Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Trojaner Katusha kann nicht gelöscht werden: Logs der Entfernungsversuche sind anbei (https://www.trojaner-board.de/100207-trojaner-katusha-geloescht-logs-entfernungsversuche-anbei.html)

stephen1981 11.06.2011 11:04
Trojaner Katusha kann nicht gelöscht werden: Logs der Entfernungsversuche sind anbei
 
Hallo,

mein Rechner ist mit dem Katusha-Trojaner infiziert. Er wurde gestern von Spybot entdeckt, aber ich kann ihn mit Spybot nicht entfernen. Ich bekomme die Meldung, dass die Entfernungsaktion aufgrund fehlender Adminstratorrechte nicht ausgeführt werden kann und die Datei wininit.ini kann nicht erstellt werden. Obwohl ich als Administrator angemeldet bin. Der Versuch, die Virus-Datei tquery32.dll im System32-Ordner zu löschen, bleibt auch ohne Erfolg.

Die anderen zwei aktuellen Beiträge zu diesem Virus habe ich gelesen und den Entfernungsversuch nach der Anleitung durchgeführt. Aber der Virus ist immer noch da und ich kann ihn nicht löschen. Spybot findet ihn, die anderen im Forum vorgeschlagenen Programme aber nicht. Den TDSSKiller habe ich auch ausgeführt, aber die Log-Datei ist zu groß um sie anzuhängen.

Mein Rechner lief nach der Infektion zunächst sehr langsam. Seitdem ich CombiFix ein zweites Mal ausgeführt habe, läuft er wieder ganz normal. Aber der Virus ist noch da.

Ich hoffe, es war kein Fehler von mir, CombiFix auf eigene Faust auszuführen. Mein Problem ist genauso wie bei den anderen zwei Nutzern, sporty33 und Josh Hardnut. Deshalb dachte ich, dass ich auch so verfahren soll wie sie.

Wie kann ich diesen Trojaner entfernen? Alle Logs habe ich angehängt.

Freundlichen Gruß
stephen1981

cosinus 11.06.2011 18:24
Zitat:
Art des Suchlaufs: Quick-Scan
Hallo und :hallo:

Combofix solltest du nicht auf eigene Faust ausführen, wir haben zum Schluss zu CF-Anleitungen nicht umsonsten den Hinweis außerdem auch noch extra ein Hinweisposting! => http://www.trojaner-board.de/95175-combofix.html

Bitte routinemäßig einen Vollscan mit malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!

stephen1981 11.06.2011 18:58
Liste der Anhänge anzeigen (Anzahl: 1)
OK, den Malwarebytes-Check habe ich ausgeführt. Ich kann aber den Text weder markierern noch als Log abspeichern, deshalb habe ich das Ergebnis als Screenshot abgespeichert und als JPG-Datei angehängt.

cosinus 11.06.2011 19:27
Das ist ein Screenshot von mbrcheck!! Bitte verwechsel hier nicht die Programme.

stephen1981 11.06.2011 19:48
Hier nun mal der aktuelle Log von Malwarebytes. Das Ergebnis ist genau wie gestern. Keine Funde. Aber der Katusha-Virus ist trotzdem auf meinem Rechner.

cosinus 11.06.2011 20:01
Zitat:
C:\Windows\System32\tquery32.dll
Bitte diese Datei bei Virustotal auswerten lassen und den Ergebnislink posten. Falls Du die Datei nicht siehst, musst Du sie evtl. vorher sichtbar machen.
Wenn die Datei schon ausgewertet sein sollte, bitte eine weitere Auswertung starten.

stephen1981 11.06.2011 20:18
Hier das Ergebnis von VirusTotal: hxxp://www.virustotal.com/file-scan/report.html?id=6791e23172532519bf02fac4abacda4b6f85c67f2067ba1b8d0ae1ef32671003-1307818559

Hm, die Auswertung sagt, dass die Datei nicht schädlich ist. Wieso aber lief mein Rechner gestern so langsam? Interessant ist, dass tquery32.dll am 21.01.2011 erstellt wurde und bis gestern habe ich keine technischen Probleme gehabt und mir sind keine sonstigen Auswirkungen (z.B. Datendiebstahl, Dialer) von schädlichen Programmen bekannt. Das heißt aber nicht, das etwas noch passieren könnte.

Spybot sagt, dass die Datei ein Trojaner ist. Was soll ich jetzt tun? Ist es der Virus, der das Löschen verhindert? Oder kann man generell keine dll-Dateien löschen?

cosinus 11.06.2011 20:51
Das könnte ein neuer Schädling sein. Lad die Datei bitte bei uns hoch => http://www.trojaner-board.de/54791-a...ner-board.html

stephen1981 11.06.2011 21:10
OK, die Datei habe ich hochgeladen. Wie geht's jetzt weiter?

cosinus 11.06.2011 22:52
Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Hinweis: Falls Du Deinen Benutzernamen unkenntlich gemacht hast, musst Du das Ausgesternte in Deinen richtigen Benutzernamen wieder verwandeln, sonst funktioniert das Script nicht!!

Code:
:OTL
SRV - (CLTNetCnService) --  File not found
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2006.09.18 23:43:36 | 000,000,024 | ---- | M] () - C:\autoexec.bat -- [ NTFS ]
[2011.01.21 00:02:52 | 000,028,160 | ---- | C] () -- C:\Windows\System32\tquery32.dll
:Files
C:\Users\***\AppData\Local\{*
:Commands
[purity]
[resethosts]
Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

stephen1981 12.06.2011 10:02
Es hat funktioniert! :applaus: Die verdächtige Datei wurde in C:/_OTL verschoben. Und Spybot findet keine Probleme mehr. Danke, Arne! Ihr seid Spitze! :daumenhoc

cosinus 13.06.2011 18:42
Bitte nun dieses Tool von Kaspersky ausführen und das Log posten => http://www.trojaner-board.de/82358-t...entfernen.html

Das Tool so einstellen wie unten im Bild angegeben - also beide Haken setzen, auf Start scan klicken und wenn es durch ist auf den Button Report klicken um das Log anzuzeigen. Dieses bitte komplett posten.

http://www.trojaner-board.de/attachm...rnen-start.png


Falls du durch die Infektion auf deine Dokumente/Eigenen Dateien nicht zugreifen kannst, bitte unhide ausführen:
Downloade dir bitte unhide.exe und speichere diese Datei auf deinem Desktop.
Starte das Tool und es sollten alle Dateien und Ordner wieder sichtbar sein. ( Könnte eine Weile dauern )
http://www.trojaner-board.de/images/icons/icon4.gif Vista und 7 User müssen das Tool per Rechtsklick als Administrator ausführen! http://www.trojaner-board.de/images/icons/icon4.gif

stephen1981 13.06.2011 19:57
OK, hier der Log von TDSS-Killer. Keine Funde. Er hat auch vorher nichts gefunden, als der Trojaner noch auf meiner Festplatte war.

cosinus 14.06.2011 08:39
Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!


Anschließend über den OnlineScanner von ESET eine zusätzliche Meinung zu holen ist auch nicht verkehrt:


ESET Online Scanner

  • Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
  • Lade und starte Eset Online Scanner
  • Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
  • Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
  • Klicke auf Starten.
  • Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
  • Klicke am Ende des Suchlaufs auf Fertig stellen.
  • Schließe das Fenster von ESET.
  • Explorer öffnen.
  • C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
  • Logfile hier posten.
  • Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
  • Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset


stephen1981 14.06.2011 20:03
Hier der Malwarebytes-Log.


Alle Zeitangaben in WEZ +1. Es ist jetzt 07:13 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19