Trojaner-Board - trojaner --- (TR/Spy.123392 / BDS/Bredavi.aq) --- HJT-Logfile auswerten

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - trojaner --- (TR/Spy.123392 / BDS/Bredavi.aq) --- HJT-Logfile auswerten (https://www.trojaner-board.de/79567-trojaner-tr-spy-123392-bds-bredavi-aq-hjt-logfile-auswerten.html)

trojaner --- (TR/Spy.123392 / BDS/Bredavi.aq) --- HJT-Logfile auswerten

hallo
hoffe es kann jemand helfen !??
problem ist das sich vor kurzem ein trojaner/backdoorvirus
auf dem rechner eingenistet hatte -
und zwar müsste es entweder

- 'BDS/Bredavi.aql.3' backdoor

UND/ODER

- 'TR/Spy.123392' trojaner

gewesen sein !!!

benutze 2 rechner über einen fritzboxxx router per wlan - der 1. PC war definitiv infiziert ,
weiss nicht genau ob der 2. PC auch betroffen ist
( oder überhaupt sein kann ?! ),
da malwarebytes auch hier etwas gefunden hatte ??

kann jemand die logfiles vom 2. PC auswerten ???

es sind 4 logfiles

1. logfile Lop S&D
2. Logfile of random's system information tool
3. Logfile of Trend Micro HijackThis
4. Malwarebytes' Anti-Malware log

12kb

http://www.file-upload.net/download-2022045/4-logfiles---toshiba-.zip.html

danke

LOGFILE LOP S&D

--------------------\\ Lop S&D 4.2.5-0 XP/Vista

Microsoft Windows XP Professional ( v5.1.2600 ) Service Pack 3
X86-based PC ( Uniprocessor Free : Intel Pentium III-Prozessor )
BIOS : Satellite Pro4340 v2.70 TOSHIBA
USER : Administrator ( josef )
BOOT : Normal boot
Antivirus : ESET NOD32 Antivirus 3.0 3.0 (Not Activated)
A:\ (USB)
C:\ (Local Disk) - NTFS - Total:3 Go (Free:1 Go)
D:\ (Local Disk) - NTFS - Total:1 Go (Free:1 Go)
E:\ (CD or DVD)

"C:\Lop SD" ( MAJ : 19-12-2008|23:40 )
Option : [1] ( 19.11.2009| 9:10 )

--------------------\\ Ordner Verzeichnis unter ANWEND~1

[24.10.2009|16:57] C:\DOKUME~1\Josef~1\ANWEND~1\Adobe
[19.11.2009|07:31] C:\DOKUME~1\Josef~1\ANWEND~1\FRITZ!
[10.11.2009|16:38] C:\DOKUME~1\Josef~1\ANWEND~1\Identities
[24.10.2009|16:59] C:\DOKUME~1\Josef~1\ANWEND~1\Macromedia
[19.11.2009|06:42] C:\DOKUME~1\Josef~1\ANWEND~1\Malwarebytes
[29.10.2009|18:04] C:\DOKUME~1\Josef~1\ANWEND~1\Microsoft
[24.10.2009|18:30] C:\DOKUME~1\Josef~1\ANWEND~1\Mozilla
[29.10.2009|01:18] C:\DOKUME~1\Josef~1\ANWEND~1\OpenOffice.org
[24.10.2009|16:41] C:\DOKUME~1\Josef~1\ANWEND~1\Sun
[24.10.2009|17:15] C:\DOKUME~1\Josef~1\ANWEND~1\TuneUp Software
[0|Datei(en)] C:\DOKUME~1\Josef~1\ANWEND~1\Bytes
[12|Verzeichnis(se),] C:\DOKUME~1\Josef~1\ANWEND~1\Bytes frei

[24.10.2009|17:09] C:\DOKUME~1\ALLUSE~1\ANWEND~1\{55A29068-F2CE-456C-9148-C869879E2357}
[17.11.2009|02:02] C:\DOKUME~1\ALLUSE~1\ANWEND~1\{D3742F82-1C1A-4DCC-ABBD-0E7C3C0185CC}
[24.10.2009|16:08] C:\DOKUME~1\ALLUSE~1\ANWEND~1\ESET
[19.11.2009|06:41] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Malwarebytes
[24.10.2009|16:31] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Microsoft
[14.11.2009|02:05] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Spybot - Search & Destroy
[17.11.2009|02:03] C:\DOKUME~1\ALLUSE~1\ANWEND~1\TuneUp Software
[24.10.2009|18:14] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Windows Genuine Advantage
[0|Datei(en)] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Bytes
[10|Verzeichnis(se),] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Bytes frei

[24.10.2009|15:40] C:\DOKUME~1\DEFAUL~1\ANWEND~1\Microsoft
[0|Datei(en)] C:\DOKUME~1\DEFAUL~1\ANWEND~1\Bytes
[3|Verzeichnis(se),] C:\DOKUME~1\DEFAUL~1\ANWEND~1\Bytes frei

[25.10.2009|14:35] C:\DOKUME~1\LOCALS~1\ANWEND~1\Microsoft
[17.11.2009|03:00] C:\DOKUME~1\LOCALS~1\ANWEND~1\TuneUp Software
[0|Datei(en)] C:\DOKUME~1\LOCALS~1\ANWEND~1\Bytes
[4|Verzeichnis(se),] C:\DOKUME~1\LOCALS~1\ANWEND~1\Bytes frei

[24.10.2009|15:49] C:\DOKUME~1\NETWOR~1\ANWEND~1\Microsoft
[0|Datei(en)] C:\DOKUME~1\NETWOR~1\ANWEND~1\Bytes
[3|Verzeichnis(se),] C:\DOKUME~1\NETWOR~1\ANWEND~1\Bytes frei

--------------------\\ Geplante Aufgaben unter C:\WINDOWS\Tasks

[19.11.2009 07:43][--a------] C:\WINDOWS\tasks\Automatische Problemsuche.job
[19.11.2009 07:32][--ah-----] C:\WINDOWS\tasks\SA.DAT
[14.04.2008 13:00][-r-h-----] C:\WINDOWS\tasks\desktop.ini

--------------------\\ Ordner Verzeichnis unter C:\Programme

[24.10.2009|16:33] C:\Programme\AVM_update
[24.10.2009|16:36] C:\Programme\avmwlanstick
[24.10.2009|16:59] C:\Programme\CCleaner
[24.10.2009|15:32] C:\Programme\ComPlus Applications
[07.11.2009|15:41] C:\Programme\DivX
[25.10.2009|01:05] C:\Programme\ESET
[26.10.2009|16:06] C:\Programme\FRITZ!DSL
[07.11.2009|15:40] C:\Programme\Gemeinsame Dateien
[25.10.2009|01:25] C:\Programme\Internet Explorer
[24.10.2009|16:42] C:\Programme\Java
[24.10.2009|17:37] C:\Programme\jZip
[19.11.2009|06:42] C:\Programme\Malwarebytes' Anti-Malware
[24.10.2009|15:42] C:\Programme\microsoft frontpage
[24.10.2009|15:42] C:\Programme\movie maker
[19.11.2009|09:05] C:\Programme\Mozilla Firefox
[24.10.2009|15:42] C:\Programme\msn gaming zone
[24.10.2009|15:42] C:\Programme\netmeeting
[24.10.2009|15:35] C:\Programme\Online-Dienste
[24.10.2009|17:50] C:\Programme\OpenOffice.org 3
[24.10.2009|22:51] C:\Programme\Outlook Express
[24.10.2009|16:49] C:\Programme\Tracker Software
[19.11.2009|09:04] C:\Programme\trend micro
[17.11.2009|02:14] C:\Programme\TuneUp Utilities 2010
[24.10.2009|23:58] C:\Programme\Uninstall Information
[24.10.2009|19:25] C:\Programme\Windows Media Connect 2
[24.10.2009|19:25] C:\Programme\Windows Media Player
[24.10.2009|15:42] C:\Programme\Windows NT
[24.10.2009|15:35] C:\Programme\WindowsUpdate
[24.10.2009|15:42] C:\Programme\xerox
[0|Datei(en)] C:\Programme\Bytes
[31|Verzeichnis(se),] C:\Programme\Bytes frei

--------------------\\ Ordner Verzeichnis unter C:\Programme\Gemeinsame Dateien

[26.10.2009|16:06] C:\Programme\Gemeinsame Dateien\AVM
[24.10.2009|15:35] C:\Programme\Gemeinsame Dateien\Dienste
[07.11.2009|15:40] C:\Programme\Gemeinsame Dateien\DivX Shared
[13.11.2009|21:07] C:\Programme\Gemeinsame Dateien\Microsoft Shared
[24.10.2009|15:35] C:\Programme\Gemeinsame Dateien\MSSoap
[24.10.2009|16:18] C:\Programme\Gemeinsame Dateien\ODBC
[24.10.2009|15:42] C:\Programme\Gemeinsame Dateien\speechengines
[24.10.2009|15:34] C:\Programme\Gemeinsame Dateien\System
[26.10.2009|16:09] C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
[0|Datei(en)] C:\Programme\Gemeinsame Dateien\Bytes
[11|Verzeichnis(se),] C:\Programme\Gemeinsame Dateien\Bytes frei

--------------------\\ Process

( 31 Processes )

... OK !

--------------------\\ Ueberpruefung mit S_Lop

Kein Lop Ordner gefunden !

--------------------\\ Suche nach Lop Dateien - Ordnern

Kein Lop Ordner gefunden !

--------------------\\ Suche innerhalb der Registry

..... OK !

--------------------\\ Ueberpruefung der Hosts Datei

Hosts Datei SAUBER

--------------------\\ Suche nach verborgenen Dateien mit Catchme

catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover
Rootkit scan 2009-11-19 09:12:48
Windows 5.1.2600 Service Pack 3 NTFS
scanning hidden processes ...
scanning hidden files ...
scan completed successfully
hidden processes: 0
hidden files: 0

--------------------\\ Suche nach anderen Infektionen

--------------------\\ Cracks & Keygens ..

C:\DOKUME~1\Josef~1\Lokale Einstellungen\Anwendungsdaten\Opera\Opera\icons\http%3A%2F%2Fwww.keygen.us%2Ffavicon.ico
C:\DOKUME~1\Josef~1\Lokale Einstellungen\Anwendungsdaten\Opera\Opera\icons\www.keygen.us.idx

[F:3][D:1]-> C:\DOKUME~1\Josef~1\LOKALE~1\Temp
[F:1][D:0]-> C:\DOKUME~1\Josef~1\Cookies
[F:10][D:4]-> C:\DOKUME~1\Josef~1\LOKALE~1\TEMPOR~1\content.IE5

1 - "C:\Lop SD\LopR_1.txt" - 19.11.2009| 9:16 - Option : [1]

--------------------\\ Scan beendet um 9:16:28

Zitat:

--------------------\\ Cracks & Keygens ..

C:\DOKUME~1\Josef~1\Lokale Einstellungen\Anwendungsdaten\Opera\Opera\icons\ht tp%3A%2F%2Fwww.keygen.us%2Ffavicon.ico
C:\DOKUME~1\Josef~1\Lokale Einstellungen\Anwendungsdaten\Opera\Opera\icons\www.keygen.us.idx

Sry, aber Keygens disqualifizieren Dich!
Die (Be)nutzung von Cracks, Serials und Keygens ist illegal, somit gibt es im Trojaner-Board keinen weiteren Support mehr.

Für Dich geht es hier weiter => Neuaufsetzen des Systems
Bitte auch alle Passwörter abändern (für E-Mail-Konten, StudiVZ, Ebay...einfach alles!) da nicht selten in dieser dubiosen Software auch Keylogger und Backdoorfunktionen stecken. (und Backdoormeldungen hattest du!)

Danach nie wieder sowas anrühren!

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 09:04:31, on 19.11.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\avmwlanstick\WlanNetService.exe
C:\Programme\ESET\ESET NOD32 Antivirus\ekrn.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\TuneUp Utilities 2010\TuneUpUtilitiesService32.exe
C:\Programme\TuneUp Utilities 2010\TuneUpUtilitiesApp32.exe
C:\Programme\avmwlanstick\wlangui.exe
C:\Programme\ESET\ESET NOD32 Antivirus\egui.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\FRITZ!DSL\FwebProt.exe
C:\Programme\FRITZ!DSL\StCenter.EXE
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = Yahoo! Suchleiste
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = Yahoo! Deutschland
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Bing
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Bing
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN.com
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = Yahoo! Deutschland
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://fritz.box/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = fritz.box
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\wlangui.exe
O4 - HKLM\..\Run: [egui] "C:\Programme\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice
O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "C:\Programme\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [_nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [_nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [_nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [_nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')
O4 - Startup: FRITZ!DSL Protect.lnk = C:\Programme\FRITZ!DSL\FwebProt.exe
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: PokerTime - {00000000-0000-0000-0000-000000000000} - C:\MicroGaming\Poker\PokerTimeMPP\MPPoker.exe (file missing) (HKCU)
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - https://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1256675400322
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Programme\ESET\ESET NOD32 Antivirus\EHttpSrv.exe
O23 - Service: Eset Service (ekrn) - ESET - C:\Programme\ESET\ESET NOD32 Antivirus\ekrn.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software - C:\Programme\TuneUp Utilities 2010\TuneUpDefragService.exe
O23 - Service: TuneUp Utilities Service (TuneUp.UtilitiesSvc) - TuneUp Software - C:\Programme\TuneUp Utilities 2010\TuneUpUtilitiesService32.exe

--
End of file - 5492 bytes

lies mal, was cosinus dir geschrieben hat: http://www.trojaner-board.de/481402-post3.html

und was soll das sein ??

C:\DOKUME~1\Josef~1\Lokale Einstellungen\Anwendungsdaten\Opera\Opera\icons\ht tp%3A%2F%2Fwww.keygen.us%2Ffavicon.ico
C:\DOKUME~1\Josef~1\Lokale Einstellungen\Anwendungsdaten\Opera\Opera\icons\www.keygen.us.idx

das muss an opera liegen , war vor kurzem noch installiert ! - keine ahnung woher das kommt...

Zitat:

Zitat von iguana (Beitrag 481408)

Hmm... :rolleyes: Nee iss klar, Opera baut bei der Installation Links zu offensichtlich illegalen Seiten ein ;)