because of LSP provider 'c:\programme\newdotnet\newdotnet6_38.dll' missing
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://www.popcap.com/games/popcaploader_v6.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{8D5AD0F8-7977-41EF-98BE-7E5AB2515D31}: NameServer = 192.168.0.1
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE

Danke im voraus
Mosimo

chaosman 13.02.2005 16:19

@Mosimo
lade spybot http://www.safer-networking.org/de/a...-managers.html
installiere und update es.
lade LSP-Fix
download

deinstalliere unter systemsteuerung, software, Newdot.Net oder NewNet oder ähnliches.
lasse danach spybot scannen.
wenn dein Internetverbindung nicht geht, dann mit LSP-Fix reparieren.
LSP-Fix anleitung
http://www.cexx.org/lspfix.htm lspfix runterladen und ausführen, und alles außer mswsock.dll, winrnr.dll, und rsvpsp.dll zu remove schießen und schließlich auf finish klicken.

neues HJT logfile posten
chaosman

The Saint 13.02.2005 16:54

Hallo chaosman!

Wo liegt der Unterschied zwischen lspfix und Lspfix.

Ich nehme an das, das eine nur die exe und das andere gezippt mit Anleitung ist, weil beides ist das gleiche oder?

Chris14 13.02.2005 16:55

jep, beides ist das gleiche. wie du schon richtig angenommen hast, das eine ist gezippt, das andere ne exe-datei.

Haui45 13.02.2005 16:58

Steht ja auch wortwörtlich auf cexx.org ;)
Zitat:

If you are using the program on a machine that cannot open .zip files, or are downloading for a friend whom you're not sure can read .zip files, download the uncompressed files below instead. It will take a bit longer, but this way the program can be used as-is (e.g. from a floppy disk).

The Saint 13.02.2005 17:02

ja wenn man englisch beherrscht! :)

Aber bei meinen Kenntnissen in Englisch :confused:

l kann man leicht mit I verwechseln wenn man nicht genau schaut.

Drum dachte ich zuerst das wären 2 verschiedene Tools.

Hoffentlich verzeiht man mir dies bin ja noch in der Lernphase.

MfG. The Saint

Mosimo 13.02.2005 17:03

Ich wollte es ja nicht sagen,diese ganzen Seiten nützen nur was,wenn man Englisch kann....bei uns reicht es aber lediglich im Urlaub zum einkaufen...

Haui45 13.02.2005 17:05

Ich kann auch nichts dran ändern ;)

Mosimo 13.02.2005 17:12

Ok,dann man Danke für die "Hilfe"

Rene-gad 13.02.2005 17:14

@Mosimo
Zitat:

Ich wollte es ja nicht sagen,diese ganzen Seiten nützen nur was,wenn man Englisch kann....
Dieses Tool kann auch die Web-Seiten übersetzen: http://reversonet.lycos.de/translatorurl.asp
Von Qualität der Übersetzung sage ich lieber nichts. Jedenfalls ist es besser als Nichts-Verstehen


Alle Zeitangaben in WEZ +1. Es ist jetzt 18:45 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19