Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung
Trojanisches Pferd TR/Daonol.A.3

Trojanisches Pferd TR/Daonol.A.3


Log-Analyse und Auswertung: Trojanisches Pferd TR/Daonol.A.3

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML

Antwort
Alt 18.02.2009, 23:49   #1
Urmel1980
 
Trojanisches Pferd TR/Daonol.A.3 - Standard

Trojanisches Pferd TR/Daonol.A.3


Hallo alle zusammen,
als ich am Wochenende ein neues Update von Avira heruntergeladen habe, sprang es direkt an mit der Meldung: "C:\WINDOWS\system32\wdmaud.sys ist das Trojanische Pferd TR/Daonol.A.3" (sinngemäß). Dieses konnte das Programm wohl erst mit jenem Update erkennen. Es erklärte allerdings auch das seltsame Verhalten von Google (Suchergebnisse scheinen umgeleitet zu werden), und nach einigen Studieren dieses Boards denke ich, das ich mor so einen DNSChanger eingefangen habe.

Ich habe zunächst diese Datei in Quarantäne gesetzt und, wie es hier geraten wird, beschlossen, die Programme CCleaner, Anti-Malware und HijackThis laufen zu lassen, um dann einen Rat zu erhalten, was ich weiter tun soll. In absehbarer Zeit werde ich alles neu aufsetzen, aber bis dahin bin ich auf ihn angewiesen.

Ach ja, zwischendurch hatte der PC beim Hochfahren wohl eine Kopie angelegt (C:\System Volume Information\_restore{EF617630-ACAA-4F3E-869B-F50F42D6FB7C}\RP357\A0121195.sys), aber nachdem ich die Datei entfernt habe und die Systemwiederherstellung auf allen Systemen deaktiviert habe, taucht sie nicht mehr auf.

Hier folgen also die Logs, zunächst Avira:


Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Dienstag, 17. Februar 2009 00:32

Es wird nach 1248499 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 2) [5.1.2600]
Boot Modus: Normal gebootet
Benutzername: SYSTEM
Computername: ***

Versionsinformationen:
BUILD.DAT : 8.2.0.337 16934 Bytes 18.11.2008 13:01:00
AVSCAN.EXE : 8.1.4.10 315649 Bytes 16.01.2009 21:44:57
AVSCAN.DLL : 8.1.4.0 48897 Bytes 17.07.2008 19:02:25
LUKE.DLL : 8.1.4.5 164097 Bytes 17.07.2008 19:02:25
LUKERES.DLL : 8.1.4.0 12545 Bytes 17.07.2008 19:02:25
ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27.10.2008 21:44:57
ANTIVIR1.VDF : 7.1.2.12 3336192 Bytes 11.02.2009 21:16:14
ANTIVIR2.VDF : 7.1.2.13 2048 Bytes 11.02.2009 21:16:14
ANTIVIR3.VDF : 7.1.2.33 112640 Bytes 16.02.2009 22:06:07
Engineversion : 8.2.0.79
AEVDF.DLL : 8.1.1.0 106868 Bytes 01.02.2009 23:04:40
AESCRIPT.DLL : 8.1.1.47 348539 Bytes 15.02.2009 22:06:26
AESCN.DLL : 8.1.1.7 127347 Bytes 15.02.2009 22:06:26
AERDL.DLL : 8.1.1.3 438645 Bytes 16.01.2009 21:44:58
AEPACK.DLL : 8.1.3.8 397684 Bytes 04.02.2009 21:58:01
AEOFFICE.DLL : 8.1.0.33 196987 Bytes 16.01.2009 21:44:58
AEHEUR.DLL : 8.1.0.90 1573237 Bytes 04.02.2009 21:58:00
AEHELP.DLL : 8.1.2.0 119159 Bytes 16.01.2009 21:44:58
AEGEN.DLL : 8.1.1.16 332148 Bytes 15.02.2009 22:06:25
AEEMU.DLL : 8.1.0.9 393588 Bytes 15.10.2008 20:02:49
AECORE.DLL : 8.1.6.5 176501 Bytes 15.02.2009 22:06:25
AEBB.DLL : 8.1.0.3 53618 Bytes 15.10.2008 20:02:48
AVWINLL.DLL : 1.0.0.12 15105 Bytes 17.07.2008 19:02:25
AVPREF.DLL : 8.0.2.0 38657 Bytes 17.07.2008 19:02:25
AVREP.DLL : 8.0.0.2 98344 Bytes 31.07.2008 16:11:02
AVREG.DLL : 8.0.0.1 33537 Bytes 17.07.2008 19:02:25
AVARKT.DLL : 1.0.0.23 307457 Bytes 21.04.2008 19:21:53
AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 17.07.2008 19:02:25
SQLITE3.DLL : 3.3.17.1 339968 Bytes 21.04.2008 19:21:53
SMTPLIB.DLL : 1.2.0.23 28929 Bytes 17.07.2008 19:02:25
NETNT.DLL : 8.0.0.1 7937 Bytes 21.04.2008 19:21:53
RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 17.07.2008 19:02:23
RCTEXT.DLL : 8.0.52.0 86273 Bytes 17.07.2008 19:02:23

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: c:\programme\antivir personaledition classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:, E:, F:,
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Alle Dateien
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: aus

Beginn des Suchlaufs: Dienstag, 17. Februar 2009 00:32

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'KHALMNPR.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'StCenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'FwebProt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RaUI.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SetPoint.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wkcalrem.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'daemon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AvmObex.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AvmObex.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iPodService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'bluefritz.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'qttask.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iTunesHelper.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SOUNDMAN.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WgaTray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'prevx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wdfmgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'prevx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AvmObexService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'IGDCTRL.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'panapp.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avmbtservice.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '45' Prozesse mit '45' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'E:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'F:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '68' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\sptd.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
Beginne mit der Suche in 'E:\'
Beginne mit der Suche in 'F:\'


Ende des Suchlaufs: Dienstag, 17. Februar 2009 01:05
Benötigte Zeit: 33:17 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

11207 Verzeichnisse wurden überprüft
423618 Dateien wurden geprüft
0 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
2 Dateien konnten nicht durchsucht werden
423616 Dateien ohne Befall
1659 Archive wurden durchsucht
2 Warnungen
0 Hinweise

Alt 18.02.2009, 23:50   #2
Urmel1980
 
Trojanisches Pferd TR/Daonol.A.3 - Standard

Trojanisches Pferd TR/Daonol.A.3


Hier nun der Anti-Malware-Log:

Malwarebytes' Anti-Malware 1.34
Datenbank Version: 1766
Windows 5.1.2600 Service Pack 2

16.02.2009 23:22:25
mbam-log-2009-02-16 (23-22-25).txt

Scan-Methode: Vollständiger Scan (C:\|E:\|F:\|)
Durchsuchte Objekte: 193431
Laufzeit: 33 minute(s), 58 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
__________________
Alt 18.02.2009, 23:52   #3
Urmel1980
 
Trojanisches Pferd TR/Daonol.A.3 - Standard

Trojanisches Pferd TR/Daonol.A.3


Und der HiJack-Log:


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:25:31, on 16.02.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\avmclient\avmbtservice.exe
C:\Programme\avmclient\panapp.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\avmclient\AvmObexService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\WgaTray.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\avmclient\bluefritz.exe
C:\Programme\avmclient\AvmObex.exe
C:\Programme\DAEMON Tools Lite\daemon.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\avmclient\AvmObex.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\Programme\RALINK\Common\RaUI.exe
C:\Programme\FRITZ!DSL\FwebProt.exe
C:\Programme\FRITZ!DSL\StCenter.exe
C:\Programme\Gemeinsame Dateien\Logitech\KHAL\KHALMNPR.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Prevx\prevx.exe
C:\Programme\Prevx\prevx.exe
C:\Programme\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NVIDIA nTune] "C:\Programme\NVIDIA Corporation\nTune\\nTune.exe" clear
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVMBlueClient] C:\Programme\avmclient\bluefritz.exe
O4 - HKLM\..\Run: [AVMBLUEOBEX] C:\Programme\avmclient\AvmObex.exe -pushclient -ftpclient
O4 - HKLM\..\Run: [SmartSync - ScheduleSync] C:\PROGRA~1\MOBILE~1\SMARTS~1\SCHEDU~1.EXE
O4 - HKLM\..\Run: [freenet_MediaSuite] "C:\Programme\Freenet\Freenet_Foto\MediaSuite.exe" /autorun
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_8 -reboot 1
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Programme\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent
O4 - Startup: FRITZ!DSL Protect.lnk = C:\Programme\FRITZ!DSL\FwebProt.exe
O4 - Startup: FRITZ!DSL Startcenter.lnk = C:\Programme\FRITZ!DSL\StCenter.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Erinnerungen für Microsoft Works-Kalender.lnk = ?
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe
O4 - Global Startup: Ralink Wireless Utility.lnk = C:\Programme\RALINK\Common\RaUI.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVM BT Connection Service - AVM Berlin - C:\Programme\avmclient\avmbtservice.exe
O23 - Service: AVM BT PAN Service - AVM Berlin - C:\Programme\avmclient\panapp.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: AVM BT OBEX Service (AvmObexService) - AVM Berlin - C:\Programme\avmclient\AvmObexService.exe
O23 - Service: CSIScanner - Prevx - C:\Programme\Prevx\prevx.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Programme\Freenet\Common\Database\bin\fbserver.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 6646 bytes
__________________
Alt 18.02.2009, 23:55   #4
Urmel1980
 
Trojanisches Pferd TR/Daonol.A.3 - Standard

Trojanisches Pferd TR/Daonol.A.3


Ach ja, offensichtlich ist GMER auch hilfreich, also hab ich das auch einmal laufenlassen:


GMER 1.0.14.14536 - http://www.gmer.net
Rootkit scan 2009-02-16 22:42:12
Windows 5.1.2600 Service Pack 2


---- System - GMER 1.0.14 ----

SSDT spcy.sys ZwCreateKey [0xF73DC0E0]
SSDT F7C9468C ZwCreateThread
SSDT spcy.sys ZwEnumerateKey [0xF73FACA2]
SSDT spcy.sys ZwEnumerateValueKey [0xF73FB030]
SSDT spcy.sys ZwOpenKey [0xF73DC0C0]
SSDT F7C94678 ZwOpenProcess
SSDT F7C9467D ZwOpenThread
SSDT spcy.sys ZwQueryKey [0xF73FB108]
SSDT spcy.sys ZwQueryValueKey [0xF73FAF88]
SSDT spcy.sys ZwSetValueKey [0xF73FB19A]
SSDT F7C94687 ZwTerminateProcess
SSDT F7C94682 ZwWriteVirtualMemory

INT 0x62 ? 8676CBF8
INT 0x63 ? 865A3BF8
INT 0x73 ? 8676CBF8
INT 0x82 ? 8676CBF8
INT 0x83 ? 8676CBF8
INT 0xB4 ? 865A3BF8

---- Kernel code sections - GMER 1.0.14 ----

? spcy.sys Das System kann die angegebene Datei nicht finden. !
.text USBPORT.SYS!DllUnload F5BF062C 5 Bytes JMP 865A31D8
.text azff3jf3.SYS F542D386 35 Bytes [ 00, 00, 00, 00, 00, 00, 20, ... ]
.text azff3jf3.SYS F542D3AA 24 Bytes [ 00, 00, 00, 00, 00, 00, 00, ... ]
.text azff3jf3.SYS F542D3C4 3 Bytes [ 00, 70, 02 ]
.text azff3jf3.SYS F542D3C9 1 Byte [ 2E ]
.text azff3jf3.SYS F542D3CB 9 Bytes [ 00, 00, 5A, 02, 00, 00, 00, ... ]
.text ...

---- Kernel IAT/EAT - GMER 1.0.14 ----

IAT atapi.sys[HAL.dll!READ_PORT_UCHAR] [F73DD040] spcy.sys
IAT atapi.sys[HAL.dll!READ_PORT_BUFFER_USHORT] [F73DD13C] spcy.sys
IAT atapi.sys[HAL.dll!READ_PORT_USHORT] [F73DD0BE] spcy.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_BUFFER_USHORT] [F73DD7FC] spcy.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_UCHAR] [F73DD6D2] spcy.sys
IAT \SystemRoot\System32\Drivers\azff3jf3.SYS[HAL.dll!KfAcquireSpinLock] 4B8BDF8B
IAT \SystemRoot\System32\Drivers\azff3jf3.SYS[HAL.dll!READ_PORT_UCHAR] 8D3F0304
IAT \SystemRoot\System32\Drivers\azff3jf3.SYS[HAL.dll!KeGetCurrentIrql] CB033043
IAT \SystemRoot\System32\Drivers\azff3jf3.SYS[HAL.dll!KfRaiseIrql] 0673C13B
IAT \SystemRoot\System32\Drivers\azff3jf3.SYS[HAL.dll!KfLowerIrql] C13B0003
IAT \SystemRoot\System32\Drivers\azff3jf3.SYS[HAL.dll!HalGetInterruptVector] 8366FA72
IAT \SystemRoot\System32\Drivers\azff3jf3.SYS[HAL.dll!HalTranslateBusAddress] 75000E7B
IAT \SystemRoot\System32\Drivers\azff3jf3.SYS[HAL.dll!KeStallExecutionProcessor] 0B7D80E3
IAT \SystemRoot\System32\Drivers\azff3jf3.SYS[HAL.dll!KfReleaseSpinLock] 307B8D00
IAT \SystemRoot\System32\Drivers\azff3jf3.SYS[HAL.dll!READ_PORT_BUFFER_USHORT] 00AA840F
IAT \SystemRoot\System32\Drivers\azff3jf3.SYS[HAL.dll!READ_PORT_USHORT] 83660000
IAT \SystemRoot\System32\Drivers\azff3jf3.SYS[HAL.dll!WRITE_PORT_BUFFER_USHORT] 6A000E7A
IAT \SystemRoot\System32\Drivers\azff3jf3.SYS[HAL.dll!WRITE_PORT_UCHAR] C6647400
IAT \SystemRoot\System32\Drivers\azff3jf3.SYS[WMILIB.SYS!WmiSystemControl] 4F8B0200
IAT \SystemRoot\System32\Drivers\azff3jf3.SYS[WMILIB.SYS!WmiCompleteRequest] 968D5140
IAT \SystemRoot\System32\DRIVERS\i8042prt.sys[HAL.dll!READ_PORT_UCHAR] [F73ED048] spcy.sys

---- Devices - GMER 1.0.14 ----

Device \FileSystem\Ntfs \Ntfs 8676B1F8

AttachedDevice \FileSystem\Ntfs \Ntfs avgntmgr.sys (Avira AntiVir File Filter Driver Manager/Avira GmbH)

Device \Driver\usbohci \Device\USBPDO-0 865A21F8
Device \Driver\PCI_PNP3720 \Device\00000051 spcy.sys
Device \Driver\PCI_PNP3720 \Device\00000051 spcy.sys
Device \Driver\dmio \Device\DmControl\DmIoDaemon 8676D1F8
Device \Driver\dmio \Device\DmControl\DmConfig 8676D1F8
Device \Driver\dmio \Device\DmControl\DmPnP 8676D1F8
Device \Driver\dmio \Device\DmControl\DmInfo 8676D1F8
Device \Driver\usbehci \Device\USBPDO-1 865961F8
Device \Driver\Ftdisk \Device\HarddiskVolume1 867DB1F8
Device \Driver\NetBT \Device\NetBT_Tcpip_{E08881A7-4A14-4183-92F4-32EF64335910} 859671F8
Device \Driver\Ftdisk \Device\HarddiskVolume2 867DB1F8
Device \Driver\Cdrom \Device\CdRom0 8653A1F8
Device \Driver\nvata \Device\00000072 8676C1F8
Device \Driver\Ftdisk \Device\HarddiskVolume3 867DB1F8
Device \Driver\Cdrom \Device\CdRom1 8653A1F8
Device \Driver\nvata \Device\00000073 8676C1F8
Device \Driver\NetBT \Device\NetBt_Wins_Export 859671F8
Device \Driver\NetBT \Device\NetbiosSmb 859671F8
Device \Driver\usbohci \Device\USBFDO-0 865A21F8
Device \Driver\usbehci \Device\USBFDO-1 865961F8
Device \Driver\nvata \Device\NvAta0 8676C1F8
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver 85A421F8
Device \Driver\nvata \Device\NvAta1 8676C1F8
Device \FileSystem\MRxSmb \Device\LanmanRedirector 85A421F8
Device \Driver\nvata \Device\NvAta2 8676C1F8
Device \Driver\Ftdisk \Device\FtControl 867DB1F8
Device \Driver\sptd \Device\2766152470 spcy.sys
Device \Driver\azff3jf3 \Device\Scsi\azff3jf31 8652E1F8
Device \Driver\azff3jf3 \Device\Scsi\azff3jf31Port3Path0Target0Lun0 8652E1F8
Device \FileSystem\Cdfs \Cdfs 863C7500

---- Registry - GMER 1.0.14 ----

Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1 771343423
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2 285507792
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x14 0xBB 0xCF 0x7F ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Programme\DAEMON Tools Lite\
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0xB6 0x02 0xB3 0x26 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0x8D 0x4C 0xB8 0x44 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x14 0xBB 0xCF 0x7F ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Programme\DAEMON Tools Lite\
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0xB6 0x02 0xB3 0x26 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0x8D 0x4C 0xB8 0x44 ...

---- EOF - GMER 1.0.14 ----



Ich kann damit gar nichts anfangen, aber ich hoffe, dass mir jemad sagen kann, was ich tun sollte, um (fast) sicher zu sein, dass mir der Trojaner nichts mehr tut.

Viele Grüße

Alt 23.02.2009, 11:58   #5
Urmel1980
 
Trojanisches Pferd TR/Daonol.A.3 - Standard

Trojanisches Pferd TR/Daonol.A.3


So, jetzt habe ich nach einigen Tagen die Programme nochmals laufen lassen. Avira und Malware haben nichts gefunden, aber GMER sieht anders aus:
Statt "spcy.sys" hat er jetzt sich auf "spjb.sys" eingeschossen ... Was hat das zu bedeuten?

Vielen Dank fürs lesen ;-)


GMER 1.0.14.14536 - http://www.gmer.net
Rootkit scan 2009-02-23 11:53:47
Windows 5.1.2600 Service Pack 3


---- System - GMER 1.0.14 ----

SSDT spjb.sys ZwCreateKey [0xF741C0E0]
SSDT F7CD8BF4 ZwCreateThread
SSDT spjb.sys ZwEnumerateKey [0xF743ACA2]
SSDT spjb.sys ZwEnumerateValueKey [0xF743B030]
SSDT spjb.sys ZwOpenKey [0xF741C0C0]
SSDT F7CD8BE0 ZwOpenProcess
SSDT F7CD8BE5 ZwOpenThread
SSDT spjb.sys ZwQueryKey [0xF743B108]
SSDT spjb.sys ZwQueryValueKey [0xF743AF88]
SSDT spjb.sys ZwSetValueKey [0xF743B19A]
SSDT F7CD8BEF ZwTerminateProcess
SSDT F7CD8BEA ZwWriteVirtualMemory

INT 0x62 ? 86D6DBF8
INT 0x63 ? 86BB4BF8
INT 0x73 ? 86D6DBF8
INT 0x82 ? 86D6DBF8
INT 0x83 ? 86D6DBF8
INT 0xB4 ? 86BB4BF8

---- Kernel code sections - GMER 1.0.14 ----

? spjb.sys Das System kann die angegebene Datei nicht finden. !
.text USBPORT.SYS!DllUnload F663B8AC 5 Bytes JMP 86BB41D8
.text ab8ln37v.SYS F5AA4386 35 Bytes [ 00, 00, 00, 00, 00, 00, 20, ... ]
.text ab8ln37v.SYS F5AA43AA 24 Bytes [ 00, 00, 00, 00, 00, 00, 00, ... ]
.text ab8ln37v.SYS F5AA43C4 3 Bytes [ 00, 70, 02 ]
.text ab8ln37v.SYS F5AA43C9 1 Byte [ 2E ]
.text ab8ln37v.SYS F5AA43CB 9 Bytes [ 00, 00, 5A, 02, 00, 00, 00, ... ]
.text ...

---- Kernel IAT/EAT - GMER 1.0.14 ----

IAT atapi.sys[HAL.dll!READ_PORT_UCHAR] [F741D040] spjb.sys
IAT atapi.sys[HAL.dll!READ_PORT_BUFFER_USHORT] [F741D13C] spjb.sys
IAT atapi.sys[HAL.dll!READ_PORT_USHORT] [F741D0BE] spjb.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_BUFFER_USHORT] [F741D7FC] spjb.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_UCHAR] [F741D6D2] spjb.sys
IAT \SystemRoot\System32\Drivers\ab8ln37v.SYS[HAL.dll!KfAcquireSpinLock] C0840CEC
IAT \SystemRoot\System32\Drivers\ab8ln37v.SYS[HAL.dll!READ_PORT_UCHAR] 053C0D74
IAT \SystemRoot\System32\Drivers\ab8ln37v.SYS[HAL.dll!KeGetCurrentIrql] 57B80974
IAT \SystemRoot\System32\Drivers\ab8ln37v.SYS[HAL.dll!KfRaiseIrql] 8B000000
IAT \SystemRoot\System32\Drivers\ab8ln37v.SYS[HAL.dll!KfLowerIrql] 56C35DE5
IAT \SystemRoot\System32\Drivers\ab8ln37v.SYS[HAL.dll!HalGetInterruptVector] 8D08758B
IAT \SystemRoot\System32\Drivers\ab8ln37v.SYS[HAL.dll!HalTranslateBusAddress] 8D51FC4D
IAT \SystemRoot\System32\Drivers\ab8ln37v.SYS[HAL.dll!KeStallExecutionProcessor] 8D52FD55
IAT \SystemRoot\System32\Drivers\ab8ln37v.SYS[HAL.dll!KfReleaseSpinLock] 8D51FE4D
IAT \SystemRoot\System32\Drivers\ab8ln37v.SYS[HAL.dll!READ_PORT_BUFFER_USHORT] 8D52FF55
IAT \SystemRoot\System32\Drivers\ab8ln37v.SYS[HAL.dll!READ_PORT_USHORT] 8D51F84D
IAT \SystemRoot\System32\Drivers\ab8ln37v.SYS[HAL.dll!WRITE_PORT_BUFFER_USHORT] 5052F455
IAT \SystemRoot\System32\Drivers\ab8ln37v.SYS[HAL.dll!WRITE_PORT_UCHAR] EACAE856
IAT \SystemRoot\System32\Drivers\ab8ln37v.SYS[WMILIB.SYS!WmiSystemControl] 0FC08520
IAT \SystemRoot\System32\Drivers\ab8ln37v.SYS[WMILIB.SYS!WmiCompleteRequest] 0001B185
IAT \SystemRoot\System32\DRIVERS\i8042prt.sys[HAL.dll!READ_PORT_UCHAR] [F742D048] spjb.sys

---- Devices - GMER 1.0.14 ----

Device \FileSystem\Ntfs \Ntfs 86D6C1F8

AttachedDevice \FileSystem\Ntfs \Ntfs avgntmgr.sys (Avira AntiVir File Filter Driver Manager/Avira GmbH)

Device \Driver\usbohci \Device\USBPDO-0 86BB31F8
Device \Driver\usbehci \Device\USBPDO-1 86BA71F8
Device \Driver\dmio \Device\DmControl\DmIoDaemon 86D6E1F8
Device \Driver\dmio \Device\DmControl\DmConfig 86D6E1F8
Device \Driver\dmio \Device\DmControl\DmPnP 86D6E1F8
Device \Driver\dmio \Device\DmControl\DmInfo 86D6E1F8
Device \Driver\PCI_PNP0578 \Device\00000053 spjb.sys
Device \Driver\Ftdisk \Device\HarddiskVolume1 86DDA1F8
Device \Driver\NetBT \Device\NetBT_Tcpip_{E08881A7-4A14-4183-92F4-32EF64335910} 862671F8
Device \Driver\Ftdisk \Device\HarddiskVolume2 86DDA1F8
Device \Driver\Cdrom \Device\CdRom0 86B3D1F8
Device \Driver\Ftdisk \Device\HarddiskVolume3 86DDA1F8
Device \Driver\Cdrom \Device\CdRom1 86B3D1F8
Device \Driver\nvata \Device\00000074 86D6D1F8
Device \Driver\nvata \Device\00000075 86D6D1F8
Device \Driver\NetBT \Device\NetBt_Wins_Export 862671F8
Device \Driver\NetBT \Device\NetbiosSmb 862671F8
Device \Driver\sptd \Device\3088889328 spjb.sys
Device \Driver\usbohci \Device\USBFDO-0 86BB31F8
Device \Driver\nvata \Device\NvAta0 86D6D1F8
Device \Driver\usbehci \Device\USBFDO-1 86BA71F8
Device \Driver\nvata \Device\NvAta1 86D6D1F8
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver 861451F8
Device \Driver\nvata \Device\NvAta2 86D6D1F8
Device \FileSystem\MRxSmb \Device\LanmanRedirector 861451F8
Device \Driver\Ftdisk \Device\FtControl 86DDA1F8
Device \Driver\ab8ln37v \Device\Scsi\ab8ln37v1Port3Path0Target0Lun0 86AB91F8
Device \Driver\ab8ln37v \Device\Scsi\ab8ln37v1 86AB91F8
Device \FileSystem\Cdfs \Cdfs 86B61500

---- Registry - GMER 1.0.14 ----

Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1 771343423
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2 285507792
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x14 0xBB 0xCF 0x7F ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Programme\DAEMON Tools Lite\
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0xB6 0x02 0xB3 0x26 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0x8D 0x4C 0xB8 0x44 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x14 0xBB 0xCF 0x7F ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Programme\DAEMON Tools Lite\
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0xB6 0x02 0xB3 0x26 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0x8D 0x4C 0xB8 0x44 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x14 0xBB 0xCF 0x7F ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Programme\DAEMON Tools Lite\
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0xB6 0x02 0xB3 0x26 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0x8D 0x4C 0xB8 0x44 ...

---- EOF - GMER 1.0.14 ----


Alt 23.02.2009, 16:47   #6
Redwulf
 
Trojanisches Pferd TR/Daonol.A.3 - Standard

Trojanisches Pferd TR/Daonol.A.3


Das ist Daemon Tools.

Präsent in diesem Wert

Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\

Um ganz sicher zu gehen lass die Datei

C:\WINDOWS\system32\drivers\sptd.sys

bei Virustotal überprüfen.

Du verwendest die Lite Version, kann es sein, dass du die Adware
von WhenU.Com mit installiert hast ?

Außerdem ein Zitat:

Dieser Download ( Daemon Tools lite ) enthält möglicherweise Funktionen oder Komponenten von Drittanbietern (Spyware / Adware / Toolbars) mit denen systematisch und permanent persönliche Daten über sie gesammelt und per Internetverbindung an Datenbanken mit unbestimmtem Verwendungszweck weitergeleitet werden.

In der Regel ist dies auf dich zugeschnittene Werbung.

Ich denke nicht das du einen Virus hierfür verantwortlich machen kannst. Ich persönlich schätze, dass dies ein Fehlalarm ist.

Überprüfe ob du Deamon Tools brauchst. Falls du dich für eine Deinstallation entscheidest, solltest du anschließend mittels CCleaner aufräumen.

Alt 23.02.2009, 18:23   #7
Urmel1980
 
Trojanisches Pferd TR/Daonol.A.3 - Standard

Trojanisches Pferd TR/Daonol.A.3


Danke für die Antwort. Ansonsten ist das System sauber? Das würde mich freuen :-)

Alt 23.02.2009, 19:46   #8
Redwulf
 
Trojanisches Pferd TR/Daonol.A.3 - Standard

Trojanisches Pferd TR/Daonol.A.3


Ich seh sonst nichts auffälliges...

von mir.., dennoch, sorge dafür das du deine updates machst.
Anstatt IE 7 sollterst du Firefox benutzen, anstatt Outlook Thunderbird.

Überlege ob du all diese Software ICQ etc wirklich benötigst.

Schau doch mal in den Artikel http://www.trojaner-board.de/51262-a...sicherung.html

Lese dir die Kleinigkeiten übers Abssichern mal durch, dass erspart so manchen Ärger

Alt 24.02.2009, 10:37   #9
Urmel1980
 
Trojanisches Pferd TR/Daonol.A.3 - Standard

Trojanisches Pferd TR/Daonol.A.3


Aha. Werde ich mir mal durchlesen. Und den Firefox benutze ich auch schon längere Zeit. Danke nochmal fürs anschauen.

Antwort

Themen zu Trojanisches Pferd TR/Daonol.A.3
.dll, 0 bytes, antivir, avg, avgnt.exe, avira, fwebprot.exe, google, hijack, hijackthis, igdctrl.exe, jusched.exe, logon.exe, lsass.exe, modul, neu aufsetzen, nt.dll, programm, programme, prozesse, registry, services.exe, suchlauf, svchost.exe, system, system volume information, systemwiederherstellung, trojanisches pferd, verweise, virus, virus gefunden, warnung, windows, winlogon.exe, wuauclt.exe


« Trojaner // Log | Iexplorer.exe ?? »


Ähnliche Themen: Trojanisches Pferd TR/Daonol.A.3


  1. trojanisches pferd?
    Log-Analyse und Auswertung - 19.02.2014 (9)
  2. Trojanisches Pferd
    Plagegeister aller Art und deren Bekämpfung - 13.06.2013 (13)
  3. Trojanisches Pferd
    Log-Analyse und Auswertung - 10.05.2011 (1)
  4. Trojanisches Pferd TR/Patched.Gen //// Trojanisches Pferd TR/Refroso.ayol
    Überwachung, Datenschutz und Spam - 26.12.2010 (6)
  5. Trojanisches Pferd endgültig weg?
    Plagegeister aller Art und deren Bekämpfung - 12.06.2010 (7)
  6. Trojanisches Pferd TR/Agent.BJK
    Mülltonne - 23.12.2008 (0)
  7. Trojanisches Pferd
    Plagegeister aller Art und deren Bekämpfung - 03.08.2008 (3)
  8. Habe Trojanisches Pferd?
    Mülltonne - 19.07.2008 (0)
  9. Trojanisches Pferd
    Plagegeister aller Art und deren Bekämpfung - 19.01.2008 (8)
  10. Trojanisches Pferd
    Log-Analyse und Auswertung - 02.11.2007 (9)
  11. Trojanisches Pferd
    Plagegeister aller Art und deren Bekämpfung - 28.07.2007 (4)
  12. Trojanisches Pferd TR/BHO.b.3.
    Plagegeister aller Art und deren Bekämpfung - 11.01.2006 (7)
  13. Trojanisches Pferd
    Plagegeister aller Art und deren Bekämpfung - 16.08.2005 (1)
  14. Trojanisches Pferd TR
    Plagegeister aller Art und deren Bekämpfung - 21.06.2005 (1)
  15. Trojanisches Pferd
    Log-Analyse und Auswertung - 26.01.2005 (3)
  16. Trojanisches Pferd?
    Plagegeister aller Art und deren Bekämpfung - 04.04.2004 (1)
  17. Trojanisches Pferd AVG ???
    Plagegeister aller Art und deren Bekämpfung - 12.02.2003 (1)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema Trojanisches Pferd TR/Daonol.A.3 - Hallo alle zusammen, als ich am Wochenende ein neues Update von Avira heruntergeladen habe, sprang es direkt an mit der Meldung: "C:\WINDOWS\system32\wdmaud.sys ist das Trojanische Pferd TR/Daonol.A.3" (sinngemäß). Dieses konnte - Trojanisches Pferd TR/Daonol.A.3...
Archiv
Du betrachtest: Trojanisches Pferd TR/Daonol.A.3 auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129