Moin, ich habe seit einigen Tagen ein "kleines" Problem mit einem Schädling.
Vor einigen Tagen hatte ich meine mobile Festplatte an einem Projektlaptop meiner Schule, den Laptop nutzen nur ich, ein Freund und ein Lehrer.
Scheinbar hat unser Lehrer das Teil angeschleppt, denn ich war seit ca 2 Wochen nicht an dem Gerät und habe festgestellt dass ich die Festplatten nciht mehr durch einen Doppelklick öffnen konnte, bei einem Rechsklick waren die Einträge "Öffnen" und "Explorer" durch kryptische Zeichen ersetzt und funktionierten nicht, Zugriff auf die Platten hatte ich nur durch den Explorer und Programme.
Als ich zuhause dann meine Platte am PC hatte plötzlich dasselbe Problem auf meinem Rechner, allerdings konnte ich es bei mir per Systemwiederherstellung wieder hinbekommen, auf dem Laptop wurde jedoch seit 2 Monaten kein Wiederhersellungspunkt gesetzt, weder manuell noch automatisch bei einer Installation.
Mittlerweile ist ein weiterer PC in der Schule infiziert weil ein USB Stick der schon an dem infizierten Laptop angesteckt war benutzt wurde, das Schadprogramm verbreitet sich somit scheinbar über Wechseldatenträger.
Auf meinem PC konnte ich jedoch feststellen dass es sich bei dem Schädling um"TR/Agent.aei.1" handelt, des Weiteren hatte ich noch eine Warnung bezüglich eines Schädlings mit "Crypt" im Dateinamen, leider verschwand die Meldung jedoch bevor ich den Namen komplett notieren konnt.
Da auf dem Laptop wichtige Daten liegen frage ich mich nun wie ich das Problem lösen konnte, ein Bekannter meinte die wichtige Datena uf die sowieso infizierte mobile HDD sichern, Laptop HDD formatieren, Knoppix Live CD rein und ClamAV über die mobile HDD laufen lassen, doch dann ich denke wozu platt machen wenn ClamAV am Ende evtl den Schädling nicht von den gesicherten Daten entfernen kann.
Leider kann ich also auch kein HijackThis File posten, denn alle vom Laptop kommenden Daten sind infiziert.

Hat jemand eine Idee wie ich das Teil wieder loswerde?

PS: Auf beiden Systemen läuft Windows XP SP2

Hat denn niemand eine Idee?
Die Datena uf dem Laptop sind enomrm wichtig die kann ich nicht einfach verlieren durch formatieren.
Habe jetzt über eine Knoppix Live CD mit ClamAV die mobile HDD checken lassen aber nichts gefunden, scheint nicht in der aktuellen Version enthalten zu sein...

Hi,

Schädlinge, die sich über USB-Platten und Sticks verbreiten, sind viel im Umlauf. Allgemein arbeiten sie mit folgender Technik:

Im Hauptverzeichnis wird eine Datei autorun.inf angelegt. Die steuert was Windows machen soll, wenn der Datenträger mit einem Computer verbunden wird. Dort steht dann ein Startaufruf auf den Schädling, der ebenfalls auf den Datenträger kopiert wurde. stick wird in Computer gesteckt, Windows startet Schädling -> Computer infiziert. Der infizierte Computer infiziert nun jeden Datenträger, der an ihn angeschlossen wird.

Die Dateien sind oft versteckt angelegt. Im Explorer im Menü Extras -> Ordneroptionen -> Ansicht setze folgende Einstellungen:

• Erweiterungen bei bekannten Dateitypen ausblenden -> Haken weg
• Geschützte Systemdateien ausblenden -> Haken weg
• Inhalte von Systemordnern anzeigen -> Haken setzen (diese Option ist bei Windows 2000 nicht vorhanden)
• Versteckte Dateien und Ordner -> Alle Dateien und Ordner anzeigen

Das sollte dir vielleicht helfen, das Problem zu entfernen. Für genauere Untersuchungen würden zumindest HijackThis Logs der befallenen Systeme benötigt. Der Schädling könnte ein Downloader sein, der andere Sachen nachlädt.


Strategien zur Vorbeugung:

• Keine fremden Platten und Sticks an den eigenen Computer lassen, bzw. seine Sticks und Platten nicht in fremde Computer stecken.
• Beim Anschluss von Platte und Stick die Shift-Taste gedrückt halten, dann macht Windows keinen Autostart.
• Autostart gleich ganz abschalten: autostart deaktivieren - Google Search
• Man kann das Infektionsrisiko für die eigenen Platten und Sticks senken wenn man schon so verrückt ist, sie in fremde Computer zu stecken. Im Hauptverzeichnis einen Ordner autorun.inf anlegen, dadrin eine leere Datei. Nun sowohl der Datei als auch dem Ordner alle Zugriffsrechte wegnehmen. Die meisten Schädlinge werden jetzt dran scheitern, dass in einem Verzeichnis nicht eine Datei und ein Ordner mit dem gleichen Namen zusammen sein können, es ist aber Code möglich, der das erkennt, die Zugriffsrechte wiederherstellt und dann den Ordner löscht. Auf Sticks ist das wackeliger, da die FAT-formatiert sind und auf diesem System keine Zugriffsrechte gespeichert werden. Da kann man nur read-only setzen und das ist sehr trivial.

Gruß, Karl

So, ein Problem, die Einstellung "Alle versteckten Ordner und Dateien anzeigen" ist nicht einstellbar, ich kann sie zwar auswählen und OK klicken aber wenn ich direkt danach wieder ins Menu gehe ist es wieder wie vorher.

dann zeig uns mal ein HijackThis Log. Offensichtlich passt da jemand auf, dass Du bestimmte Dateien nicht sehen sollst.

Ok, ich poste mal vom Laptop aus hab den grade am Router, muss nur grade HijackThis laden

Posten kannst Du das Log von jedem Computer, erstellen musst Du es aber auf dem Computer mit dem Problem.

Ist schon klar, aber wenn ich das Log vm infizierten Laptop auf meinen PC übertrage habe ich den Mist ja auch wieder drauf
Her also das Logfile, hatte auch schon schtinel ne Autoauswertung gemacht und da was gesehen das ich auch schon ei meinen "Symptomen" und unter dem Namen im Antivir-Forum gelesen habe, da hatte man allerdings keine Lösung, bezüglich MDM und SVCHOST.

Logfile:

Code: Alles auswählenAufklappen

ATTFilter

Logfile of HijackThis v1.99.1
Scan saved at 19:04:12, on 14.02.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Acer\Acer Arcade\PCMService.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Acer\Empowering Technology\ePower\ePower_DMC.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\PROGRA~1\LAUNCH~1\LManager.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Acer\Empowering Technology\eRecovery\eRAgent.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\Programme\Network Associates\VirusScan\SHSTAT.EXE
C:\Programme\Network Associates\Common Framework\UpdaterUI.exe
C:\Programme\Gemeinsame Dateien\Network Associates\TalkBack\TBMon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\SVCHOST.EXE
C:\Acer\Empowering Technology\ePerformance\MemCheck.exe
C:\Program Files\Acer\Acer Arcade\Kernel\TV\CLCapSvc.exe
C:\Program Files\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLServer.exe
C:\Program Files\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLService.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\Network Associates\Common Framework\FrameworkService.exe
C:\Programme\Network Associates\VirusScan\Mcshield.exe
C:\Programme\Network Associates\VirusScan\VsTskMgr.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\CyberLink\Shared Files\RichVideo.exe
C:\Program Files\Acer\Acer Arcade\Kernel\TV\CLSched.exe
C:\WINDOWS\system32\wbem\unsecapp.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Astemer\Desktop\hijackthis_199\HijackThis.exe
C:\WINDOWS\SoftwareDistribution\Download\6b3307c2ee995d4822ebdfa11c07ce12\update\update.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gmx.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://global.acer.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - c:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [AzMixerSel] C:\Programme\Realtek\InstallShield\AzMixerSel.exe
O4 - HKLM\..\Run: [PCMService] "C:\Program Files\Acer\Acer Arcade\PCMService.exe"
O4 - HKLM\..\Run: [ntiMUI] C:\Programme\NewTech Infosystems\NTI CD & DVD-Maker 7\ntiMUI.exe
O4 - HKLM\..\Run: [Acer ePresentation HPD] C:\Acer\Empowering Technology\ePresentation\ePresentation.exe
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [ePower_DMC] C:\Acer\Empowering Technology\ePower\ePower_DMC.exe
O4 - HKLM\..\Run: [Boot] C:\Acer\Empowering Technology\ePower\Boot.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\LManager.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [eRecoveryService] C:\Acer\Empowering Technology\eRecovery\eRAgent.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [SVCHOST] C:\WINDOWS\MDM.EXE
O4 - HKLM\..\Run: [ShStatEXE] "C:\Programme\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Programme\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [Network Associates Error Reporting Service] "C:\Programme\Gemeinsame Dateien\Network Associates\TalkBack\TBMon.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: Memory Check Service (AcerMemUsageCheckService) - Acer Inc. - C:\Acer\Empowering Technology\ePerformance\MemCheck.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Program Files\Acer\Acer Arcade\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Program Files\Acer\Acer Arcade\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Program Files\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLServer.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: McAfee Framework-Dienst (McAfeeFramework) - Network Associates, Inc. - C:\Programme\Network Associates\Common Framework\FrameworkService.exe
O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Programme\Network Associates\VirusScan\Mcshield.exe
O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Programme\Network Associates\VirusScan\VsTskMgr.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe
         

Wegen dem Ganzen Schrott de drauf ist, das ist wie gesagt ein Laptop der Schule

Um es kurz zu machen, hier sind die problematischen Einträge:

Code: Alles auswählenAufklappen

ATTFilter

C:\WINDOWS\SVCHOST.EXE
O4 - HKLM\..\Run: [SVCHOST] C:\WINDOWS\MDM.EXE
         

Kannst die genannten Dateien ja mal bei VirusTotal checken lassen.

Ich würd aber an deiner Stelle nicht allzu viel Mühe darauf verwenden. Wenn das ein Computer der Schule ist, dann stell das Teil dem Verantwortlichen auf den Tisch. Der verdient dort sein Geld und muss jetzt wohl mal was tun. Irgendwie nervt es, hier die Arbeit für bezahlte Leute ehrenamtlich zu tun, damit die sich weiterhin nur um die Kaffeemaschine zu kümmern brauchen.

Der Verantwortliche ist der Pädagogische Leiter unserer Schule wei er bei dem Projekt Projektleiter ist, allerdings ist es Geld von der EU was man ausgeben würde um den PC wieder hinzubekommen und das brauchenw ir für das Projekt an sich sowie für das Ausrichten der Meetings bzw die Reisekosten zu den Meetings und das Geld ist schon knapp genug bemessen, weshalb ich schon das meiste selbst in die Hand nehme, Reparaturen und Homepageerstellung inbegriffen.

Erhalte bei VirusTotal jedoch bei beiden Dateien die folgende Meldung:

Zitat:

0 bytes size received / Se ha recibido un archivo vacio

Geld wird auch nicht gebraucht, die Kiste wieder zu richten, aber etwas Ahnung sollte vorhanden sein. Anscheinend hat sich da mal wieder ein Bürokrat eine coole Stelle klargemacht, für die er nicht qualifiziert ist. Arbeiten tun dann die Schüler und ich muss mir auf dem Jobcenter vorwerfen lassen, dass ich ein fauler Sack wäre, weil solche Heinis die Stellen blockieren

Lade dir den Avenger herunter und entzippe ihn auf deinen Desktop. Nicht gezippt direkt als EXE ist er hier erhältlich. Starte den Avenger und wähle "Input script manually", danach klicke auf das Lupensymbol rechts in der Mitte. Kopiere den Inhalt der folgenden Codebox vollständig und unverändert in das Fenster, danach klicke auf "Done".

Code: Alles auswählenAufklappen

ATTFilter

files to delete:
C:\WINDOWS\SVCHOST.EXE
C:\WINDOWS\MDM.EXE
         

Danach klicke auf das Ampelsymbol mit dem grünen Licht, um den Avenger zu starten. Folge der Aufforderung, deinen Rechner neu zu starten. Nachdem der Rechner neu gestartet ist und das Dosfenster, das der Avenger geöffnet hat, wieder geschlossen ist, befindet sich das Avengerlog in C:\avenger.txt. Deren Inhalt bitte posten. Ein Backup der entfernten Objekte wurde als C:\avenger\backup.zip angelegt. Außerdem ein neues HijackThis bitte.

So, hier zuerst die Avenger.txt:

Code: Alles auswählenAufklappen

ATTFilter

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\b^fmcxxj

*******************

Script file located at: \??\C:\ogkthgkf.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\WINDOWS\SVCHOST.EXE deleted successfully.
File C:\WINDOWS\MDM.EXE deleted successfully.

Completed script processing.

*******************

Finished!  Terminate.
         

Und hier das neue HijackThis Logfile:

Code: Alles auswählenAufklappen

ATTFilter

Logfile of HijackThis v1.99.1
Scan saved at 20:51:19, on 14.02.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Acer\Acer Arcade\PCMService.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Acer\Empowering Technology\ePower\ePower_DMC.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\PROGRA~1\LAUNCH~1\LManager.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Acer\Empowering Technology\eRecovery\eRAgent.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\Programme\Network Associates\VirusScan\SHSTAT.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Acer\Empowering Technology\ePerformance\MemCheck.exe
C:\Program Files\Acer\Acer Arcade\Kernel\TV\CLCapSvc.exe
C:\Program Files\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLServer.exe
C:\Program Files\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLService.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\Network Associates\VirusScan\Mcshield.exe
C:\Programme\Network Associates\VirusScan\VsTskMgr.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\CyberLink\Shared Files\RichVideo.exe
C:\Program Files\Acer\Acer Arcade\Kernel\TV\CLSched.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\wbem\unsecapp.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\Astemer\Desktop\hijackthis_199\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gmx.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://global.acer.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - c:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [AzMixerSel] C:\Programme\Realtek\InstallShield\AzMixerSel.exe
O4 - HKLM\..\Run: [PCMService] "C:\Program Files\Acer\Acer Arcade\PCMService.exe"
O4 - HKLM\..\Run: [ntiMUI] C:\Programme\NewTech Infosystems\NTI CD & DVD-Maker 7\ntiMUI.exe
O4 - HKLM\..\Run: [Acer ePresentation HPD] C:\Acer\Empowering Technology\ePresentation\ePresentation.exe
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [ePower_DMC] C:\Acer\Empowering Technology\ePower\ePower_DMC.exe
O4 - HKLM\..\Run: [Boot] C:\Acer\Empowering Technology\ePower\Boot.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\LManager.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [eRecoveryService] C:\Acer\Empowering Technology\eRecovery\eRAgent.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [ShStatEXE] "C:\Programme\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [SVCHOST] C:\WINDOWS\MDM.EXE
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Memory Check Service (AcerMemUsageCheckService) - Acer Inc. - C:\Acer\Empowering Technology\ePerformance\MemCheck.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Program Files\Acer\Acer Arcade\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Program Files\Acer\Acer Arcade\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Program Files\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLServer.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Programme\Network Associates\VirusScan\Mcshield.exe
O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Programme\Network Associates\VirusScan\VsTskMgr.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe
         

Laufen tut er schon mal nicht mehr.

In HijackThis vor folgende Zeile(n) einen Haken machen und dann "Fix checked" klicken, dabei alle anderen Programme (besonders Webbrowser) geschlossen haben:

Code: Alles auswählenAufklappen

ATTFilter

O4 - HKLM\..\Run: [SVCHOST] C:\WINDOWS\MDM.EXE
         

Dann empfehle ich noch einen Onlinescan: Kaspersky


Die Verseuchungen über USB-Geräte sind aber ein allgemeines Problem. Wenn Du das in den Griff bekommen willst, musst du alle anderen Computer ebenfalls checken. Ein paar Empfehlungen, die das Risiko senken (aber nicht komplett abschaffen) stehen schon oben. Ich würde auf allen Computern Autostart komplett deaktivieren, denn in eurer Umgebung wird man USB-Sticks wohl kaum verbieten können.

Kein Ergebnis, das Problem besteht weiterhin.
Und vor allem kann ich so meine mobile HDD auch nicht wieder hinbekommen.
Wenn ich die hinbekommen könnte (was ja nicht geht solange der Rechner an dem sie hängt infiziert ist) könnte ich ihn ja auch formatieren aber das geht ja nicht solange die platte nicht sauber ist.... Teufelskreis...

Hab die MDM.exe nochmal bei Virustotal hochgeladen, diesml gings, hier das Ergebnis:

Code: Alles auswählenAufklappen

ATTFilter

Antivirus Version letzte aktualisierung Ergebnis 
AhnLab-V3 2008.1.28.10 2008.01.28 Win-Trojan/Agent.22016.AQ 
AntiVir 7.6.0.56 2008.01.28 TR/Agent.AEI.1 
Authentium 4.93.8 2008.01.26 W32/Backdoor.ARLD 
Avast 4.7.1098.0 2008.01.27 Win32:Agent-EMT 
AVG 7.5.0.516 2008.01.28 Generic2.VEB 
BitDefender 7.2 2008.01.28 Trojan.Agent.AIQ 
CAT-QuickHeal 9.00 2008.01.25 Trojan.Agent.aei 
ClamAV 0.91.2 2008.01.28 Trojan.Agent-1915 
DrWeb 4.44.0.09170 2008.01.28 Win32.HLLW.Cent 
eSafe 7.0.15.0 2008.01.16 Win32.Agent.aei 
eTrust-Vet 31.3.5486 2008.01.26 Win32/Compfault.B 
Ewido 4.0 2008.01.27 Trojan.Agent.aei 
FileAdvisor 1 2008.01.28 High threat detected 
Fortinet 3.14.0.0 2008.01.28 W32/Agent.AEI!tr 
F-Prot 4.4.2.54 2008.01.27 W32/Backdoor.ARLD 
F-Secure 6.70.13260.0 2008.01.28 W32/Agent.BJUX 
Ikarus T3.1.1.20 2008.01.28 Trojan.Win32.Agent.abt 
Kaspersky 7.0.0.125 2008.01.28 Trojan.Win32.Agent.abt 
McAfee 5216 2008.01.26 W32/DKR.worm 
Microsoft 1.3109 2008.01.28 TrojanSpy:Win32/VBStat.AD 
NOD32v2 2827 2008.01.28 Win32/Agent.NAV 
Norman 5.80.02 2008.01.28 W32/Agent.BJUX 
Panda 9.0.0.4 2008.01.28 Trj/Agent.DYJ 
Prevx1 V2 2008.01.28 Generic2.VEB 
Rising 20.29.01.00 2008.01.28 Trojan.Win32.Agent.afz 
Sophos 4.25.0 2008.01.28 Troj/Bckdr-PXR 
Sunbelt 2.2.907.0 2008.01.25 Trojan.Unclassified.gen 
Symantec 10 2008.01.28 Trojan Horse 
TheHacker 6.2.9.200 2008.01.28 Trojan/Agent.aei 
VBA32 3.12.2.5 2008.01.21 Win32.HLLW.Cent 
VirusBuster 4.3.26:9 2008.01.27 Trojan.Agent.GXZ 
Webwasher-Gateway 6.6.2 2008.01.28 Trojan.Agent.AEI.1 
weitere Informationen 
File size: 22016 bytes 
MD5: 150f08b99a4eca5a587cd7aa924eeb90 
SHA1: 587ce4e5eb4e743bd9a2989f8ba90c4811fd3e2a 
PEiD: - 
Bit9 info: http://fileadvisor.bit9.com/services/extinfo.aspx?md5=150f08b99a4eca5a587cd7aa924eeb90 
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=4BF2A71100D9319E569A00CABF4F51006894132F 
Sunbelt info: Trojan.Unclassified.gen is a group of various malicious applications that have not been fully categorized. Detection has been added as Trojan.Unclassified.gen until such applications can be further classified.