Trojaner-Board - TR/Agent.aei.1 / Problem mit Fesplatten und Wechseldatenträgern

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - TR/Agent.aei.1 / Problem mit Fesplatten und Wechseldatenträgern (https://www.trojaner-board.de/49476-tr-agent-aei-1-problem-fesplatten-wechseldatentraegern.html)

TR/Agent.aei.1 / Problem mit Fesplatten und Wechseldatenträgern

Moin, ich habe seit einigen Tagen ein "kleines" Problem mit einem Schädling.
Vor einigen Tagen hatte ich meine mobile Festplatte an einem Projektlaptop meiner Schule, den Laptop nutzen nur ich, ein Freund und ein Lehrer.
Scheinbar hat unser Lehrer das Teil angeschleppt, denn ich war seit ca 2 Wochen nicht an dem Gerät und habe festgestellt dass ich die Festplatten nciht mehr durch einen Doppelklick öffnen konnte, bei einem Rechsklick waren die Einträge "Öffnen" und "Explorer" durch kryptische Zeichen ersetzt und funktionierten nicht, Zugriff auf die Platten hatte ich nur durch den Explorer und Programme.
Als ich zuhause dann meine Platte am PC hatte plötzlich dasselbe Problem auf meinem Rechner, allerdings konnte ich es bei mir per Systemwiederherstellung wieder hinbekommen, auf dem Laptop wurde jedoch seit 2 Monaten kein Wiederhersellungspunkt gesetzt, weder manuell noch automatisch bei einer Installation.
Mittlerweile ist ein weiterer PC in der Schule infiziert weil ein USB Stick der schon an dem infizierten Laptop angesteckt war benutzt wurde, das Schadprogramm verbreitet sich somit scheinbar über Wechseldatenträger.
Auf meinem PC konnte ich jedoch feststellen dass es sich bei dem Schädling um"TR/Agent.aei.1" handelt, des Weiteren hatte ich noch eine Warnung bezüglich eines Schädlings mit "Crypt" im Dateinamen, leider verschwand die Meldung jedoch bevor ich den Namen komplett notieren konnt.
Da auf dem Laptop wichtige Daten liegen frage ich mich nun wie ich das Problem lösen konnte, ein Bekannter meinte die wichtige Datena uf die sowieso infizierte mobile HDD sichern, Laptop HDD formatieren, Knoppix Live CD rein und ClamAV über die mobile HDD laufen lassen, doch dann ich denke wozu platt machen wenn ClamAV am Ende evtl den Schädling nicht von den gesicherten Daten entfernen kann.
Leider kann ich also auch kein HijackThis File posten, denn alle vom Laptop kommenden Daten sind infiziert.

Hat jemand eine Idee wie ich das Teil wieder loswerde?

PS: Auf beiden Systemen läuft Windows XP SP2

Hat denn niemand eine Idee?
Die Datena uf dem Laptop sind enomrm wichtig die kann ich nicht einfach verlieren durch formatieren.
Habe jetzt über eine Knoppix Live CD mit ClamAV die mobile HDD checken lassen aber nichts gefunden, scheint nicht in der aktuellen Version enthalten zu sein...

Hi,

Schädlinge, die sich über USB-Platten und Sticks verbreiten, sind viel im Umlauf. Allgemein arbeiten sie mit folgender Technik:

Im Hauptverzeichnis wird eine Datei autorun.inf angelegt. Die steuert was Windows machen soll, wenn der Datenträger mit einem Computer verbunden wird. Dort steht dann ein Startaufruf auf den Schädling, der ebenfalls auf den Datenträger kopiert wurde. stick wird in Computer gesteckt, Windows startet Schädling -> Computer infiziert. Der infizierte Computer infiziert nun jeden Datenträger, der an ihn angeschlossen wird.

Die Dateien sind oft versteckt angelegt. Im Explorer im Menü Extras -> Ordneroptionen -> Ansicht setze folgende Einstellungen:

Erweiterungen bei bekannten Dateitypen ausblenden -> Haken weg
Geschützte Systemdateien ausblenden -> Haken weg
Inhalte von Systemordnern anzeigen -> Haken setzen (diese Option ist bei Windows 2000 nicht vorhanden)
Versteckte Dateien und Ordner -> Alle Dateien und Ordner anzeigen

Das sollte dir vielleicht helfen, das Problem zu entfernen. Für genauere Untersuchungen würden zumindest Hijackthis Logs der befallenen Systeme benötigt. Der Schädling könnte ein Downloader sein, der andere Sachen nachlädt.

Strategien zur Vorbeugung:

Keine fremden Platten und Sticks an den eigenen Computer lassen, bzw. seine Sticks und Platten nicht in fremde Computer stecken.
Beim Anschluss von Platte und Stick die Shift-Taste gedrückt halten, dann macht Windows keinen Autostart.
Autostart gleich ganz abschalten: autostart deaktivieren - Google Search
Man kann das Infektionsrisiko für die eigenen Platten und Sticks senken wenn man schon so verrückt ist, sie in fremde Computer zu stecken. Im Hauptverzeichnis einen Ordner autorun.inf anlegen, dadrin eine leere Datei. Nun sowohl der Datei als auch dem Ordner alle Zugriffsrechte wegnehmen. Die meisten Schädlinge werden jetzt dran scheitern, dass in einem Verzeichnis nicht eine Datei und ein Ordner mit dem gleichen Namen zusammen sein können, es ist aber Code möglich, der das erkennt, die Zugriffsrechte wiederherstellt und dann den Ordner löscht. Auf Sticks ist das wackeliger, da die FAT-formatiert sind und auf diesem System keine Zugriffsrechte gespeichert werden. Da kann man nur read-only setzen und das ist sehr trivial.

Gruß, Karl

So, ein Problem, die Einstellung "Alle versteckten Ordner und Dateien anzeigen" ist nicht einstellbar, ich kann sie zwar auswählen und OK klicken aber wenn ich direkt danach wieder ins Menu gehe ist es wieder wie vorher.

dann zeig uns mal ein Hijackthis Log. Offensichtlich passt da jemand auf, dass Du bestimmte Dateien nicht sehen sollst.

Ok, ich poste mal vom Laptop aus hab den grade am Router, muss nur grade HijackThis laden

Posten kannst Du das Log von jedem Computer, erstellen musst Du es aber auf dem Computer mit dem Problem.

Ist schon klar, aber wenn ich das Log vm infizierten Laptop auf meinen PC übertrage habe ich den Mist ja auch wieder drauf ;)
Her also das Logfile, hatte auch schon schtinel ne Autoauswertung gemacht und da was gesehen das ich auch schon ei meinen "Symptomen" und unter dem Namen im Antivir-Forum gelesen habe, da hatte man allerdings keine Lösung, bezüglich MDM und SVCHOST.

Logfile:

Code:

Logfile of HijackThis v1.99.1

Scan saved at 19:04:12, on 14.02.2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Acer\Acer Arcade\PCMService.exe

C:\Programme\QuickTime\qttask.exe

C:\WINDOWS\RTHDCPL.EXE

C:\Acer\Empowering Technology\ePower\ePower_DMC.exe

C:\Programme\Synaptics\SynTP\SynTPEnh.exe

C:\PROGRA~1\LAUNCH~1\LManager.exe

C:\Programme\ATI Technologies\ATI.ACE\cli.exe

C:\Acer\Empowering Technology\eRecovery\eRAgent.exe

C:\Programme\FreePDF_XP\fpassist.exe

C:\Programme\Network Associates\VirusScan\SHSTAT.EXE

C:\Programme\Network Associates\Common Framework\UpdaterUI.exe

C:\Programme\Gemeinsame Dateien\Network Associates\TalkBack\TBMon.exe

C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\SVCHOST.EXE

C:\Acer\Empowering Technology\ePerformance\MemCheck.exe

C:\Program Files\Acer\Acer Arcade\Kernel\TV\CLCapSvc.exe

C:\Program Files\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLServer.exe

C:\Program Files\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLService.exe

C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe

C:\Programme\Network Associates\Common Framework\FrameworkService.exe

C:\Programme\Network Associates\VirusScan\Mcshield.exe

C:\Programme\Network Associates\VirusScan\VsTskMgr.exe

C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\Programme\CyberLink\Shared Files\RichVideo.exe

C:\Program Files\Acer\Acer Arcade\Kernel\TV\CLSched.exe

C:\WINDOWS\system32\wbem\unsecapp.exe

C:\Programme\ATI Technologies\ATI.ACE\cli.exe

C:\Programme\ATI Technologies\ATI.ACE\cli.exe

C:\WINDOWS\system32\wuauclt.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Programme\Internet Explorer\iexplore.exe

C:\Dokumente und Einstellungen\Astemer\Desktop\hijackthis_199\HijackThis.exe

C:\WINDOWS\SoftwareDistribution\Download\6b3307c2ee995d4822ebdfa11c07ce12\update\update.exe
 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gmx.de/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://global.acer.com

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - c:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O4 - HKLM\..\Run: [AzMixerSel] C:\Programme\Realtek\InstallShield\AzMixerSel.exe

O4 - HKLM\..\Run: [PCMService] "C:\Program Files\Acer\Acer Arcade\PCMService.exe"

O4 - HKLM\..\Run: [ntiMUI] C:\Programme\NewTech Infosystems\NTI CD & DVD-Maker 7\ntiMUI.exe

O4 - HKLM\..\Run: [Acer ePresentation HPD] C:\Acer\Empowering Technology\ePresentation\ePresentation.exe

O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32

O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC

O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC

O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName

O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

O4 - HKLM\..\Run: [ePower_DMC] C:\Acer\Empowering Technology\ePower\ePower_DMC.exe

O4 - HKLM\..\Run: [Boot] C:\Acer\Empowering Technology\ePower\Boot.exe

O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\LManager.exe

O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay

O4 - HKLM\..\Run: [eRecoveryService] C:\Acer\Empowering Technology\eRecovery\eRAgent.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe

O4 - HKLM\..\Run: [SVCHOST] C:\WINDOWS\MDM.EXE

O4 - HKLM\..\Run: [ShStatEXE] "C:\Programme\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE

O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Programme\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey

O4 - HKLM\..\Run: [Network Associates Error Reporting Service] "C:\Programme\Gemeinsame Dateien\Network Associates\TalkBack\TBMon.exe"

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O23 - Service: Memory Check Service (AcerMemUsageCheckService) - Acer Inc. - C:\Acer\Empowering Technology\ePerformance\MemCheck.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Program Files\Acer\Acer Arcade\Kernel\TV\CLCapSvc.exe

O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Program Files\Acer\Acer Arcade\Kernel\TV\CLSched.exe

O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Program Files\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLServer.exe

O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe

O23 - Service: McAfee Framework-Dienst (McAfeeFramework) - Network Associates, Inc. - C:\Programme\Network Associates\Common Framework\FrameworkService.exe

O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Programme\Network Associates\VirusScan\Mcshield.exe

O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Programme\Network Associates\VirusScan\VsTskMgr.exe

O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe

Wegen dem Ganzen Schrott de drauf ist, das ist wie gesagt ein Laptop der Schule ;)

Um es kurz zu machen, hier sind die problematischen Einträge:

Code:

C:\WINDOWS\SVCHOST.EXE

O4 - HKLM\..\Run: [SVCHOST] C:\WINDOWS\MDM.EXE

Kannst die genannten Dateien ja mal bei VirusTotal checken lassen.

Ich würd aber an deiner Stelle nicht allzu viel Mühe darauf verwenden. Wenn das ein Computer der Schule ist, dann stell das Teil dem Verantwortlichen auf den Tisch. Der verdient dort sein Geld und muss jetzt wohl mal was tun. Irgendwie nervt es, hier die Arbeit für bezahlte Leute ehrenamtlich zu tun, damit die sich weiterhin nur um die Kaffeemaschine zu kümmern brauchen.

Der Verantwortliche ist der Pädagogische Leiter unserer Schule wei er bei dem Projekt Projektleiter ist, allerdings ist es Geld von der EU was man ausgeben würde um den PC wieder hinzubekommen und das brauchenw ir für das Projekt an sich sowie für das Ausrichten der Meetings bzw die Reisekosten zu den Meetings und das Geld ist schon knapp genug bemessen, weshalb ich schon das meiste selbst in die Hand nehme, Reparaturen und Homepageerstellung inbegriffen.

Erhalte bei VirusTotal jedoch bei beiden Dateien die folgende Meldung:

Zitat:

0 bytes size received / Se ha recibido un archivo vacio

Geld wird auch nicht gebraucht, die Kiste wieder zu richten, aber etwas Ahnung sollte vorhanden sein. Anscheinend hat sich da mal wieder ein Bürokrat eine coole Stelle klargemacht, für die er nicht qualifiziert ist. Arbeiten tun dann die Schüler und ich muss mir auf dem Jobcenter vorwerfen lassen, dass ich ein fauler Sack wäre, weil solche Heinis die Stellen blockieren :rolleyes:

Lade dir den Avenger herunter und entzippe ihn auf deinen Desktop. Nicht gezippt direkt als EXE ist er hier erhältlich. Starte den Avenger und wähle "Input script manually", danach klicke auf das Lupensymbol rechts in der Mitte. Kopiere den Inhalt der folgenden Codebox vollständig und unverändert in das Fenster, danach klicke auf "Done".

Code:

files to delete:

C:\WINDOWS\SVCHOST.EXE

C:\WINDOWS\MDM.EXE

Danach klicke auf das Ampelsymbol mit dem grünen Licht, um den Avenger zu starten. Folge der Aufforderung, deinen Rechner neu zu starten. Nachdem der Rechner neu gestartet ist und das Dosfenster, das der Avenger geöffnet hat, wieder geschlossen ist, befindet sich das Avengerlog in C:\avenger.txt. Deren Inhalt bitte posten. Ein Backup der entfernten Objekte wurde als C:\avenger\backup.zip angelegt. Außerdem ein neues Hijackthis bitte.

So, hier zuerst die Avenger.txt:

Code:

Logfile of The Avenger version 1, by Swandog46

Running from registry key:

\Registry\Machine\System\CurrentControlSet\Services\b^fmcxxj
 

*******************
 

Script file located at: \??\C:\ogkthgkf.txt

Script file opened successfully.
 

Script file read successfully
 

Backups directory opened successfully at C:\Avenger
 

*******************
 

Beginning to process script file:
 

File C:\WINDOWS\SVCHOST.EXE deleted successfully.

File C:\WINDOWS\MDM.EXE deleted successfully.
 

Completed script processing.
 

*******************
 

Finished!  Terminate.

Und hier das neue HijackThis Logfile:

Code:

Logfile of HijackThis v1.99.1

Scan saved at 20:51:19, on 14.02.2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Acer\Acer Arcade\PCMService.exe

C:\Programme\QuickTime\qttask.exe

C:\WINDOWS\RTHDCPL.EXE

C:\Acer\Empowering Technology\ePower\ePower_DMC.exe

C:\Programme\Synaptics\SynTP\SynTPEnh.exe

C:\PROGRA~1\LAUNCH~1\LManager.exe

C:\Programme\ATI Technologies\ATI.ACE\cli.exe

C:\Acer\Empowering Technology\eRecovery\eRAgent.exe

C:\Programme\FreePDF_XP\fpassist.exe

C:\Programme\Network Associates\VirusScan\SHSTAT.EXE

C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Acer\Empowering Technology\ePerformance\MemCheck.exe

C:\Program Files\Acer\Acer Arcade\Kernel\TV\CLCapSvc.exe

C:\Program Files\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLServer.exe

C:\Program Files\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLService.exe

C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe

C:\Programme\Network Associates\VirusScan\Mcshield.exe

C:\Programme\Network Associates\VirusScan\VsTskMgr.exe

C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\Programme\CyberLink\Shared Files\RichVideo.exe

C:\Program Files\Acer\Acer Arcade\Kernel\TV\CLSched.exe

C:\WINDOWS\system32\wbem\wmiapsrv.exe

C:\WINDOWS\system32\wbem\unsecapp.exe

C:\Programme\ATI Technologies\ATI.ACE\cli.exe

C:\Programme\ATI Technologies\ATI.ACE\cli.exe

C:\Programme\Internet Explorer\iexplore.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Dokumente und Einstellungen\Astemer\Desktop\hijackthis_199\HijackThis.exe
 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gmx.de/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://global.acer.com

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - c:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O4 - HKLM\..\Run: [AzMixerSel] C:\Programme\Realtek\InstallShield\AzMixerSel.exe

O4 - HKLM\..\Run: [PCMService] "C:\Program Files\Acer\Acer Arcade\PCMService.exe"

O4 - HKLM\..\Run: [ntiMUI] C:\Programme\NewTech Infosystems\NTI CD & DVD-Maker 7\ntiMUI.exe

O4 - HKLM\..\Run: [Acer ePresentation HPD] C:\Acer\Empowering Technology\ePresentation\ePresentation.exe

O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32

O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC

O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC

O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName

O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

O4 - HKLM\..\Run: [ePower_DMC] C:\Acer\Empowering Technology\ePower\ePower_DMC.exe

O4 - HKLM\..\Run: [Boot] C:\Acer\Empowering Technology\ePower\Boot.exe

O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\LManager.exe

O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay

O4 - HKLM\..\Run: [eRecoveryService] C:\Acer\Empowering Technology\eRecovery\eRAgent.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe

O4 - HKLM\..\Run: [ShStatEXE] "C:\Programme\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE

O4 - HKLM\..\Run: [SVCHOST] C:\WINDOWS\MDM.EXE

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe

O23 - Service: Memory Check Service (AcerMemUsageCheckService) - Acer Inc. - C:\Acer\Empowering Technology\ePerformance\MemCheck.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Program Files\Acer\Acer Arcade\Kernel\TV\CLCapSvc.exe

O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Program Files\Acer\Acer Arcade\Kernel\TV\CLSched.exe

O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Program Files\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLServer.exe

O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe

O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Programme\Network Associates\VirusScan\Mcshield.exe

O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Programme\Network Associates\VirusScan\VsTskMgr.exe

O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe

Laufen tut er schon mal nicht mehr.

In Hijackthis vor folgende Zeile(n) einen Haken machen und dann "Fix checked" klicken, dabei alle anderen Programme (besonders Webbrowser) geschlossen haben:

Code:

O4 - HKLM\..\Run: [SVCHOST] C:\WINDOWS\MDM.EXE

Dann empfehle ich noch einen Onlinescan: Kaspersky

Die Verseuchungen über USB-Geräte sind aber ein allgemeines Problem. Wenn Du das in den Griff bekommen willst, musst du alle anderen Computer ebenfalls checken. Ein paar Empfehlungen, die das Risiko senken (aber nicht komplett abschaffen) stehen schon oben. Ich würde auf allen Computern Autostart komplett deaktivieren, denn in eurer Umgebung wird man USB-Sticks wohl kaum verbieten können.

Kein Ergebnis, das Problem besteht weiterhin.
Und vor allem kann ich so meine mobile HDD auch nicht wieder hinbekommen.
Wenn ich die hinbekommen könnte (was ja nicht geht solange der Rechner an dem sie hängt infiziert ist) könnte ich ihn ja auch formatieren aber das geht ja nicht solange die platte nicht sauber ist.... Teufelskreis...

Hab die MDM.exe nochmal bei Virustotal hochgeladen, diesml gings, hier das Ergebnis:

Code:

Antivirus Version letzte aktualisierung Ergebnis 

AhnLab-V3 2008.1.28.10 2008.01.28 Win-Trojan/Agent.22016.AQ 

AntiVir 7.6.0.56 2008.01.28 TR/Agent.AEI.1 

Authentium 4.93.8 2008.01.26 W32/Backdoor.ARLD 

Avast 4.7.1098.0 2008.01.27 Win32:Agent-EMT 

AVG 7.5.0.516 2008.01.28 Generic2.VEB 

BitDefender 7.2 2008.01.28 Trojan.Agent.AIQ 

CAT-QuickHeal 9.00 2008.01.25 Trojan.Agent.aei 

ClamAV 0.91.2 2008.01.28 Trojan.Agent-1915 

DrWeb 4.44.0.09170 2008.01.28 Win32.HLLW.Cent 

eSafe 7.0.15.0 2008.01.16 Win32.Agent.aei 

eTrust-Vet 31.3.5486 2008.01.26 Win32/Compfault.B 

Ewido 4.0 2008.01.27 Trojan.Agent.aei 

FileAdvisor 1 2008.01.28 High threat detected 

Fortinet 3.14.0.0 2008.01.28 W32/Agent.AEI!tr 

F-Prot 4.4.2.54 2008.01.27 W32/Backdoor.ARLD 

F-Secure 6.70.13260.0 2008.01.28 W32/Agent.BJUX 

Ikarus T3.1.1.20 2008.01.28 Trojan.Win32.Agent.abt 

Kaspersky 7.0.0.125 2008.01.28 Trojan.Win32.Agent.abt 

McAfee 5216 2008.01.26 W32/DKR.worm 

Microsoft 1.3109 2008.01.28 TrojanSpy:Win32/VBStat.AD 

NOD32v2 2827 2008.01.28 Win32/Agent.NAV 

Norman 5.80.02 2008.01.28 W32/Agent.BJUX 

Panda 9.0.0.4 2008.01.28 Trj/Agent.DYJ 

Prevx1 V2 2008.01.28 Generic2.VEB 

Rising 20.29.01.00 2008.01.28 Trojan.Win32.Agent.afz 

Sophos 4.25.0 2008.01.28 Troj/Bckdr-PXR 

Sunbelt 2.2.907.0 2008.01.25 Trojan.Unclassified.gen 

Symantec 10 2008.01.28 Trojan Horse 

TheHacker 6.2.9.200 2008.01.28 Trojan/Agent.aei 

VBA32 3.12.2.5 2008.01.21 Win32.HLLW.Cent 

VirusBuster 4.3.26:9 2008.01.27 Trojan.Agent.GXZ 

Webwasher-Gateway 6.6.2 2008.01.28 Trojan.Agent.AEI.1 

weitere Informationen 

File size: 22016 bytes 

MD5: 150f08b99a4eca5a587cd7aa924eeb90 

SHA1: 587ce4e5eb4e743bd9a2989f8ba90c4811fd3e2a 

PEiD: - 

Bit9 info: http://fileadvisor.bit9.com/services/extinfo.aspx?md5=150f08b99a4eca5a587cd7aa924eeb90 

Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=4BF2A71100D9319E569A00CABF4F51006894132F 

Sunbelt info: Trojan.Unclassified.gen is a group of various malicious applications that have not been fully categorized. Detection has been added as Trojan.Unclassified.gen until such applications can be further classified.

Und die Datei scheint laut dem Text eine weitere zu "unterstützen", zumindest sind meine Symptome mit der Festplatte hier nicht aufgelistet:

Zitat:

MDM.EXE
Disagree with this determination?
This executable program has a file size of 22,016 bytes, it is most frequently called MDM.EXE and is most frequently located in the %windir%\ folder.
This file is considered unsafe and is part of the malware group, Generic2.VEB. It was first seen on Friday, May 18 2007. It has been seen frequently by 795 users in this section of the community. The file was first seen in The UNITED STATES but has been seen in other locations, including The EUROPEAN UNION.
MDM.EXE has been seen to perform the following behaviors:
- The Process is packed and/or encrypted using a software packing process
- Adds a Registry Key (RUN) to auto start Programs on system start up
- Executes a Process
- Writes to another Process's Virtual Memory (Process Hijacking)
MDM.EXE has been the subject of the following behaviors:
- Executed as a Process
- Created as a process on disk
- Deleted as a process from disk
- Writes to another Process's Virtual Memory (Process Hijacking)
- Added as a Registry auto start to load Program on Boot up

Dann geh doch noch mal im Thread zurück. Vielleicht lassen sich jetzt die Ansichtsoptionen ds Explorers ändern und Du kannst dich auf die Suche nach den Dateien machen. Unabhängig von diesen Optionen ist die Konsole, also cmd.exe. Dort den Befehl "dir /a" benutzen.

Konnte jetzt durch den CMD Befehl die autorun.inf öffnen
Zum einen wurden 2 Dinge aufgrufend ie denn kryprischen zeichen im rechsklick menu der festplatten im arbeitsplatz entsprachen, die habe ich entfernt.
Jetzt sind noch 3 Einträge von RavMon.exe vorhanden, im Netz lese ich das ist auch Schadsoftware, stimmt das und sollte icha uch dies entfernen?

Achja hatte ich vergessen, hab die Datei noch offen denn ich stelle fest dass sie einen schreibschutz hat, wie kann ich den in der mcd ausstellen?

OK wenn ich mit attrib -s -r den schreibschutz ausstellenw ill kommt folgende Meldung:
"Versteckte Datei wird nicht zurückgesetzt - C:\AutoRun.inf"
Und wie bekomm ich die "angezeigt"?

Und weil man nicht editieren kann: der "del" befehl in der cmd findet die datei garnicht erst

Weils so schön ist:
Habe die attribute für systemdatei und versteckt alle entfernt aber bei "del" kommt jetzt: "zugriff verweigert"