Hallöchen und Danke!
Sowohl für die nette Begrüßung, wie auch für die rasche Hilfe.

Versteckte Dateien und alle Dateiendungen werden bei mir grundsätzlich angezeigt.

Die Datei hid32.dll wird mir von AVG-Antispyware tatsächlich als Malware angezeigt, allerdings wird mir bei der entsprechenden Meldung geraten, die Datei zu ignorieren.
Ich habe mich bisher gescheut, sie zu löschen, da ich fürchte, dass sie mit einem Programm - welchem auch immer - auf meine Festplatte gelangt ist, und Selbiges dann nach dem Entfernen der Datei nicht mehr funktionieren könnte.

Aber nun zu den Tests.

Virustotal:

Zitat:

Datei sqd.exe empfangen 2007.09.17 16:18:12 (CET)
Ergebnis: 3/32 (9.38%)

Antivirus - Version - letzte Aktualisierung - Ergebnis
AhnLab-V3 2007.9.14.0 2007.09.14 -
AntiVir 7.6.0.10 2007.09.17 -
Authentium 4.93.8 2007.09.16 -
Avast 4.7.1043.0 2007.09.16 -
AVG 7.5.0.485 2007.09.16 -
BitDefender 7.2 2007.09.17 -
CAT-QuickHeal 9.00 2007.09.17 -
ClamAV 0.91.2 2007.09.17 -
DrWeb 4.33 2007.09.17 -
eSafe 7.0.15.0 2007.09.17 -
eTrust-Vet 31.1.5141 2007.09.17 -
Ewido 4.0 2007.09.17 -
FileAdvisor 1 2007.09.17 -
Fortinet 3.11.0.0 2007.09.17 -
F-Prot 4.3.2.48 2007.09.16 -
F-Secure 6.70.13030.0 2007.09.17 -
Ikarus T3.1.1.12 2007.09.17 -
Kaspersky 4.0.2.24 2007.09.17 -
McAfee 5120 2007.09.14 -
Microsoft 1.2803 2007.09.17 -
NOD32v2 2534 2007.09.17 -
Norman 5.80.02 2007.09.17 -
Panda 9.0.0.4 2007.09.17 -
Prevx1 V2 2007.09.17 -
Rising 19.41.02.00 2007.09.17 -
Sophos 4.21.0 2007.09.17 -
Sunbelt 2.2.907.0 2007.09.15 VIPRE.Suspicious
Symantec 10 2007.09.17 -
TheHacker 6.2.5.061 2007.09.17 W32/Behav-Heuristic-064
VBA32 3.12.2.4 2007.09.17 -
VirusBuster 4.3.26:9 2007.09.17 -
Webwasher-Gateway 6.0.1 2007.09.17 Win32.Malware.gen (suspicious)

weitere Informationen
File size: 7176224 bytes
MD5: 4162a297d13bbd625ce8ae3474cde2ec
SHA1: b1ace1124b78c0aaa8e04cc1cbc120ecfb8131dc
packers: Themida
Sunbelt info: VIPRE.Suspicious is a generic detection for potential threats that are deemed suspicious through heuristics.

Zitat:

Datei hid32.dll empfangen 2007.09.17 16:27:52 (CET)
Ergebnis: 17/31 (54.84%)

Antivirus - Version - letzte Aktualisierung - Ergebnis
AhnLab-V3 2007.9.14.0 2007.09.14 -
AntiVir 7.6.0.10 2007.09.17 ADSPY/Stud.A.43
Authentium 4.93.8 2007.09.16 -
Avast 4.7.1043.0 2007.09.16 Win32:Trojano-3384
AVG 7.5.0.485 2007.09.16 Adware Generic2.AMI
BitDefender 7.2 2007.09.17 Adware.Stud.Y
CAT-QuickHeal 9.00 2007.09.17 AdWare.Stud.a (Not a Virus)
ClamAV 0.91.2 2007.09.17 Trojan.BHO-83
DrWeb 4.33 2007.09.17 -
eSafe 7.0.15.0 2007.09.17 -
eTrust-Vet 31.1.5141 2007.09.17 -
Ewido 4.0 2007.09.17 Adware.Stud
FileAdvisor 1 2007.09.17 -
Fortinet 3.11.0.0 2007.09.17 -
F-Prot 4.3.2.48 2007.09.16 W32/Adware.KBB
F-Secure 6.70.13030.0 2007.09.17 -
Ikarus T3.1.1.12 2007.09.17 not-a-virus:AdWare.Win32.Stud.d
Kaspersky 4.0.2.24 2007.09.17 not-a-virus:AdWare.Win32.Stud.a
McAfee 5120 2007.09.14 -
Microsoft 1.2803 2007.09.17 -
NOD32v2 2534 2007.09.17 a variant of Win32/Adware.BHO.AA
Norman 5.80.02 2007.09.17 W32/Stud.AE
Panda 9.0.0.4 2007.09.17 -
Rising 19.41.02.00 2007.09.17 -
Sophos 4.21.0 2007.09.17 MapKon
Sunbelt 2.2.907.0 2007.09.15 -
Symantec 10 2007.09.17 Adware.Webprefix
TheHacker 6.2.5.061 2007.09.17 Adware/Stud.a
VBA32 3.12.2.4 2007.09.17 suspected of Trojan-Downloader.Agent.47
VirusBuster 4.3.26:9 2007.09.17 -
Webwasher-Gateway 6.0.1 2007.09.17 Ad-Spyware.Stud.A.43

weitere Informationen
File size: 12242 bytes
MD5: 979755407c4d210b9d69d755d68f0e77
SHA1: 2e747d205b9d3166cb4391aa01bc36389c0d20e2
packers: UPX
packers: UPX
packers: UPX
packers: UPX

F-Secure Blacklight hat gar nichts Verdächtiges gefunden:

Zitat:

09/17/07 16:33:49 [Info]: BlackLight Engine 1.0.64 initialized
09/17/07 16:33:49 [Info]: OS: 5.1 build 2600 (Service Pack 2)
09/17/07 16:33:49 [Note]: 7019 4
09/17/07 16:33:49 [Note]: 7005 0
09/17/07 16:33:51 [Note]: 7006 0
09/17/07 16:33:51 [Note]: 7011 1688
09/17/07 16:33:51 [Note]: 7026 0
09/17/07 16:33:51 [Note]: 7026 0
09/17/07 16:33:52 [Note]: FSRAW library version 1.7.1022
09/17/07 16:38:02 [Note]: 7007 0

Das eScan-Ergebnis gibt's im nächsten Post. Muss dazu ja erst in den abgesicherten Modus.

Zitat:

Zitat von Aure

Versteckte Dateien und alle Dateiendungen werden bei mir grundsätzlich angezeigt.

Sehr gut ...

Zitat:

Die Datei hid32.dll wird mir von AVG-Antispyware tatsächlich als Malware angezeigt, allerdings wird mir bei der entsprechenden Meldung geraten, die Datei zu ignorieren.

Wie bitte? Du sollst die Datei ignorieren?
Mein Motor im Auto geht während der Fahrt immer aus, da sagt meine Wekstatt auch nicht, das können sie ignorieren...

Ich warte jetzt noch den eScan ab, dann löschen wir die infizierten Dateien..

Zitat:

Zitat von [Gc]Sunny

Wie bitte? Du sollst die Datei ignorieren?
Mein Motor im Auto geht während der Fahrt immer aus, da sagt meine Wekstatt auch nicht, das können sie ignorieren...

Good point..

Und hier das Ergebnis:
Meinen Namen habe ich mit Sternchen ausgeblendet; bei Bootmodus steht normal - ich habe den Scan im abgesicherten Modus durchgeführt und nur die find.bat nach dem erneuten Booten erst gestartet. Posten ist so wesentlich übersichtlicher. Hoffe das ist in Ordnung so.

C:/Programme/Advantage ist ein Programm, das seit Neustem anscheinend mit Daemon Tools mitinstalliert wird, und Werbung einblenden soll.
Auch hier meine Befürchtung, dass ich das Programm nicht mehr nutzen kann, wenn ich die Adware entferne.

Zitat:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.06.16.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: NORMAL

eScan Version: 9.4.2
Sprache: German
Virus-Datenbank Datum: 9/17/2007

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Object "NULLBYTE Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "mediaadvantage Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "mediaadvantage Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "mediaadvantage Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "titanshield antispyware Corrupted Adware/Spyware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
System found infected with mediaadvantage Spyware/Adware ({602d9049-b4ac-4a25-bf75-a9b54d747cba})! Action taken: Keine Aktion vorgenommen.
System found infected with mediaadvantage Spyware/Adware ({69e0089f-28bc-4bb5-862b-e2b07c3b83c6})! Action taken: Keine Aktion vorgenommen.
System found infected with mediaadvantage Spyware/Adware ({dabf362d-d442-4402-9208-ca9ed70dd01e})! Action taken: Keine Aktion vorgenommen.
System found infected with mediaadvantage Spyware/Adware ({5ac3a9ef-c0f8-41d4-b4e2-b7cebb794151})! Action taken: Keine Aktion vorgenommen.
System found infected with mediaadvantage Spyware/Adware ({862def42-89aa-49fa-ae1f-8a84b1b08a17})! Action taken: Keine Aktion vorgenommen.
System found infected with mediaadvantage Spyware/Adware ({f6e4845d-1d13-4bc0-942d-b9191524cc48})! Action taken: Keine Aktion vorgenommen.
System found infected with mediaadvantage Spyware/Adware ({69e0089f-28bc-4bb5-862b-e2b07c3b83c6})! Action taken: Keine Aktion vorgenommen.
System found infected with mediaadvantage Spyware/Adware (C:\Programme\advantage\advantage.htm)! Action taken: Keine Aktion vorgenommen.
System found infected with mediaadvantage Spyware/Adware (C:\Programme\advantage\tr.dll)! Action taken: Keine Aktion vorgenommen.
System found infected with savenow Adware (C:\WINDOWS\system32\unrar.dll)! Action taken: Keine Aktion vorgenommen.
System found infected with mediaadvantage Spyware/Adware (C:\Programme\advantage\advantage.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with mediaadvantage Spyware/Adware (C:\PROGRA~1\ADVANT~1)! Action taken: Keine Aktion vorgenommen.
System found infected with mediaadvantage Spyware/Adware (C:\Programme\advantage\ffext.mod)! Action taken: Keine Aktion vorgenommen.
System found infected with mediaadvantage Spyware/Adware (C:\Programme\advantage\advantage.db)! Action taken: Keine Aktion vorgenommen.
System found infected with mediaadvantage Spyware/Adware (C:\Programme\advantage\user.db)! Action taken: Keine Aktion vorgenommen.


~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
File C:\WINDOWS\system32\hid32.dll//UPX markiert als "not-a-virus:AdWare.Win32.Stud.a". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\system32\hid32.dll//UPX markiert als "not-a-virus:AdWare.Win32.Stud.a". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\DOKUME~1\*****\LOKALE~1\Temp\~nsu.tmp\Au_.exe markiert als "not-a-virus:AdWare.Win32.SearchLink.c". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Offending file found: C:\Programme\advantage\advantage.htm
Offending file found: C:\Programme\advantage\tr.dll
Offending file found: C:\WINDOWS\system32\unrar.dll
Offending file found: C:\Programme\advantage\advantage.exe
Offending file found: C:\PROGRA~1\ADVANT~1
Offending file found: C:\Programme\advantage\ffext.mod
Offending file found: C:\Programme\advantage\advantage.db
Offending file found: C:\Programme\advantage\user.db
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
Offending Folder found: C:\Dokumente und Einstellungen\***\Desktop\***\***\adv
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Offending Key found: HKCR\mead.1 !!!
Offending Key found: HKCR\tr.trfactory !!!
Offending Key found: HKCR\tr.trfactory.1 !!!
Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\D !!!
Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{045d49e4-63a4-11dc-8c53-003005863f35} !!!


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
Executable Command Found in D\Shell\AutoRun\command: D:\Setup\rsrc\Autorun.exe
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
C:\WINDOWS\System32\drivers\etc\hosts :
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Gescannte Dateien: 27228
Gefundene Viren: 25
Anzahl der desinfizierten Dateien: 0
Umbenannte Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl Fehler: 26
Dauer des Scans bisher: 00:01:27
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Specherüberprüfung: Aktiviert
Registry Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Dienste: Aktiviert

Batchstart: 17:00:47,54
Batchende: 17:00:58,31

Hallo,

ich fürchte, du wirst den eScan wiederholen müssen, denn wie man an der Anzahl der gescannten Dateien und der Dauer des Scans sieht, ist er nicht vollständig gewesen.

Sunny wird dir eine Anleitung zur Entfernung der sqd.exe (und anderer Dateien) posten, nehme ich an. Du solltest die sqd.exe zuvor aber zur Überprüfung an mehrere AV-Hersteller einsenden. In den FAQ gibt es Hinweise dazu, wie's geht. Vielleicht hat auch unser User mmk Lust, sie sich anzusehen: siehe hier, mit Verweis auf diesen Thread.

Ein Schädling, der dein AV-Programm ausknipst, sollte nämlich nicht nur entfernt werden, falls möglich, sondern zuvor möglichst genau identifiziert werden.

Hallo Franz,

ich hatte den ersten Scan versehentlich abgebrochen und dann wohl vergessen die entsprechenden Optionen einzustellen. Danke, dass du mich darauf aufmerksam gemacht hast.

Genanntem User habe ich bereits eine Email gesandt, und auch an einige AV-Hersteller werde ich mich wenden.

Zitat:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.06.16.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: NETWORK

eScan Version: 9.4.2
Sprache: German
Virus-Datenbank Datum: 9/17/2007

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Object "NULLBYTE Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "mediaadvantage Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "mediaadvantage Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "mediaadvantage Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "titanshield antispyware Corrupted Adware/Spyware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
System found infected with mediaadvantage Spyware/Adware ({602d9049-b4ac-4a25-bf75-a9b54d747cba})! Action taken: Keine Aktion vorgenommen.
System found infected with mediaadvantage Spyware/Adware ({69e0089f-28bc-4bb5-862b-e2b07c3b83c6})! Action taken: Keine Aktion vorgenommen.
System found infected with mediaadvantage Spyware/Adware ({dabf362d-d442-4402-9208-ca9ed70dd01e})! Action taken: Keine Aktion vorgenommen.
System found infected with mediaadvantage Spyware/Adware ({5ac3a9ef-c0f8-41d4-b4e2-b7cebb794151})! Action taken: Keine Aktion vorgenommen.
System found infected with mediaadvantage Spyware/Adware ({862def42-89aa-49fa-ae1f-8a84b1b08a17})! Action taken: Keine Aktion vorgenommen.
System found infected with mediaadvantage Spyware/Adware ({f6e4845d-1d13-4bc0-942d-b9191524cc48})! Action taken: Keine Aktion vorgenommen.
System found infected with mediaadvantage Spyware/Adware ({69e0089f-28bc-4bb5-862b-e2b07c3b83c6})! Action taken: Keine Aktion vorgenommen.
System found infected with mediaadvantage Spyware/Adware (C:\Programme\advantage\advantage.htm)! Action taken: Keine Aktion vorgenommen.
System found infected with mediaadvantage Spyware/Adware (C:\Programme\advantage\tr.dll)! Action taken: Keine Aktion vorgenommen.
System found infected with savenow Adware (C:\WINDOWS\system32\unrar.dll)! Action taken: Keine Aktion vorgenommen.
System found infected with mediaadvantage Spyware/Adware (C:\Programme\advantage\advantage.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with mediaadvantage Spyware/Adware (C:\PROGRA~1\ADVANT~1)! Action taken: Keine Aktion vorgenommen.
System found infected with mediaadvantage Spyware/Adware (C:\Programme\advantage\ffext.mod)! Action taken: Keine Aktion vorgenommen.
System found infected with mediaadvantage Spyware/Adware (C:\Programme\advantage\advantage.db)! Action taken: Keine Aktion vorgenommen.
System found infected with mediaadvantage Spyware/Adware (C:\Programme\advantage\user.db)! Action taken: Keine Aktion vorgenommen.


~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
File C:\WINDOWS\system32\hid32.dll//UPX markiert als "not-a-virus:AdWare.Win32.Stud.a". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\system32\hid32.dll//UPX markiert als "not-a-virus:AdWare.Win32.Stud.a". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{5F8F0F83-E6B5-42A9-8A9D-DF94C636C0A0}\RP111\A0039141.exe markiert als "not-a-virus:AdWare.Win32.SearchLink.c". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{5F8F0F83-E6B5-42A9-8A9D-DF94C636C0A0}\RP111\A0039163.exe markiert als "not-a-virus:AdWare.Win32.SearchLink.c". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\system32\hid32.dll//UPX markiert als "not-a-virus:AdWare.Win32.Stud.a". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Offending file found: C:\Programme\advantage\advantage.htm
Offending file found: C:\Programme\advantage\tr.dll
Offending file found: C:\WINDOWS\system32\unrar.dll
Offending file found: C:\Programme\advantage\advantage.exe
Offending file found: C:\PROGRA~1\ADVANT~1
Offending file found: C:\Programme\advantage\ffext.mod
Offending file found: C:\Programme\advantage\advantage.db
Offending file found: C:\Programme\advantage\user.db
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
Offending Folder found: C:\Dokumente und Einstellungen\*****\Desktop\***\***\adv
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Offending Key found: HKCR\mead.1 !!!
Offending Key found: HKCR\tr.trfactory !!!
Offending Key found: HKCR\tr.trfactory.1 !!!
Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\D !!!


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
Executable Command Found in D\Shell\AutoRun\command: D:\Setup\rsrc\Autorun.exe
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
C:\WINDOWS\System32\drivers\etc\hosts :
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Gescannte Dateien: 93736
Gefundene Viren: 26
Anzahl der desinfizierten Dateien: 0
Umbenannte Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl Fehler: 28
Dauer des Scans bisher: 00:37:50
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Specherüberprüfung: Aktiviert
Registry Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Festplatten: Deaktiviert
Überprüfung aller Festplatten :Aktiviert

Batchstart: 12:15:30,76
Batchende: 12:15:41,53

Anleitung Avenger:

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:



2.) Klicke nun auf die Option „Input Script manually“ -> klicke jetzt auf die Lupe und kopiere folgenden Text rein:

Zitat:

Files to delete:
C:\WINDOWS\system32\hid32.dll

3.) Klicke nun auf die „grüne Ampel“, das Script fängt an zu arbeiten.



4.) Danach das System unverzüglich neu starten lassen
5.) Lass eScan nochmal laufen, erstelle und poste ein neues Logfile.
Poste ausserdem den Inhalt der C:\avenger.txt Datei.



Schädlinge im Ordner der Systemwiederherstellung:

* Deaktiviere die Systemwiederherstellung -> So wird es gemacht.
* Danach das System neu starten, und mit deinem AV-Scanner nach dem Neustart
alles überprüfen.
(Systemwiederherstellung kann nun wieder aktiviert werden.)


Gruß
Sunny

Nur eine kurze Zwischenmeldung:

Sowohl Avira wie auch Fortinet.com haben die Datei sqd.exe analyiert und bereits geantwortet.

Fortinet sagt dazu:

Zitat:

We have analyzed the sample you provided and developed the
pattern to catch it. We will add detection for this sample in the next
regular update.
The samples you submitted will be detected as follows:
sqd.exe - "W32/Agent.CCX!tr"

Und Avira:

Zitat:

The file 'sqd.exe' has been determined to be 'MALWARE'. Our analysts discovered that the file is a Backdoor-Server. The purpose of such programs is to provide remote control capability. Detection will be added to our virus definition file (VDF) with one of the next updates.

Sollte ich jetzt mein System neu aufsetzen - oder kann ich davon ausgehen, dass mein Avira AntiVir das Problem nach einem der nächsten Updates für mich lösen kann?