Trojaner TR/SahAgent.A

Mosimo · 12. Februar 2005, 17:38

Moin moin,

auf dem PC meines Mannes hat sich der Trojaner TR/SahAgent.A eingenistet.Und zwar unter c:\Windows\System32\LSP.DELL

Antivir hat ihn zwar gefunden und auch versprochen,ihn nach einem Neustart zu entfernen bzw. zu reparieren-aber nichts dergleichen geschah.

Das Ding verhindert u.a. auch den Zugriff auf´s Internet.

Hat jemand eine Ideee,wie ich meinen Mann wieder Spionagefrei bekomme??

Bis morgen hat es Zeit-wir fahren jetzt nämlich erst mal zum Chinesen...falls und der Orkan läßt....

cosgan · 12. Februar 2005, 19:46

Hast Du Adaware installiert?

CheeseBürger · 12. Februar 2005, 20:13

Hi Mosimo,
als erstes würde ich Dir raten, AntiVir zu updaten und dann nochmal durchlaufen zu lassen. Gelegentlich schmeißt das Teil auch gerne mal einen Fehlalarm, der durch ein Update wieder behoben wird.
Ansonsten wie cosgan schon sagte, Adaware drüberlaufen lassen und eventuell auch noch Spybot. Alles vorher auf den neusten Stand bringen.

Mosimo · 13. Februar 2005, 11:06

Moin, Antivir ist bei ihm drauf und wurde gestern morgen geupdatet.Alles andere können wir ja nicht machen,er bekommt zwar eine Internet Verbindung (kann also Reversi spielen),kann aber seinen Internet Explorer nicht aufrufen.Das Ding sitzt im System,welches wohl u.a. für den Explorer zuständig ist.

Appie · 13. Februar 2005, 11:25

Antivir im gesicherten Modus laufen lassen?

anarcho · 13. Februar 2005, 11:30

Moin Mosimo !
Gehe mal auf folgende Seite und downloade das Tool !

spychecker.com/program/lspfix.html

Kopiere es auf eine Diskette und dann auf dem PC von deinem Mann installieren und ausführen !

Mosimo · 13. Februar 2005, 12:44

Hi Anarcho,
eben habe ich noch mal ein update gemacht bei ihm,alles super.Wurde neu installiert und nun bekommt er keine Verbindung mehr.Ich habe jetzt das programm von dir auf Diskette gezogen und werde nun mal installieren-gebe nacher mal Bescheid.Danke.

Mosimo · 13. Februar 2005, 13:00

Nix,es tut sich abslout nix! Es kommt noch nicht mal mehr eine Verbindung zum Internet zustande.So langsam habe ich die Faxen dicke! Schmeiße das genaze System gleich von Rechner und spiele XP neu auf-aber dann habe ich ja wieder das Problem,dass ich zu blöd bin,die LAN Verbindung ohne meinen Admin einzurichten....Boah isch kriesch die Kriiiise

CheeseBürger · 13. Februar 2005, 14:36

Ich hab jetzt selbst bei Antivir nachgeschaut und auch dort kennt man deinen Virus nicht. Also ich bekomme keine Infos zum dem Ding, als daß man sagen könnte, wie Du vorgehen sollst.
Hast Du eventuell mal einen anderen Browser, mit dem Du testen könntest woran es genau liegt?
Repariere doch mal den IE, vielleicht hilft das ja was.

Mosimo · 13. Februar 2005, 15:00

Cheese,ich habe doch absolut keine Ahnung davon,wie man sowas macht...Ich wollte schon den Firefox bei mir brennen und bei ihm aufspielen...ob das was nützen könnte??Wie repariert man den IE?

Antoninus · 13. Februar 2005, 15:27

@Mosimo:

Bitte das Tool "HiJackThis" downloaden und installieren. Zu finden ist es hier:

hijackthis.de/

Anschließend "HiJackThis" ausführen und das Logfile inspizieren. Hilfe dazu gibt es auf der oben genannten Seite, bzw. speziell zu "lsp.dll" auch in diesem Forum.

Viel Erfolg!

<edit>

Auf dieser Seite findest Du eine deutsche Anleitung zum Auswerten des Logfile, welches HiJackThis erstellt:

trojaner-info.de/anleitungen/hijackthis/htlogtutorial.html

</edit>

Mosimo · 13. Februar 2005, 16:23

Ich habe mal das Logfile zu mir rüberkopiert-war eh ein Akt....mein Mann sein PC kommt ja nicht mehr online....Also mußte ich bei mir alles auf Disk ziehen,bei ihm dann rüberschmeißen,wieder auf Disk und dann bei mir rauf....Ich mag so langsam nicht mehr...Aber lieber den Streß hier als seine miese Laune,weil er nich online gehen kann....

Logfile of HijackThis v1.99.0
Scan saved at 15:45:20, on 13.02.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\Mixer.exe
C:\WINDOWS\System32\SahAgent.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Dokumente und Einstellungen\Helmut\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis_199.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = google.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyServer = 192.168.0.1:80
F3 - REG:win.ini: run=
O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL
O2 - BHO: URLLink Class - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Programme\NewDotNet\newdotnet6_38.dll (file missing)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: LBBHO - {EFD84954-6B46-42f4-81F3-94CE9A77052D} - C:\WINDOWS\lbbho.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: My &Search Bar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: GMX Toolbar - {2D1DDD38-CE4D-459b-A01C-F11BC92D5B69} - C:\Programme\GMX\GMX Toolbar\toolbar.dll
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [SAHAgent] C:\WINDOWS\System32\SahAgent.exe
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~1.DLL,NewDotNetStartup -s
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O10 - Broken Internet access because of LSP provider 'c:\programme\newdotnet\newdotnet6_38.dll' missing
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - popcap.com/games/popcaploader_v6.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{8D5AD0F8-7977-41EF-98BE-7E5AB2515D31}: NameServer = 192.168.0.1
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE

So-und nun?Wir fnden nix,was uns nun sagt WIE man das entfernen kann.Mensch,ihr müßt uns für total bescheuert halte----die typischen Blonden,die den ganzen Tag (auch im Job) am PC hängen aber nicht viel mehr wissen.als wie man ihn an und aus bekommt....

Kann man evtl. über eine Remote-Unterstützung was machen??

anarcho · 13. Februar 2005, 16:30

Gehe auf diese Seite !
hijackthis.de
Dort kannst Du das Logfile auswerten lassen !
Anhand der Auswertung fixen !

Mosimo · 13. Februar 2005, 16:40

Haltet ihr uns für besonders bescheuert,wenn wir nun sagen,dass wir nur fixen von Drogen kennen??
Was bitte ist das und wie mache ich das??Die Auswertung habe ich Auswertung

Queenie_Pie · 13. Februar 2005, 16:43

Hallo Mosimo,

auf dieser Seite hijackthis.de/ kannst du dein Log-file automatisch auswerten lassen. Ich habs gerade gemacht und da sind einige Sachen dabei die gefixt werden sollten. Auch ein Eintrag der mit einem anderen Programm gelöscht werden sollte.

Zum Fixen (löschen) muß man ein neues Log-file erstellen und dann vor dem Speichern die Haken an der richtigen Stelle setzen und auf "Fix checked" drücken.

edit: zu langsam.

cosgan · 13. Februar 2005, 16:45

was in diesem Zusammenhang fixen heißt, das weiß ich auch nicht.

Ich bekenne mich schuldig, ich bin bescheuert. :zlücke:

Ich würde euch zu gerne helfen, aber ich weiß da auch nicht weiter.

Lass doch mal Deinen Mann ein bisschen an Deinen Pc, dass er zumindest wieder im Netz schnuppern kann, vielleicht steigt ja dann wenigstens bei einem die Laune.

Antoninus · 13. Februar 2005, 16:59

Original von Mosimo
...
O2 - BHO: LBBHO - {EFD84954-6B46-42f4-81F3-94CE9A77052D} - C:\WINDOWS\lbbho.dll <- Dieser Eintrag zeigt eine Spyware an. Sollte gefixt werden.
...

O4 - HKLM\..\Run: [SAHAgent] C:\WINDOWS\System32\SahAgent.exe <- Vermutlich ein Trojaner, der beim Systemstart automatisch geladen wird. Bitte per Taskmanager den Prozeß killen und den Eintrag fixen.

O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~1.DLL,NewDotNetStartup -s <- Diesen Eintrag bitte fixen.
...

O10 - Broken Internet access because of LSP provider 'c:\programme\newdotnet\newdotnet6_38.dll' missing <- Sollte nach dem Fixen der o.g. Einträge dieser Eintrag erneut erscheinen, sind weitergehende Maßnahmen erforderlich. ACHTUNG: Diesen Eintrag NICHT per HiJackThis fixen!

"Fixen" bedeutet: Häkchen in das Kästchen vor der entsprechenden Zeile setzen und den Button "Fix checked" klicken. Anschließend wieder auf "Scan" klicken, um einen erneuten Prüfdurchlauf zu starten.

Erstmal bis hierhin. Für das Vorgehen zum Eintrag 010 bitte auf diese Seite gehen:

trojaner-info.de/anleitungen/hijackthis/htlogtutorial.html

Dort bis zum Abschnitt "010" scrollen und entsprechend der Anleitung handeln.

Viel Erfolg!

Mosimo · 13. Februar 2005, 17:45

Ich liebe Euch!!!!
Zwar habe ich -wie fast immer-nicht wirklich viel von dem verstanden,was hier gepostet wurde....AAAAAber.....mein Mann ist wieder im Internet und dieser blöde Agent deinstalliert....ich weiß zwar nicht,wie ich das gemacht habe....es war wohl die Aussicht darauf,dass mein Mann sonst an meinen PÖCÖ geht um seine Mails abzufragen. :))

Danke euch!!!

Mosimo · 13. Februar 2005, 18:20

Das gleiche Spiel habe ich nun mla bei meinem Rechenr gemacht-er hat nur 64 "böse" Sachen gefunden......

Antoninus · 13. Februar 2005, 20:59

Original von Mosimo
.....mein Mann ist wieder im Internet und dieser blöde Agent deinstalliert....ich weiß zwar nicht,wie ich das gemacht habe....

Das ist wiedermal typisch: Du kämpfst wacker und unerschrocken mit Agenten aus Troja, und Dein Holder verdrückt sich ...

... mal ehrlich: hast Du etwas anderes erwartet?
Also ich nicht. Nicht wirklich!

:ätsch: