Und jetzt der Vollscan:

Malwarebytes' Anti-Malware 1.50.1.1100
Malwarebytes

Datenbank Version: 6363

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

14.04.2011 22:49:38
mbam-log-2011-04-14 (22-49-38).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 275822
Laufzeit: 2 Stunde(n), 13 Minute(n), 0 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 3

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\programme\uyhclbsa\dfyovbcq.exe.vir (Spyware.Passwords.XGen) -> Quarantined and deleted successfully.
c:\system volume information\_restore{574f10a9-47a9-4590-8a90-4f462290b451}\RP277\a0114772.exe.vir (Spyware.Passwords.XGen) -> Quarantined and deleted successfully.
c:\system volume information\_restore{574f10a9-47a9-4590-8a90-4f462290b451}\RP277\a0114773.exe.vir (Spyware.Passwords.XGen) -> Quarantined and deleted successfully.


Gruß
KatBom

Zitat:

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 172.23.56.1
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = vtlbusiness.local

Wieso lässt du diesen Büro-PC über ein Board bereinigen? Was ist mit deiner EDV-Abteilung?

Hey Cosinus,

bin jetzt erst wieder on. Hier meine Mail vom Freitag.

Von: <KatBom@web.de>
Datum: 15. April 2011 18:00:28 MESZ
An: Trojaner-Board <pz@trojaner-board.de>
Betreff: Re: Neue Antwort im Thema 'AVIRA zeigt 1900 Fundstellen zu DROP.AGENT.AB und W32/Ramnit.C'

Hey Cosinus

war heute nicht im Büro und bin am WE mit der Familie weg. Deshalb konnte ich nicht auf deine Antwort reagieren.

IT-Abteilung? Wir sind eine Freelancer-Gruppe mit vier Mitarbeitern. Jeder arbeitet fuer sich. Die Grundeinrichtung des Servers hatte damals ein Freund ausgeführt. Ansonsten hat sich einer von uns ein wenig in die Rechnerthematik eingearbeitet und wir können die Rechner bei ihm für Installationen etc. abgeben.

Das Gerät ist also mein Privatteil, das ich auch im bueronetzwerk einloggen kann, zusätzlich zu meinem festrechner dort.





Am 15.04.2011 um 11:02 schrieb "Trojaner-Board" <pz@trojaner-board.de>:


Hallo KatBom,

cosinus hat auf das Thema 'AVIRA zeigt 1900 Fundstellen zu DROP.AGENT.AB und W32/Ramnit.C' im Forum 'Log-Analyse und Auswertung' bei Trojaner-Board geantwortet.

Dieses Thema ist hier zu finden:
http://www.trojaner-board.de/97456-a...-new-post.html

Dies ist der Beitrag, der gerade geschrieben wurde:
***************

---Zitat---
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 172.23.56.1
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = vtlbusiness.local
---Zitatende---
Wieso lässt du diesen Büro-PC über ein Board bereinigen? Was ist mit deiner EDV-Abteilung?
***************


Es könnte noch weitere Antworten auf das Thema geben, jedoch erhalten Sie keine zusätzlichen Benachrichtigungen, bis Sie das Forum wieder besucht haben.

Mit freundlichen Grüßen

Trojaner-Board

Hey Arne,

wir wurschteln uns eben immer so durch, wenn wir Rechnerprobleme haben: defekte oder gelöschte Files mit einem einem Rettungstool (Fielrecovery?) wiederherstellen oder nach Anleitung von zdnet "kleinere" Viren beseitigt. Aber jetzt scheint mir das Ding doch zu groß um einfach die Anweisungen in einem bestehenden Thread zu kopieren.

Falls du unsere Geschäftsdaten prüfst, wirst du feststellen, wir sind keine GmbH, sondern einfach eine zusammenarbeitende Gruppe.

Beste Grüße
KatBom

Es gaht darum, dass wir einen Bürorechner analysieren!
Habt ihr nun keine EDV-Abteilung oder ist kein Geld für einen Vor-Ort-Support da?

Hey Arne,

wir haben keine EDV-Abteilung. Wenn du möchtest kann ich ein Foto, Movie von unserem Büro oder Facetime-Kontakt machen. Und einen Support von DELL kann ich mir nicht leisten.

Falls es darum geht, dass es ärger mit Chefs geben könnte. Quasi bin ich dieser. Also ich habe die Firmenüberschrift "gegründet" und die Anderen dazu geholt.

Gruß KatBom

Ok. Bei dem Firmen-PC solltest du dir überlegen ob eine tagelange Bereinigung wirklich das richtige ist. Außerdem solltest du bedenken, dass du einen fileinfector drauf hast und somit jede ausführbare Datei befallen sein kann.

Mein Vorschlag wäre: Datensicherung über Live-CD (siehe zweiter Link in meiner Signatur) und dann saubere Neuinstallation von Windows.

Hey Arne,

die tagelange Bereinigung ist nicht das Problem, da ich ja hauptsächlich auf dem anderen PC arbeite. So lange könnte ich natürlich nicht auf einen Rechner verzichten und vor-Ort-Termine gibt es derzeit nicht.

Mit der Datenrettung hatte ich ja bereits begonnen. Aber dies ist so umfangreich, dass ich es nach einer CD aufgegeben habe. Aber der Umfang wäre nicht mal das Problem. Ich habe dabei festgestellt, dass ich nicht nachvollziehen kann an welchen Stellen ich Daten habe und wie die speziellen Endungen sind, z.B. Navi-Backup und zusätzliche Karten, fotobücher, 300 Apps - die dann neu installiert werden müssten. Hinzu kommt, dass ich einige exe-Dateien nicht so leicht neu besorgen kann, z. B. Telefonanlage, TotalMailConverter, ... Und insbesondere die diversen exe-Dateien möchte ich retten.

Wie lange wird es dauern bis wir damit fertig sind?

Gruß KatBom

Warum hast du nicht vorher an Backups gedacht?

Zitat:

"Avira AntiVir Desktop" = Avira AntiVir Personal - Free Antivirus

Deinstallieren. AntiVir Free darfst du auf einem Bürorechner nicht verwenden!
Deinstalliere auch McAfee und ZoneAlarm.
Einen Virenscanner, der im Hintergrund werkelt, kannst du installieren, wenn wir hier durch sein sollten.

Hey

AVIRA und ZoneAlarm über Systemsteuerung/Software deinstalliert. McAfee war dort nicht zu sehen. Hatte ich auch vor der Installation von ZoneAlarm deinstalliert. Der Ordner "McAfee" unter Programme ist leer. Werkelt es nach deiner Einschätzung trotzdem noch?

Gruß

Gut. Mach bitte neue Logs mit OTL und poste sie.

OTL Log mit QuickScan. (?)

Anhang 15922

und direkt auf Scan

Anhang 15924

Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code: Alles auswählenAufklappen

ATTFilter

:OTL
DRV - [2009.12.15 15:29:52 | 000,055,304 | ---- | M] (McAfee, Inc.) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\mfetdik.sys -- (mfetdik)
DRV - [2009.12.15 15:29:42 | 000,034,248 | ---- | M] (McAfee, Inc.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\mferkdk.sys -- (MfeRKDK)
DRV - [2009.12.15 15:29:34 | 000,214,664 | ---- | M] (McAfee, Inc.) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\mfehidk.sys -- (mfehidk)
DRV - [2009.12.15 15:29:30 | 000,035,272 | ---- | M] (McAfee, Inc.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\mfebopk.sys -- (MfeBOPK)
DRV - [2009.12.15 15:29:26 | 000,079,816 | ---- | M] (McAfee, Inc.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\mfeavfk.sys -- (MfeAVFK)
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {EE2AC4E5-B0B0-4EC6-88A9-BCA1A32AB107} - No CLSID value found.
O4 - HKLM..\Run: []  File not found
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2009.09.17 14:18:53 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O33 - MountPoints2\{28b6e29e-c3fa-11df-8352-001b77518a45}\Shell - "" = AutoRun
O33 - MountPoints2\{28b6e29e-c3fa-11df-8352-001b77518a45}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{28b6e29e-c3fa-11df-8352-001b77518a45}\Shell\AutoRun\command - "" = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Start.hta
[2011.04.18 16:39:38 | 000,000,000 | ---D | C] -- C:\WINDOWS\Internet Logs
[2011.04.12 14:19:56 | 000,000,000 | ---D | C] -- C:\Programme\uyhclbsa
[2009.12.31 11:25:32 | 000,000,000 | ---- | C] () -- C:\WINDOWS\AutoRun.INI
[2009.09.20 21:23:15 | 000,454,656 | ---- | C] () -- C:\WINDOWS\ssndii.exe
[2010.09.05 20:51:02 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{429CAD59-35B1-4DBC-BB6D-1DB246563521}
:Commands
[purity]
[resethosts]
[emptytemp]
         

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

so geschehen...

Anhang 15928