Trojaner-Board
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   TR/Agent.aei.1 / Problem mit Fesplatten und Wechseldatenträgern (https://www.trojaner-board.de/49476-tr-agent-aei-1-problem-fesplatten-wechseldatentraegern.html)

=Crux= 14.02.2008 14:29
TR/Agent.aei.1 / Problem mit Fesplatten und Wechseldatenträgern
 
Moin, ich habe seit einigen Tagen ein "kleines" Problem mit einem Schädling.
Vor einigen Tagen hatte ich meine mobile Festplatte an einem Projektlaptop meiner Schule, den Laptop nutzen nur ich, ein Freund und ein Lehrer.
Scheinbar hat unser Lehrer das Teil angeschleppt, denn ich war seit ca 2 Wochen nicht an dem Gerät und habe festgestellt dass ich die Festplatten nciht mehr durch einen Doppelklick öffnen konnte, bei einem Rechsklick waren die Einträge "Öffnen" und "Explorer" durch kryptische Zeichen ersetzt und funktionierten nicht, Zugriff auf die Platten hatte ich nur durch den Explorer und Programme.
Als ich zuhause dann meine Platte am PC hatte plötzlich dasselbe Problem auf meinem Rechner, allerdings konnte ich es bei mir per Systemwiederherstellung wieder hinbekommen, auf dem Laptop wurde jedoch seit 2 Monaten kein Wiederhersellungspunkt gesetzt, weder manuell noch automatisch bei einer Installation.
Mittlerweile ist ein weiterer PC in der Schule infiziert weil ein USB Stick der schon an dem infizierten Laptop angesteckt war benutzt wurde, das Schadprogramm verbreitet sich somit scheinbar über Wechseldatenträger.
Auf meinem PC konnte ich jedoch feststellen dass es sich bei dem Schädling um"TR/Agent.aei.1" handelt, des Weiteren hatte ich noch eine Warnung bezüglich eines Schädlings mit "Crypt" im Dateinamen, leider verschwand die Meldung jedoch bevor ich den Namen komplett notieren konnt.
Da auf dem Laptop wichtige Daten liegen frage ich mich nun wie ich das Problem lösen konnte, ein Bekannter meinte die wichtige Datena uf die sowieso infizierte mobile HDD sichern, Laptop HDD formatieren, Knoppix Live CD rein und ClamAV über die mobile HDD laufen lassen, doch dann ich denke wozu platt machen wenn ClamAV am Ende evtl den Schädling nicht von den gesicherten Daten entfernen kann.
Leider kann ich also auch kein HijackThis File posten, denn alle vom Laptop kommenden Daten sind infiziert.

Hat jemand eine Idee wie ich das Teil wieder loswerde?

PS: Auf beiden Systemen läuft Windows XP SP2

=Crux= 14.02.2008 18:20
Hat denn niemand eine Idee?
Die Datena uf dem Laptop sind enomrm wichtig die kann ich nicht einfach verlieren durch formatieren.
Habe jetzt über eine Knoppix Live CD mit ClamAV die mobile HDD checken lassen aber nichts gefunden, scheint nicht in der aktuellen Version enthalten zu sein...

KarlKarl 14.02.2008 18:48
Hi,

Schädlinge, die sich über USB-Platten und Sticks verbreiten, sind viel im Umlauf. Allgemein arbeiten sie mit folgender Technik:

Im Hauptverzeichnis wird eine Datei autorun.inf angelegt. Die steuert was Windows machen soll, wenn der Datenträger mit einem Computer verbunden wird. Dort steht dann ein Startaufruf auf den Schädling, der ebenfalls auf den Datenträger kopiert wurde. stick wird in Computer gesteckt, Windows startet Schädling -> Computer infiziert. Der infizierte Computer infiziert nun jeden Datenträger, der an ihn angeschlossen wird.

Die Dateien sind oft versteckt angelegt. Im Explorer im Menü Extras -> Ordneroptionen -> Ansicht setze folgende Einstellungen:
  • Erweiterungen bei bekannten Dateitypen ausblenden -> Haken weg
  • Geschützte Systemdateien ausblenden -> Haken weg
  • Inhalte von Systemordnern anzeigen -> Haken setzen (diese Option ist bei Windows 2000 nicht vorhanden)
  • Versteckte Dateien und Ordner -> Alle Dateien und Ordner anzeigen
Das sollte dir vielleicht helfen, das Problem zu entfernen. Für genauere Untersuchungen würden zumindest Hijackthis Logs der befallenen Systeme benötigt. Der Schädling könnte ein Downloader sein, der andere Sachen nachlädt.


Strategien zur Vorbeugung:
  • Keine fremden Platten und Sticks an den eigenen Computer lassen, bzw. seine Sticks und Platten nicht in fremde Computer stecken.
  • Beim Anschluss von Platte und Stick die Shift-Taste gedrückt halten, dann macht Windows keinen Autostart.
  • Autostart gleich ganz abschalten: autostart deaktivieren - Google Search
  • Man kann das Infektionsrisiko für die eigenen Platten und Sticks senken wenn man schon so verrückt ist, sie in fremde Computer zu stecken. Im Hauptverzeichnis einen Ordner autorun.inf anlegen, dadrin eine leere Datei. Nun sowohl der Datei als auch dem Ordner alle Zugriffsrechte wegnehmen. Die meisten Schädlinge werden jetzt dran scheitern, dass in einem Verzeichnis nicht eine Datei und ein Ordner mit dem gleichen Namen zusammen sein können, es ist aber Code möglich, der das erkennt, die Zugriffsrechte wiederherstellt und dann den Ordner löscht. Auf Sticks ist das wackeliger, da die FAT-formatiert sind und auf diesem System keine Zugriffsrechte gespeichert werden. Da kann man nur read-only setzen und das ist sehr trivial.

Gruß, Karl

=Crux= 14.02.2008 18:58
So, ein Problem, die Einstellung "Alle versteckten Ordner und Dateien anzeigen" ist nicht einstellbar, ich kann sie zwar auswählen und OK klicken aber wenn ich direkt danach wieder ins Menu gehe ist es wieder wie vorher.

KarlKarl 14.02.2008 18:59
dann zeig uns mal ein Hijackthis Log. Offensichtlich passt da jemand auf, dass Du bestimmte Dateien nicht sehen sollst.

=Crux= 14.02.2008 19:01
Ok, ich poste mal vom Laptop aus hab den grade am Router, muss nur grade HijackThis laden

KarlKarl 14.02.2008 19:03
Posten kannst Du das Log von jedem Computer, erstellen musst Du es aber auf dem Computer mit dem Problem.

=Crux= 14.02.2008 19:09
Ist schon klar, aber wenn ich das Log vm infizierten Laptop auf meinen PC übertrage habe ich den Mist ja auch wieder drauf ;)
Her also das Logfile, hatte auch schon schtinel ne Autoauswertung gemacht und da was gesehen das ich auch schon ei meinen "Symptomen" und unter dem Namen im Antivir-Forum gelesen habe, da hatte man allerdings keine Lösung, bezüglich MDM und SVCHOST.

Logfile:
Code:
Logfile of HijackThis v1.99.1
Scan saved at 19:04:12, on 14.02.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Acer\Acer Arcade\PCMService.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Acer\Empowering Technology\ePower\ePower_DMC.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\PROGRA~1\LAUNCH~1\LManager.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Acer\Empowering Technology\eRecovery\eRAgent.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\Programme\Network Associates\VirusScan\SHSTAT.EXE
C:\Programme\Network Associates\Common Framework\UpdaterUI.exe
C:\Programme\Gemeinsame Dateien\Network Associates\TalkBack\TBMon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\SVCHOST.EXE
C:\Acer\Empowering Technology\ePerformance\MemCheck.exe
C:\Program Files\Acer\Acer Arcade\Kernel\TV\CLCapSvc.exe
C:\Program Files\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLServer.exe
C:\Program Files\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLService.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\Network Associates\Common Framework\FrameworkService.exe
C:\Programme\Network Associates\VirusScan\Mcshield.exe
C:\Programme\Network Associates\VirusScan\VsTskMgr.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\CyberLink\Shared Files\RichVideo.exe
C:\Program Files\Acer\Acer Arcade\Kernel\TV\CLSched.exe
C:\WINDOWS\system32\wbem\unsecapp.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Astemer\Desktop\hijackthis_199\HijackThis.exe
C:\WINDOWS\SoftwareDistribution\Download\6b3307c2ee995d4822ebdfa11c07ce12\update\update.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gmx.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://global.acer.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - c:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [AzMixerSel] C:\Programme\Realtek\InstallShield\AzMixerSel.exe
O4 - HKLM\..\Run: [PCMService] "C:\Program Files\Acer\Acer Arcade\PCMService.exe"
O4 - HKLM\..\Run: [ntiMUI] C:\Programme\NewTech Infosystems\NTI CD & DVD-Maker 7\ntiMUI.exe
O4 - HKLM\..\Run: [Acer ePresentation HPD] C:\Acer\Empowering Technology\ePresentation\ePresentation.exe
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [ePower_DMC] C:\Acer\Empowering Technology\ePower\ePower_DMC.exe
O4 - HKLM\..\Run: [Boot] C:\Acer\Empowering Technology\ePower\Boot.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\LManager.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [eRecoveryService] C:\Acer\Empowering Technology\eRecovery\eRAgent.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [SVCHOST] C:\WINDOWS\MDM.EXE
O4 - HKLM\..\Run: [ShStatEXE] "C:\Programme\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Programme\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [Network Associates Error Reporting Service] "C:\Programme\Gemeinsame Dateien\Network Associates\TalkBack\TBMon.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: Memory Check Service (AcerMemUsageCheckService) - Acer Inc. - C:\Acer\Empowering Technology\ePerformance\MemCheck.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Program Files\Acer\Acer Arcade\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Program Files\Acer\Acer Arcade\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Program Files\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLServer.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: McAfee Framework-Dienst (McAfeeFramework) - Network Associates, Inc. - C:\Programme\Network Associates\Common Framework\FrameworkService.exe
O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Programme\Network Associates\VirusScan\Mcshield.exe
O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Programme\Network Associates\VirusScan\VsTskMgr.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe
Wegen dem Ganzen Schrott de drauf ist, das ist wie gesagt ein Laptop der Schule ;)

KarlKarl 14.02.2008 20:28
Um es kurz zu machen, hier sind die problematischen Einträge:
Code:
C:\WINDOWS\SVCHOST.EXE
O4 - HKLM\..\Run: [SVCHOST] C:\WINDOWS\MDM.EXE
Kannst die genannten Dateien ja mal bei VirusTotal checken lassen.

Ich würd aber an deiner Stelle nicht allzu viel Mühe darauf verwenden. Wenn das ein Computer der Schule ist, dann stell das Teil dem Verantwortlichen auf den Tisch. Der verdient dort sein Geld und muss jetzt wohl mal was tun. Irgendwie nervt es, hier die Arbeit für bezahlte Leute ehrenamtlich zu tun, damit die sich weiterhin nur um die Kaffeemaschine zu kümmern brauchen.

=Crux= 14.02.2008 20:31
Der Verantwortliche ist der Pädagogische Leiter unserer Schule wei er bei dem Projekt Projektleiter ist, allerdings ist es Geld von der EU was man ausgeben würde um den PC wieder hinzubekommen und das brauchenw ir für das Projekt an sich sowie für das Ausrichten der Meetings bzw die Reisekosten zu den Meetings und das Geld ist schon knapp genug bemessen, weshalb ich schon das meiste selbst in die Hand nehme, Reparaturen und Homepageerstellung inbegriffen.

Erhalte bei VirusTotal jedoch bei beiden Dateien die folgende Meldung:
Zitat:
0 bytes size received / Se ha recibido un archivo vacio

KarlKarl 14.02.2008 20:40
Geld wird auch nicht gebraucht, die Kiste wieder zu richten, aber etwas Ahnung sollte vorhanden sein. Anscheinend hat sich da mal wieder ein Bürokrat eine coole Stelle klargemacht, für die er nicht qualifiziert ist. Arbeiten tun dann die Schüler und ich muss mir auf dem Jobcenter vorwerfen lassen, dass ich ein fauler Sack wäre, weil solche Heinis die Stellen blockieren :rolleyes:

Lade dir den Avenger herunter und entzippe ihn auf deinen Desktop. Nicht gezippt direkt als EXE ist er hier erhältlich. Starte den Avenger und wähle "Input script manually", danach klicke auf das Lupensymbol rechts in der Mitte. Kopiere den Inhalt der folgenden Codebox vollständig und unverändert in das Fenster, danach klicke auf "Done".
Code:
files to delete:
C:\WINDOWS\SVCHOST.EXE
C:\WINDOWS\MDM.EXE
Danach klicke auf das Ampelsymbol mit dem grünen Licht, um den Avenger zu starten. Folge der Aufforderung, deinen Rechner neu zu starten. Nachdem der Rechner neu gestartet ist und das Dosfenster, das der Avenger geöffnet hat, wieder geschlossen ist, befindet sich das Avengerlog in C:\avenger.txt. Deren Inhalt bitte posten. Ein Backup der entfernten Objekte wurde als C:\avenger\backup.zip angelegt. Außerdem ein neues Hijackthis bitte.

=Crux= 14.02.2008 20:51
So, hier zuerst die Avenger.txt:

Code:
Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\b^fmcxxj

*******************

Script file located at: \??\C:\ogkthgkf.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\WINDOWS\SVCHOST.EXE deleted successfully.
File C:\WINDOWS\MDM.EXE deleted successfully.

Completed script processing.

*******************

Finished!  Terminate.

Und hier das neue HijackThis Logfile:

Code:
Logfile of HijackThis v1.99.1
Scan saved at 20:51:19, on 14.02.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Acer\Acer Arcade\PCMService.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Acer\Empowering Technology\ePower\ePower_DMC.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\PROGRA~1\LAUNCH~1\LManager.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Acer\Empowering Technology\eRecovery\eRAgent.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\Programme\Network Associates\VirusScan\SHSTAT.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Acer\Empowering Technology\ePerformance\MemCheck.exe
C:\Program Files\Acer\Acer Arcade\Kernel\TV\CLCapSvc.exe
C:\Program Files\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLServer.exe
C:\Program Files\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLService.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\Network Associates\VirusScan\Mcshield.exe
C:\Programme\Network Associates\VirusScan\VsTskMgr.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\CyberLink\Shared Files\RichVideo.exe
C:\Program Files\Acer\Acer Arcade\Kernel\TV\CLSched.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\wbem\unsecapp.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\Astemer\Desktop\hijackthis_199\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gmx.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://global.acer.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - c:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [AzMixerSel] C:\Programme\Realtek\InstallShield\AzMixerSel.exe
O4 - HKLM\..\Run: [PCMService] "C:\Program Files\Acer\Acer Arcade\PCMService.exe"
O4 - HKLM\..\Run: [ntiMUI] C:\Programme\NewTech Infosystems\NTI CD & DVD-Maker 7\ntiMUI.exe
O4 - HKLM\..\Run: [Acer ePresentation HPD] C:\Acer\Empowering Technology\ePresentation\ePresentation.exe
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [ePower_DMC] C:\Acer\Empowering Technology\ePower\ePower_DMC.exe
O4 - HKLM\..\Run: [Boot] C:\Acer\Empowering Technology\ePower\Boot.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\LManager.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [eRecoveryService] C:\Acer\Empowering Technology\eRecovery\eRAgent.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [ShStatEXE] "C:\Programme\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [SVCHOST] C:\WINDOWS\MDM.EXE
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Memory Check Service (AcerMemUsageCheckService) - Acer Inc. - C:\Acer\Empowering Technology\ePerformance\MemCheck.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Program Files\Acer\Acer Arcade\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Program Files\Acer\Acer Arcade\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Program Files\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLServer.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Programme\Network Associates\VirusScan\Mcshield.exe
O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Programme\Network Associates\VirusScan\VsTskMgr.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe

KarlKarl 14.02.2008 20:56
Laufen tut er schon mal nicht mehr.

In Hijackthis vor folgende Zeile(n) einen Haken machen und dann "Fix checked" klicken, dabei alle anderen Programme (besonders Webbrowser) geschlossen haben:
Code:
O4 - HKLM\..\Run: [SVCHOST] C:\WINDOWS\MDM.EXE
Dann empfehle ich noch einen Onlinescan: Kaspersky


Die Verseuchungen über USB-Geräte sind aber ein allgemeines Problem. Wenn Du das in den Griff bekommen willst, musst du alle anderen Computer ebenfalls checken. Ein paar Empfehlungen, die das Risiko senken (aber nicht komplett abschaffen) stehen schon oben. Ich würde auf allen Computern Autostart komplett deaktivieren, denn in eurer Umgebung wird man USB-Sticks wohl kaum verbieten können.

=Crux= 14.02.2008 21:05
Kein Ergebnis, das Problem besteht weiterhin.
Und vor allem kann ich so meine mobile HDD auch nicht wieder hinbekommen.
Wenn ich die hinbekommen könnte (was ja nicht geht solange der Rechner an dem sie hängt infiziert ist) könnte ich ihn ja auch formatieren aber das geht ja nicht solange die platte nicht sauber ist.... Teufelskreis...

=Crux= 14.02.2008 21:15
Hab die MDM.exe nochmal bei Virustotal hochgeladen, diesml gings, hier das Ergebnis:

Code:
Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.1.28.10 2008.01.28 Win-Trojan/Agent.22016.AQ
AntiVir 7.6.0.56 2008.01.28 TR/Agent.AEI.1
Authentium 4.93.8 2008.01.26 W32/Backdoor.ARLD
Avast 4.7.1098.0 2008.01.27 Win32:Agent-EMT
AVG 7.5.0.516 2008.01.28 Generic2.VEB
BitDefender 7.2 2008.01.28 Trojan.Agent.AIQ
CAT-QuickHeal 9.00 2008.01.25 Trojan.Agent.aei
ClamAV 0.91.2 2008.01.28 Trojan.Agent-1915
DrWeb 4.44.0.09170 2008.01.28 Win32.HLLW.Cent
eSafe 7.0.15.0 2008.01.16 Win32.Agent.aei
eTrust-Vet 31.3.5486 2008.01.26 Win32/Compfault.B
Ewido 4.0 2008.01.27 Trojan.Agent.aei
FileAdvisor 1 2008.01.28 High threat detected
Fortinet 3.14.0.0 2008.01.28 W32/Agent.AEI!tr
F-Prot 4.4.2.54 2008.01.27 W32/Backdoor.ARLD
F-Secure 6.70.13260.0 2008.01.28 W32/Agent.BJUX
Ikarus T3.1.1.20 2008.01.28 Trojan.Win32.Agent.abt
Kaspersky 7.0.0.125 2008.01.28 Trojan.Win32.Agent.abt
McAfee 5216 2008.01.26 W32/DKR.worm
Microsoft 1.3109 2008.01.28 TrojanSpy:Win32/VBStat.AD
NOD32v2 2827 2008.01.28 Win32/Agent.NAV
Norman 5.80.02 2008.01.28 W32/Agent.BJUX
Panda 9.0.0.4 2008.01.28 Trj/Agent.DYJ
Prevx1 V2 2008.01.28 Generic2.VEB
Rising 20.29.01.00 2008.01.28 Trojan.Win32.Agent.afz
Sophos 4.25.0 2008.01.28 Troj/Bckdr-PXR
Sunbelt 2.2.907.0 2008.01.25 Trojan.Unclassified.gen
Symantec 10 2008.01.28 Trojan Horse
TheHacker 6.2.9.200 2008.01.28 Trojan/Agent.aei
VBA32 3.12.2.5 2008.01.21 Win32.HLLW.Cent
VirusBuster 4.3.26:9 2008.01.27 Trojan.Agent.GXZ
Webwasher-Gateway 6.6.2 2008.01.28 Trojan.Agent.AEI.1
weitere Informationen
File size: 22016 bytes
MD5: 150f08b99a4eca5a587cd7aa924eeb90
SHA1: 587ce4e5eb4e743bd9a2989f8ba90c4811fd3e2a
PEiD: -
Bit9 info: http://fileadvisor.bit9.com/services/extinfo.aspx?md5=150f08b99a4eca5a587cd7aa924eeb90
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=4BF2A71100D9319E569A00CABF4F51006894132F
Sunbelt info: Trojan.Unclassified.gen is a group of various malicious applications that have not been fully categorized. Detection has been added as Trojan.Unclassified.gen until such applications can be further classified.


Alle Zeitangaben in WEZ +1. Es ist jetzt 00:29 Uhr.
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2024, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129