sahagent.exe , ShopAtHomeAgent , Parasit

#1 Hallo Leute,

Windows verhält sich bei mir komisch, konnte z.B. Fkt. Suchen nach Dateien und Ordnern einige Tage nicht nutzen. Ausserdem wird bei mir Zone Alarm immer von irgendetwas daktiviert und danach können keine internet-Seiten mehr angezeigt werden. Antivir hat zwar msblast entdeckt und scheinbar gelöscht. Allerdings treten die o.g. Phänomene immerno auf. Ausserdem bekomme ich Meldungen wie "SahAgent mußte geschlossen werden"
Kann mir jemand bitte helfen?

hier mein logfile

Logfile of HijackThis v1.97.7
Scan saved at 11:45:47, on 07.02.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINNT\system32\rundll32.exe
C:\WINNT\system32\SahAgent.exe
C:\Programme\PestPatrol\PPControl.exe
C:\PROGRA~1\PESTPA~1\PPMemCheck.exe
C:\PROGRA~1\PESTPA~1\CookiePatrol.exe
C:\WINNT\system32\internat.exe
C:\WINNT\system32\RUNDLL32.EXE
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\iMesh\Client\iMeshClient.exe
D:\programmi\sonstiges\hjthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.orf.at/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://www.msn.de/
O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL
O2 - BHO: (no name) - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Programme\NewDotNet\newdotnet4_85.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: My &Search Bar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~1.DLL,NewDotNetStartup
O4 - HKLM\..\Run: [SAHAgent] C:\WINNT\system32\SahAgent.exe
O4 - HKLM\..\Run: [PestPatrol Control Center] C:\Programme\PestPatrol\PPControl.exe
O4 - HKLM\..\Run: [PPMemCheck] C:\Programme\PestPatrol\PPMemCheck.exe
O4 - HKLM\..\Run: [CookiePatrol] C:\Programme\PestPatrol\CookiePatrol.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38021.5990509259
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{645F98F6-B0D9-4A87-969E-BCC0E9EF7172}: NameServer = 145.253.2.142 145.253.2.81

#2 "fix" mal folgendes und arbeite dich dann hier durch :
O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL
O2 - BHO: (no name) - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Programme\NewDotNet\newdotnet4_85.dll
O3 - Toolbar: My &Search Bar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~1.DLL,NewDotNetStartup
O4 - HKLM\..\Run: [SAHAgent] C:\WINNT\system32\SahAgent.exe

Interessant, das Pestpatrol das nicht gefunden hat!
__________
MfG Ralf
SEO-Spam Hunter

#3 SAH kommt von ShopAtHome und installiert ungefragt einen Server auf Deinem Rechner. Du solltest die Registry nach SAH durchsuchen und alles löschen.
Dann suche auf der Platte unter WINNT nach sah*.* und ebenfalls alles löschen.
Auf c:\ wirst Du die Datei SahAgent.LOG finden. Hier steht, wo das Programm überall seine Dateien geschrieben hat. Die Zahenkolonnen in den {} stehen für die ID Deiner NIC in der Registry.
Tipp: Beim Surfen sollest Du OHNE Admin-Rechte unterwegs sein. Stell sicher, dass Du auf den Verzeichnissen PROGRAMME\..... und WINNT\.... keine Schreibrechte hast.
Schau auch gleich mal nach wupdate.exe nach. Der wurde bei mir 'gratis' mitgeliefert.
Es gibt unter www.sysinternals.com das freie Programm TCPView. Lade es herunter und starte es. Darin kannst Du ALLE IP-Verbindungen sehen. Leider arbeiten viele dieser Spy-Server über HTTP, so dass die Firewall übergangen wird.
Gute Hilfe liefert das Programm ProzessExplorer, ebenfalls bei Sysinternals zu finden.

mfg,
Jubilius

#4 Noch eine ausführliche, englische Beschreibung.
http://www.doxdesk.com/parasite/ShopAtHomeSelect.html
__________
Durchsuchen --> Aussuchen --> Untersuchen