Viren, Spyware, Datenschutz 11.250 Themen, 94.778 Beiträge

Verfolgung starten Optionen

Programm SiteAdvisor wird gelöscht

dromedar / 6 Antworten / Baumansicht Nickles

Windows XP SP 3, ständig im Einsatz Virenscanner Avast und Phishingschutz SpyBot.
Außerdem setze ich MacAffee SiteAdvisor ein zur Kennzeichnung von Webseiten auf zweifelhaftes Verhalten. Das Programm ist gespeichert im Ordner C:\Programme\SiteAdvisor.
Seit einiger Zeit stelle ich fest, dass SiteAdvisor ohne mein Zutun vom Computer gelöscht wird. Manchmal ist der ganze Ordner SiteAdvisor weg, manchmal ist er noch da, enthält aber nur ein paar unbedeutende Dateien.
Was ist die Ursache? Wie kann sie beseitigt werden?

bei Antwort benachrichtigen
Knoeppken dromedar „Programm SiteAdvisor wird gelöscht“
Optionen
ständig im Einsatz Virenscanner Avast und Phishingschutz SpyBot
Hallo,

nur eine Vermutung, aber kann es sein das dieses Plug-in von McAfee, sich mit den aufgeführten Tools "beißt"?

Gruß
knoeppken
Computer sind großartig. Mit ihnen macht man die Fehler viel schneller.
bei Antwort benachrichtigen
pema1983 dromedar „Programm SiteAdvisor wird gelöscht“
Optionen
Was ist die Ursache? Wie kann sie beseitigt werden?

Seit wann "passiert" das genau, was ist dem zuvor gegangen? Kannst Du hierzu Hinweise geben?

Malware schließt Du definitiv aus? Ein HJT-Log schadet allerdings nicht.

http://sicher-ins-netz.info/analyse/hjt.html

MfG, pema
bei Antwort benachrichtigen
dromedar pema1983 „ Seit wann passiert das genau, was ist dem zuvor gegangen? Kannst Du hierzu...“
Optionen

Hallo Helfer,

dass irgendwer sich mit SiteAdvisor beißt, habe ich auch schon vermutet, aber wer und wie feststellbar?

Inzwischen habe ich noch das Folgende beobachtet, geschehen nach normalem Computer-Herunterfahren, vor dem SiteAdvisor voll gespeichert war, und zwar beim nächsten Hochfahren.

Als erstes Handfestes kam der Total Commander auf den Bildschirm - das einzige Programm, das in "Start || Programme || Autostart" enthalten ist. Der SiteAdvisor war immer noch voll gespeichert. Wie immer, rödelte danach der Computer weiter vor sich hin - nicht erkennbar, was er tut. Und danach war vom SiteAdvisor das meiste gelöscht.

Kann man irgendwie das "Herumrödeln" in einem log-File festhalten und analysieren? Oder den ganzen Start bis zu einem bestimmten Punkt?

Das HJT-Log von soeben, SiteAdvisor voll gespeichert, sieht so aus:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:20:16, on 12.06.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16850)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
E:\Computer\Sicherheit\Avast\aswUpdSv.exe
C:\WINDOWS\Explorer.EXE
E:\Computer\Sicherheit\Avast\ashServ.exe
E:\Computer\SICHER~1\Avast\ashDisp.exe
E:\Computer\Sicherheit\SpyBot\TeaTimer.exe
E:\Computer\Dateimanager\totalcmd\TOTALCMD.EXE
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\brss01a.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\WINDOWS\system32\BrmfBAgS.exe
C:\Programme\McAfee\SiteAdvisor\McSACore.exe
E:\Computer\Speicher\CD-DVD\CDBurnerXP\NMSAccessU.exe
C:\WINDOWS\system32\svchost.exe
E:\Computer\Sicherheit\Avast\ashMaiSv.exe
E:\Computer\Sicherheit\Avast\ashWebSv.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\SiteAdvisor\6261\SAService.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\SiteAdvisor\6261\SiteAdv.exe
E:\Telekomm\EMail\Pegasus\winpm-32.exe
E:\Medien\TV\Kathrein\UFC861.exe
C:\WINDOWS\system32\spider.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
E:\Computer\Sicherheit\HiJack\HiJackThis.exe
C:\WINDOWS\system32\NOTEPAD.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://de.search.yahoo.com/search?fr=mcafee&p=%s
O2 - BHO: (no name) - AutorunsDisabled - (no file)
O2 - BHO: (no name) - {089FD14D-132B-48FC-8861-0048AE113215} - C:\Programme\SiteAdvisor\6261\SiteAdv.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - E:\Computer\Sicherheit\SpyBot\SDHelper.dll
O2 - BHO: McAfee SiteAdvisor BHO - {B164E929-A1B6-4A06-B104-2CD0E90A88FF} - c:\PROGRA~1\mcafee\SITEAD~1\mcieplg.dll
O3 - Toolbar: McAfee SiteAdvisor Toolbar - {0EBBBE48-BAD4-4B4C-8E5A-516ABECAE064} - c:\PROGRA~1\mcafee\SITEAD~1\mcieplg.dll
O3 - Toolbar: McAfee SiteAdvisor - {0BF43445-2F28-4351-9252-17FE6E806AA0} - C:\Programme\SiteAdvisor\6261\SiteAdv.dll
O4 - HKLM\..\Run: [avast!] E:\Computer\SICHER~1\Avast\ashDisp.exe
O4 - HKLM\..\Run: [SiteAdvisor] "C:\Programme\SiteAdvisor\6261\SiteAdv.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] E:\Computer\Sicherheit\SpyBot\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Total Commander 32 bit international version, file manager replacement for Windows.lnk = E:\Computer\Dateimanager\totalcmd\TOTALCMD.EXE
O9 - Extra button: (no name) - AutorunsDisabled - (no file)
O9 - Extra button: Subscribe in Desktop Sidebar - {09FE188B-6E85-479e-9411-51FB2220DF80} - E:\Computer\Bildschirm\Sidebar\sbhelp.dll
O9 - Extra 'Tools' menuitem: Subscribe in Desktop Sidebar - {09FE188B-6E85-479e-9411-51FB2220DF80} - E:\Computer\Bildschirm\Sidebar\sbhelp.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - E:\Computer\Sicherheit\SpyBot\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - E:\Computer\Sicherheit\SpyBot\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1241442582483
O18 - Protocol: sacore - {5513F07E-936B-4E52-9B00-067394E91CC5} - c:\PROGRA~1\mcafee\SITEAD~1\mcieplg.dll
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - E:\Computer\Sicherheit\Avast\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - E:\Computer\Sicherheit\Avast\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - E:\Computer\Sicherheit\Avast\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - E:\Computer\Sicherheit\Avast\ashWebSv.exe
O23 - Service: Brother BidiAgent Service for Resource manager (brmfbags) - Brother Industries, Ltd. - C:\WINDOWS\system32\BrmfBAgS.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: McAfee SiteAdvisor Service - Unknown owner - C:\Programme\McAfee\SiteAdvisor\McSACore.exe
O23 - Service: NMSAccessU - Unknown owner - E:\Computer\Speicher\CD-DVD\CDBurnerXP\NMSAccessU.exe
O23 - Service: SiteAdvisor-Dienst (SiteAdvisor Service) - Unknown owner - C:\Programme\SiteAdvisor\6261\SAService.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe
O24 - Desktop Component AutorunsDisabled: (no name) - (no file)

--
End of file - 5908 bytes

Leider kann ich damit nichts anfangen. Bringt es uns weiter?

Danke und beste Grüße
Dromedar

bei Antwort benachrichtigen
Knoeppken dromedar „Hallo Helfer, dass irgendwer sich mit SiteAdvisor beißt, habe ich auch schon...“
Optionen
aber wer und wie feststellbar?

Hallo,

das bekommst du natürlich nur raus, wenn du die anderen "Wächter" neben "SiteAdvisor" Testweise abschaltest.
Deshalb würde ich den "TeaTimer" von SpyBot abschalten. Wenn du den Firefox (dafür ist ja wohl das Tool SiteAdvisor) als Standardbrowser eingerichtet hast, kannst du den sowieso abgeschaltet lassen. Ein manueller Durchlauf mit SpyBot von Zeit zu Zeit, reicht auch aus, und erfüllt seine Dienste.
Weniger ist meist mehr...

In der Auswertung kann ich nichts Trügerisches finden.
Vielleicht sieht dort "pema1983" mehr. ;-)

Das "Herumrödeln" wie du es nennst, kannst du z.B. mit dem Task-Manager unter "Prozesse" beobachten.

Gruß
knoeppken
Computer sind großartig. Mit ihnen macht man die Fehler viel schneller.
bei Antwort benachrichtigen
pema1983 dromedar „Hallo Helfer, dass irgendwer sich mit SiteAdvisor beißt, habe ich auch schon...“
Optionen

Hallo Dromedar

Dein Logfile zeigt auf den 1. Blick keinen Malwarebefall, sondern ich vermute genau wie Knoeppken, daß es sich hier eher um eine Inkompatibilität von 2 oder mehr Komponenten handelt. Den Tea-Timer von Spybot hätte ich jetzt auch als 1. Kandidaten benannt, der abgeschaltet werden sollte.

Ein paar Kleinigkeiten noch zum Logfile:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:20:16, on 12.06.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16850)
Boot mode: Normal

Es gibt inzwischen den IE8, hat es einen Grund, daß Du den nicht nutzt? Zumal Du ja diesen Browser zum surfen verwendest, wie ich auch dem Log erkennen kann.

O2 - BHO: (no name) - AutorunsDisabled - (no file)

Hast Du selbst Autorun deaktiviert?

O3 - Toolbar: McAfee SiteAdvisor Toolbar - {0EBBBE48-BAD4-4B4C-8E5A-516ABECAE064} - c:\PROGRA~1\ OKmcafee\SITEAD~1\mcieplg.dll
O3 - Toolbar: McAfee SiteAdvisor - {0BF43445-2F28-4351-9252-17FE6E806AA0} - C:\Programme\SiteAdvisor\6261\SiteAdv.dll

Du hast zwar nur diese, aber ich halte Toolbars im allgemeinen für eine überflüssige Erhöhung der Angriffsfläche. Ich würde sie nicht mitinstallieren, aber das bleibt jedem selbst überlassen.

Den Autostart würde ich auch ausmisten (Running Processes), denn nicht jedes Programm, das dort drin steht, muß beim Booten mit geladen werden. Du kannst das einschränken, indem Du über [Start] -> [Ausführen] -> [msconfig -6] -> [OK] eingibst. Nimm die Haken bei den Programmen raus, bei denen Du sicher weißt, daß Du sie nicht immer zwingend benötigst, Du kannst sie ja bei Bedarf manuell starten.

Zu Deinem Problem:

Wie gesagt, ich halte es wie Knoeppken für eine Unverträglichkeit, deaktiviere den Tea-Timer und berichte bitte, ob das geholfen hat.

MfG, pema

bei Antwort benachrichtigen
Knoeppken pema1983 „Hallo Dromedar Dein Logfile zeigt auf den 1. Blick keinen Malwarebefall, sondern...“
Optionen

Auf die "Progrämmchen" im Hintergrund wollte ich eigentlich bewusst nicht eingehen, aber wo wir doch dann schon dabei sind, ;-) und was mir nachträglich zu dem Thema "Herumrödeln" aufgefallen ist:

O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

Das könnte abgeschaltet werden. Defragmentieren klappt auch prima manuell unter TuneUp. Und auch hier gilt von Zeit zu Zeit...

Gruß
knoeppken

Computer sind großartig. Mit ihnen macht man die Fehler viel schneller.
bei Antwort benachrichtigen