sahagent.exe , ShopAtHomeAgent , Parasit |
||
---|---|---|
#0
| ||
07.02.2004, 12:19
...neu hier
Beiträge: 1 |
||
|
||
07.02.2004, 13:39
Moderator
Beiträge: 7805 |
#2
"fix" mal folgendes und arbeite dich dann hier durch :
O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL O2 - BHO: (no name) - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Programme\NewDotNet\newdotnet4_85.dll O3 - Toolbar: My &Search Bar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~1.DLL,NewDotNetStartup O4 - HKLM\..\Run: [SAHAgent] C:\WINNT\system32\SahAgent.exe Interessant, das Pestpatrol das nicht gefunden hat! __________ MfG Ralf SEO-Spam Hunter Dieser Beitrag wurde am 07.02.2004 um 13:39 Uhr von raman editiert.
|
|
|
||
01.04.2004, 07:51
...neu hier
Beiträge: 1 |
#3
SAH kommt von ShopAtHome und installiert ungefragt einen Server auf Deinem Rechner. Du solltest die Registry nach SAH durchsuchen und alles löschen.
Dann suche auf der Platte unter WINNT nach sah*.* und ebenfalls alles löschen. Auf c:\ wirst Du die Datei SahAgent.LOG finden. Hier steht, wo das Programm überall seine Dateien geschrieben hat. Die Zahenkolonnen in den {} stehen für die ID Deiner NIC in der Registry. Tipp: Beim Surfen sollest Du OHNE Admin-Rechte unterwegs sein. Stell sicher, dass Du auf den Verzeichnissen PROGRAMME\..... und WINNT\.... keine Schreibrechte hast. Schau auch gleich mal nach wupdate.exe nach. Der wurde bei mir 'gratis' mitgeliefert. Es gibt unter www.sysinternals.com das freie Programm TCPView. Lade es herunter und starte es. Darin kannst Du ALLE IP-Verbindungen sehen. Leider arbeiten viele dieser Spy-Server über HTTP, so dass die Firewall übergangen wird. Gute Hilfe liefert das Programm ProzessExplorer, ebenfalls bei Sysinternals zu finden. mfg, Jubilius |
|
|
||
01.04.2004, 10:16
Moderator
Beiträge: 6466 |
#4
Noch eine ausführliche, englische Beschreibung.
http://www.doxdesk.com/parasite/ShopAtHomeSelect.html __________ Durchsuchen --> Aussuchen --> Untersuchen |
|
|
||
Windows verhält sich bei mir komisch, konnte z.B. Fkt. Suchen nach Dateien und Ordnern einige Tage nicht nutzen. Ausserdem wird bei mir Zone Alarm immer von irgendetwas daktiviert und danach können keine internet-Seiten mehr angezeigt werden. Antivir hat zwar msblast entdeckt und scheinbar gelöscht. Allerdings treten die o.g. Phänomene immerno auf. Ausserdem bekomme ich Meldungen wie "SahAgent mußte geschlossen werden"
Kann mir jemand bitte helfen?
hier mein logfile
Logfile of HijackThis v1.97.7
Scan saved at 11:45:47, on 07.02.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINNT\system32\rundll32.exe
C:\WINNT\system32\SahAgent.exe
C:\Programme\PestPatrol\PPControl.exe
C:\PROGRA~1\PESTPA~1\PPMemCheck.exe
C:\PROGRA~1\PESTPA~1\CookiePatrol.exe
C:\WINNT\system32\internat.exe
C:\WINNT\system32\RUNDLL32.EXE
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\iMesh\Client\iMeshClient.exe
D:\programmi\sonstiges\hjthis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.orf.at/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://www.msn.de/
O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL
O2 - BHO: (no name) - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Programme\NewDotNet\newdotnet4_85.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: My &Search Bar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~1.DLL,NewDotNetStartup
O4 - HKLM\..\Run: [SAHAgent] C:\WINNT\system32\SahAgent.exe
O4 - HKLM\..\Run: [PestPatrol Control Center] C:\Programme\PestPatrol\PPControl.exe
O4 - HKLM\..\Run: [PPMemCheck] C:\Programme\PestPatrol\PPMemCheck.exe
O4 - HKLM\..\Run: [CookiePatrol] C:\Programme\PestPatrol\CookiePatrol.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38021.5990509259
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{645F98F6-B0D9-4A87-969E-BCC0E9EF7172}: NameServer = 145.253.2.142 145.253.2.81