Trojaner-Board - Hält der McAfee Siteadvisor Kontakt zu Akamai? (Spyware?)

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Hält der McAfee Siteadvisor Kontakt zu Akamai? (Spyware?) (https://www.trojaner-board.de/52826-haelt-mcafee-siteadvisor-kontakt-akamai-spyware.html)

Hält der McAfee Siteadvisor Kontakt zu Akamai? (Spyware?)

Hallo

mir fällt seit Installation des Siteadvisor in meinem Firefox Vers. 2.0.0.14 auf, dass sobald der Kontakt von SAService.exe auf Port 443 von meinem F-Secure Guard angefragt und von mir zugelassen wird, zur selben Zeit auf ca. 15 Ports im Bereich 1000 bis 1100 Port 80 eine Verbindung zu Akamai aufgebaut (mit cmd und netstat -an überprüft). Beide IPs habe ich bei www.geektools.com mit whois überprüft. Wenn ich kurz danach nochmals netstat -an ausführe, sind die selben Ports dann wieder ordnungsgemäß mit dem Localhost (127.0.0.1) verbunden. Ich möchte natürlich keine falschen Beschuldigungen aussprechen, aber es passiert genau nachdem ich im F-Secure das ok für den Siteadvisor auf Port 443 gegeben habe - handelt es sich hier evtl. um Spyware?

Nachtrag: Überprüfung mit Trend Micro Housecall, Boot CD Knoppicillin, Komplett Scan mit F-Secure, Spybot und AVG brachten nichts zutage.

Mein System:

Athlon XP 2000+
W2K SP 4 (alle Patches eingespielt, also aktuell)
F-Secure Internetsecurity 2007 (aktuell)
Spybot (aktuell)
Browser FF 2.0.0.14 (aktuell)
AVM Fritzbox per LAN (aktuell)

Hier das Log von HiJackthis - meine Hostdatei, auf die erst mal nicht zugegriffen werden konnte - wurde von Spybot angelegt. Leider ist die Datei zum coden zu lang und als Dateianhang zu groß. Gibt es noch eine andere Möglichkeit, die hier nicht rationiert ist? :confused:

Danke für Eure Tipps

Code:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 19:45:45, on 22.05.2008

Platform: Windows 2000 SP4 (WinNT 5.00.2195)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Boot mode: Normal
 

Running processes:

C:\WINNT\Explorer.EXE

C:\Programme\F-Secure Internet Security\Common\FSM32.EXE

C:\Programme\F-Secure Internet Security\FSGUI\fsguidll.exe

C:\Programme\SiteAdvisor\6253\SiteAdv.exe

C:\WINNT\system32\internat.exe

F:\Programme\Spybot - Search & Destroy\TeaTimer.exe

C:\Programme\Mozilla Firefox\firefox.exe

C:\WINNT\system32\cmd.exe

C:\Programme\Trend Micro\HijackThis\HijackThis.exe

C:\WINNT\system32\notepad.exe
 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)

O2 - BHO: (no name) - {089FD14D-132B-48FC-8861-0048AE113215} - C:\Programme\SiteAdvisor\6253\SiteAdv.dll

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - F:\PROGRA~1\Spybot - Search & Destroy\Spybot - 
 

Search & Destroy\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll

O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx

O3 - Toolbar: McAfee SiteAdvisor - {0BF43445-2F28-4351-9252-17FE6E806AA0} - C:\Programme\SiteAdvisor\6253\SiteAdv.dll

O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [F-Secure Manager] "C:\Programme\F-Secure Internet Security\Common\FSM32.EXE" /splash

O4 - HKLM\..\Run: [F-Secure TNB] "C:\Programme\F-Secure Internet Security\FSGUI\TNBUtil.exe" /CHECKALL /WAITFORSW

O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [SiteAdvisor] C:\Programme\SiteAdvisor\6253\SiteAdv.exe

O4 - HKCU\..\Run: [internat.exe] internat.exe

O4 - HKCU\..\Run: [WebWasher] G:\Programme\WebWasher\wwasher.exe

O4 - HKCU\..\Run: [SpybotSD TeaTimer] F:\Programme\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] C:\Programme\Internet Explorer\Connection Wizard\icwconn1.exe /desktop 
 

(User 'Default user')

O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O8 - Extra context menu item: Zur Filterliste hinzufügen (WebWasher) - h*ttp://-Web.Washer-/ie_add

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - 
 

C:\Programme\Java\jre1.6.0_05\bin\ssv.dll

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINNT\bdoscandel.exe

O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - 
 

C:\WINNT\bdoscandel.exe

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - F:\PROGRA~1\Spybot - Search & Destroy\Spybot - Search 
 

& Destroy\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - 
 

F:\PROGRA~1\Spybot - Search & Destroy\Spybot - Search & Destroy\SDHelper.dll

O16 - DPF: {0B79F48A-E8D6-11DB-9283-E25056D89593} (F-Secure Online Scanner 3.1) - h*ttp://support.f-secure.com/ols/fscax.cab

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - 
 

h*tp://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab

O16 - DPF: {215B8138-A3CF-44C5-803F-8226143CFC0A} (Trend Micro ActiveX Scan Agent 6.6) - 
 

h*tp://eu-housecall.trendmicro-europe.com/housecall/applet/html/native/x86/win32/activex/hcImpl.cab

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - h*tp://www.bitdefender.de/scan_de/scan8/oscan8.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - 
 

h*tp://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1188598975842

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - 
 

h*tp://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1152969734954

O16 - DPF: {74DBCB52-F298-4110-951D-AD2FF67BC8AB} (NVIDIA Smart Scan) - 
 

h*tp://www.nvidia.com/content/DriverDownload/nforce/NvidiaSmartScan.cab

O16 - DPF: {A796D216-2DE1-4EA8-BABB-FE6E7C959098} (HPSDDX Class) - h*ttp://www.hp.com/cpso-support-new/SDD/hpsddObjSigned.cab

O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - 
 

h*tp://download.mcafee.com/molbin/iss-loc/mcfscan/2,2,0,5262/mcfscan.cab

O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe

O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe

O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - 
 

C:\WINNT\System32\dmadmin.exe

O23 - Service: FSGKHS (F-Secure Gatekeeper Handler Starter) - F-Secure Corporation - C:\Programme\F-Secure Internet 
 

Security\Anti-Virus\fsgk32st.exe

O23 - Service: F-Secure Automatic Update Agent (FSAUA) - F-Secure Corporation - C:\Programme\F-Secure Internet 
 

Security\FSAUA\program\fsaua.exe

O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Programme\F-Secure Internet 
 

Security\FWES\Program\fsdfwd.exe

O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Programme\F-Secure Internet 
 

Security\Common\FSMA32.EXE

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame 
 

Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe

O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - 
 

C:\Programme\WinPcap\rpcapd.exe

O23 - Service: SiteAdvisor-Dienst (SiteAdvisor Service) - Unknown owner - C:\Programme\SiteAdvisor\6253\SAService.exe

O24 - Desktop Component 0: (no name) - (no file)

O24 - Desktop Component 1: (no name) - C:\Dokumente und Einstellungen\user\Desktop\xyz.jpg
 

--

End of file - 6538 bytes

*schieb* mit der Bitte das HiJacklog anzuschauen. Mir kommt diese kurzfristige Kontaktaufnahme zu Beginn des Browserstarts einfach komisch vor. Vor allen Dingen, weil ich es sehr genau mit der Netzsicherheit halte (Online mit einem nicht-administrativen User, Sicherheitssoftware, aktuell halten des Systems und seiner Sicherheitsprogramme, Dr. Web Linkchecker)

Danke

Nochmal ein Hallo

mag denn keiner wenigstens mal mein Log anschauen und mir sagen, ob etwas "krumm" ist? Die Kontaktaufnahme zu Akamai findet definitv erst statt, wenn ich dem McAfee Siteadvisor in der Firewall das OK zum Internetzugang gebe (nachdem der Firefox gestartet ist), wenn ich verweigere, kann ich mit dem Firefox nicht surfen. Dann kann doch etwas nicht stimmen :-/

Hallo :)

Schau Dir mal die Kundenliste von Akamai an unter M.

Keine Gefahr im Verzug und im Log ist auch nichts zu sehen.

Hallo und vielen Dank für die Antwort :)

Dachte mir auch, dass bei all meinen Vorkehrungen eigentlich nichts drauf sein dürfte, aber wirklich wissen konnte ich es jetzt letztendlich nicht.

Tja, dann wird es wohl eine Form von Spyware sein, nett, dass McAfee deutlich vor der Installation drauf hinweist...:pfui: Mir ist zumindest bei der Installation nichts aufgefallen :confused:

Also deinstallieren, denke ich mal. Schade, das Tool ist sinnvoll und so wie es aussieht auch zum Weiterverkauf von Info's - ist ja auch interessant, wo die Leutchen so hinsurfen :mad:

IMHO:

Also: wer keinen zusätzlichen Big Brother beim Surfen dabei haben will, sollte auf das Tool Site Advisor von McAfee besser verzichten

Akamai ist weniger für Spyware Dienste als für Lastverteilung im Internet bekannt. Ich denke eher das der Site Adviser genau davon gebrauch macht, um die Informationen lokalisiert und schnell zur Verfügung zu stellen.

Hallo

ich möchte aber meinen Rechner und meine Bandbreite nicht dafür zur Verfügung stellen.

Ich habe jetzt den Site Advisor deinstalliert und kann sagen, dass er sich tief ins BS einnistet, selbst mit der Deinstallation über "Software" blieb pratisch alles in der Reg zurück, ich musste es komplett händisch entfernen. Das Problem konnte ich so nur bedingt reduzieren. Ich habe jetzt in der FW die gesamten IP Bereiche von Akamai gesperrt und kann nur staunen, wie häufig versucht wird, auf's Internet zuzugreifen (Out) :eek: Die IP Bereiche sind: 84.53.146.0- .255 und 88.221.0.0 - .255.255. Etwa im 5 Minutentakt werde ich von meiner FW über Zugriffsversuche informiert.

Nach dieser IP Bereichssperrung wird nun als erstes auf Google zugegriffen - auch seltsam, ich habe nichts von Google installiert (ein DNS Server wird es wohl nicht sein, da ich Google als DNS nicht eingepflegt habe - IP: 209.85.133.91).

Ich habe nochmals mit aktuellen Online- als auch Offline Scannern überprüft und nichts gefunden. Besonders interessant finde ich, dass ich z.B. die Seite des Trend micro Online Scanner Housecall nicht mehr aufrufen kann, seit ich diese IP Bereiche gesperrt habe - die Seite ist nicht mehr erreichbar und ich bekomme laufend Meldungen über Akamai. :confused:

Vermutlich hilft nur eine Deinstallation und Neueinspielung beider Browser? Oder hat jemand ein andere Idee? Ich hatte diese Probleme zuvor jedenfalls nicht :confused:

Danke für Tipps

Hi,

hast Du wirklich die oben verlinkte Liste der Akamei-Kunden gelesen? Da steht auch Trendmicro drauf, wenn Du Akamei sperrst brauchst Du dich nicht zu wundern, wenn der Onlinescan nicht geht. ein Teil des Geschäftes von Akamei besteht darin, für andere Bandbreite anzubieten, die selber keine Lust haben, sich um die Serverfarms zu kümmern. Ich denke Du wirst dich noch wundern, was alles nicht funktioniert. Am nächsten Patchtag werde ich mal schauen, ob die Windowsupdates auch von Akamei kommen, Microsoft steht jedenfalls auch auf der Liste.

Kennst Du TcpView und Wireshark? Zwei Programme, die dir eventuell helfen können große erschrockene Augen zu bekommen.

Gruß, Karl

Hallo

ja, die Tools kenne ich, mit netstat -an sehe ich die IPs, das reichte mir bisher.

Stimmt, ich habe die Liste nicht komplett durch gearbeitet (ich kann nach IP Sperrung ja nicht mehr drauf zu greifen :rolleyes: ) - Danke für den Hinweis. Dann hat Akamei pratisch einen Freifahrtschein durch die Firmen und kann Daten ohne Ende abgreifen, ohne das es dem User wirklich bekannt ist. Moderne Spyware :aplaus: Gruselige Aussichten

Zitat:

Zitat von TilliT (Beitrag 342535)

Dann hat Akamei pratisch einen Freifahrtschein durch die Firmen und kann Daten ohne Ende abgreifen, ohne das es dem User wirklich bekannt ist.

Ich denke nicht das Akamai Zugriff auf Datenebene hat. Und mit dem, was User nicht wissen, was auf dem Rechner passiert, kann man Täler füllen.

Aber es heißt ja, wer sehen will, findet auch.

Hallo

danke für die (ironische) Antwort. Auch wenn kein Zugriff auf Datenebene stattfindet (wer weiß das schon sicher) - die besuchten Seiten sind bares Geld wert. Außerdem wird Bandbreite genommen. Und wenn einige Proggis nach Hause telefonieren, ist dies zumindest häufig abstellbar. Ich finde es einfach schade, dass ein eigentlich sinnvolles Tool, so ein Manko mitbringt und es vor/bei Installation nicht offen legt. Aber da bin ich wohl einfach zu idealistisch ;)

Ich finde den Siteadviser nicht sehr sinnvoll, er läßt sich a) viel zu leicht manipulieren und b) werden immer mehr vertrauenswürdige Webseiten mit Schadcode versehen, eine trügerische Sicherheit also.

Und niemand weiß nichts genaues, solange es nicht Open Source ist, ich lese bevor ich paranoid werde, auch gerne die technischen Anleitungen (die sicher nicht immer der Wahrheit entsprechen müssen).

Prinzipell bietet Akamai alles, für das man zahlt

Zitat:

Produkte der EdgePlatform, Inhaltsübertragung, HTTP-Inhaltsübertragung, HTTP-Downloads, FTP-Downloads, Streaming, Lizenzübertragung, NetStorage, Site-Übertragung, Dynamic Site Accelerator, EdgeComputing, Anwendungsübertragung, Web Application Accelerator, Ursprungsprodukte, Global Traffic Management
EdgeScape, Erweitertes DNS,WebTrends Analyse

Und die Benutzung von Bandbreite ist normal. Schließlich muss er die Links an einen Server senden um von dort dann die dazugehörigen Bewertungen zu erhalten, das ist zusätzlicher Traffic und Verzögerung. Außerdem kann der Server natürlich ganz wunderbare Nutzungsprofile erstellen :).

@KarlKarl
genau das paßt nicht, weil bereits beim Browserstart ca. 15-20 Verbindungen im Bereich 1000 bis 1200 geöffnet werden, obwohl sich z.B. nur 1 Startseite geöffnet hat. Erst das Blockieren der IP Bereiche in der FW hat das beendet, obwohl ich den Siteadvisor komplett deinstalliert hatte (incl. Entfernung erkennbarer Einträge in der Registry), wurden die Türchen immer noch fleissig geöffnet - DAS gibt mir noch mehr zu denken...

Ich lass die Finger von diesem Tool weg, das hilft mir dann auch ;)