|
sqd.exe - Malware? Hallo. Vor ein paar Tagen fiel mir auf, dass mein AntiVir Guard beim Start deaktiviert ist, und sich auch nicht wieder starten lässt. Ich habe mir die Prozesse im Taskmanager angesehen, und bin dabei auf die Datei: C:/Windows/system32/sqd.exe gestossen, die ich nie zuvor gesehen habe. Nachdem ich den Prozess manuell beendet hatte, ließ sich der AntiVirGuard wieder problemlos aktivieren. Weder AntiVir, noch AVG Antispy oder HiJackThis erkennen jedoch die Datei als Malware. Die Dateiinformation gibt außerdem als Originaldateinamen stub.shark an, was mich stutzig macht. Nach (laienhaftem) Suchen im Internet bringe ich das mit Trojanern in Verbindung - da ich allerdings nicht sehr viel gefunden habe, möchte ich hier gerne zusätzlich einen HiJack-Log posten, damit sich den mal jemand ansehen kann, und von euch erfahren, ob ich diese Datei löschen soll - und vor Allem, wie ich das am sichersten mache. Aus dieser könnt ihr dann ja auch ersehen, welches Betribssystem ich nutze. Weitere Fragen bitte einfach stellen. Danke. :) Zitat:
|
http://www.world-of-smilies.com/smil...18_x_b_f_b.gif Als erstes brauchen wir mehr Informationen zu deinem System, arbeite dazu folgende Anleitungen ab: Dateien Online überprüfen lassen: * Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien: (lass auch die versteckten Dateien anzeigen!) Zitat:
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen. (Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!) F-Secure Blacklight – Rootkitscanner: * Scanne dein System mit F-Secure Blacklight * Poste im Anschluss das Ergebnis des Reportes in dem du alles abkopierst und hier in einen Beitrag einfügst. (die Datei sollte auf C: angelegt werden.) MWAV (eScan) - Free Antivirus -Lies dir folgende Anleitung genau durch und arbeite sie ab -> Anleitung eScan Wichtig: Poste im Anschluss das Ergebnis mit Hilfe der *find.bat'. (rechte Maustaste auf den LINK 'find.bat' , dann "Ziel Speichern unter" -> Desktop) Gruß Sunny |
Hallöchen und Danke! Sowohl für die nette Begrüßung, wie auch für die rasche Hilfe. :D Versteckte Dateien und alle Dateiendungen werden bei mir grundsätzlich angezeigt. Die Datei hid32.dll wird mir von AVG-Antispyware tatsächlich als Malware angezeigt, allerdings wird mir bei der entsprechenden Meldung geraten, die Datei zu ignorieren. Ich habe mich bisher gescheut, sie zu löschen, da ich fürchte, dass sie mit einem Programm - welchem auch immer - auf meine Festplatte gelangt ist, und Selbiges dann nach dem Entfernen der Datei nicht mehr funktionieren könnte. Aber nun zu den Tests. Virustotal: Zitat:
Zitat:
Zitat:
|
Zitat:
Zitat:
Mein Motor im Auto geht während der Fahrt immer aus, da sagt meine Wekstatt auch nicht, das können sie ignorieren... :teufel1: Ich warte jetzt noch den eScan ab, dann löschen wir die infizierten Dateien.. ;) |
Zitat:
Und hier das Ergebnis: Meinen Namen habe ich mit Sternchen ausgeblendet; bei Bootmodus steht normal - ich habe den Scan im abgesicherten Modus durchgeführt und nur die find.bat nach dem erneuten Booten erst gestartet. Posten ist so wesentlich übersichtlicher. Hoffe das ist in Ordnung so. C:/Programme/Advantage ist ein Programm, das seit Neustem anscheinend mit Daemon Tools mitinstalliert wird, und Werbung einblenden soll. :rolleyes: Auch hier meine Befürchtung, dass ich das Programm nicht mehr nutzen kann, wenn ich die Adware entferne. Zitat:
|
Hallo, ich fürchte, du wirst den eScan wiederholen müssen, denn wie man an der Anzahl der gescannten Dateien und der Dauer des Scans sieht, ist er nicht vollständig gewesen. Sunny wird dir eine Anleitung zur Entfernung der sqd.exe (und anderer Dateien) posten, nehme ich an. Du solltest die sqd.exe zuvor aber zur Überprüfung an mehrere AV-Hersteller einsenden. In den FAQ gibt es Hinweise dazu, wie's geht. Vielleicht hat auch unser User mmk Lust, sie sich anzusehen: siehe hier, mit Verweis auf diesen Thread. Ein Schädling, der dein AV-Programm ausknipst, sollte nämlich nicht nur entfernt werden, falls möglich, sondern zuvor möglichst genau identifiziert werden. |
Hallo Franz, ich hatte den ersten Scan versehentlich abgebrochen und dann wohl vergessen die entsprechenden Optionen einzustellen. Danke, dass du mich darauf aufmerksam gemacht hast. Genanntem User habe ich bereits eine Email gesandt, und auch an einige AV-Hersteller werde ich mich wenden. Zitat:
|
Anleitung Avenger: 1.) Lade dir das Tool Avenger und speichere es auf dem Desktop: http://virus-protect.org/artikel/bilder/avanger.png 2.) Klicke nun auf die Option „Input Script manually“ -> klicke jetzt auf die Lupe und kopiere folgenden Text rein: Zitat:
http://virus-protect.org/artikel/bilder/avenger4.png 4.) Danach das System unverzüglich neu starten lassen 5.) Lass eScan nochmal laufen, erstelle und poste ein neues Logfile. Poste ausserdem den Inhalt der C:\avenger.txt Datei. Schädlinge im Ordner der Systemwiederherstellung: * Deaktiviere die Systemwiederherstellung -> So wird es gemacht. * Danach das System neu starten, und mit deinem AV-Scanner nach dem Neustart alles überprüfen. (Systemwiederherstellung kann nun wieder aktiviert werden.) Gruß Sunny |
Nur eine kurze Zwischenmeldung: Sowohl Avira wie auch Fortinet.com haben die Datei sqd.exe analyiert und bereits geantwortet. Fortinet sagt dazu: Zitat:
Zitat:
|
Zitat:
Ich kann dir die Datei löschen, somit wäre der Sever deaktiviert bzw. nicht mehr zu erreichen. Genau aus diesem Grund habe ich dein System auch zusätzlich auf Rootkits prüfen lassen, meist nisten sich diese Backdoor-Trojaner irgendwo tief im System ein, und das ist auch der Grund wieso ich die Neuinstallation befürworte. ;) Man weiß nie was am System verändert wurde oder zukünftig wird... Gruß Sunny |
Ich werde jetzt zunächst einmal meine Arbeitsaufträge abarbeiten - danach wäre es mir aber sehr, sehr recht, wenn du mir sagen könntest, wie ich dir sqd.exe sicher löschen kann. Das System werde ich sicherheitshalber trotzdem neu aufsetzen, aber es kann eine Weile dauern bis ich meine ganzen Daten gesichert habe, und es wäre mir wohler, wenn der Backdoor-Server in dieser Zeit nicht mehr zu erreichen wäre. Übrigens meldet mir AntiVir die Avenger.exe ständig als unerwünschtes Programm. :balla: Hier die Avenger.txt schonmal: Zitat:
|
@Aure: Bitte vor dem endgültigen Löschen die Datei - falls möglich - zur Verbesserung der Erkennung durch Virenscanner noch an die von Franz genannte Adresse senden - Danke! |
Schon erledigt, Markus. :) Hier noch mal, was eScan ausgespuckt hat: Zitat:
Zitat:
Wieso wird sqd.exe nicht bei den durchsuchten Prozessen angezeigt? - Die Datei wird automatisch bei Windowsstart geladen, ich muss sie normalerweise im Taskmanager manuell beenden. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 20:47 Uhr. |
Copyright ©2000-2025, Trojaner-Board