WinGuard.exe....Verseucht oder nicht?

[MinionMaster]

Hallo,

ich habe einen mir unbekannten Prozess entdeckt mit dem Namen WinGuard.exe.

Habe daraufhin ein HijackThis Log gemacht und über die Herstellerseite analysieren lassen, seine Antwort: Diesen Prozess besser analysieren...O.o.

Nach recherchen im Netz, wird der Prozess nur als gefährlich eingestuft, wenn er im System32 Ordner liegt. Dies ist bei mir nicht der Fall, er liegt in C:\Users\XXXX\AppData\Roaming\Storage Loader , allerdings ist dieser Ordner leer (auch mit versteckte Sachen anzeigen!)

Nun die Frage: Schädlich oder nicht?

Habt ihr eine Idee??

Hier auch nochmal das Log-File

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 13:53:55, on 13.05.2012
Platform: Windows 7 SP1 (WinNT 6.00.3505)
MSIE: Internet Explorer v9.00 (9.00.8112.16421)
Boot mode: Normal

Running processes:
C:\Program Files (x86)\DAEMON Tools Lite\DTLite.exe
C:\Users\Marius\AppData\Roaming\Storage Loader\WinGuard.exe
C:\Program Files (x86)\Google\Google Calendar Sync\GoogleCalendarSync.exe
C:\Program Files (x86)\Hewlett-Packard\HP Quick Launch Buttons\QLBCTRL.exe
C:\Program Files\Alwil Software\Avast5\AvastUI.exe
C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe
C:\Users\Marius\AppData\Roaming\Dropbox\bin\Dropbox.exe
C:\Windows\sysWow64\SearchProtocolHost.exe
C:\Users\Marius\Downloads\HiJackThis204.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
F2 - REG:system.ini: UserInit=userinit.exe
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: avast! WebRep - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - C:\Program Files\Alwil Software\Avast5\aswWebRepIE.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files (x86)\Oracle\JavaFX 2.0 Runtime\bin\jp2ssv.dll
O3 - Toolbar: avast! WebRep - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - C:\Program Files\Alwil Software\Avast5\aswWebRepIE.dll
O4 - HKLM\..\Run: [QlbCtrl.exe] C:\Program Files (x86)\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start
O4 - HKLM\..\Run: [avast5] "C:\Program Files\Alwil Software\Avast5\avastUI.exe" /nogui
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe"
O4 - HKCU\..\Run: [Google Update] "C:\Users\Marius\AppData\Local\Google\Update\GoogleUpdate.exe" /c
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files (x86)\DAEMON Tools Lite\DTLite.exe" -autorun
O4 - HKCU\..\Run: [WinGuard.exe] C:\Users\Marius\AppData\Roaming\Storage Loader\WinGuard.exe
O4 - HKCU\..\Run: [SandboxieControl] "C:\Program Files\Sandboxie\SbieCtrl.exe"
O4 - Startup: Dropbox.lnk = Marius\AppData\Roaming\Dropbox\bin\Dropbox.exe
O4 - Global Startup: Google Calendar Sync.lnk = C:\Program Files (x86)\Google\Google Calendar Sync\GoogleCalendarSync.exe
O4 - Global Startup: UltraMon.lnk = ?
O8 - Extra context menu item: Free YouTube Download - C:\Users\Marius\AppData\Roaming\DVDVideoSoftIEHelpers\freeyoutubedownload.htm
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~2\MICROS~1\Office12\EXCEL.EXE/3000
O11 - Options group: [ACCELERATED_GRAPHICS] Accelerated graphics
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Program Files (x86)\Microsoft Office\Office12\GrooveSystemServices.dll
O23 - Service: Emsisoft Anti-Malware 6.0 - Service (a2AntiMalware) - Emsisoft GmbH - C:\Program Files (x86)\Emsisoft Anti-Malware\a2service.exe
O23 - Service: Andrea ST Filters Service (AESTFilters) - Andrea Electronics Corporation - C:\Windows\System32\DriverStore\FileRepository\stwrt64.inf_amd64_neutral_ccf0dd3cb081af84\AESTSr64.exe
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)
O23 - Service: avast! Antivirus - AVAST Software - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: Com4QLBEx - Hewlett-Packard Development Company, L.P. - C:\Program Files (x86)\Hewlett-Packard\HP Quick Launch Buttons\Com4QLBEx.exe
O23 - Service: @%SystemRoot%\system32\efssvc.dll,-100 (EFS) - Unknown owner - C:\Windows\System32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\fxsresm.dll,-118 (Fax) - Unknown owner - C:\Windows\system32\fxssvc.exe (file missing)
O23 - Service: HP Quick Synchronization Service (HPDrvMntSvc.exe) - Hewlett-Packard Company - C:\Program Files (x86)\Hewlett-Packard\Shared\HPDrvMntSvc.exe
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)
O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (nvsvc) - Unknown owner - C:\Windows\system32\nvvsvc.exe (file missing)
O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: Sandboxie Service (SbieSvc) - SANDBOXIE L.T.D - C:\Program Files\Sandboxie\SbieSvc.exe
O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)
O23 - Service: @%SystemRoot%\system32\sppsvc.exe,-101 (sppsvc) - Unknown owner - C:\Windows\system32\sppsvc.exe (file missing)
O23 - Service: Audio Service (STacSV) - IDT, Inc. - C:\Windows\System32\DriverStore\FileRepository\stwrt64.inf_amd64_neutral_ccf0dd3cb081af84\STacSV64.exe
O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files (x86)\Common Files\Steam\SteamService.exe
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vaultsvc.dll,-1003 (VaultSvc) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)
O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing)
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)
O23 - Service: @%PROGRAMFILES%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)

--
End of file - 7324 bytes

Vielen Dank für eure Hilfe!

Mfg MP

 

[chriss_msi]

Google

 

[pipsich]

Mal wieder einer der zu faul ist WinGuard.exe bei Google einzugeben. Hier eine Hilfe, die nach noch nicht mal 1 Sekunde gefunden wurde!

http://board.gulli.com/thread/422121-winguard-exe-fehlt-/

 

[MrChiLLouT]

Malwarebytes Antimalware durchlaufen lassen.

 

[MinionMaster]

@pipsich 1. Wie ich geschrieben habe, habe ich google benutzt. 2. Dein Link hilft mir garnicht weiter, weil dieser Fehler garnicht meine Frage war.

@MrChillout Hatte ich vergessen zu schreiben, mein avast! und Malewarebyte sagen nix!

 

[pipsich]

Dein Link hilft mir garnicht weiter, weil dieser Fehler garnicht meine Frage war.

Ja da hast Du völlig recht. Hier ging es aber nicht um die Frage, sondern um evtl. Lösungsmöglichkeiten. Der Wurm WinGuard.exe findet sich unter den in dem Link angegebenen Adressen und Ordnern. Wenn ich diese Orte nun weiß, kann ich sie nämlich logischerweise löschen - einschließlich der Ordner selbst -, so wie in dem Link beschrieben.

Kannst auch den Link von chris-msi nehmen, da steht genau das Gleiche, nur eben in Englisch.
Ob der Wurm nun: gefährlich, nicht so gefährlich oder was auch immer sei, ist hier völlig irrelevant. Wurm ist Wurm und gehört grundsätzlich nicht auf ein System

 

[Berserkus]

@MrChillout Hatte ich vergessen zu schreiben, mein avast! und Malewarebyte sagen nix!

Schädlingsbekämpfungsprogramme die auf dem befallenen Rechner installiert sind bringen dir hier erstmal rein gar nix!

Ist ein Rechner wirklich befallen dann deaktivieren bzw. kompromitieren diese zu allererst alle "Schutzprogramme"!

Dein Rechner MUSS mit einem externen Betriebssystem gescannt werden, z.B. mit dem Avire Antivir Rescue System, Knoppix oder am besten mit desinfec´t (Bootbare DVD mit 4 verschiedenen Scannern usw. vom Heise Verlag c´t). Nur so ist ein halbwegs verlässliches Ergebnis möglich.

Da aber die Winguard.exe irgendwie überall als gefährlichen Wurm eingestuft wird, würde ich dir dringend empfehlen einfach den Rechner komplett neu aufzusetzen und c: zu formatieren!

 

[purzelbär]

@Mp<the boss>
Lade es mal bei VirusTotal: https://www.virustotal.com/ hoch und mache auf alle Fälle einen Komplett Scan mit einer Rexcue Disk wie Kaspersky Rescue Disk 10, Desinfect oder Sardu.