| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: BDS/SahAgent.A und WildTangentWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
03.01.2005, 18:53
| #1 |
| |  BDS/SahAgent.A und WildTangent Bitte um Hilfe SahAgent + WildTangent sind nicht zu entfernen. bis jetzt erledigtes: Systemwiederherstellung-deaktiviert Ordneroptionen-Ansicht-Alle Dateien u.Ordneroptionen und Geschützte Systemdateien ausblenden - Häkchen entfernt AntiVir - Meldung: BDS/SahAgent.A in WINDOWS/Downloaded Program Files/bunSetup.cab ... setup.inf - löscht die Datei nicht, da im Archiv. Ad-Aware - status ok. a-squared - 1 Malware (WildTangent) entfernt - bei Neustart wieder da. CWShredder - ok Spy-subtract - ok e-scan - anbei Hijackthis.log - anbei so, das ist bisher geschehen, nur leider keine Entfernung besagter Malware, nur ich bin am verzweifeln und bitte um Ihre Hilfe was ich noch tun könnte Danke |
|
03.01.2005, 22:41
| #2 | |
  | BDS/SahAgent.A und WildTangent Hi,
__________________Zitat:
 cacatoa
__________________ |
|
04.01.2005, 08:20
| #3 |
| | BDS/SahAgent.A und WildTangent ich hab mir gleich gedacht daß da was nicht stimmt, pardon aber jetzt.
__________________File C:\_RESTORE\TEMP\A0005033.CPY infected by "not-a-virus:AdWare.WinAD" Virus. Action Taken: No Action Taken. File C:\_RESTORE\TEMP\A0005102.CPY tagged as not-a-virus:RiskWare.Downloader.ImLoader.b. No Action Taken. File C:\_RESTORE\TEMP\A0005111.CPY infected by "not-a-virus:AdWare.Sahat.f" Virus. Action Taken: No Action Taken. File C:\_RESTORE\TEMP\A0005148.CPY tagged as not-a-virus:RiskWare.Downloader.ImLoader.b. No Action Taken. File C:\_RESTORE\TEMP\A0005157.CPY infected by "not-a-virus:AdWare.Sahat.f" Virus. Action Taken: No Action Taken. File C:\_RESTORE\TEMP\A0005221.CPY tagged as not-a-virus:RiskWare.Downloader.ImLoader.b. No Action Taken. File C:\_RESTORE\TEMP\A0005239.CPY infected by "not-a-virus:AdWare.Sahat.f" Virus. Action Taken: No Action Taken. File C:\_RESTORE\TEMP\A0005844.CPY infected by "not-a-virus:AdWare.WildTangent.a" Virus. Action Taken: No Action Taken. File C:\_RESTORE\ARCHIVE\FS19.CAB tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. File C:\_RESTORE\ARCHIVE\FS31.CAB infected by "not-a-virus:AdWare.Sahat.f" Virus. Action Taken: No Action Taken. File C:\_RESTORE\ARCHIVE\FS21.CAB tagged as not-a-virus:Joke.Win32.RideRoof. No Action Taken. File C:\_RESTORE\ARCHIVE\FS26.CAB tagged as not-a-virus:Joke.Win32.RideRoof. No Action Taken. File C:\WINDOWS\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\archive.jar-6b861be4-1a5e8af5.zip infected by "Exploit.Java.Bytverify" Virus. Action Taken: No Action Taken. File C:\WINDOWS\Downloaded Program Files\bunSetup.cab infected by "not-a-virus:AdWare.Sahat.f" Virus. Action Taken: No Action Taken. File C:\WINDOWS\Downloaded Program Files\imloader.exe tagged as not-a-virus:RiskWare.Downloader.ImLoader.b. No Action Taken. Logfile of HijackThis v1.99.0 Scan saved at 18:16:55, on 03.01.2005 Platform: Windows ME (Win9x 4.90.3000) MSIE: Internet Explorer v5.50 (5.50.4134.0100) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\MPREXE.EXE C:\WINDOWS\SYSTEM\STIMON.EXE C:\WINDOWS\SYSTEM\MSTASK.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE C:\WINDOWS\EXPLORER.EXE C:\WINDOWS\TASKMON.EXE C:\WINDOWS\SYSTEM\SYSTRAY.EXE C:\PROGRAMME\GEMEINSAME DATEIEN\REAL\UPDATE_OB\REALSCHED.EXE D:\TROJANCHECK 6\TCGUARD.EXE D:\AVGCTRL.EXE C:\PROGRAMME\PSION\PSIWIN\PSCONSV.EXE C:\PROGRAMME\FINEPIXVIEWER\QUICKDCF.EXE D:\OPLIMIT\OCRAWARE.EXE C:\WINDOWS\SYSTEM\WMIEXE.EXE D:\OPLIMIT\OCRAWR32.EXE D:\SPYSUBTRACT\SPYSUB.EXE C:\PROGRAMME\PSION\PSIWIN\ELOGERR.EXE C:\WINDOWS\SYSTEM\SPOOL32.EXE C:\WINDOWS\SYSTEM\PSTORES.EXE C:\WINDOWS\SYSTEM\DDHELP.EXE D:\PROGRAMME\HIJACKTHIS\HIJACKTHIS.EXE R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von TeleWeb O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHELPER.DLL O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRAMME\YAHOO!\COMPANION\INSTALLS\CPN\YCOMP5_5_7_0.DLL O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [Colorific Control Panel] C:\Programme\Matrox MGA PowerDesk\Color\hgcctl95.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN O4 - HKLM\..\Run: [DisableEHCI] C:\WINDOWS\NoUSB20.EXE O4 - HKLM\..\Run: [Trojancheck 6 Guard] D:\TROJANCHECK 6\TCGUARD.EXE O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\Run: [MSConfigReminder] C:\WINDOWS\SYSTEM\MSCONFIG.exe /reminder O4 - HKLM\..\Run: [AVGCtrl] "D:\AVGCTRL.EXE" /min O4 - HKLM\..\Run: [mwavscan] "C:\BASES\MWAV\MWAVSCAN.COM" /s O4 - HKLM\..\RunServices: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe O4 - Startup: MGA QuickDesk.lnk = C:\Programme\Matrox MGA PowerDesk\qdesk\mgaqdesk.exe O4 - Startup: PsiWin 2.3 Verbindungsserver.lnk = C:\Programme\Psion\PsiWin\Psconsv.exe O4 - Startup: Exif Launcher.lnk = C:\Programme\FinePixViewer\QuickDCF.exe O4 - Startup: OCRAWARE.lnk = D:\OPLIMIT\OCRAWARE.EXE O4 - Startup: Reboot.exe O4 - Startup: SpySubtract.lnk = D:\SpySubtract\SpySub.exe O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\SYSTEM\Shdocvw.dll O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM\MSJAVA.DLL O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM\MSJAVA.DLL O12 - Plugin for .pdf: C:\PROGRA~1\INTERN~1\PLUGINS\nppdf32.dll O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/06a372a8e9a23de...dxIE601_de.cab O16 - DPF: {62789780-B744-11D0-986B-00609731A21D} (Autodesk MapGuide ActiveX Control) - http://pub.plan.at/mgaxctrlde.cab O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://ppupdates.ca.com/downloads/scanner/axscanner.cab O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.de/scan/Msie/bitdefender.cab dankeschön |
|
05.01.2005, 10:37
| #4 |
| | BDS/SahAgent.A und WildTangent Hi, lade Dir erst mal clearprog 1.4.1 final runter, mache alle Häkchen bei IE und Windows und clcke auf "löschen", wenn fertig auf beenden. Dann sind alle "temp"files weg; und nur dort und in den windows-Archiven wurde was gefunden. Dann gehst Du auf diese Seite und kopierst Dein HJT-Logfile hinein, läßt es auswerten und schaust, ob Du die gelb markierten dinge kennst (was ich glaube). Wenn diese der Fall ist, ist alles in Butter. cacatoa
__________________ Der Mensch sollte eine Hundeseele haben |
|
05.01.2005, 20:00
| #5 |
| | BDS/SahAgent.A und WildTangent Vielen Dank für den "clearprog" tip. habe alles gefixt, bei Prüfung mit AntiVir war natürlich wieder die Meldung "BDS/SahAgent.A in WINDOWS/Downloaded Program Files". Da wurde es mir zu bunt und ich habe sämtliches in diesem Ordner gelöschtund siehe da, vorerst keine Meldung mehr. Sollte etwas "lebenswichtiges" in besagtem Ordner gewesen sein, na dann muß ich halt formatieren, was ich mir gerne erspart hätte. nochmals herlichen Dank und liebe Grüße aus Wien - bribi |
|
05.01.2005, 20:04
| #6 |
 | BDS/SahAgent.A und WildTangent Nein, in diesem Ordner befinden sich nur ActiveX-Objekte, die wieder neu installiert werden können. btw: die Files wurden imo nicht durch clearprog beseitigt, da sich sich in der Systemwiederherstellung befinden. Um sie zu löschen, solltest du diese deaktivieren, neu starten und wieder aktivieren. |
|
05.01.2005, 20:10
| #7 |
| | BDS/SahAgent.A und WildTangent @ bribi: Lade Dir auch noch die PlugIn Dateien von clearprog runter (derselbe Link), und befaß Dich genauer damit. Sind saugut! @haui: Danke cacatoa
__________________ Der Mensch sollte eine Hundeseele haben |
|
05.01.2005, 20:14
| #8 |
| | BDS/SahAgent.A und WildTangent @cacatoa Bitte  @ bribi leere bitte zusätzlich noch deinen Java-Cache |
|
09.01.2005, 09:14
| #9 |
| | BDS/SahAgent.A und WildTangent ich danke nochmals für die guten Tips, bis jetzt ist weiterhin alles ok. bribi |
|
| Themen zu BDS/SahAgent.A und WildTangent |
| bitte um hilfe, dateien, entferne, entfernung, geschützte, häkchen, keine entfernung, lösch, löscht, malware, meldung, neustart, program, status, systemdateien, verzweifel, verzweifeln, wildtangent |
Linear-Darstellung
