Hallo Helfer,
dass irgendwer sich mit SiteAdvisor beißt, habe ich auch schon vermutet, aber wer und wie feststellbar?
Inzwischen habe ich noch das Folgende beobachtet, geschehen nach normalem Computer-Herunterfahren, vor dem SiteAdvisor voll gespeichert war, und zwar beim nächsten Hochfahren.
Als erstes Handfestes kam der Total Commander auf den Bildschirm - das einzige Programm, das in "Start || Programme || Autostart" enthalten ist. Der SiteAdvisor war immer noch voll gespeichert. Wie immer, rödelte danach der Computer weiter vor sich hin - nicht erkennbar, was er tut. Und danach war vom SiteAdvisor das meiste gelöscht.
Kann man irgendwie das "Herumrödeln" in einem log-File festhalten und analysieren? Oder den ganzen Start bis zu einem bestimmten Punkt?
Das HJT-Log von soeben, SiteAdvisor voll gespeichert, sieht so aus:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:20:16, on 12.06.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16850)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
E:\Computer\Sicherheit\Avast\aswUpdSv.exe
C:\WINDOWS\Explorer.EXE
E:\Computer\Sicherheit\Avast\ashServ.exe
E:\Computer\SICHER~1\Avast\ashDisp.exe
E:\Computer\Sicherheit\SpyBot\TeaTimer.exe
E:\Computer\Dateimanager\totalcmd\TOTALCMD.EXE
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\brss01a.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\WINDOWS\system32\BrmfBAgS.exe
C:\Programme\McAfee\SiteAdvisor\McSACore.exe
E:\Computer\Speicher\CD-DVD\CDBurnerXP\NMSAccessU.exe
C:\WINDOWS\system32\svchost.exe
E:\Computer\Sicherheit\Avast\ashMaiSv.exe
E:\Computer\Sicherheit\Avast\ashWebSv.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\SiteAdvisor\6261\SAService.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\SiteAdvisor\6261\SiteAdv.exe
E:\Telekomm\EMail\Pegasus\winpm-32.exe
E:\Medien\TV\Kathrein\UFC861.exe
C:\WINDOWS\system32\spider.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
E:\Computer\Sicherheit\HiJack\HiJackThis.exe
C:\WINDOWS\system32\NOTEPAD.EXE
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://de.search.yahoo.com/search?fr=mcafee&p=%s
O2 - BHO: (no name) - AutorunsDisabled - (no file)
O2 - BHO: (no name) - {089FD14D-132B-48FC-8861-0048AE113215} - C:\Programme\SiteAdvisor\6261\SiteAdv.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - E:\Computer\Sicherheit\SpyBot\SDHelper.dll
O2 - BHO: McAfee SiteAdvisor BHO - {B164E929-A1B6-4A06-B104-2CD0E90A88FF} - c:\PROGRA~1\mcafee\SITEAD~1\mcieplg.dll
O3 - Toolbar: McAfee SiteAdvisor Toolbar - {0EBBBE48-BAD4-4B4C-8E5A-516ABECAE064} - c:\PROGRA~1\mcafee\SITEAD~1\mcieplg.dll
O3 - Toolbar: McAfee SiteAdvisor - {0BF43445-2F28-4351-9252-17FE6E806AA0} - C:\Programme\SiteAdvisor\6261\SiteAdv.dll
O4 - HKLM\..\Run: [avast!] E:\Computer\SICHER~1\Avast\ashDisp.exe
O4 - HKLM\..\Run: [SiteAdvisor] "C:\Programme\SiteAdvisor\6261\SiteAdv.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] E:\Computer\Sicherheit\SpyBot\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Total Commander 32 bit international version, file manager replacement for Windows.lnk = E:\Computer\Dateimanager\totalcmd\TOTALCMD.EXE
O9 - Extra button: (no name) - AutorunsDisabled - (no file)
O9 - Extra button: Subscribe in Desktop Sidebar - {09FE188B-6E85-479e-9411-51FB2220DF80} - E:\Computer\Bildschirm\Sidebar\sbhelp.dll
O9 - Extra 'Tools' menuitem: Subscribe in Desktop Sidebar - {09FE188B-6E85-479e-9411-51FB2220DF80} - E:\Computer\Bildschirm\Sidebar\sbhelp.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - E:\Computer\Sicherheit\SpyBot\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - E:\Computer\Sicherheit\SpyBot\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1241442582483
O18 - Protocol: sacore - {5513F07E-936B-4E52-9B00-067394E91CC5} - c:\PROGRA~1\mcafee\SITEAD~1\mcieplg.dll
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - E:\Computer\Sicherheit\Avast\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - E:\Computer\Sicherheit\Avast\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - E:\Computer\Sicherheit\Avast\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - E:\Computer\Sicherheit\Avast\ashWebSv.exe
O23 - Service: Brother BidiAgent Service for Resource manager (brmfbags) - Brother Industries, Ltd. - C:\WINDOWS\system32\BrmfBAgS.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: McAfee SiteAdvisor Service - Unknown owner - C:\Programme\McAfee\SiteAdvisor\McSACore.exe
O23 - Service: NMSAccessU - Unknown owner - E:\Computer\Speicher\CD-DVD\CDBurnerXP\NMSAccessU.exe
O23 - Service: SiteAdvisor-Dienst (SiteAdvisor Service) - Unknown owner - C:\Programme\SiteAdvisor\6261\SAService.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe
O24 - Desktop Component AutorunsDisabled: (no name) - (no file)
--
End of file - 5908 bytes
Leider kann ich damit nichts anfangen. Bringt es uns weiter?
Danke und beste Grüße
Dromedar