Hallo.

Vor ein paar Tagen fiel mir auf, dass mein AntiVir Guard beim Start deaktiviert ist, und sich auch nicht wieder starten lässt.
Ich habe mir die Prozesse im Taskmanager angesehen, und bin dabei auf die Datei: C:/Windows/system32/sqd.exe gestossen, die ich nie zuvor gesehen habe. Nachdem ich den Prozess manuell beendet hatte, ließ sich der AntiVirGuard wieder problemlos aktivieren.

Weder AntiVir, noch AVG Antispy oder HijackThis erkennen jedoch die Datei als Malware. Die Dateiinformation gibt außerdem als Originaldateinamen stub.shark an, was mich stutzig macht.

Nach (laienhaftem) Suchen im Internet bringe ich das mit Trojanern in Verbindung - da ich allerdings nicht sehr viel gefunden habe, möchte ich hier gerne zusätzlich einen HiJack-Log posten, damit sich den mal jemand ansehen kann, und von euch erfahren, ob ich diese Datei löschen soll - und vor Allem, wie ich das am sichersten mache. Aus dieser könnt ihr dann ja auch ersehen, welches Betribssystem ich nutze. Weitere Fragen bitte einfach stellen.

Danke.

Zitat:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:06:03, on 17.09.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\Explorer.EXE
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Programme\Gemeinsame Dateien\Seagate\Schedule2\schedul2.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\oodag.exe
C:\Programme\Alcohol Soft\Alcohol 52\StarWind\StarWindServiceAE.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\HiJackThis.exe

O2 - BHO: (no name) - {40C1EBCF-6E2F-486B-84A2-20617D22E8CE} - C:\WINDOWS\system32\hid32.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Seagate\Schedule2\schedul2.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NMIndexingService - Unknown owner - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe (file missing)
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 52\StarWind\StarWindServiceAE.exe

--
End of file - 3349 bytes

Als erstes brauchen wir mehr Informationen zu deinem System, arbeite dazu folgende Anleitungen ab:



Dateien Online überprüfen lassen:

* Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:
(lass auch die versteckten Dateien anzeigen!)

Zitat:

C:\WINDOWS\system32\hid32.dll
C:/Windows/system32/sqd.exe

Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
(Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!)


F-Secure Blacklight – Rootkitscanner:

* Scanne dein System mit F-Secure Blacklight
* Poste im Anschluss das Ergebnis des Reportes in dem du alles abkopierst und hier in einen Beitrag einfügst. (die Datei sollte auf C: angelegt werden.)


MWAV (eScan) - Free Antivirus

-Lies dir folgende Anleitung genau durch und arbeite sie ab
-> Anleitung eScan
Wichtig: Poste im Anschluss das Ergebnis mit Hilfe der *find.bat'.
(rechte Maustaste auf den LINK 'find.bat' , dann "Ziel Speichern unter" -> Desktop)


Gruß
Sunny

Hallöchen und Danke!
Sowohl für die nette Begrüßung, wie auch für die rasche Hilfe.

Versteckte Dateien und alle Dateiendungen werden bei mir grundsätzlich angezeigt.

Die Datei hid32.dll wird mir von AVG-Antispyware tatsächlich als Malware angezeigt, allerdings wird mir bei der entsprechenden Meldung geraten, die Datei zu ignorieren.
Ich habe mich bisher gescheut, sie zu löschen, da ich fürchte, dass sie mit einem Programm - welchem auch immer - auf meine Festplatte gelangt ist, und Selbiges dann nach dem Entfernen der Datei nicht mehr funktionieren könnte.

Aber nun zu den Tests.

Virustotal:

Zitat:

Datei sqd.exe empfangen 2007.09.17 16:18:12 (CET)
Ergebnis: 3/32 (9.38%)

Antivirus - Version - letzte Aktualisierung - Ergebnis
AhnLab-V3 2007.9.14.0 2007.09.14 -
AntiVir 7.6.0.10 2007.09.17 -
Authentium 4.93.8 2007.09.16 -
Avast 4.7.1043.0 2007.09.16 -
AVG 7.5.0.485 2007.09.16 -
BitDefender 7.2 2007.09.17 -
CAT-QuickHeal 9.00 2007.09.17 -
ClamAV 0.91.2 2007.09.17 -
DrWeb 4.33 2007.09.17 -
eSafe 7.0.15.0 2007.09.17 -
eTrust-Vet 31.1.5141 2007.09.17 -
Ewido 4.0 2007.09.17 -
FileAdvisor 1 2007.09.17 -
Fortinet 3.11.0.0 2007.09.17 -
F-Prot 4.3.2.48 2007.09.16 -
F-Secure 6.70.13030.0 2007.09.17 -
Ikarus T3.1.1.12 2007.09.17 -
Kaspersky 4.0.2.24 2007.09.17 -
McAfee 5120 2007.09.14 -
Microsoft 1.2803 2007.09.17 -
NOD32v2 2534 2007.09.17 -
Norman 5.80.02 2007.09.17 -
Panda 9.0.0.4 2007.09.17 -
Prevx1 V2 2007.09.17 -
Rising 19.41.02.00 2007.09.17 -
Sophos 4.21.0 2007.09.17 -
Sunbelt 2.2.907.0 2007.09.15 VIPRE.Suspicious
Symantec 10 2007.09.17 -
TheHacker 6.2.5.061 2007.09.17 W32/Behav-Heuristic-064
VBA32 3.12.2.4 2007.09.17 -
VirusBuster 4.3.26:9 2007.09.17 -
Webwasher-Gateway 6.0.1 2007.09.17 Win32.Malware.gen (suspicious)

weitere Informationen
File size: 7176224 bytes
MD5: 4162a297d13bbd625ce8ae3474cde2ec
SHA1: b1ace1124b78c0aaa8e04cc1cbc120ecfb8131dc
packers: Themida
Sunbelt info: VIPRE.Suspicious is a generic detection for potential threats that are deemed suspicious through heuristics.

Zitat:

Datei hid32.dll empfangen 2007.09.17 16:27:52 (CET)
Ergebnis: 17/31 (54.84%)

Antivirus - Version - letzte Aktualisierung - Ergebnis
AhnLab-V3 2007.9.14.0 2007.09.14 -
AntiVir 7.6.0.10 2007.09.17 ADSPY/Stud.A.43
Authentium 4.93.8 2007.09.16 -
Avast 4.7.1043.0 2007.09.16 Win32:Trojano-3384
AVG 7.5.0.485 2007.09.16 Adware Generic2.AMI
BitDefender 7.2 2007.09.17 Adware.Stud.Y
CAT-QuickHeal 9.00 2007.09.17 AdWare.Stud.a (Not a Virus)
ClamAV 0.91.2 2007.09.17 Trojan.BHO-83
DrWeb 4.33 2007.09.17 -
eSafe 7.0.15.0 2007.09.17 -
eTrust-Vet 31.1.5141 2007.09.17 -
Ewido 4.0 2007.09.17 Adware.Stud
FileAdvisor 1 2007.09.17 -
Fortinet 3.11.0.0 2007.09.17 -
F-Prot 4.3.2.48 2007.09.16 W32/Adware.KBB
F-Secure 6.70.13030.0 2007.09.17 -
Ikarus T3.1.1.12 2007.09.17 not-a-virus:AdWare.Win32.Stud.d
Kaspersky 4.0.2.24 2007.09.17 not-a-virus:AdWare.Win32.Stud.a
McAfee 5120 2007.09.14 -
Microsoft 1.2803 2007.09.17 -
NOD32v2 2534 2007.09.17 a variant of Win32/Adware.BHO.AA
Norman 5.80.02 2007.09.17 W32/Stud.AE
Panda 9.0.0.4 2007.09.17 -
Rising 19.41.02.00 2007.09.17 -
Sophos 4.21.0 2007.09.17 MapKon
Sunbelt 2.2.907.0 2007.09.15 -
Symantec 10 2007.09.17 Adware.Webprefix
TheHacker 6.2.5.061 2007.09.17 Adware/Stud.a
VBA32 3.12.2.4 2007.09.17 suspected of Trojan-Downloader.Agent.47
VirusBuster 4.3.26:9 2007.09.17 -
Webwasher-Gateway 6.0.1 2007.09.17 Ad-Spyware.Stud.A.43

weitere Informationen
File size: 12242 bytes
MD5: 979755407c4d210b9d69d755d68f0e77
SHA1: 2e747d205b9d3166cb4391aa01bc36389c0d20e2
packers: UPX
packers: UPX
packers: UPX
packers: UPX

F-Secure Blacklight hat gar nichts Verdächtiges gefunden:

Zitat:

09/17/07 16:33:49 [Info]: BlackLight Engine 1.0.64 initialized
09/17/07 16:33:49 [Info]: OS: 5.1 build 2600 (Service Pack 2)
09/17/07 16:33:49 [Note]: 7019 4
09/17/07 16:33:49 [Note]: 7005 0
09/17/07 16:33:51 [Note]: 7006 0
09/17/07 16:33:51 [Note]: 7011 1688
09/17/07 16:33:51 [Note]: 7026 0
09/17/07 16:33:51 [Note]: 7026 0
09/17/07 16:33:52 [Note]: FSRAW library version 1.7.1022
09/17/07 16:38:02 [Note]: 7007 0

Das eScan-Ergebnis gibt's im nächsten Post. Muss dazu ja erst in den abgesicherten Modus.

Zitat:

Zitat von Aure

Versteckte Dateien und alle Dateiendungen werden bei mir grundsätzlich angezeigt.

Sehr gut ...

Zitat:

Die Datei hid32.dll wird mir von AVG-Antispyware tatsächlich als Malware angezeigt, allerdings wird mir bei der entsprechenden Meldung geraten, die Datei zu ignorieren.

Wie bitte? Du sollst die Datei ignorieren?
Mein Motor im Auto geht während der Fahrt immer aus, da sagt meine Wekstatt auch nicht, das können sie ignorieren...

Ich warte jetzt noch den eScan ab, dann löschen wir die infizierten Dateien..

Zitat:

Zitat von [Gc]Sunny

Wie bitte? Du sollst die Datei ignorieren?
Mein Motor im Auto geht während der Fahrt immer aus, da sagt meine Wekstatt auch nicht, das können sie ignorieren...

Good point..

Und hier das Ergebnis:
Meinen Namen habe ich mit Sternchen ausgeblendet; bei Bootmodus steht normal - ich habe den Scan im abgesicherten Modus durchgeführt und nur die find.bat nach dem erneuten Booten erst gestartet. Posten ist so wesentlich übersichtlicher. Hoffe das ist in Ordnung so.

C:/Programme/Advantage ist ein Programm, das seit Neustem anscheinend mit Daemon Tools mitinstalliert wird, und Werbung einblenden soll.
Auch hier meine Befürchtung, dass ich das Programm nicht mehr nutzen kann, wenn ich die Adware entferne.

Zitat:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.06.16.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: NORMAL

eScan Version: 9.4.2
Sprache: German
Virus-Datenbank Datum: 9/17/2007

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Object "NULLBYTE Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "mediaadvantage Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "mediaadvantage Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "mediaadvantage Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "titanshield antispyware Corrupted Adware/Spyware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
System found infected with mediaadvantage Spyware/Adware ({602d9049-b4ac-4a25-bf75-a9b54d747cba})! Action taken: Keine Aktion vorgenommen.
System found infected with mediaadvantage Spyware/Adware ({69e0089f-28bc-4bb5-862b-e2b07c3b83c6})! Action taken: Keine Aktion vorgenommen.
System found infected with mediaadvantage Spyware/Adware ({dabf362d-d442-4402-9208-ca9ed70dd01e})! Action taken: Keine Aktion vorgenommen.
System found infected with mediaadvantage Spyware/Adware ({5ac3a9ef-c0f8-41d4-b4e2-b7cebb794151})! Action taken: Keine Aktion vorgenommen.
System found infected with mediaadvantage Spyware/Adware ({862def42-89aa-49fa-ae1f-8a84b1b08a17})! Action taken: Keine Aktion vorgenommen.
System found infected with mediaadvantage Spyware/Adware ({f6e4845d-1d13-4bc0-942d-b9191524cc48})! Action taken: Keine Aktion vorgenommen.
System found infected with mediaadvantage Spyware/Adware ({69e0089f-28bc-4bb5-862b-e2b07c3b83c6})! Action taken: Keine Aktion vorgenommen.
System found infected with mediaadvantage Spyware/Adware (C:\Programme\advantage\advantage.htm)! Action taken: Keine Aktion vorgenommen.
System found infected with mediaadvantage Spyware/Adware (C:\Programme\advantage\tr.dll)! Action taken: Keine Aktion vorgenommen.
System found infected with savenow Adware (C:\WINDOWS\system32\unrar.dll)! Action taken: Keine Aktion vorgenommen.
System found infected with mediaadvantage Spyware/Adware (C:\Programme\advantage\advantage.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with mediaadvantage Spyware/Adware (C:\PROGRA~1\ADVANT~1)! Action taken: Keine Aktion vorgenommen.
System found infected with mediaadvantage Spyware/Adware (C:\Programme\advantage\ffext.mod)! Action taken: Keine Aktion vorgenommen.
System found infected with mediaadvantage Spyware/Adware (C:\Programme\advantage\advantage.db)! Action taken: Keine Aktion vorgenommen.
System found infected with mediaadvantage Spyware/Adware (C:\Programme\advantage\user.db)! Action taken: Keine Aktion vorgenommen.


~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
File C:\WINDOWS\system32\hid32.dll//UPX markiert als "not-a-virus:AdWare.Win32.Stud.a". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\system32\hid32.dll//UPX markiert als "not-a-virus:AdWare.Win32.Stud.a". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\DOKUME~1\*****\LOKALE~1\Temp\~nsu.tmp\Au_.exe markiert als "not-a-virus:AdWare.Win32.SearchLink.c". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Offending file found: C:\Programme\advantage\advantage.htm
Offending file found: C:\Programme\advantage\tr.dll
Offending file found: C:\WINDOWS\system32\unrar.dll
Offending file found: C:\Programme\advantage\advantage.exe
Offending file found: C:\PROGRA~1\ADVANT~1
Offending file found: C:\Programme\advantage\ffext.mod
Offending file found: C:\Programme\advantage\advantage.db
Offending file found: C:\Programme\advantage\user.db
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
Offending Folder found: C:\Dokumente und Einstellungen\***\Desktop\***\***\adv
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Offending Key found: HKCR\mead.1 !!!
Offending Key found: HKCR\tr.trfactory !!!
Offending Key found: HKCR\tr.trfactory.1 !!!
Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\D !!!
Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{045d49e4-63a4-11dc-8c53-003005863f35} !!!


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
Executable Command Found in D\Shell\AutoRun\command: D:\Setup\rsrc\Autorun.exe
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
C:\WINDOWS\System32\drivers\etc\hosts :
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Gescannte Dateien: 27228
Gefundene Viren: 25
Anzahl der desinfizierten Dateien: 0
Umbenannte Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl Fehler: 26
Dauer des Scans bisher: 00:01:27
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Specherüberprüfung: Aktiviert
Registry Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Dienste: Aktiviert

Batchstart: 17:00:47,54
Batchende: 17:00:58,31

Hallo,

ich fürchte, du wirst den eScan wiederholen müssen, denn wie man an der Anzahl der gescannten Dateien und der Dauer des Scans sieht, ist er nicht vollständig gewesen.

Sunny wird dir eine Anleitung zur Entfernung der sqd.exe (und anderer Dateien) posten, nehme ich an. Du solltest die sqd.exe zuvor aber zur Überprüfung an mehrere AV-Hersteller einsenden. In den FAQ gibt es Hinweise dazu, wie's geht. Vielleicht hat auch unser User mmk Lust, sie sich anzusehen: siehe hier, mit Verweis auf diesen Thread.

Ein Schädling, der dein AV-Programm ausknipst, sollte nämlich nicht nur entfernt werden, falls möglich, sondern zuvor möglichst genau identifiziert werden.

Hallo Franz,

ich hatte den ersten Scan versehentlich abgebrochen und dann wohl vergessen die entsprechenden Optionen einzustellen. Danke, dass du mich darauf aufmerksam gemacht hast.

Genanntem User habe ich bereits eine Email gesandt, und auch an einige AV-Hersteller werde ich mich wenden.

Zitat:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.06.16.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: NETWORK

eScan Version: 9.4.2
Sprache: German
Virus-Datenbank Datum: 9/17/2007

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Object "NULLBYTE Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "mediaadvantage Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "mediaadvantage Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "mediaadvantage Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "titanshield antispyware Corrupted Adware/Spyware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
System found infected with mediaadvantage Spyware/Adware ({602d9049-b4ac-4a25-bf75-a9b54d747cba})! Action taken: Keine Aktion vorgenommen.
System found infected with mediaadvantage Spyware/Adware ({69e0089f-28bc-4bb5-862b-e2b07c3b83c6})! Action taken: Keine Aktion vorgenommen.
System found infected with mediaadvantage Spyware/Adware ({dabf362d-d442-4402-9208-ca9ed70dd01e})! Action taken: Keine Aktion vorgenommen.
System found infected with mediaadvantage Spyware/Adware ({5ac3a9ef-c0f8-41d4-b4e2-b7cebb794151})! Action taken: Keine Aktion vorgenommen.
System found infected with mediaadvantage Spyware/Adware ({862def42-89aa-49fa-ae1f-8a84b1b08a17})! Action taken: Keine Aktion vorgenommen.
System found infected with mediaadvantage Spyware/Adware ({f6e4845d-1d13-4bc0-942d-b9191524cc48})! Action taken: Keine Aktion vorgenommen.
System found infected with mediaadvantage Spyware/Adware ({69e0089f-28bc-4bb5-862b-e2b07c3b83c6})! Action taken: Keine Aktion vorgenommen.
System found infected with mediaadvantage Spyware/Adware (C:\Programme\advantage\advantage.htm)! Action taken: Keine Aktion vorgenommen.
System found infected with mediaadvantage Spyware/Adware (C:\Programme\advantage\tr.dll)! Action taken: Keine Aktion vorgenommen.
System found infected with savenow Adware (C:\WINDOWS\system32\unrar.dll)! Action taken: Keine Aktion vorgenommen.
System found infected with mediaadvantage Spyware/Adware (C:\Programme\advantage\advantage.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with mediaadvantage Spyware/Adware (C:\PROGRA~1\ADVANT~1)! Action taken: Keine Aktion vorgenommen.
System found infected with mediaadvantage Spyware/Adware (C:\Programme\advantage\ffext.mod)! Action taken: Keine Aktion vorgenommen.
System found infected with mediaadvantage Spyware/Adware (C:\Programme\advantage\advantage.db)! Action taken: Keine Aktion vorgenommen.
System found infected with mediaadvantage Spyware/Adware (C:\Programme\advantage\user.db)! Action taken: Keine Aktion vorgenommen.


~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
File C:\WINDOWS\system32\hid32.dll//UPX markiert als "not-a-virus:AdWare.Win32.Stud.a". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\system32\hid32.dll//UPX markiert als "not-a-virus:AdWare.Win32.Stud.a". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{5F8F0F83-E6B5-42A9-8A9D-DF94C636C0A0}\RP111\A0039141.exe markiert als "not-a-virus:AdWare.Win32.SearchLink.c". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{5F8F0F83-E6B5-42A9-8A9D-DF94C636C0A0}\RP111\A0039163.exe markiert als "not-a-virus:AdWare.Win32.SearchLink.c". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\system32\hid32.dll//UPX markiert als "not-a-virus:AdWare.Win32.Stud.a". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Offending file found: C:\Programme\advantage\advantage.htm
Offending file found: C:\Programme\advantage\tr.dll
Offending file found: C:\WINDOWS\system32\unrar.dll
Offending file found: C:\Programme\advantage\advantage.exe
Offending file found: C:\PROGRA~1\ADVANT~1
Offending file found: C:\Programme\advantage\ffext.mod
Offending file found: C:\Programme\advantage\advantage.db
Offending file found: C:\Programme\advantage\user.db
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
Offending Folder found: C:\Dokumente und Einstellungen\*****\Desktop\***\***\adv
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Offending Key found: HKCR\mead.1 !!!
Offending Key found: HKCR\tr.trfactory !!!
Offending Key found: HKCR\tr.trfactory.1 !!!
Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\D !!!


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
Executable Command Found in D\Shell\AutoRun\command: D:\Setup\rsrc\Autorun.exe
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
C:\WINDOWS\System32\drivers\etc\hosts :
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Gescannte Dateien: 93736
Gefundene Viren: 26
Anzahl der desinfizierten Dateien: 0
Umbenannte Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl Fehler: 28
Dauer des Scans bisher: 00:37:50
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Specherüberprüfung: Aktiviert
Registry Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Festplatten: Deaktiviert
Überprüfung aller Festplatten :Aktiviert

Batchstart: 12:15:30,76
Batchende: 12:15:41,53

Anleitung Avenger:

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:



2.) Klicke nun auf die Option „Input Script manually“ -> klicke jetzt auf die Lupe und kopiere folgenden Text rein:

Zitat:

Files to delete:
C:\WINDOWS\system32\hid32.dll

3.) Klicke nun auf die „grüne Ampel“, das Script fängt an zu arbeiten.



4.) Danach das System unverzüglich neu starten lassen
5.) Lass eScan nochmal laufen, erstelle und poste ein neues Logfile.
Poste ausserdem den Inhalt der C:\avenger.txt Datei.



Schädlinge im Ordner der Systemwiederherstellung:

* Deaktiviere die Systemwiederherstellung -> So wird es gemacht.
* Danach das System neu starten, und mit deinem AV-Scanner nach dem Neustart
alles überprüfen.
(Systemwiederherstellung kann nun wieder aktiviert werden.)


Gruß
Sunny

Nur eine kurze Zwischenmeldung:

Sowohl Avira wie auch Fortinet.com haben die Datei sqd.exe analyiert und bereits geantwortet.

Fortinet sagt dazu:

Zitat:

We have analyzed the sample you provided and developed the
pattern to catch it. We will add detection for this sample in the next
regular update.
The samples you submitted will be detected as follows:
sqd.exe - "W32/Agent.CCX!tr"

Und Avira:

Zitat:

The file 'sqd.exe' has been determined to be 'MALWARE'. Our analysts discovered that the file is a Backdoor-Server. The purpose of such programs is to provide remote control capability. Detection will be added to our virus definition file (VDF) with one of the next updates.

Sollte ich jetzt mein System neu aufsetzen - oder kann ich davon ausgehen, dass mein Avira AntiVir das Problem nach einem der nächsten Updates für mich lösen kann?

Zitat:

Zitat von Aure

Sollte ich jetzt mein System neu aufsetzen - oder kann ich davon ausgehen, dass mein Avira AntiVir das Problem nach einem der nächsten Updates für mich lösen kann?

Normalerweise ist das die sicherste, schnellste und effizienteste Lösung!
Ich kann dir die Datei löschen, somit wäre der Sever deaktiviert bzw. nicht mehr zu erreichen.
Genau aus diesem Grund habe ich dein System auch zusätzlich auf Rootkits prüfen lassen, meist nisten sich diese Backdoor-Trojaner irgendwo tief im System ein, und das ist auch der Grund wieso ich die Neuinstallation befürworte.
Man weiß nie was am System verändert wurde oder zukünftig wird...

Gruß
Sunny

Ich werde jetzt zunächst einmal meine Arbeitsaufträge abarbeiten - danach wäre es mir aber sehr, sehr recht, wenn du mir sagen könntest, wie ich dir sqd.exe sicher löschen kann.

Das System werde ich sicherheitshalber trotzdem neu aufsetzen, aber es kann eine Weile dauern bis ich meine ganzen Daten gesichert habe, und es wäre mir wohler, wenn der Backdoor-Server in dieser Zeit nicht mehr zu erreichen wäre.

Übrigens meldet mir AntiVir die Avenger.exe ständig als unerwünschtes Programm.

Hier die Avenger.txt schonmal:

Zitat:

//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////

Error: could not create zip file.
Error code: 1813


//////////////////////////////////////////


Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\biguelyl

*******************

Script file located at: \??\C:\WINDOWS\system32\pyjhjlrh.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\WINDOWS\system32\hid32.dll deleted successfully.

Completed script processing.

*******************

Finished! Terminate.//////////////////////////////////////////


Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\fjfuqeew

*******************

Script file located at: \??\C:\WINDOWS\n^ydeoge.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:



File C:\WINDOWS\system32\hid32.dll not found!
Deletion of file C:\WINDOWS\system32\hid32.dll failed!

Could not process line:
C:\WINDOWS\system32\hid32.dll
Status: 0xc0000034


Completed script processing.

*******************

Finished! Terminate.

eScan läuft, und Virenscanner nach deaktivierter Systemwiederherstellung kommt dann danach.

@Aure: Bitte vor dem endgültigen Löschen die Datei - falls möglich - zur Verbesserung der Erkennung durch Virenscanner noch an die von Franz genannte Adresse senden - Danke!

Schon erledigt, Markus.

Hier noch mal, was eScan ausgespuckt hat:

Zitat:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.06.16.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: NETWORK

eScan Version: 9.4.2
Sprache: German
Virus-Datenbank Datum: 9/17/2007

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Object "NULLBYTE Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "mediaadvantage Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "mediaadvantage Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "mediaadvantage Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "titanshield antispyware Corrupted Adware/Spyware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
System found infected with mediaadvantage Spyware/Adware ({602d9049-b4ac-4a25-bf75-a9b54d747cba})! Action taken: Keine Aktion vorgenommen.
System found infected with mediaadvantage Spyware/Adware ({69e0089f-28bc-4bb5-862b-e2b07c3b83c6})! Action taken: Keine Aktion vorgenommen.
System found infected with mediaadvantage Spyware/Adware ({dabf362d-d442-4402-9208-ca9ed70dd01e})! Action taken: Keine Aktion vorgenommen.
System found infected with mediaadvantage Spyware/Adware ({5ac3a9ef-c0f8-41d4-b4e2-b7cebb794151})! Action taken: Keine Aktion vorgenommen.
System found infected with mediaadvantage Spyware/Adware ({862def42-89aa-49fa-ae1f-8a84b1b08a17})! Action taken: Keine Aktion vorgenommen.
System found infected with mediaadvantage Spyware/Adware ({f6e4845d-1d13-4bc0-942d-b9191524cc48})! Action taken: Keine Aktion vorgenommen.
System found infected with mediaadvantage Spyware/Adware ({69e0089f-28bc-4bb5-862b-e2b07c3b83c6})! Action taken: Keine Aktion vorgenommen.
System found infected with mediaadvantage Spyware/Adware (C:\Programme\advantage\advantage.htm)! Action taken: Keine Aktion vorgenommen.
System found infected with mediaadvantage Spyware/Adware (C:\Programme\advantage\tr.dll)! Action taken: Keine Aktion vorgenommen.
System found infected with savenow Adware (C:\WINDOWS\system32\unrar.dll)! Action taken: Keine Aktion vorgenommen.
System found infected with mediaadvantage Spyware/Adware (C:\Programme\advantage\advantage.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with mediaadvantage Spyware/Adware (C:\PROGRA~1\ADVANT~1)! Action taken: Keine Aktion vorgenommen.
System found infected with mediaadvantage Spyware/Adware (C:\Programme\advantage\ffext.mod)! Action taken: Keine Aktion vorgenommen.
System found infected with mediaadvantage Spyware/Adware (C:\Programme\advantage\advantage.db)! Action taken: Keine Aktion vorgenommen.
System found infected with mediaadvantage Spyware/Adware (C:\Programme\advantage\user.db)! Action taken: Keine Aktion vorgenommen.


~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
File C:\avenger\backup.zip/avenger/hid32.dll//UPX markiert als "not-a-virus:AdWare.Win32.Stud.a". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Offending file found: C:\Programme\advantage\advantage.htm
Offending file found: C:\Programme\advantage\tr.dll
Offending file found: C:\WINDOWS\system32\unrar.dll
Offending file found: C:\Programme\advantage\advantage.exe
Offending file found: C:\PROGRA~1\ADVANT~1
Offending file found: C:\Programme\advantage\ffext.mod
Offending file found: C:\Programme\advantage\advantage.db
Offending file found: C:\Programme\advantage\user.db
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
Offending Folder found: C:\Dokumente und Einstellungen\*****\Desktop\***\***\adv
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Offending Key found: HKCR\mead.1 !!!
Offending Key found: HKCR\tr.trfactory !!!
Offending Key found: HKCR\tr.trfactory.1 !!!
Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\D !!!


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
Executable Command Found in D\Shell\AutoRun\command: D:\Setup\rsrc\Autorun.exe
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
C:\WINDOWS\System32\drivers\etc\hosts :
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Gescannte Dateien: 88893
Gefundene Viren: 22
Anzahl der desinfizierten Dateien: 0
Umbenannte Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl Fehler: 29
Dauer des Scans bisher: 00:31:27
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Specherüberprüfung: Aktiviert
Registry Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Festplatten: Deaktiviert
Überprüfung aller Festplatten :Aktiviert

Batchstart: 22:08:20,75
Batchende: 22:08:41,54

Avira AntiVir sagt:

Zitat:

AntiVir PersonalEdition Classic
Erstellungsdatum der Reportdatei: Dienstag, 18. September 2007 20:27

Es wird nach 1074668 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 2) [5.1.2600]
Benutzername: ****
Computername: ****

Versionsinformationen:
BUILD.DAT : 268 15604 Bytes 31.08.2007 13:01:00
AVSCAN.EXE : 7.0.6.1 290856 Bytes 06.09.2007 00:20:30
AVSCAN.DLL : 7.0.6.0 57384 Bytes 06.09.2007 00:20:30
LUKE.DLL : 7.0.5.3 147496 Bytes 06.09.2007 00:20:30
LUKERES.DLL : 7.0.6.0 10792 Bytes 06.09.2007 00:20:31
ANTIVIR0.VDF : 6.35.0.1 7371264 Bytes 31.05.2006 13:08:58
ANTIVIR1.VDF : 6.39.0.129 7251968 Bytes 10.07.2007 13:25:23
ANTIVIR2.VDF : 6.39.1.120 1918464 Bytes 12.09.2007 16:13:45
ANTIVIR3.VDF : 6.39.1.147 162304 Bytes 18.09.2007 17:18:22
AVEWIN32.DLL : 7.6.0.10 2789888 Bytes 12.09.2007 16:13:45
AVWINLL.DLL : 1.0.0.7 14376 Bytes 26.02.2007 09:36:23
AVPREF.DLL : 7.0.2.2 25640 Bytes 06.09.2007 00:20:30
AVREP.DLL : 7.0.0.1 155688 Bytes 16.04.2007 12:16:24
AVPACK32.DLL : 7.3.0.15 360488 Bytes 04.08.2007 15:21:53
AVREG.DLL : 7.0.1.6 30760 Bytes 06.09.2007 00:20:30
AVARKT.DLL : 1.0.0.20 278568 Bytes 06.09.2007 00:20:24
AVEVTLOG.DLL : 7.0.0.20 86056 Bytes 06.09.2007 00:20:27
NETNT.DLL : 7.0.0.0 7720 Bytes 08.03.2007 10:09:03
RCIMAGE.DLL : 7.0.1.30 2342952 Bytes 06.09.2007 00:20:21
RCTEXT.DLL : 7.0.62.0 90152 Bytes 06.09.2007 00:20:21
SQLITE3.DLL : 3.3.17.1 339968 Bytes 06.09.2007 00:20:31

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: c:\programme\antivir personaledition classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: aus
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:,
Durchsuche Speicher..............: ein
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Alle Dateien
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: mittel
Abweichende Gefahrenkategorien...: +APPL,+GAME,+JOKE,+PCK,+SPR,

Beginn des Suchlaufs: Dienstag, 18. September 2007 20:27

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TeaTimer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wdfmgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'StarWindServiceAE.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'oodag.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'guard.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'schedul2.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LEXPPS.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LEXBCES.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'aawservice.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '27' Prozesse mit '27' Modulen durchsucht

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[HINWEIS] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '15' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\hiberfil.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\*****\Desktop\avenger.exe
[FUND] Enthält Erkennungsmuster des SPR/Avenger-Programmes
[WARNUNG] Die Datei wurde ignoriert.
C:\Dokumente und Einstellungen\*****\Desktop\avenger.zip
[0] Archivtyp: ZIP
--> avenger.exe
[FUND] Enthält Erkennungsmuster des SPR/Avenger-Programmes
[WARNUNG] Die Datei wurde ignoriert.
C:\WINDOWS\system32\drivers\sptd.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!


Ende des Suchlaufs: Dienstag, 18. September 2007 20:50
Benötigte Zeit: 22:46 min

Der Suchlauf wurde vollständig durchgeführt.

5015 Verzeichnisse wurden überprüft
182122 Dateien wurden geprüft
2 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
3 Dateien konnten nicht durchsucht werden
182120 Dateien ohne Befall
1552 Archive wurden durchsucht
5 Warnungen
0 Hinweise

Muss ich mir Sorgen wegen der Dateien machen, die nicht geöffnet werden konnten?

Wieso wird sqd.exe nicht bei den durchsuchten Prozessen angezeigt?
- Die Datei wird automatisch bei Windowsstart geladen, ich muss sie normalerweise im Taskmanager manuell beenden.