Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Hilfe, ein sahagent-cdt1004.exe....

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 08.05.2005, 17:40   #1
industrialized
 
Hilfe, ein sahagent-cdt1004.exe.... - Standard

Hilfe, ein sahagent-cdt1004.exe....



Habe mir einen Sahagent eingefangen, der sich nicht mehr löschen lässt.... hab schon überall im netz gesucht, aber nichts hilfreiches gefunden. sahagent befindet sich in C -> Temp

Hier mal mein Log:

Logfile of HijackThis v1.99.1
Scan saved at 17:24:30, on 08.05.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\LXSUPMON.EXE
C:\Program Files\Windows AdStatus\WinStat.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Program Files\Windows AdStatus\WinStatKeep.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\AOL 9.0\aoltray.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\WINDOWS\wanmpsvc.exe
C:\Programme\Winamp\Winamp.exe
C:\WINDOWS\System32\wuauclt.exe
C:\temp\SAHAGE~1.EXE
C:\Programme\AOL 9.0\waol.exe
C:\Programme\AOL 9.0\shellmon.exe
C:\Programme\Gemeinsame Dateien\Aol\aoltpspd.exe
C:\Program Files\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.aol.de/e60/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aol.de/e60/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = http://www.aol.de/e60/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von AOL
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [LXSUPMON] C:\WINDOWS\System32\LXSUPMON.EXE RUN
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Windows AdStatus] C:\Program Files\Windows AdStatus\WinStat.exe
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [SAHBundle] C:\DOKUME~1\Daniela\LOKALE~1\Temp\SAHAGE~1.EXE run
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft office german\Office10\OSA.EXE
O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0\aoltray.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.aol.de/e60/
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - h**p://static.windupdates.com/cab/ClickYesToContinue/ie/bridge-c356.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{25EF7CFD-C08F-480A-A596-1C529A586598}: NameServer = 205.188.146.145
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: AntiVir Update Temp (TmpUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\DOKUME~1\DANIELA\LOKALE~1\TEMP\_VWUPSRV.EXE
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZONELABS\vsmon.exe
O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe

Anm.
Links wurden entschärft.
Bitte das nächste Mal diese HJT Anleitung beachten.

LG Cidre
Mod TB

Geändert von Cidre (08.05.2005 um 17:53 Uhr)

Alt 08.05.2005, 18:21   #2
chaosman
 
Hilfe, ein sahagent-cdt1004.exe.... - Standard

Hilfe, ein sahagent-cdt1004.exe....



@industrialized
update dein system und IE,

deaktiviere systemwiederherstellung, wechsle in den abgesicherten modus
und fixe mit HJT
O4 - HKLM\..\Run: [Windows AdStatus] C:\Program Files\Windows AdStatus\WinStat.exe
O4 - HKLM\..\Run: [SAHBundle] C:\DOKUME~1\Daniela\LOKALE~1\Temp\SAHAGE~1.EXE run
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - h**p://static.windupdates.com/cab/ClickYesToContinue/ie/bridge-c356.cab

lösche danach manuell
C:\WINDOWS\web\related.htm
C:\Program Files\Windows AdStatus\WinStat.exe
C:\DOKUME~1\Daniela\LOKALE~1\Temp\SAHAGE~1.EXE
C:\Program Files\Windows AdStatus\WinStatKeep.exe

neu booten, systemwiederherstellung aktivieren, neues HJT logfile posten

chaosman
__________________

__________________

Alt 09.05.2005, 22:28   #3
industrialized
 
Hilfe, ein sahagent-cdt1004.exe.... - Standard

Hilfe, ein sahagent-cdt1004.exe....



komme aus welchen Gründen auch immer nicht in den abgesicherten Modus. Wenn ich F8 gedrückt habe kann ich zwar den abgesicherten Modus auswählen, aber danach tut sich nichts mehr... nur ein blinkender Cursor...

System kann ich übrigens auch nicht updaten, da sich SP2 nicht installieren lässt. Soll ich evtl. gleich formatieren? wahrscheinlich würde dann auch das mit dem SP2 klappen...
__________________

Alt 10.05.2005, 02:56   #4
industrialized
 
Hilfe, ein sahagent-cdt1004.exe.... - Standard

Hilfe, ein sahagent-cdt1004.exe....



Konnte sahagent plötzlich doch ganz normal über den papierkorb löschen. Dennoch taucht es noch im logfile auf:

Logfile of HijackThis v1.99.1
Scan saved at 02:48:50, on 10.05.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\LXSUPMON.EXE
C:\Program Files\Windows AdStatus\WinStat.exe
C:\Program Files\Windows AdStatus\WinStatKeep.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\DOKUME~1\Daniela\LOKALE~1\Temp\SAHAGE~1.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\AOL 9.0\aoltray.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\WINDOWS\wanmpsvc.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\iPhoto Plus 4\PROGRAMS\IPE.EXE
C:\Programme\Winamp\winamp.exe
C:\Program Files\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.aol.de/e60/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aol.de/e60/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von AOL
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [LXSUPMON] C:\WINDOWS\System32\LXSUPMON.EXE RUN
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Windows AdStatus] C:\Program Files\Windows AdStatus\WinStat.exe
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [SAHBundle] C:\DOKUME~1\Daniela\LOKALE~1\Temp\SAHAGE~1.EXE run
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft office german\Office10\OSA.EXE
O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0\aoltray.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.aol.de/e60/
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/Cl...ridge-c356.cab
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: AntiVir Update Temp (TmpUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\DOKUME~1\DANIELA\LOKALE~1\TEMP\_VWUPSRV.EXE
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZONELABS\vsmon.exe
O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe

Alt 13.05.2005, 18:55   #5
cronos
 
Hilfe, ein sahagent-cdt1004.exe.... - Standard

Hilfe, ein sahagent-cdt1004.exe....



Dann versuch mal folgendermaßen in den abgesicherten Modus bei deaktivierter Systemwiederherstellung zu gelangen.:

Lies das, was ab dieser Zeile steht:

Alternativ können Sie den Start in den abgesicherten Modus auch vor dem Neustart veranlassen.

http://www.bsi.bund.de/av/texte/wiederher_xp.htm

Melde dich als Administrator an:

Fixe jetzt mittels Hijackthis:

O4 - HKLM\..\Run: [Windows AdStatus] C:\Program Files\Windows AdStatus\WinStat.exe
O4 - HKLM\..\Run: [SAHBundle] C:\DOKUME~1\Daniela\LOKALE~1\Temp\SAHAGE~1.EXE run
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://h**p://static.windupdates.com...ridge-c356.cab

Lösche folgenden Ordner:

C:\Program Files\Windows AdStatus

Lösche für jeden Benutzer den Inhalt folgender Ordner:

C:\Dokumente und Einstellungen\Default User\Cookies\
C:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Temp\
C:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Temporary Internet Files
C:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Verlauf

Neustart in den normalen Modus und neues Logfile posten.

@ industrialized

Bitte editiere deine aktiven Links

__________________
Only cronos endures

Antwort

Themen zu Hilfe, ein sahagent-cdt1004.exe....
adobe, antivir, antivir update, avg, bho, boot, dateien, excel, explorer, hijack, hijackthis, home, icqtoolbar, internet, internet explorer, log, löschen, mein log, microsoft, monitor, programme, software, system, system32, urlsearchhook, windows, windows xp



Ähnliche Themen: Hilfe, ein sahagent-cdt1004.exe....


  1. HILFE HILFE HILFE HILFE!!! Löschen der Windows Konfiguration für Drahtlosnetzwerke
    Alles rund um Windows - 13.01.2007 (1)
  2. ZoneAlarm "Fehlendes Zertifikat VSINIT.dll" HILFE HILFE HILFE!!!
    Antiviren-, Firewall- und andere Schutzprogramme - 02.10.2006 (1)
  3. HILFE HILFE HILFE HABE MIR EIN TROJANER EINGEFANGEN MIT DEN NAMEN TR/Drop.Toolbar.A.2
    Log-Analyse und Auswertung - 13.09.2006 (4)
  4. W32/SAHAgent.D , Wurm?
    Plagegeister aller Art und deren Bekämpfung - 12.06.2005 (13)
  5. Tr/sahagent.a
    Plagegeister aller Art und deren Bekämpfung - 14.04.2005 (5)
  6. hilfe hilfe hilfe ??? keine ahnung
    Plagegeister aller Art und deren Bekämpfung - 03.04.2005 (3)
  7. brauche dringend hilfe bei Wurmlöschung Trojanische Pferd TR/SahAgent.A
    Log-Analyse und Auswertung - 06.03.2005 (3)
  8. Sahagent
    Log-Analyse und Auswertung - 04.03.2005 (7)
  9. SahAgent.A
    Log-Analyse und Auswertung - 13.02.2005 (9)
  10. Bds/Sahagent
    Plagegeister aller Art und deren Bekämpfung - 05.02.2005 (6)
  11. Hilfe, Hilfe, Hilfe!!! Viren, Würmer und keine Ahnung was noch alles. Hilfe, Hilfe!!!
    Plagegeister aller Art und deren Bekämpfung - 31.01.2005 (7)
  12. Hilfe, Hilfe, Hilfe!!! Riesen Probleme mit Wurm & Trojaner
    Log-Analyse und Auswertung - 19.01.2005 (2)
  13. BDS/SahAgent.A und WildTangent
    Plagegeister aller Art und deren Bekämpfung - 09.01.2005 (8)
  14. BDS/SahAgent.A
    Log-Analyse und Auswertung - 31.12.2004 (3)
  15. ncasepackage + sahagent - wie werde ich sie los?
    Log-Analyse und Auswertung - 21.12.2004 (1)
  16. Problem mit Sahagent.exe
    Plagegeister aller Art und deren Bekämpfung - 15.10.2004 (1)
  17. SahAgent (Bundle.exe/wupdater) und KeenValue.eUniverse nicht wegzukriegen
    Plagegeister aller Art und deren Bekämpfung - 01.09.2004 (3)

Zum Thema Hilfe, ein sahagent-cdt1004.exe.... - Habe mir einen Sahagent eingefangen, der sich nicht mehr löschen lässt.... hab schon überall im netz gesucht, aber nichts hilfreiches gefunden. sahagent befindet sich in C -> Temp Hier mal - Hilfe, ein sahagent-cdt1004.exe.......
Archiv
Du betrachtest: Hilfe, ein sahagent-cdt1004.exe.... auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.