Verdacht auf Sahagent

moin,
habe von nem freund (schöner freund ) eine neue emule-vers. bekommen.
leider bin ich erst zu spät draufgekommen, dass dies eine kostenpflichtige (!!!) version ist. die wollen doch glatt ? 19.95 dafür! nach einigen recherchen fand ich auch heraus, dass da drinnen spyware enthalten sein soll.

ich möchte euch ersuchen, da ich mich nicht sehr gut auskenne, diesen hijack zu bitte zu überprüfen:

Logfile of HijackThis v1.97.7
Scan saved at 08:51:03, on 03.02.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\GEARSEC.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Teledat\WCOM\SYSTEM\RVSINST.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\HHVcdV5Sys\VC5SecS.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Teledat\WCOM\SYSTEM\RVSCC.EXE
C:\WINDOWS\Explorer.EXE
C:\Programme\NEOLEC\Neolec Crystal Mouse\MOUSE32A.EXE
C:\Programme\NEOLEC\Neolec Wireless Desktop\KbdAp32A.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\PROGRA~1\Zone Labs\ZoneAlarm\zapro.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\AGFEO\ISDN Guard\agfguard.exe
C:\Programme\Meaya\Popup Ad Filter\PopFilter.exe
C:\WINDOWS\twain_32\S6U12BX\WATCH.exe
C:\Programme\Telekom\TkSoft\tkphone.exe
C:\Programme\Teledat\WCOM\SYSTEM\ccui.exe
C:\PROGRA~1\Teledat\WCOM\SYSTEM\ADBSERV.EXE
C:\Programme\Teledat\WCOM\SYSTEM\RVSRmd.exe
C:\Programme\Teledat\WCOM\SYSTEM\CCSRV.EXE
C:\Programme\Teledat\WCOM\SYSTEM\CCSRV.EXE
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-Online_Software_5\Basis-Software\Basis2\profilemgr.exe
C:\Programme\FlashGet\flashget.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Downloads\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [LWBMOUSE] C:\Programme\NEOLEC\Neolec Crystal Mouse\MOUSE32A.EXE
O4 - HKLM\..\Run: [LWBKEYBOARD] C:\Programme\NEOLEC\Neolec Wireless Desktop\KbdAp32A.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\Zone Labs\ZoneAlarm\zapro.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\RunOnce: [CommCenter] C:\Programme\Teledat\WCOM\SYSTEM\ccui.exe
O4 - Startup: TK-Phone.lnk = C:\Programme\Telekom\TkSoft\tkphone.exe
O4 - Global Startup: ISDN Guard.lnk = C:\Programme\AGFEO\ISDN Guard\agfguard.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Popup Ad Filter.lnk = C:\Programme\Meaya\Popup Ad Filter\PopFilter.exe
O4 - Global Startup: Watch.lnk = C:\WINDOWS\twain_32\S6U12BX\WATCH.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ Lite (HKLM)
O9 - Extra->Tools' menuitem: ICQ Lite (HKLM)
O9 - Extra button: FlashGet (HKLM)
O9 - Extra->Tools' menuitem: &FlashGet (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra->Tools' menuitem: Windows Messenger (HKLM)
O10 - Broken Internet access because of LSP provider->rpc32vmm.dll' missing
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {02BCC737-B171-4746-94C9-0D8A0B2C0089} (Microsoft Office Template and Media Control) - http://office.microsoft.com/templates/ieawsdc.cab
O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - http://office.microsoft.com/officeupdate/content/opuc.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CA...7872.6238194444
O16 - DPF: {EF99BD32-C1FB-11D2-892F-0090271D4F88} - http://us.dl1.yimg.com/download.companio...ebio5_1_6_0.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{3FD80AE4-F1EB-4963-8C52-5135747BB99E}: NameServer = 217.5.113.240 194.25.2.129
O17 - HKLM\System\CS3\Services\Tcpip\..\{3FD80AE4-F1EB-4963-8C52-5135747BB99E}: NameServer = 217.5.113.240 194.25.2.129

Allerdings glaube ich das zumindest o10 irgendwas zu sagen hat...?

Außerdem habe ich meine registry durchkämmt und folgendes gefunden:

unter HKEY_LOCAL_MACHINE-->SOFTWARE-->EMULE steht ein Ordner LICENCE????

und dort drinnen Standard (wert nicht gesetzt), dann Liccost -->emule-client.com (schonmal merkwürdig), dann LicPort --> 90 1f, dann LicPrefix --> payment.,faq. (auch sehr merkwürdig)
dann noch vtp-->1

big thx und einen schönen tag!
felix

*sorry - nachobenschieb* ;D

So viel ich weiß gibt es keine kostenpflichtige emule-version. Über eselfilme.de wurde so was verbreitet, Finger weg, is letztenendes nix anderes als ein eingebauter Dialer.

emule ist lizenzfreies OpenSource-Programm, sieh zu, daß Du diesen Müll von der Platte fegst und die saubere, aktuelle Version nimmst: http://www.wintotal.de/Software/index.php?id=1354

zuerst: danke für deine antwort! ;D

befindest du dich in einem irrtum! es gibt eine KOSTENPFLICHTIGE emule-version!
es werden ? 19.95 für die freischaltung verlangt. ich meine ebenfalls die version die über eselfilme.de, emule-client.de von ahnungslosen usern gedownloadet werden. es ist KEIN DIALER drinnen! Fix ist, dass eine modifizierte version von SahAgent drinnen ist. nicht bestätigt ist, dass andere schädliche dinger drinnen sind (trojaner, soll nach hause telefonieren usw.) ad-ware, spybot, pestpatrol...
erkennt zwar teilweise SahAgent -kann ihn aber nicht komplett entfernen.
mehr infos findet man (frau) wenn man beim goggeln *emule nicht verwenden* (oder ähnlich) eingibt.
dann wirst du auch auf eine bekannte münchner rechtsanwaltskanzlei stossen.
eines möchte ich klarstellen: selber schuld! ich habe mir das prob. selber verursacht.
es geht mir rein um die problematik, was passiert wenn dieser schädling in anderen proggies (free-, shareware) auftaucht? bzw. sollte diese emule-vers. wirklich als wirt für trojaner dienen und weitersenden -dann währen (wahrscheinlich) auch *nicht-emule-benutzer* betroffen!

gruß
felix