Hallo,

mein Rechner ist mit dem Katusha-Trojaner infiziert. Er wurde gestern von Spybot entdeckt, aber ich kann ihn mit Spybot nicht entfernen. Ich bekomme die Meldung, dass die Entfernungsaktion aufgrund fehlender Adminstratorrechte nicht ausgeführt werden kann und die Datei wininit.ini kann nicht erstellt werden. Obwohl ich als Administrator angemeldet bin. Der Versuch, die Virus-Datei tquery32.dll im System32-Ordner zu löschen, bleibt auch ohne Erfolg.

Die anderen zwei aktuellen Beiträge zu diesem Virus habe ich gelesen und den Entfernungsversuch nach der Anleitung durchgeführt. Aber der Virus ist immer noch da und ich kann ihn nicht löschen. Spybot findet ihn, die anderen im Forum vorgeschlagenen Programme aber nicht. Den TDSSKiller habe ich auch ausgeführt, aber die Log-Datei ist zu groß um sie anzuhängen.

Mein Rechner lief nach der Infektion zunächst sehr langsam. Seitdem ich CombiFix ein zweites Mal ausgeführt habe, läuft er wieder ganz normal. Aber der Virus ist noch da.

Ich hoffe, es war kein Fehler von mir, CombiFix auf eigene Faust auszuführen. Mein Problem ist genauso wie bei den anderen zwei Nutzern, sporty33 und Josh Hardnut. Deshalb dachte ich, dass ich auch so verfahren soll wie sie.

Wie kann ich diesen Trojaner entfernen? Alle Logs habe ich angehängt.

Freundlichen Gruß
stephen1981

Zitat:

Art des Suchlaufs: Quick-Scan

Hallo und

Combofix solltest du nicht auf eigene Faust ausführen, wir haben zum Schluss zu CF-Anleitungen nicht umsonsten den Hinweis außerdem auch noch extra ein Hinweisposting! => http://www.trojaner-board.de/95175-combofix.html

Bitte routinemäßig einen Vollscan mit Malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!

OK, den Malwarebytes-Check habe ich ausgeführt. Ich kann aber den Text weder markierern noch als Log abspeichern, deshalb habe ich das Ergebnis als Screenshot abgespeichert und als JPG-Datei angehängt.

Das ist ein Screenshot von mbrcheck!! Bitte verwechsel hier nicht die Programme.

Hier nun mal der aktuelle Log von Malwarebytes. Das Ergebnis ist genau wie gestern. Keine Funde. Aber der Katusha-Virus ist trotzdem auf meinem Rechner.

Zitat:

C:\Windows\System32\tquery32.dll

Bitte diese Datei bei Virustotal auswerten lassen und den Ergebnislink posten. Falls Du die Datei nicht siehst, musst Du sie evtl. vorher sichtbar machen.
Wenn die Datei schon ausgewertet sein sollte, bitte eine weitere Auswertung starten.

Hier das Ergebnis von VirusTotal: hxxp://www.virustotal.com/file-scan/report.html?id=6791e23172532519bf02fac4abacda4b6f85c67f2067ba1b8d0ae1ef32671003-1307818559

Hm, die Auswertung sagt, dass die Datei nicht schädlich ist. Wieso aber lief mein Rechner gestern so langsam? Interessant ist, dass tquery32.dll am 21.01.2011 erstellt wurde und bis gestern habe ich keine technischen Probleme gehabt und mir sind keine sonstigen Auswirkungen (z.B. Datendiebstahl, Dialer) von schädlichen Programmen bekannt. Das heißt aber nicht, das etwas noch passieren könnte.

Spybot sagt, dass die Datei ein Trojaner ist. Was soll ich jetzt tun? Ist es der Virus, der das Löschen verhindert? Oder kann man generell keine dll-Dateien löschen?

Das könnte ein neuer Schädling sein. Lad die Datei bitte bei uns hoch => http://www.trojaner-board.de/54791-a...ner-board.html

OK, die Datei habe ich hochgeladen. Wie geht's jetzt weiter?

Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Hinweis: Falls Du Deinen Benutzernamen unkenntlich gemacht hast, musst Du das Ausgesternte in Deinen richtigen Benutzernamen wieder verwandeln, sonst funktioniert das Script nicht!!

Code: Alles auswählenAufklappen

ATTFilter

:OTL
SRV - (CLTNetCnService) --  File not found
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2006.09.18 23:43:36 | 000,000,024 | ---- | M] () - C:\autoexec.bat -- [ NTFS ]
[2011.01.21 00:02:52 | 000,028,160 | ---- | C] () -- C:\Windows\System32\tquery32.dll
:Files
C:\Users\***\AppData\Local\{*
:Commands
[purity]
[resethosts]
         

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Es hat funktioniert! Die verdächtige Datei wurde in C:/_OTL verschoben. Und Spybot findet keine Probleme mehr. Danke, Arne! Ihr seid Spitze!

Bitte nun dieses Tool von Kaspersky ausführen und das Log posten => http://www.trojaner-board.de/82358-t...entfernen.html

Das Tool so einstellen wie unten im Bild angegeben - also beide Haken setzen, auf Start scan klicken und wenn es durch ist auf den Button Report klicken um das Log anzuzeigen. Dieses bitte komplett posten.




Falls du durch die Infektion auf deine Dokumente/Eigenen Dateien nicht zugreifen kannst, bitte unhide ausführen:
Downloade dir bitte unhide.exe und speichere diese Datei auf deinem Desktop.
Starte das Tool und es sollten alle Dateien und Ordner wieder sichtbar sein. ( Könnte eine Weile dauern )
Vista und 7 User müssen das Tool per Rechtsklick als Administrator ausführen!

OK, hier der Log von TDSS-Killer. Keine Funde. Er hat auch vorher nichts gefunden, als der Trojaner noch auf meiner Festplatte war.

Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SUPERAntiSpyware und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!


Anschließend über den OnlineScanner von ESET eine zusätzliche Meinung zu holen ist auch nicht verkehrt:


ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Hier der Malwarebytes-Log.