Hallo

mir fällt seit Installation des Siteadvisor in meinem Firefox Vers. 2.0.0.14 auf, dass sobald der Kontakt von SAService.exe auf Port 443 von meinem F-Secure Guard angefragt und von mir zugelassen wird, zur selben Zeit auf ca. 15 Ports im Bereich 1000 bis 1100 Port 80 eine Verbindung zu Akamai aufgebaut (mit cmd und netstat -an überprüft). Beide IPs habe ich bei www.geektools.com mit whois überprüft. Wenn ich kurz danach nochmals netstat -an ausführe, sind die selben Ports dann wieder ordnungsgemäß mit dem Localhost (127.0.0.1) verbunden. Ich möchte natürlich keine falschen Beschuldigungen aussprechen, aber es passiert genau nachdem ich im F-Secure das ok für den Siteadvisor auf Port 443 gegeben habe - handelt es sich hier evtl. um Spyware?

Nachtrag: Überprüfung mit Trend Micro Housecall, Boot CD Knoppicillin, Komplett Scan mit F-Secure, Spybot und AVG brachten nichts zutage.

Mein System:

Athlon XP 2000+
W2K SP 4 (alle Patches eingespielt, also aktuell)
F-Secure Internetsecurity 2007 (aktuell)
Spybot (aktuell)
Browser FF 2.0.0.14 (aktuell)
AVM Fritzbox per LAN (aktuell)

Hier das Log von HiJackthis - meine Hostdatei, auf die erst mal nicht zugegriffen werden konnte - wurde von Spybot angelegt. Leider ist die Datei zum coden zu lang und als Dateianhang zu groß. Gibt es noch eine andere Möglichkeit, die hier nicht rationiert ist?

Danke für Eure Tipps

Code: Alles auswählenAufklappen

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:45:45, on 22.05.2008
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINNT\Explorer.EXE
C:\Programme\F-Secure Internet Security\Common\FSM32.EXE
C:\Programme\F-Secure Internet Security\FSGUI\fsguidll.exe
C:\Programme\SiteAdvisor\6253\SiteAdv.exe
C:\WINNT\system32\internat.exe
F:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINNT\system32\cmd.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\WINNT\system32\notepad.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)
O2 - BHO: (no name) - {089FD14D-132B-48FC-8861-0048AE113215} - C:\Programme\SiteAdvisor\6253\SiteAdv.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - F:\PROGRA~1\Spybot - Search & Destroy\Spybot - 

Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: McAfee SiteAdvisor - {0BF43445-2F28-4351-9252-17FE6E806AA0} - C:\Programme\SiteAdvisor\6253\SiteAdv.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Programme\F-Secure Internet Security\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Programme\F-Secure Internet Security\FSGUI\TNBUtil.exe" /CHECKALL /WAITFORSW
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SiteAdvisor] C:\Programme\SiteAdvisor\6253\SiteAdv.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [WebWasher] G:\Programme\WebWasher\wwasher.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] F:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] C:\Programme\Internet Explorer\Connection Wizard\icwconn1.exe /desktop 

(User 'Default user')
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Zur Filterliste hinzufügen (WebWasher) - h*ttp://-Web.Washer-/ie_add
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - 

C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINNT\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - 

C:\WINNT\bdoscandel.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - F:\PROGRA~1\Spybot - Search & Destroy\Spybot - Search 

& Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - 

F:\PROGRA~1\Spybot - Search & Destroy\Spybot - Search & Destroy\SDHelper.dll
O16 - DPF: {0B79F48A-E8D6-11DB-9283-E25056D89593} (F-Secure Online Scanner 3.1) - h*ttp://support.f-secure.com/ols/fscax.cab
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - 

h*tp://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab
O16 - DPF: {215B8138-A3CF-44C5-803F-8226143CFC0A} (Trend Micro ActiveX Scan Agent 6.6) - 

h*tp://eu-housecall.trendmicro-europe.com/housecall/applet/html/native/x86/win32/activex/hcImpl.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - h*tp://www.bitdefender.de/scan_de/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - 

h*tp://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1188598975842
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - 

h*tp://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1152969734954
O16 - DPF: {74DBCB52-F298-4110-951D-AD2FF67BC8AB} (NVIDIA Smart Scan) - 

h*tp://www.nvidia.com/content/DriverDownload/nforce/NvidiaSmartScan.cab
O16 - DPF: {A796D216-2DE1-4EA8-BABB-FE6E7C959098} (HPSDDX Class) - h*ttp://www.hp.com/cpso-support-new/SDD/hpsddObjSigned.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - 

h*tp://download.mcafee.com/molbin/iss-loc/mcfscan/2,2,0,5262/mcfscan.cab
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - 

C:\WINNT\System32\dmadmin.exe
O23 - Service: FSGKHS (F-Secure Gatekeeper Handler Starter) - F-Secure Corporation - C:\Programme\F-Secure Internet 

Security\Anti-Virus\fsgk32st.exe
O23 - Service: F-Secure Automatic Update Agent (FSAUA) - F-Secure Corporation - C:\Programme\F-Secure Internet 

Security\FSAUA\program\fsaua.exe
O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Programme\F-Secure Internet 

Security\FWES\Program\fsdfwd.exe
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Programme\F-Secure Internet 

Security\Common\FSMA32.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame 

Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - 

C:\Programme\WinPcap\rpcapd.exe
O23 - Service: SiteAdvisor-Dienst (SiteAdvisor Service) - Unknown owner - C:\Programme\SiteAdvisor\6253\SAService.exe
O24 - Desktop Component 0: (no name) - (no file)
O24 - Desktop Component 1: (no name) - C:\Dokumente und Einstellungen\user\Desktop\xyz.jpg

--
End of file - 6538 bytes
         

*schieb* mit der Bitte das HiJacklog anzuschauen. Mir kommt diese kurzfristige Kontaktaufnahme zu Beginn des Browserstarts einfach komisch vor. Vor allen Dingen, weil ich es sehr genau mit der Netzsicherheit halte (Online mit einem nicht-administrativen User, Sicherheitssoftware, aktuell halten des Systems und seiner Sicherheitsprogramme, Dr. Web Linkchecker)

Danke

Nochmal ein Hallo

mag denn keiner wenigstens mal mein Log anschauen und mir sagen, ob etwas "krumm" ist? Die Kontaktaufnahme zu Akamai findet definitv erst statt, wenn ich dem McAfee Siteadvisor in der Firewall das OK zum Internetzugang gebe (nachdem der Firefox gestartet ist), wenn ich verweigere, kann ich mit dem Firefox nicht surfen. Dann kann doch etwas nicht stimmen :-/

Hallo

Schau Dir mal die Kundenliste von Akamai an unter M.

Keine Gefahr im Verzug und im Log ist auch nichts zu sehen.

Hallo und vielen Dank für die Antwort

Dachte mir auch, dass bei all meinen Vorkehrungen eigentlich nichts drauf sein dürfte, aber wirklich wissen konnte ich es jetzt letztendlich nicht.

Tja, dann wird es wohl eine Form von Spyware sein, nett, dass McAfee deutlich vor der Installation drauf hinweist... Mir ist zumindest bei der Installation nichts aufgefallen

Also deinstallieren, denke ich mal. Schade, das Tool ist sinnvoll und so wie es aussieht auch zum Weiterverkauf von Info's - ist ja auch interessant, wo die Leutchen so hinsurfen

IMHO:

Also: wer keinen zusätzlichen Big Brother beim Surfen dabei haben will, sollte auf das Tool Site Advisor von McAfee besser verzichten

Akamai ist weniger für Spyware Dienste als für Lastverteilung im Internet bekannt. Ich denke eher das der Site Adviser genau davon gebrauch macht, um die Informationen lokalisiert und schnell zur Verfügung zu stellen.