Windows XP SP 3, ständig im Einsatz Virenscanner Avast und Phishingschutz SpyBot.
Außerdem setze ich MacAffee SiteAdvisor ein zur Kennzeichnung von Webseiten auf zweifelhaftes Verhalten. Das Programm ist gespeichert im Ordner C:\Programme\SiteAdvisor.
Seit einiger Zeit stelle ich fest, dass SiteAdvisor ohne mein Zutun vom Computer gelöscht wird. Manchmal ist der ganze Ordner SiteAdvisor weg, manchmal ist er noch da, enthält aber nur ein paar unbedeutende Dateien.
Was ist die Ursache? Wie kann sie beseitigt werden?
Viren, Spyware, Datenschutz 11.258 Themen, 94.807 Beiträge
Hallo,
nur eine Vermutung, aber kann es sein das dieses Plug-in von McAfee, sich mit den aufgeführten Tools "beißt"?
Gruß
knoeppken
Seit wann "passiert" das genau, was ist dem zuvor gegangen? Kannst Du hierzu Hinweise geben?
Malware schließt Du definitiv aus? Ein HJT-Log schadet allerdings nicht.
http://sicher-ins-netz.info/analyse/hjt.html
MfG, pema
Hallo Helfer,
dass irgendwer sich mit SiteAdvisor beißt, habe ich auch schon vermutet, aber wer und wie feststellbar?
Inzwischen habe ich noch das Folgende beobachtet, geschehen nach normalem Computer-Herunterfahren, vor dem SiteAdvisor voll gespeichert war, und zwar beim nächsten Hochfahren.
Als erstes Handfestes kam der Total Commander auf den Bildschirm - das einzige Programm, das in "Start || Programme || Autostart" enthalten ist. Der SiteAdvisor war immer noch voll gespeichert. Wie immer, rödelte danach der Computer weiter vor sich hin - nicht erkennbar, was er tut. Und danach war vom SiteAdvisor das meiste gelöscht.
Kann man irgendwie das "Herumrödeln" in einem log-File festhalten und analysieren? Oder den ganzen Start bis zu einem bestimmten Punkt?
Das HJT-Log von soeben, SiteAdvisor voll gespeichert, sieht so aus:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:20:16, on 12.06.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16850)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
E:\Computer\Sicherheit\Avast\aswUpdSv.exe
C:\WINDOWS\Explorer.EXE
E:\Computer\Sicherheit\Avast\ashServ.exe
E:\Computer\SICHER~1\Avast\ashDisp.exe
E:\Computer\Sicherheit\SpyBot\TeaTimer.exe
E:\Computer\Dateimanager\totalcmd\TOTALCMD.EXE
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\brss01a.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\WINDOWS\system32\BrmfBAgS.exe
C:\Programme\McAfee\SiteAdvisor\McSACore.exe
E:\Computer\Speicher\CD-DVD\CDBurnerXP\NMSAccessU.exe
C:\WINDOWS\system32\svchost.exe
E:\Computer\Sicherheit\Avast\ashMaiSv.exe
E:\Computer\Sicherheit\Avast\ashWebSv.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\SiteAdvisor\6261\SAService.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\SiteAdvisor\6261\SiteAdv.exe
E:\Telekomm\EMail\Pegasus\winpm-32.exe
E:\Medien\TV\Kathrein\UFC861.exe
C:\WINDOWS\system32\spider.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
E:\Computer\Sicherheit\HiJack\HiJackThis.exe
C:\WINDOWS\system32\NOTEPAD.EXE
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://de.search.yahoo.com/search?fr=mcafee&p=%s
O2 - BHO: (no name) - AutorunsDisabled - (no file)
O2 - BHO: (no name) - {089FD14D-132B-48FC-8861-0048AE113215} - C:\Programme\SiteAdvisor\6261\SiteAdv.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - E:\Computer\Sicherheit\SpyBot\SDHelper.dll
O2 - BHO: McAfee SiteAdvisor BHO - {B164E929-A1B6-4A06-B104-2CD0E90A88FF} - c:\PROGRA~1\mcafee\SITEAD~1\mcieplg.dll
O3 - Toolbar: McAfee SiteAdvisor Toolbar - {0EBBBE48-BAD4-4B4C-8E5A-516ABECAE064} - c:\PROGRA~1\mcafee\SITEAD~1\mcieplg.dll
O3 - Toolbar: McAfee SiteAdvisor - {0BF43445-2F28-4351-9252-17FE6E806AA0} - C:\Programme\SiteAdvisor\6261\SiteAdv.dll
O4 - HKLM\..\Run: [avast!] E:\Computer\SICHER~1\Avast\ashDisp.exe
O4 - HKLM\..\Run: [SiteAdvisor] "C:\Programme\SiteAdvisor\6261\SiteAdv.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] E:\Computer\Sicherheit\SpyBot\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Total Commander 32 bit international version, file manager replacement for Windows.lnk = E:\Computer\Dateimanager\totalcmd\TOTALCMD.EXE
O9 - Extra button: (no name) - AutorunsDisabled - (no file)
O9 - Extra button: Subscribe in Desktop Sidebar - {09FE188B-6E85-479e-9411-51FB2220DF80} - E:\Computer\Bildschirm\Sidebar\sbhelp.dll
O9 - Extra 'Tools' menuitem: Subscribe in Desktop Sidebar - {09FE188B-6E85-479e-9411-51FB2220DF80} - E:\Computer\Bildschirm\Sidebar\sbhelp.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - E:\Computer\Sicherheit\SpyBot\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - E:\Computer\Sicherheit\SpyBot\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1241442582483
O18 - Protocol: sacore - {5513F07E-936B-4E52-9B00-067394E91CC5} - c:\PROGRA~1\mcafee\SITEAD~1\mcieplg.dll
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - E:\Computer\Sicherheit\Avast\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - E:\Computer\Sicherheit\Avast\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - E:\Computer\Sicherheit\Avast\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - E:\Computer\Sicherheit\Avast\ashWebSv.exe
O23 - Service: Brother BidiAgent Service for Resource manager (brmfbags) - Brother Industries, Ltd. - C:\WINDOWS\system32\BrmfBAgS.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: McAfee SiteAdvisor Service - Unknown owner - C:\Programme\McAfee\SiteAdvisor\McSACore.exe
O23 - Service: NMSAccessU - Unknown owner - E:\Computer\Speicher\CD-DVD\CDBurnerXP\NMSAccessU.exe
O23 - Service: SiteAdvisor-Dienst (SiteAdvisor Service) - Unknown owner - C:\Programme\SiteAdvisor\6261\SAService.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe
O24 - Desktop Component AutorunsDisabled: (no name) - (no file)
--
End of file - 5908 bytes
Leider kann ich damit nichts anfangen. Bringt es uns weiter?
Danke und beste Grüße
Dromedar
Hallo,
das bekommst du natürlich nur raus, wenn du die anderen "Wächter" neben "SiteAdvisor" Testweise abschaltest.
Deshalb würde ich den "TeaTimer" von SpyBot abschalten. Wenn du den Firefox (dafür ist ja wohl das Tool SiteAdvisor) als Standardbrowser eingerichtet hast, kannst du den sowieso abgeschaltet lassen. Ein manueller Durchlauf mit SpyBot von Zeit zu Zeit, reicht auch aus, und erfüllt seine Dienste.
Weniger ist meist mehr...
In der Auswertung kann ich nichts Trügerisches finden.
Vielleicht sieht dort "pema1983" mehr. ;-)
Das "Herumrödeln" wie du es nennst, kannst du z.B. mit dem Task-Manager unter "Prozesse" beobachten.
Gruß
knoeppken
Hallo Dromedar
Dein Logfile zeigt auf den 1. Blick keinen Malwarebefall, sondern ich vermute genau wie Knoeppken, daß es sich hier eher um eine Inkompatibilität von 2 oder mehr Komponenten handelt. Den Tea-Timer von Spybot hätte ich jetzt auch als 1. Kandidaten benannt, der abgeschaltet werden sollte.
Ein paar Kleinigkeiten noch zum Logfile:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:20:16, on 12.06.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16850)
Boot mode: Normal
Es gibt inzwischen den IE8, hat es einen Grund, daß Du den nicht nutzt? Zumal Du ja diesen Browser zum surfen verwendest, wie ich auch dem Log erkennen kann.
O2 - BHO: (no name) - AutorunsDisabled - (no file)
Hast Du selbst Autorun deaktiviert?
O3 - Toolbar: McAfee SiteAdvisor Toolbar - {0EBBBE48-BAD4-4B4C-8E5A-516ABECAE064} - c:\PROGRA~1\ OKmcafee\SITEAD~1\mcieplg.dll
O3 - Toolbar: McAfee SiteAdvisor - {0BF43445-2F28-4351-9252-17FE6E806AA0} - C:\Programme\SiteAdvisor\6261\SiteAdv.dll
Du hast zwar nur diese, aber ich halte Toolbars im allgemeinen für eine überflüssige Erhöhung der Angriffsfläche. Ich würde sie nicht mitinstallieren, aber das bleibt jedem selbst überlassen.
Den Autostart würde ich auch ausmisten (Running Processes), denn nicht jedes Programm, das dort drin steht, muß beim Booten mit geladen werden. Du kannst das einschränken, indem Du über [Start] -> [Ausführen] -> [msconfig -6] -> [OK] eingibst. Nimm die Haken bei den Programmen raus, bei denen Du sicher weißt, daß Du sie nicht immer zwingend benötigst, Du kannst sie ja bei Bedarf manuell starten.
Zu Deinem Problem:
Wie gesagt, ich halte es wie Knoeppken für eine Unverträglichkeit, deaktiviere den Tea-Timer und berichte bitte, ob das geholfen hat.
MfG, pema
Auf die "Progrämmchen" im Hintergrund wollte ich eigentlich bewusst nicht eingehen, aber wo wir doch dann schon dabei sind, ;-) und was mir nachträglich zu dem Thema "Herumrödeln" aufgefallen ist:
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe
Das könnte abgeschaltet werden. Defragmentieren klappt auch prima manuell unter TuneUp. Und auch hier gilt von Zeit zu Zeit...
Gruß
knoeppken