Viren, Spyware, Datenschutz 11.212 Themen, 94.154 Beiträge

Verfolgung starten Optionen

Programm SiteAdvisor wird gelöscht

dromedar / 6 Antworten / Flachansicht Nickles

Windows XP SP 3, ständig im Einsatz Virenscanner Avast und Phishingschutz SpyBot.
Außerdem setze ich MacAffee SiteAdvisor ein zur Kennzeichnung von Webseiten auf zweifelhaftes Verhalten. Das Programm ist gespeichert im Ordner C:\Programme\SiteAdvisor.
Seit einiger Zeit stelle ich fest, dass SiteAdvisor ohne mein Zutun vom Computer gelöscht wird. Manchmal ist der ganze Ordner SiteAdvisor weg, manchmal ist er noch da, enthält aber nur ein paar unbedeutende Dateien.
Was ist die Ursache? Wie kann sie beseitigt werden?

bei Antwort benachrichtigen
ständig im Einsatz Virenscanner Avast und Phishingschutz SpyBot Hallo, nur ... Knoeppken
Was ist die Ursache? Wie kann sie beseitigt werden? Seit wann passiert das ... pema1983
dromedar pema1983 „ Seit wann passiert das genau, was ist dem zuvor gegangen? Kannst Du hierzu...“
Optionen

Hallo Helfer,

dass irgendwer sich mit SiteAdvisor beißt, habe ich auch schon vermutet, aber wer und wie feststellbar?

Inzwischen habe ich noch das Folgende beobachtet, geschehen nach normalem Computer-Herunterfahren, vor dem SiteAdvisor voll gespeichert war, und zwar beim nächsten Hochfahren.

Als erstes Handfestes kam der Total Commander auf den Bildschirm - das einzige Programm, das in "Start || Programme || Autostart" enthalten ist. Der SiteAdvisor war immer noch voll gespeichert. Wie immer, rödelte danach der Computer weiter vor sich hin - nicht erkennbar, was er tut. Und danach war vom SiteAdvisor das meiste gelöscht.

Kann man irgendwie das "Herumrödeln" in einem log-File festhalten und analysieren? Oder den ganzen Start bis zu einem bestimmten Punkt?

Das HJT-Log von soeben, SiteAdvisor voll gespeichert, sieht so aus:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:20:16, on 12.06.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16850)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
E:\Computer\Sicherheit\Avast\aswUpdSv.exe
C:\WINDOWS\Explorer.EXE
E:\Computer\Sicherheit\Avast\ashServ.exe
E:\Computer\SICHER~1\Avast\ashDisp.exe
E:\Computer\Sicherheit\SpyBot\TeaTimer.exe
E:\Computer\Dateimanager\totalcmd\TOTALCMD.EXE
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\brss01a.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\WINDOWS\system32\BrmfBAgS.exe
C:\Programme\McAfee\SiteAdvisor\McSACore.exe
E:\Computer\Speicher\CD-DVD\CDBurnerXP\NMSAccessU.exe
C:\WINDOWS\system32\svchost.exe
E:\Computer\Sicherheit\Avast\ashMaiSv.exe
E:\Computer\Sicherheit\Avast\ashWebSv.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\SiteAdvisor\6261\SAService.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\SiteAdvisor\6261\SiteAdv.exe
E:\Telekomm\EMail\Pegasus\winpm-32.exe
E:\Medien\TV\Kathrein\UFC861.exe
C:\WINDOWS\system32\spider.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
E:\Computer\Sicherheit\HiJack\HiJackThis.exe
C:\WINDOWS\system32\NOTEPAD.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://de.search.yahoo.com/search?fr=mcafee&p=%s
O2 - BHO: (no name) - AutorunsDisabled - (no file)
O2 - BHO: (no name) - {089FD14D-132B-48FC-8861-0048AE113215} - C:\Programme\SiteAdvisor\6261\SiteAdv.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - E:\Computer\Sicherheit\SpyBot\SDHelper.dll
O2 - BHO: McAfee SiteAdvisor BHO - {B164E929-A1B6-4A06-B104-2CD0E90A88FF} - c:\PROGRA~1\mcafee\SITEAD~1\mcieplg.dll
O3 - Toolbar: McAfee SiteAdvisor Toolbar - {0EBBBE48-BAD4-4B4C-8E5A-516ABECAE064} - c:\PROGRA~1\mcafee\SITEAD~1\mcieplg.dll
O3 - Toolbar: McAfee SiteAdvisor - {0BF43445-2F28-4351-9252-17FE6E806AA0} - C:\Programme\SiteAdvisor\6261\SiteAdv.dll
O4 - HKLM\..\Run: [avast!] E:\Computer\SICHER~1\Avast\ashDisp.exe
O4 - HKLM\..\Run: [SiteAdvisor] "C:\Programme\SiteAdvisor\6261\SiteAdv.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] E:\Computer\Sicherheit\SpyBot\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Total Commander 32 bit international version, file manager replacement for Windows.lnk = E:\Computer\Dateimanager\totalcmd\TOTALCMD.EXE
O9 - Extra button: (no name) - AutorunsDisabled - (no file)
O9 - Extra button: Subscribe in Desktop Sidebar - {09FE188B-6E85-479e-9411-51FB2220DF80} - E:\Computer\Bildschirm\Sidebar\sbhelp.dll
O9 - Extra 'Tools' menuitem: Subscribe in Desktop Sidebar - {09FE188B-6E85-479e-9411-51FB2220DF80} - E:\Computer\Bildschirm\Sidebar\sbhelp.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - E:\Computer\Sicherheit\SpyBot\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - E:\Computer\Sicherheit\SpyBot\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1241442582483
O18 - Protocol: sacore - {5513F07E-936B-4E52-9B00-067394E91CC5} - c:\PROGRA~1\mcafee\SITEAD~1\mcieplg.dll
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - E:\Computer\Sicherheit\Avast\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - E:\Computer\Sicherheit\Avast\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - E:\Computer\Sicherheit\Avast\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - E:\Computer\Sicherheit\Avast\ashWebSv.exe
O23 - Service: Brother BidiAgent Service for Resource manager (brmfbags) - Brother Industries, Ltd. - C:\WINDOWS\system32\BrmfBAgS.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: McAfee SiteAdvisor Service - Unknown owner - C:\Programme\McAfee\SiteAdvisor\McSACore.exe
O23 - Service: NMSAccessU - Unknown owner - E:\Computer\Speicher\CD-DVD\CDBurnerXP\NMSAccessU.exe
O23 - Service: SiteAdvisor-Dienst (SiteAdvisor Service) - Unknown owner - C:\Programme\SiteAdvisor\6261\SAService.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe
O24 - Desktop Component AutorunsDisabled: (no name) - (no file)

--
End of file - 5908 bytes

Leider kann ich damit nichts anfangen. Bringt es uns weiter?

Danke und beste Grüße
Dromedar

bei Antwort benachrichtigen
aber wer und wie feststellbar? Hallo, das bekommst du natürlich nur raus, ... Knoeppken
Hallo Dromedar Dein Logfile zeigt auf den 1. Blick keinen Malwarebefall, ... pema1983
Auf die Progrämmchen im Hintergrund wollte ich eigentlich bewusst nicht ... Knoeppken