w32.Daonol entfernen: KatesKiller - Paules-PC-Forum.de

**Paule** · 10.02.2010, 22:28

Autor: Markusg

w32.Daonol entfernen: KatesKiller

Hierbei handelt es sich um einen Passwort-Stealer. Onlinebanking ist während der Infektion zu unterlassen, die Bank muss informiert werden, alle Passwörter müssen von einem sauberen PC aus geändert werden.

Woran erkennt man Eine Infektion mit w32. daonol (PSW.Win32.Kates):

Einträge in der Registry:

Code:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32]

Dort findet man man dann u.a. den Eintrag aux3 mit dem Wert "C:\DOKUME~1\user~1\LOKALE~1\Temp\..\whk.ysf"

Weitere Einträge mit der Zeichenfolge "..." innerhalb eines Wertes mit zufällige Dateinamen, kommen unter normalen Umständen nicht vor und sind meist der Infektion zuzuordnen.

Die Einträge verweisen entweder auf C:\WINDOWS\system32\...\...
oder auf ein temporäres Verzeichniss des angemeldeten Benutzers:
C:\DOKUME~1\<Benutzername>\LOKALE~1\Temp\...\...
Dateinamen und Endungen sind zufällig gewählt.

Die explorer.exe wird automatisch beendet, wenn man folgende Anwendungen startet:

Code:

regedit.exe
cmd.exe
Total Commander.

- Dateien mit den folgenden Endungen können nicht gestartet werden:

Code:

.bat
.reg

Da die meisten Antiviren-Programme Probleme mit der Entfernung haben, nutzen wir Kasperskys KadesKiller.

Vorbereitung:

Melde dich als Administrator an.
Schalte alle Virenscanner und sonstigen laufenden Programme ab.

Entfernung:

Lade die Datei KatesKiller.zip auf den Desktop
Download: http://support.kaspersky.com/de/downloads/utils/kateskiller.zip
Entpacke das Archiv in einen eigenen Ordner.
Führe einen Doppelklick auf die Datei KatesKiller.exe aus.

Das Tool beginnt nun zu arbeiten, folgendes bekommst du zu sehen, wenn Infektionen gefunden wurden.

Bild 1: Das System ist infiziert.

Drücke eine beliebige Taste, um das Tool zu beenden.

Bitte erstelle, da mit weiteren Infektionen zu rechnen ist, einen Thread im Malware-Forum. Gebe bitte genau an, was das Tool nach dem Durchlauf angezeigt hat und erstelle zusätzlich ein MalwareBytes Logfile nach dieser Anleitung.

10.02.2010, 22:28	#1 (Direktlink)
Paule Moderator Registriert seit: 27.10.2008 Beiträge: 4.376	w32.Daonol entfernen: KatesKiller Autor: Markusg w32.Daonol entfernen: KatesKiller Hierbei handelt es sich um einen Passwort-Stealer. Onlinebanking ist während der Infektion zu unterlassen, die Bank muss informiert werden, alle Passwörter müssen von einem sauberen PC aus geändert werden. Woran erkennt man Eine Infektion mit w32. daonol (PSW.Win32.Kates): Einträge in der Registry: Code: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32] Dort findet man man dann u.a. den Eintrag aux3 mit dem Wert "C:\DOKUME~1\user~1\LOKALE~1\Temp\..\whk.ysf" Weitere Einträge mit der Zeichenfolge "..." innerhalb eines Wertes mit zufällige Dateinamen, kommen unter normalen Umständen nicht vor und sind meist der Infektion zuzuordnen. Die Einträge verweisen entweder auf C:\WINDOWS\system32\...\... oder auf ein temporäres Verzeichniss des angemeldeten Benutzers: C:\DOKUME~1\<Benutzername>\LOKALE~1\Temp\...\... Dateinamen und Endungen sind zufällig gewählt. Die explorer.exe wird automatisch beendet, wenn man folgende Anwendungen startet: Code: regedit.exe cmd.exe Total Commander. - Dateien mit den folgenden Endungen können nicht gestartet werden: Code: .bat .reg Da die meisten Antiviren-Programme Probleme mit der Entfernung haben, nutzen wir Kasperskys KadesKiller. Vorbereitung: Melde dich als Administrator an. Schalte alle Virenscanner und sonstigen laufenden Programme ab. Entfernung: Lade die Datei KatesKiller.zip auf den Desktop Download: http://support.kaspersky.com/de/downloads/utils/kateskiller.zip Entpacke das Archiv in einen eigenen Ordner. Führe einen Doppelklick auf die Datei KatesKiller.exe aus. Das Tool beginnt nun zu arbeiten, folgendes bekommst du zu sehen, wenn Infektionen gefunden wurden. Bild 1: Das System ist infiziert. Drücke eine beliebige Taste, um das Tool zu beenden. Bitte erstelle, da mit weiteren Infektionen zu rechnen ist, einen Thread im Malware-Forum. Gebe bitte genau an, was das Tool nach dem Durchlauf angezeigt hat und erstelle zusätzlich ein MalwareBytes Logfile nach dieser Anleitung.

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
Think-Adz entfernen! Nur wie?	LPsoldier	Viren-Forum	3	12.01.2008 21:34
linux entfernen ohne windows xp zu entfernen	Jaroszima	Linux	12	16.04.2006 20:26
azesearch entfernen	keiler	Office-Anwendungen	3	08.04.2005 13:05
SP2 entfernen?	dato	Windows XP	2	02.10.2004 23:03