Hallo.

Vor ein paar Tagen fiel mir auf, dass mein AntiVir Guard beim Start deaktiviert ist, und sich auch nicht wieder starten lässt.
Ich habe mir die Prozesse im Taskmanager angesehen, und bin dabei auf die Datei: C:/Windows/system32/sqd.exe gestossen, die ich nie zuvor gesehen habe. Nachdem ich den Prozess manuell beendet hatte, ließ sich der AntiVirGuard wieder problemlos aktivieren.

Weder AntiVir, noch AVG Antispy oder HijackThis erkennen jedoch die Datei als Malware. Die Dateiinformation gibt außerdem als Originaldateinamen stub.shark an, was mich stutzig macht.

Nach (laienhaftem) Suchen im Internet bringe ich das mit Trojanern in Verbindung - da ich allerdings nicht sehr viel gefunden habe, möchte ich hier gerne zusätzlich einen HiJack-Log posten, damit sich den mal jemand ansehen kann, und von euch erfahren, ob ich diese Datei löschen soll - und vor Allem, wie ich das am sichersten mache. Aus dieser könnt ihr dann ja auch ersehen, welches Betribssystem ich nutze. Weitere Fragen bitte einfach stellen.

Danke.

Zitat:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:06:03, on 17.09.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\Explorer.EXE
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Programme\Gemeinsame Dateien\Seagate\Schedule2\schedul2.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\oodag.exe
C:\Programme\Alcohol Soft\Alcohol 52\StarWind\StarWindServiceAE.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\HiJackThis.exe

O2 - BHO: (no name) - {40C1EBCF-6E2F-486B-84A2-20617D22E8CE} - C:\WINDOWS\system32\hid32.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Seagate\Schedule2\schedul2.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NMIndexingService - Unknown owner - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe (file missing)
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 52\StarWind\StarWindServiceAE.exe

--
End of file - 3349 bytes

Als erstes brauchen wir mehr Informationen zu deinem System, arbeite dazu folgende Anleitungen ab:



Dateien Online überprüfen lassen:

* Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:
(lass auch die versteckten Dateien anzeigen!)

Zitat:

C:\WINDOWS\system32\hid32.dll
C:/Windows/system32/sqd.exe

Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
(Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!)


F-Secure Blacklight – Rootkitscanner:

* Scanne dein System mit F-Secure Blacklight
* Poste im Anschluss das Ergebnis des Reportes in dem du alles abkopierst und hier in einen Beitrag einfügst. (die Datei sollte auf C: angelegt werden.)


MWAV (eScan) - Free Antivirus

-Lies dir folgende Anleitung genau durch und arbeite sie ab
-> Anleitung eScan
Wichtig: Poste im Anschluss das Ergebnis mit Hilfe der *find.bat'.
(rechte Maustaste auf den LINK 'find.bat' , dann "Ziel Speichern unter" -> Desktop)


Gruß
Sunny

Hallöchen und Danke!
Sowohl für die nette Begrüßung, wie auch für die rasche Hilfe.

Versteckte Dateien und alle Dateiendungen werden bei mir grundsätzlich angezeigt.

Die Datei hid32.dll wird mir von AVG-Antispyware tatsächlich als Malware angezeigt, allerdings wird mir bei der entsprechenden Meldung geraten, die Datei zu ignorieren.
Ich habe mich bisher gescheut, sie zu löschen, da ich fürchte, dass sie mit einem Programm - welchem auch immer - auf meine Festplatte gelangt ist, und Selbiges dann nach dem Entfernen der Datei nicht mehr funktionieren könnte.

Aber nun zu den Tests.

Virustotal:

Zitat:

Datei sqd.exe empfangen 2007.09.17 16:18:12 (CET)
Ergebnis: 3/32 (9.38%)

Antivirus - Version - letzte Aktualisierung - Ergebnis
AhnLab-V3 2007.9.14.0 2007.09.14 -
AntiVir 7.6.0.10 2007.09.17 -
Authentium 4.93.8 2007.09.16 -
Avast 4.7.1043.0 2007.09.16 -
AVG 7.5.0.485 2007.09.16 -
BitDefender 7.2 2007.09.17 -
CAT-QuickHeal 9.00 2007.09.17 -
ClamAV 0.91.2 2007.09.17 -
DrWeb 4.33 2007.09.17 -
eSafe 7.0.15.0 2007.09.17 -
eTrust-Vet 31.1.5141 2007.09.17 -
Ewido 4.0 2007.09.17 -
FileAdvisor 1 2007.09.17 -
Fortinet 3.11.0.0 2007.09.17 -
F-Prot 4.3.2.48 2007.09.16 -
F-Secure 6.70.13030.0 2007.09.17 -
Ikarus T3.1.1.12 2007.09.17 -
Kaspersky 4.0.2.24 2007.09.17 -
McAfee 5120 2007.09.14 -
Microsoft 1.2803 2007.09.17 -
NOD32v2 2534 2007.09.17 -
Norman 5.80.02 2007.09.17 -
Panda 9.0.0.4 2007.09.17 -
Prevx1 V2 2007.09.17 -
Rising 19.41.02.00 2007.09.17 -
Sophos 4.21.0 2007.09.17 -
Sunbelt 2.2.907.0 2007.09.15 VIPRE.Suspicious
Symantec 10 2007.09.17 -
TheHacker 6.2.5.061 2007.09.17 W32/Behav-Heuristic-064
VBA32 3.12.2.4 2007.09.17 -
VirusBuster 4.3.26:9 2007.09.17 -
Webwasher-Gateway 6.0.1 2007.09.17 Win32.Malware.gen (suspicious)

weitere Informationen
File size: 7176224 bytes
MD5: 4162a297d13bbd625ce8ae3474cde2ec
SHA1: b1ace1124b78c0aaa8e04cc1cbc120ecfb8131dc
packers: Themida
Sunbelt info: VIPRE.Suspicious is a generic detection for potential threats that are deemed suspicious through heuristics.

Zitat:

Datei hid32.dll empfangen 2007.09.17 16:27:52 (CET)
Ergebnis: 17/31 (54.84%)

Antivirus - Version - letzte Aktualisierung - Ergebnis
AhnLab-V3 2007.9.14.0 2007.09.14 -
AntiVir 7.6.0.10 2007.09.17 ADSPY/Stud.A.43
Authentium 4.93.8 2007.09.16 -
Avast 4.7.1043.0 2007.09.16 Win32:Trojano-3384
AVG 7.5.0.485 2007.09.16 Adware Generic2.AMI
BitDefender 7.2 2007.09.17 Adware.Stud.Y
CAT-QuickHeal 9.00 2007.09.17 AdWare.Stud.a (Not a Virus)
ClamAV 0.91.2 2007.09.17 Trojan.BHO-83
DrWeb 4.33 2007.09.17 -
eSafe 7.0.15.0 2007.09.17 -
eTrust-Vet 31.1.5141 2007.09.17 -
Ewido 4.0 2007.09.17 Adware.Stud
FileAdvisor 1 2007.09.17 -
Fortinet 3.11.0.0 2007.09.17 -
F-Prot 4.3.2.48 2007.09.16 W32/Adware.KBB
F-Secure 6.70.13030.0 2007.09.17 -
Ikarus T3.1.1.12 2007.09.17 not-a-virus:AdWare.Win32.Stud.d
Kaspersky 4.0.2.24 2007.09.17 not-a-virus:AdWare.Win32.Stud.a
McAfee 5120 2007.09.14 -
Microsoft 1.2803 2007.09.17 -
NOD32v2 2534 2007.09.17 a variant of Win32/Adware.BHO.AA
Norman 5.80.02 2007.09.17 W32/Stud.AE
Panda 9.0.0.4 2007.09.17 -
Rising 19.41.02.00 2007.09.17 -
Sophos 4.21.0 2007.09.17 MapKon
Sunbelt 2.2.907.0 2007.09.15 -
Symantec 10 2007.09.17 Adware.Webprefix
TheHacker 6.2.5.061 2007.09.17 Adware/Stud.a
VBA32 3.12.2.4 2007.09.17 suspected of Trojan-Downloader.Agent.47
VirusBuster 4.3.26:9 2007.09.17 -
Webwasher-Gateway 6.0.1 2007.09.17 Ad-Spyware.Stud.A.43

weitere Informationen
File size: 12242 bytes
MD5: 979755407c4d210b9d69d755d68f0e77
SHA1: 2e747d205b9d3166cb4391aa01bc36389c0d20e2
packers: UPX
packers: UPX
packers: UPX
packers: UPX

F-Secure Blacklight hat gar nichts Verdächtiges gefunden:

Zitat:

09/17/07 16:33:49 [Info]: BlackLight Engine 1.0.64 initialized
09/17/07 16:33:49 [Info]: OS: 5.1 build 2600 (Service Pack 2)
09/17/07 16:33:49 [Note]: 7019 4
09/17/07 16:33:49 [Note]: 7005 0
09/17/07 16:33:51 [Note]: 7006 0
09/17/07 16:33:51 [Note]: 7011 1688
09/17/07 16:33:51 [Note]: 7026 0
09/17/07 16:33:51 [Note]: 7026 0
09/17/07 16:33:52 [Note]: FSRAW library version 1.7.1022
09/17/07 16:38:02 [Note]: 7007 0

Das eScan-Ergebnis gibt's im nächsten Post. Muss dazu ja erst in den abgesicherten Modus.

Zitat:

Zitat von Aure

Versteckte Dateien und alle Dateiendungen werden bei mir grundsätzlich angezeigt.

Sehr gut ...

Zitat:

Die Datei hid32.dll wird mir von AVG-Antispyware tatsächlich als Malware angezeigt, allerdings wird mir bei der entsprechenden Meldung geraten, die Datei zu ignorieren.

Wie bitte? Du sollst die Datei ignorieren?
Mein Motor im Auto geht während der Fahrt immer aus, da sagt meine Wekstatt auch nicht, das können sie ignorieren...

Ich warte jetzt noch den eScan ab, dann löschen wir die infizierten Dateien..

Zitat:

Zitat von [Gc]Sunny

Wie bitte? Du sollst die Datei ignorieren?
Mein Motor im Auto geht während der Fahrt immer aus, da sagt meine Wekstatt auch nicht, das können sie ignorieren...

Good point..

Und hier das Ergebnis:
Meinen Namen habe ich mit Sternchen ausgeblendet; bei Bootmodus steht normal - ich habe den Scan im abgesicherten Modus durchgeführt und nur die find.bat nach dem erneuten Booten erst gestartet. Posten ist so wesentlich übersichtlicher. Hoffe das ist in Ordnung so.

C:/Programme/Advantage ist ein Programm, das seit Neustem anscheinend mit Daemon Tools mitinstalliert wird, und Werbung einblenden soll.
Auch hier meine Befürchtung, dass ich das Programm nicht mehr nutzen kann, wenn ich die Adware entferne.

Zitat:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.06.16.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: NORMAL

eScan Version: 9.4.2
Sprache: German
Virus-Datenbank Datum: 9/17/2007

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Object "NULLBYTE Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "mediaadvantage Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "mediaadvantage Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "mediaadvantage Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "titanshield antispyware Corrupted Adware/Spyware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
System found infected with mediaadvantage Spyware/Adware ({602d9049-b4ac-4a25-bf75-a9b54d747cba})! Action taken: Keine Aktion vorgenommen.
System found infected with mediaadvantage Spyware/Adware ({69e0089f-28bc-4bb5-862b-e2b07c3b83c6})! Action taken: Keine Aktion vorgenommen.
System found infected with mediaadvantage Spyware/Adware ({dabf362d-d442-4402-9208-ca9ed70dd01e})! Action taken: Keine Aktion vorgenommen.
System found infected with mediaadvantage Spyware/Adware ({5ac3a9ef-c0f8-41d4-b4e2-b7cebb794151})! Action taken: Keine Aktion vorgenommen.
System found infected with mediaadvantage Spyware/Adware ({862def42-89aa-49fa-ae1f-8a84b1b08a17})! Action taken: Keine Aktion vorgenommen.
System found infected with mediaadvantage Spyware/Adware ({f6e4845d-1d13-4bc0-942d-b9191524cc48})! Action taken: Keine Aktion vorgenommen.
System found infected with mediaadvantage Spyware/Adware ({69e0089f-28bc-4bb5-862b-e2b07c3b83c6})! Action taken: Keine Aktion vorgenommen.
System found infected with mediaadvantage Spyware/Adware (C:\Programme\advantage\advantage.htm)! Action taken: Keine Aktion vorgenommen.
System found infected with mediaadvantage Spyware/Adware (C:\Programme\advantage\tr.dll)! Action taken: Keine Aktion vorgenommen.
System found infected with savenow Adware (C:\WINDOWS\system32\unrar.dll)! Action taken: Keine Aktion vorgenommen.
System found infected with mediaadvantage Spyware/Adware (C:\Programme\advantage\advantage.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with mediaadvantage Spyware/Adware (C:\PROGRA~1\ADVANT~1)! Action taken: Keine Aktion vorgenommen.
System found infected with mediaadvantage Spyware/Adware (C:\Programme\advantage\ffext.mod)! Action taken: Keine Aktion vorgenommen.
System found infected with mediaadvantage Spyware/Adware (C:\Programme\advantage\advantage.db)! Action taken: Keine Aktion vorgenommen.
System found infected with mediaadvantage Spyware/Adware (C:\Programme\advantage\user.db)! Action taken: Keine Aktion vorgenommen.


~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
File C:\WINDOWS\system32\hid32.dll//UPX markiert als "not-a-virus:AdWare.Win32.Stud.a". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\system32\hid32.dll//UPX markiert als "not-a-virus:AdWare.Win32.Stud.a". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\DOKUME~1\*****\LOKALE~1\Temp\~nsu.tmp\Au_.exe markiert als "not-a-virus:AdWare.Win32.SearchLink.c". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Offending file found: C:\Programme\advantage\advantage.htm
Offending file found: C:\Programme\advantage\tr.dll
Offending file found: C:\WINDOWS\system32\unrar.dll
Offending file found: C:\Programme\advantage\advantage.exe
Offending file found: C:\PROGRA~1\ADVANT~1
Offending file found: C:\Programme\advantage\ffext.mod
Offending file found: C:\Programme\advantage\advantage.db
Offending file found: C:\Programme\advantage\user.db
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
Offending Folder found: C:\Dokumente und Einstellungen\***\Desktop\***\***\adv
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Offending Key found: HKCR\mead.1 !!!
Offending Key found: HKCR\tr.trfactory !!!
Offending Key found: HKCR\tr.trfactory.1 !!!
Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\D !!!
Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{045d49e4-63a4-11dc-8c53-003005863f35} !!!


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
Executable Command Found in D\Shell\AutoRun\command: D:\Setup\rsrc\Autorun.exe
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
C:\WINDOWS\System32\drivers\etc\hosts :
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Gescannte Dateien: 27228
Gefundene Viren: 25
Anzahl der desinfizierten Dateien: 0
Umbenannte Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl Fehler: 26
Dauer des Scans bisher: 00:01:27
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Specherüberprüfung: Aktiviert
Registry Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Dienste: Aktiviert

Batchstart: 17:00:47,54
Batchende: 17:00:58,31

Hallo,

ich fürchte, du wirst den eScan wiederholen müssen, denn wie man an der Anzahl der gescannten Dateien und der Dauer des Scans sieht, ist er nicht vollständig gewesen.

Sunny wird dir eine Anleitung zur Entfernung der sqd.exe (und anderer Dateien) posten, nehme ich an. Du solltest die sqd.exe zuvor aber zur Überprüfung an mehrere AV-Hersteller einsenden. In den FAQ gibt es Hinweise dazu, wie's geht. Vielleicht hat auch unser User mmk Lust, sie sich anzusehen: siehe hier, mit Verweis auf diesen Thread.

Ein Schädling, der dein AV-Programm ausknipst, sollte nämlich nicht nur entfernt werden, falls möglich, sondern zuvor möglichst genau identifiziert werden.