Zitat:

Zitat von Aure

Versteckte Dateien und alle Dateiendungen werden bei mir grundsätzlich angezeigt.

Sehr gut ...

Zitat:

Die Datei hid32.dll wird mir von AVG-Antispyware tatsächlich als Malware angezeigt, allerdings wird mir bei der entsprechenden Meldung geraten, die Datei zu ignorieren.

Wie bitte? Du sollst die Datei ignorieren?
Mein Motor im Auto geht während der Fahrt immer aus, da sagt meine Wekstatt auch nicht, das können sie ignorieren...

Ich warte jetzt noch den eScan ab, dann löschen wir die infizierten Dateien..

Zitat:

Zitat von [Gc]Sunny

Wie bitte? Du sollst die Datei ignorieren?
Mein Motor im Auto geht während der Fahrt immer aus, da sagt meine Wekstatt auch nicht, das können sie ignorieren...

Good point..

Und hier das Ergebnis:
Meinen Namen habe ich mit Sternchen ausgeblendet; bei Bootmodus steht normal - ich habe den Scan im abgesicherten Modus durchgeführt und nur die find.bat nach dem erneuten Booten erst gestartet. Posten ist so wesentlich übersichtlicher. Hoffe das ist in Ordnung so.

C:/Programme/Advantage ist ein Programm, das seit Neustem anscheinend mit Daemon Tools mitinstalliert wird, und Werbung einblenden soll.
Auch hier meine Befürchtung, dass ich das Programm nicht mehr nutzen kann, wenn ich die Adware entferne.

Zitat:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.06.16.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: NORMAL

eScan Version: 9.4.2
Sprache: German
Virus-Datenbank Datum: 9/17/2007

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Object "NULLBYTE Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "mediaadvantage Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "mediaadvantage Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "mediaadvantage Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "titanshield antispyware Corrupted Adware/Spyware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
System found infected with mediaadvantage Spyware/Adware ({602d9049-b4ac-4a25-bf75-a9b54d747cba})! Action taken: Keine Aktion vorgenommen.
System found infected with mediaadvantage Spyware/Adware ({69e0089f-28bc-4bb5-862b-e2b07c3b83c6})! Action taken: Keine Aktion vorgenommen.
System found infected with mediaadvantage Spyware/Adware ({dabf362d-d442-4402-9208-ca9ed70dd01e})! Action taken: Keine Aktion vorgenommen.
System found infected with mediaadvantage Spyware/Adware ({5ac3a9ef-c0f8-41d4-b4e2-b7cebb794151})! Action taken: Keine Aktion vorgenommen.
System found infected with mediaadvantage Spyware/Adware ({862def42-89aa-49fa-ae1f-8a84b1b08a17})! Action taken: Keine Aktion vorgenommen.
System found infected with mediaadvantage Spyware/Adware ({f6e4845d-1d13-4bc0-942d-b9191524cc48})! Action taken: Keine Aktion vorgenommen.
System found infected with mediaadvantage Spyware/Adware ({69e0089f-28bc-4bb5-862b-e2b07c3b83c6})! Action taken: Keine Aktion vorgenommen.
System found infected with mediaadvantage Spyware/Adware (C:\Programme\advantage\advantage.htm)! Action taken: Keine Aktion vorgenommen.
System found infected with mediaadvantage Spyware/Adware (C:\Programme\advantage\tr.dll)! Action taken: Keine Aktion vorgenommen.
System found infected with savenow Adware (C:\WINDOWS\system32\unrar.dll)! Action taken: Keine Aktion vorgenommen.
System found infected with mediaadvantage Spyware/Adware (C:\Programme\advantage\advantage.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with mediaadvantage Spyware/Adware (C:\PROGRA~1\ADVANT~1)! Action taken: Keine Aktion vorgenommen.
System found infected with mediaadvantage Spyware/Adware (C:\Programme\advantage\ffext.mod)! Action taken: Keine Aktion vorgenommen.
System found infected with mediaadvantage Spyware/Adware (C:\Programme\advantage\advantage.db)! Action taken: Keine Aktion vorgenommen.
System found infected with mediaadvantage Spyware/Adware (C:\Programme\advantage\user.db)! Action taken: Keine Aktion vorgenommen.


~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
File C:\WINDOWS\system32\hid32.dll//UPX markiert als "not-a-virus:AdWare.Win32.Stud.a". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\system32\hid32.dll//UPX markiert als "not-a-virus:AdWare.Win32.Stud.a". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\DOKUME~1\*****\LOKALE~1\Temp\~nsu.tmp\Au_.exe markiert als "not-a-virus:AdWare.Win32.SearchLink.c". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Offending file found: C:\Programme\advantage\advantage.htm
Offending file found: C:\Programme\advantage\tr.dll
Offending file found: C:\WINDOWS\system32\unrar.dll
Offending file found: C:\Programme\advantage\advantage.exe
Offending file found: C:\PROGRA~1\ADVANT~1
Offending file found: C:\Programme\advantage\ffext.mod
Offending file found: C:\Programme\advantage\advantage.db
Offending file found: C:\Programme\advantage\user.db
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
Offending Folder found: C:\Dokumente und Einstellungen\***\Desktop\***\***\adv
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Offending Key found: HKCR\mead.1 !!!
Offending Key found: HKCR\tr.trfactory !!!
Offending Key found: HKCR\tr.trfactory.1 !!!
Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\D !!!
Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{045d49e4-63a4-11dc-8c53-003005863f35} !!!


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
Executable Command Found in D\Shell\AutoRun\command: D:\Setup\rsrc\Autorun.exe
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
C:\WINDOWS\System32\drivers\etc\hosts :
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Gescannte Dateien: 27228
Gefundene Viren: 25
Anzahl der desinfizierten Dateien: 0
Umbenannte Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl Fehler: 26
Dauer des Scans bisher: 00:01:27
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Specherüberprüfung: Aktiviert
Registry Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Dienste: Aktiviert

Batchstart: 17:00:47,54
Batchende: 17:00:58,31

Hallo,

ich fürchte, du wirst den eScan wiederholen müssen, denn wie man an der Anzahl der gescannten Dateien und der Dauer des Scans sieht, ist er nicht vollständig gewesen.

Sunny wird dir eine Anleitung zur Entfernung der sqd.exe (und anderer Dateien) posten, nehme ich an. Du solltest die sqd.exe zuvor aber zur Überprüfung an mehrere AV-Hersteller einsenden. In den FAQ gibt es Hinweise dazu, wie's geht. Vielleicht hat auch unser User mmk Lust, sie sich anzusehen: siehe hier, mit Verweis auf diesen Thread.

Ein Schädling, der dein AV-Programm ausknipst, sollte nämlich nicht nur entfernt werden, falls möglich, sondern zuvor möglichst genau identifiziert werden.

Hallo Franz,

ich hatte den ersten Scan versehentlich abgebrochen und dann wohl vergessen die entsprechenden Optionen einzustellen. Danke, dass du mich darauf aufmerksam gemacht hast.

Genanntem User habe ich bereits eine Email gesandt, und auch an einige AV-Hersteller werde ich mich wenden.

Zitat:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.06.16.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: NETWORK

eScan Version: 9.4.2
Sprache: German
Virus-Datenbank Datum: 9/17/2007

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Object "NULLBYTE Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "mediaadvantage Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "mediaadvantage Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "mediaadvantage Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "titanshield antispyware Corrupted Adware/Spyware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
System found infected with mediaadvantage Spyware/Adware ({602d9049-b4ac-4a25-bf75-a9b54d747cba})! Action taken: Keine Aktion vorgenommen.
System found infected with mediaadvantage Spyware/Adware ({69e0089f-28bc-4bb5-862b-e2b07c3b83c6})! Action taken: Keine Aktion vorgenommen.
System found infected with mediaadvantage Spyware/Adware ({dabf362d-d442-4402-9208-ca9ed70dd01e})! Action taken: Keine Aktion vorgenommen.
System found infected with mediaadvantage Spyware/Adware ({5ac3a9ef-c0f8-41d4-b4e2-b7cebb794151})! Action taken: Keine Aktion vorgenommen.
System found infected with mediaadvantage Spyware/Adware ({862def42-89aa-49fa-ae1f-8a84b1b08a17})! Action taken: Keine Aktion vorgenommen.
System found infected with mediaadvantage Spyware/Adware ({f6e4845d-1d13-4bc0-942d-b9191524cc48})! Action taken: Keine Aktion vorgenommen.
System found infected with mediaadvantage Spyware/Adware ({69e0089f-28bc-4bb5-862b-e2b07c3b83c6})! Action taken: Keine Aktion vorgenommen.
System found infected with mediaadvantage Spyware/Adware (C:\Programme\advantage\advantage.htm)! Action taken: Keine Aktion vorgenommen.
System found infected with mediaadvantage Spyware/Adware (C:\Programme\advantage\tr.dll)! Action taken: Keine Aktion vorgenommen.
System found infected with savenow Adware (C:\WINDOWS\system32\unrar.dll)! Action taken: Keine Aktion vorgenommen.
System found infected with mediaadvantage Spyware/Adware (C:\Programme\advantage\advantage.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with mediaadvantage Spyware/Adware (C:\PROGRA~1\ADVANT~1)! Action taken: Keine Aktion vorgenommen.
System found infected with mediaadvantage Spyware/Adware (C:\Programme\advantage\ffext.mod)! Action taken: Keine Aktion vorgenommen.
System found infected with mediaadvantage Spyware/Adware (C:\Programme\advantage\advantage.db)! Action taken: Keine Aktion vorgenommen.
System found infected with mediaadvantage Spyware/Adware (C:\Programme\advantage\user.db)! Action taken: Keine Aktion vorgenommen.


~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
File C:\WINDOWS\system32\hid32.dll//UPX markiert als "not-a-virus:AdWare.Win32.Stud.a". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\system32\hid32.dll//UPX markiert als "not-a-virus:AdWare.Win32.Stud.a". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{5F8F0F83-E6B5-42A9-8A9D-DF94C636C0A0}\RP111\A0039141.exe markiert als "not-a-virus:AdWare.Win32.SearchLink.c". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{5F8F0F83-E6B5-42A9-8A9D-DF94C636C0A0}\RP111\A0039163.exe markiert als "not-a-virus:AdWare.Win32.SearchLink.c". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\system32\hid32.dll//UPX markiert als "not-a-virus:AdWare.Win32.Stud.a". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Offending file found: C:\Programme\advantage\advantage.htm
Offending file found: C:\Programme\advantage\tr.dll
Offending file found: C:\WINDOWS\system32\unrar.dll
Offending file found: C:\Programme\advantage\advantage.exe
Offending file found: C:\PROGRA~1\ADVANT~1
Offending file found: C:\Programme\advantage\ffext.mod
Offending file found: C:\Programme\advantage\advantage.db
Offending file found: C:\Programme\advantage\user.db
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
Offending Folder found: C:\Dokumente und Einstellungen\*****\Desktop\***\***\adv
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Offending Key found: HKCR\mead.1 !!!
Offending Key found: HKCR\tr.trfactory !!!
Offending Key found: HKCR\tr.trfactory.1 !!!
Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\D !!!


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
Executable Command Found in D\Shell\AutoRun\command: D:\Setup\rsrc\Autorun.exe
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
C:\WINDOWS\System32\drivers\etc\hosts :
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Gescannte Dateien: 93736
Gefundene Viren: 26
Anzahl der desinfizierten Dateien: 0
Umbenannte Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl Fehler: 28
Dauer des Scans bisher: 00:37:50
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Specherüberprüfung: Aktiviert
Registry Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Festplatten: Deaktiviert
Überprüfung aller Festplatten :Aktiviert

Batchstart: 12:15:30,76
Batchende: 12:15:41,53

Anleitung Avenger:

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:



2.) Klicke nun auf die Option „Input Script manually“ -> klicke jetzt auf die Lupe und kopiere folgenden Text rein:

Zitat:

Files to delete:
C:\WINDOWS\system32\hid32.dll

3.) Klicke nun auf die „grüne Ampel“, das Script fängt an zu arbeiten.



4.) Danach das System unverzüglich neu starten lassen
5.) Lass eScan nochmal laufen, erstelle und poste ein neues Logfile.
Poste ausserdem den Inhalt der C:\avenger.txt Datei.



Schädlinge im Ordner der Systemwiederherstellung:

* Deaktiviere die Systemwiederherstellung -> So wird es gemacht.
* Danach das System neu starten, und mit deinem AV-Scanner nach dem Neustart
alles überprüfen.
(Systemwiederherstellung kann nun wieder aktiviert werden.)


Gruß
Sunny

Nur eine kurze Zwischenmeldung:

Sowohl Avira wie auch Fortinet.com haben die Datei sqd.exe analyiert und bereits geantwortet.

Fortinet sagt dazu:

Zitat:

We have analyzed the sample you provided and developed the
pattern to catch it. We will add detection for this sample in the next
regular update.
The samples you submitted will be detected as follows:
sqd.exe - "W32/Agent.CCX!tr"

Und Avira:

Zitat:

The file 'sqd.exe' has been determined to be 'MALWARE'. Our analysts discovered that the file is a Backdoor-Server. The purpose of such programs is to provide remote control capability. Detection will be added to our virus definition file (VDF) with one of the next updates.

Sollte ich jetzt mein System neu aufsetzen - oder kann ich davon ausgehen, dass mein Avira AntiVir das Problem nach einem der nächsten Updates für mich lösen kann?

Zitat:

Zitat von Aure

Sollte ich jetzt mein System neu aufsetzen - oder kann ich davon ausgehen, dass mein Avira AntiVir das Problem nach einem der nächsten Updates für mich lösen kann?

Normalerweise ist das die sicherste, schnellste und effizienteste Lösung!
Ich kann dir die Datei löschen, somit wäre der Sever deaktiviert bzw. nicht mehr zu erreichen.
Genau aus diesem Grund habe ich dein System auch zusätzlich auf Rootkits prüfen lassen, meist nisten sich diese Backdoor-Trojaner irgendwo tief im System ein, und das ist auch der Grund wieso ich die Neuinstallation befürworte.
Man weiß nie was am System verändert wurde oder zukünftig wird...

Gruß
Sunny