Trojanisches Pferd TR/Daonol.A.3

Urmel1980

Hallo alle zusammen,
als ich am Wochenende ein neues Update von Avira heruntergeladen habe, sprang es direkt an mit der Meldung: "C:\WINDOWS\system32\wdmaud.sys ist das Trojanische Pferd TR/Daonol.A.3" (sinngemäß). Dieses konnte das Programm wohl erst mit jenem Update erkennen. Es erklärte allerdings auch das seltsame Verhalten von Google (Suchergebnisse scheinen umgeleitet zu werden), und nach einigen Studieren dieses Boards denke ich, das ich mor so einen DNSChanger eingefangen habe.

Ich habe zunächst diese Datei in Quarantäne gesetzt und, wie es hier geraten wird, beschlossen, die Programme CCleaner, Anti-Malware und HijackThis laufen zu lassen, um dann einen Rat zu erhalten, was ich weiter tun soll. In absehbarer Zeit werde ich alles neu aufsetzen, aber bis dahin bin ich auf ihn angewiesen.

Ach ja, zwischendurch hatte der PC beim Hochfahren wohl eine Kopie angelegt (C:\System Volume Information\_restore{EF617630-ACAA-4F3E-869B-F50F42D6FB7C}\RP357\A0121195.sys), aber nachdem ich die Datei entfernt habe und die Systemwiederherstellung auf allen Systemen deaktiviert habe, taucht sie nicht mehr auf.

Hier folgen also die Logs, zunächst Avira:


Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Dienstag, 17. Februar 2009 00:32

Es wird nach 1248499 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 2) [5.1.2600]
Boot Modus: Normal gebootet
Benutzername: SYSTEM
Computername: ***

Versionsinformationen:
BUILD.DAT : 8.2.0.337 16934 Bytes 18.11.2008 13:01:00
AVSCAN.EXE : 8.1.4.10 315649 Bytes 16.01.2009 21:44:57
AVSCAN.DLL : 8.1.4.0 48897 Bytes 17.07.2008 19:02:25
LUKE.DLL : 8.1.4.5 164097 Bytes 17.07.2008 19:02:25
LUKERES.DLL : 8.1.4.0 12545 Bytes 17.07.2008 19:02:25
ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27.10.2008 21:44:57
ANTIVIR1.VDF : 7.1.2.12 3336192 Bytes 11.02.2009 21:16:14
ANTIVIR2.VDF : 7.1.2.13 2048 Bytes 11.02.2009 21:16:14
ANTIVIR3.VDF : 7.1.2.33 112640 Bytes 16.02.2009 22:06:07
Engineversion : 8.2.0.79
AEVDF.DLL : 8.1.1.0 106868 Bytes 01.02.2009 23:04:40
AESCRIPT.DLL : 8.1.1.47 348539 Bytes 15.02.2009 22:06:26
AESCN.DLL : 8.1.1.7 127347 Bytes 15.02.2009 22:06:26
AERDL.DLL : 8.1.1.3 438645 Bytes 16.01.2009 21:44:58
AEPACK.DLL : 8.1.3.8 397684 Bytes 04.02.2009 21:58:01
AEOFFICE.DLL : 8.1.0.33 196987 Bytes 16.01.2009 21:44:58
AEHEUR.DLL : 8.1.0.90 1573237 Bytes 04.02.2009 21:58:00
AEHELP.DLL : 8.1.2.0 119159 Bytes 16.01.2009 21:44:58
AEGEN.DLL : 8.1.1.16 332148 Bytes 15.02.2009 22:06:25
AEEMU.DLL : 8.1.0.9 393588 Bytes 15.10.2008 20:02:49
AECORE.DLL : 8.1.6.5 176501 Bytes 15.02.2009 22:06:25
AEBB.DLL : 8.1.0.3 53618 Bytes 15.10.2008 20:02:48
AVWINLL.DLL : 1.0.0.12 15105 Bytes 17.07.2008 19:02:25
AVPREF.DLL : 8.0.2.0 38657 Bytes 17.07.2008 19:02:25
AVREP.DLL : 8.0.0.2 98344 Bytes 31.07.2008 16:11:02
AVREG.DLL : 8.0.0.1 33537 Bytes 17.07.2008 19:02:25
AVARKT.DLL : 1.0.0.23 307457 Bytes 21.04.2008 19:21:53
AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 17.07.2008 19:02:25
SQLITE3.DLL : 3.3.17.1 339968 Bytes 21.04.2008 19:21:53
SMTPLIB.DLL : 1.2.0.23 28929 Bytes 17.07.2008 19:02:25
NETNT.DLL : 8.0.0.1 7937 Bytes 21.04.2008 19:21:53
RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 17.07.2008 19:02:23
RCTEXT.DLL : 8.0.52.0 86273 Bytes 17.07.2008 19:02:23

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: c:\programme\antivir personaledition classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:, E:, F:,
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Alle Dateien
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: aus

Beginn des Suchlaufs: Dienstag, 17. Februar 2009 00:32

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'KHALMNPR.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'StCenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'FwebProt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RaUI.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SetPoint.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wkcalrem.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'daemon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AvmObex.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AvmObex.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iPodService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'bluefritz.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'qttask.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iTunesHelper.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SOUNDMAN.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WgaTray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'prevx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wdfmgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'prevx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AvmObexService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'IGDCTRL.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'panapp.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avmbtservice.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '45' Prozesse mit '45' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'E:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'F:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '68' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\sptd.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
Beginne mit der Suche in 'E:\'
Beginne mit der Suche in 'F:\'


Ende des Suchlaufs: Dienstag, 17. Februar 2009 01:05
Benötigte Zeit: 33:17 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

11207 Verzeichnisse wurden überprüft
423618 Dateien wurden geprüft
0 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
2 Dateien konnten nicht durchsucht werden
423616 Dateien ohne Befall
1659 Archive wurden durchsucht
2 Warnungen
0 Hinweise