Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   BDS/SahAgent.A und WildTangent (https://www.trojaner-board.de/11604-bds-sahagent-a-wildtangent.html)

bribi 03.01.2005 18:53
BDS/SahAgent.A und WildTangent
 
Bitte um Hilfe SahAgent + WildTangent sind nicht zu entfernen.
bis jetzt erledigtes:
Systemwiederherstellung-deaktiviert
Ordneroptionen-Ansicht-Alle Dateien u.Ordneroptionen und Geschützte Systemdateien ausblenden - Häkchen entfernt
AntiVir - Meldung: BDS/SahAgent.A in WINDOWS/Downloaded Program Files/bunSetup.cab ... setup.inf - löscht die Datei nicht, da im Archiv.
Ad-Aware - status ok.
a-squared - 1 Malware (WildTangent) entfernt - bei Neustart wieder da.
CWShredder - ok
Spy-subtract - ok
e-scan - anbei
Hijackthis.log - anbei

so, das ist bisher geschehen, nur leider keine Entfernung besagter Malware, nur ich bin am verzweifeln und bitte um Ihre Hilfe was ich noch tun könnte
Danke

cacatoa 03.01.2005 22:41
Hi,
Zitat:
e-scan - anbei, Hijackthis.log - anbei
sind aber sehr transparent die Logs, weil eben nicht anbei ;)
cacatoa

bribi 04.01.2005 08:20
ich hab mir gleich gedacht daß da was nicht stimmt, pardon aber jetzt.


File C:\_RESTORE\TEMP\A0005033.CPY infected by "not-a-virus:AdWare.WinAD" Virus. Action Taken: No Action Taken.
File C:\_RESTORE\TEMP\A0005102.CPY tagged as not-a-virus:RiskWare.Downloader.ImLoader.b. No Action Taken.
File C:\_RESTORE\TEMP\A0005111.CPY infected by "not-a-virus:AdWare.Sahat.f" Virus. Action Taken: No Action Taken.
File C:\_RESTORE\TEMP\A0005148.CPY tagged as not-a-virus:RiskWare.Downloader.ImLoader.b. No Action Taken.
File C:\_RESTORE\TEMP\A0005157.CPY infected by "not-a-virus:AdWare.Sahat.f" Virus. Action Taken: No Action Taken.
File C:\_RESTORE\TEMP\A0005221.CPY tagged as not-a-virus:RiskWare.Downloader.ImLoader.b. No Action Taken.
File C:\_RESTORE\TEMP\A0005239.CPY infected by "not-a-virus:AdWare.Sahat.f" Virus. Action Taken: No Action Taken.
File C:\_RESTORE\TEMP\A0005844.CPY infected by "not-a-virus:AdWare.WildTangent.a" Virus. Action Taken: No Action Taken.
File C:\_RESTORE\ARCHIVE\FS19.CAB tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File C:\_RESTORE\ARCHIVE\FS31.CAB infected by "not-a-virus:AdWare.Sahat.f" Virus. Action Taken: No Action Taken.
File C:\_RESTORE\ARCHIVE\FS21.CAB tagged as not-a-virus:Joke.Win32.RideRoof. No Action Taken.
File C:\_RESTORE\ARCHIVE\FS26.CAB tagged as not-a-virus:Joke.Win32.RideRoof. No Action Taken.
File C:\WINDOWS\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\archive.jar-6b861be4-1a5e8af5.zip infected by "Exploit.Java.Bytverify" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\Downloaded Program Files\bunSetup.cab infected by "not-a-virus:AdWare.Sahat.f" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\Downloaded Program Files\imloader.exe tagged as not-a-virus:RiskWare.Downloader.ImLoader.b. No Action Taken.

Logfile of HijackThis v1.99.0
Scan saved at 18:16:55, on 03.01.2005
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v5.50 (5.50.4134.0100)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\REAL\UPDATE_OB\REALSCHED.EXE
D:\TROJANCHECK 6\TCGUARD.EXE
D:\AVGCTRL.EXE
C:\PROGRAMME\PSION\PSIWIN\PSCONSV.EXE
C:\PROGRAMME\FINEPIXVIEWER\QUICKDCF.EXE
D:\OPLIMIT\OCRAWARE.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
D:\OPLIMIT\OCRAWR32.EXE
D:\SPYSUBTRACT\SPYSUB.EXE
C:\PROGRAMME\PSION\PSIWIN\ELOGERR.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
D:\PROGRAMME\HIJACKTHIS\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von TeleWeb
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHELPER.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL
O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRAMME\YAHOO!\COMPANION\INSTALLS\CPN\YCOMP5_5_7_0.DLL
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [Colorific Control Panel] C:\Programme\Matrox MGA PowerDesk\Color\hgcctl95.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [DisableEHCI] C:\WINDOWS\NoUSB20.EXE
O4 - HKLM\..\Run: [Trojancheck 6 Guard] D:\TROJANCHECK 6\TCGUARD.EXE
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [MSConfigReminder] C:\WINDOWS\SYSTEM\MSCONFIG.exe /reminder
O4 - HKLM\..\Run: [AVGCtrl] "D:\AVGCTRL.EXE" /min
O4 - HKLM\..\Run: [mwavscan] "C:\BASES\MWAV\MWAVSCAN.COM" /s
O4 - HKLM\..\RunServices: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - Startup: MGA QuickDesk.lnk = C:\Programme\Matrox MGA PowerDesk\qdesk\mgaqdesk.exe
O4 - Startup: PsiWin 2.3 Verbindungsserver.lnk = C:\Programme\Psion\PsiWin\Psconsv.exe
O4 - Startup: Exif Launcher.lnk = C:\Programme\FinePixViewer\QuickDCF.exe
O4 - Startup: OCRAWARE.lnk = D:\OPLIMIT\OCRAWARE.EXE
O4 - Startup: Reboot.exe
O4 - Startup: SpySubtract.lnk = D:\SpySubtract\SpySub.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\SYSTEM\Shdocvw.dll
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM\MSJAVA.DLL
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM\MSJAVA.DLL
O12 - Plugin for .pdf: C:\PROGRA~1\INTERN~1\PLUGINS\nppdf32.dll
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/06a372a8e9a23de...dxIE601_de.cab
O16 - DPF: {62789780-B744-11D0-986B-00609731A21D} (Autodesk MapGuide ActiveX Control) - http://pub.plan.at/mgaxctrlde.cab
O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://ppupdates.ca.com/downloads/scanner/axscanner.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.de/scan/Msie/bitdefender.cab

dankeschön

cacatoa 05.01.2005 10:37
Hi, lade Dir erst mal clearprog 1.4.1 final runter, mache alle Häkchen bei IE und Windows und clcke auf "löschen", wenn fertig auf beenden.
Dann sind alle "temp"files weg; und nur dort und in den windows-Archiven wurde was gefunden.
Dann gehst Du auf diese Seite und kopierst Dein HJT-Logfile hinein, läßt es auswerten und schaust, ob Du die gelb markierten dinge kennst (was ich glaube). Wenn diese der Fall ist, ist alles in Butter.
cacatoa

bribi 05.01.2005 20:00
Vielen Dank für den "clearprog" tip. habe alles gefixt, bei Prüfung mit AntiVir war natürlich wieder die Meldung "BDS/SahAgent.A in WINDOWS/Downloaded Program Files". Da wurde es mir zu bunt und ich habe sämtliches in diesem Ordner gelöschtund siehe da, vorerst keine Meldung mehr. Sollte etwas "lebenswichtiges" in besagtem Ordner gewesen sein, na dann muß ich halt formatieren, was ich mir gerne erspart hätte.
nochmals herlichen Dank und liebe Grüße aus Wien - bribi

Haui45 05.01.2005 20:04
Nein, in diesem Ordner befinden sich nur ActiveX-Objekte, die wieder neu installiert werden können.
btw: die Files wurden imo nicht durch clearprog beseitigt, da sich sich in der Systemwiederherstellung befinden. Um sie zu löschen, solltest du diese deaktivieren, neu starten und wieder aktivieren.

cacatoa 05.01.2005 20:10
@ bribi:
Lade Dir auch noch die PlugIn Dateien von clearprog runter (derselbe Link), und befaß Dich genauer damit. Sind saugut!

@haui:
Danke
cacatoa

Haui45 05.01.2005 20:14
@cacatoa
Bitte :D

@ bribi
leere bitte zusätzlich noch deinen Java-Cache

bribi 09.01.2005 09:14
ich danke nochmals für die guten Tips, bis jetzt ist weiterhin alles ok.
bribi


Alle Zeitangaben in WEZ +1. Es ist jetzt 07:12 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131