TR/Vundo.Gen und TR/Crypt.Xpack.Gen

hallo zusammen,

brauche dringend hilfe!!!! Habe mein Pc neu formatiert und wollte so langsam alles neu drauf spielen. Habe mich schon gefreut das alles wieder sauber ist, doch Pustekuchen. Sobald ich den PC anschalte und Windows geladen ist erscheinen direkt Avira Funde, die diese oben genannten Trojaner finden, egal was ich drücke ob "Löschen", "in Quarantäne stecken", "ignorieren" die Fehlermeldungen erscheinen immer weiter. Einstigste Lösung Avira deaktivieren!

Habe mehrere Spyprogramme schon laufen lassen aber keines findet die zwei Trojaner.

Wer kann mri weiterhelfen?? und bitte nicht in so einem PC-Latain .

Danke euch !!!!!

Gruß

 

http://www.google.de/search?q=TR/Vu...&rls=org.mozilla:de:official&client=firefox-a

 

hi ja ich weiß aber es steht doch überall das jeder pc anders ist udn diese hijack this laufen lassen soll, habeich gemacht udn hier meine auswertung:

----------------------------------------------------------------
Anmerkung der Moderation:

Bitte keine kompletten HijackThis-Logs im Forum posten, sondern lediglich als Text-Datei an den Beitrag anhängen, wie auf folgender Seite (bebildert) beschrieben: http://www.pcwelt.de/forum/sicherhe...bedingt-lesen-posten-von-hijackthis-logs.html

Es kann auch weiterhin der Link zum ausgewerteten Log gepostet werden.

Gruß
Nevok
----------------------------------------------------------------

was muss ich jetzt tuen oder welche Datein löschen. Bitte um hilfe!

 

Mit HiJackThis fixen

O2 - BHO: (no name) - {9A50B2AF-3B2B-47DD-AECD-5D80A886F504} - C:\WINDOWS\System32\ssqPgGXr.dll

O4 - HKLM\..\Run: [bca1cdb4] rundll32.exe "C:\WINDOWS\System32\qvfcypak.dll",b

O20 - Winlogon Notify: ssqPgGXr - C:\WINDOWS\SYSTEM32\ssqPgGXr.dll

O20 - Winlogon Notify: dimsntfy - %SystemRoot%\System32\dimsntfy.dll (file missing)

O2 - BHO: (no name) - {403621D9-0B13-49EC-9F8F-3167DD863170} - C:\WINDOWS\System32\urqRKDvt.dll (file missing)

Wichtig..
fixen und löschen der DLL's immer im "Abgesicherten Modus" bei deaktivierter Systemwiederherstellung.. !

Info ..
Bundesamt für Sicherheit in der Informationstechnologie (BSI)

Informationen zur Deaktivierung der Systemwiederherstellung und zum Start in den abgesicherten Modus (Windows XP)

http://www.bsi.de/av/texte/wiederher_xp.htm

 

d.h. Computer runter fahren
- im abgesicherten modus starten
-hijackThis öffnen
- die von dir besagten Einträge markieren und auf FIX Checked klicken
hab ich das richitg verstanden????

 

Du kannst im abgesicherten Modus folgende Einträge mit HijackThis fixen

Code:

O2 - BHO: (no name) - {403621D9-0B13-49EC-9F8F-3167DD863170} - C:\WINDOWS\System32\urqRKDvt.dll (file missing)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {9A50B2AF-3B2B-47DD-AECD-5D80A886F504} - C:\WINDOWS\System32\[COLOR="Red"][B]ssqPgGXr.dll[/B][/COLOR]
O4 - HKLM\..\Run: [bca1cdb4] rundll32.exe "C:\WINDOWS\System32\qvfcypak.dll",b
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O20 - Winlogon Notify: dimsntfy - %SystemRoot%\System32\dimsntfy.dll (file missing)
O20 - Winlogon Notify: ssqPgGXr - C:\WINDOWS\SYSTEM32\[COLOR="Red"][B]ssqPgGXr.dll[/B][/COLOR]

Was bedeutet Fixen ?
http://members.linzag.net/680262/HJT/HijackThis.html#Was_bedeutet_FIXEN

HijackThis in einen eigenen Ordner entpacken, da ansonsten keine Sicherungen zum Wiederherstellen von Änderungen angelegt werden!

ssqPgGXr.dll sieht nach einem Trojaner aus.
Die Datei mal bei www.virustotal.com/de untersuchen lassen.

 

also so wie ich es beschrieben habe , die Reihenfolge jetzt? sorry kann kein Fachlatein aber vielen Dank für die vielen Antworten

 

fast richtig verstanden ...
Du musst unbedingt die Systemwiederherstellung vorher deaktivieren
sonst repariert Windows selbst quasi den Trojaner wieder.

 

ok das habe ich schon gemacht!

Danke

 

Dann fahre die Maschine runter und starte ne im "Abgesicherten Modus",
in dem Modus erledigst du das "Fixen" und löschen der DLL's. Die Dateien
die ich oben "fett" markiert hatte.

Ich schaue einmal ob ich einen VundoFix finde, meist erzeugt der Trojaner
noch mehr Dateien und Registry-Einträge die im HiJackThis-Log nicht sichtbar sind.

 

Du kannst den Rat vom Deoroller noch befolgen, vor der Löschaktion ..
eventuell bekommen wir so noch Information über die genaue Variante des Trojaner.

ssqPgGXr.dll sieht nach einem Trojaner aus.
Die Datei mal bei www.virustotal.com/de untersuchen lassen.

Virtumonde entfernen
http://vundofix.atribune.org/
Download - VundoFix.exe

Der VundoFix wirkt leider nicht immer weil die bis zu 100 oder mehr neue
Varianten von dem Schädling pro Tag in das Internet einspeisen.

 

@ Wolfgang 77

also habe das gemacht mit dem im abgesicherten modus fixen der Einträge.

Habe gerade nochmal sicherheitshalber mein Avira laufen lassen und der zeigt mir jetzt noch "ziemlich" oft den Trojaner TR/Monderc.25600.15 und nochmals jeweils NUR einmal den VUndo und den Crypt.xpack.

Habe ich dann was falsch gemacht? oder was meinst du mit löschen der dll, wie mache ich das weil wenn ich hetzt Hijack laufen lassen steht im Report imemr noch die Eintrage die ich löschen bzw. fixen sollte?

AHHH ich raste aus !!!!

 

Das haste aber noch nicht gemacht, oder ?

 

Falsch gemacht .. sieht so aus wenn die gefixten Regisrty-Einträge noch oder wieder da sind. Ohne viel Hektik noch einmal machen und auch die neuste Version von HiJackThis verwenden, deine ist stark veraltet.

HiJackThis:

Download u. Kurzanleitung
http://sicher-ins-netz.info/analyse/

Wenn dein AntiVir etwas meldet immer der Dateinamen posten und den Ort, also das Verzeichnis wo der Virus gefunden wurde.

 

huhu

@ wolfgang: hier findest du fix programme: http://humster.homepage24.de/Removaltools

@ TO: Ruhe bewahren
1. lade dir das neue HJT runter von Wolfgangs link
2. deaktiviere Systemwiederherstellung
3.starte im abgesichertem Modus
4. starte HJT
5. fixe die genannten Einträge
6.Neustart
7. erstelle ein neues Log und poste es so: >>klick<<

 

also habe im abgesicherten modus die neue verison von hijack laufen lassen, alles wie ihr es gesagt habt. habe dann normal den pc neu hochgefahren udn hijack nochmal scannen lassen aber der zeigt mri immer noch die Einträge die ich "fixen" sollte!!! LOgfile im Anhang.

und der Trojaner TR\Monderc.25600.15 erscheint in C:\WINDOWS\system32\ssqPggXr.dll

was kann das sein?????

 

hallo,

der vermutliche Vundo ist doch immer noch aktiv

O2 - BHO: (no name) - {9A50B2AF-3B2B-47DD-AECD-5D80A886F504} - C:\WINDOWS\system32\ssqPgGXr.dll

O20 - Winlogon Notify: ssqPgGXr - C:\WINDOWS\SYSTEM32\ssqPgGXr.dll

Der lädt weitere Schädlinge aus den Netz, wie zum Beispiel das Ding hier..
C:\WINDOWS\system32\ssqPggXr.dll

Der "humi" hat dir doch nochmal die Reihenfolge gepostet wie du vorgehen solltest. Also nochmal und im "Abgesicherten Modus" auch diese DLL löschen .. "C:\WINDOWS\system32\ssqPggXr.dll"

Hast du übrigens den VundoFix laufen lassen, die Antwort fehlt ob das etwas gebracht hat oder nicht.

 

hi wolfgang77,

was genau meinst du mit die .dll löschen? also fixen oder wie genau meinst du das?

lasse gerade vundofix laufen gebe dir gleich bescheid was er ergeben hat.

 

Die taucht doch im HiJackThis-Log nicht auf.."fett amrkiert"
C:\WINDOWS\system32\ssqPggXr.dll

Also kannst du sie dort auch nicht fixen, mit dem Explorer löschen.
Das geht aber wahrscheinlich nur im "Abgesicherten Modus" weil
sie aktiv ist. Damit Windows diese Datei nicht automatisch wieder
herstellt muss wie mehrfach gepostet die Systemwiederherstellung vorher deaktiviert werden.

 

hi,
also habe vundofix laufen lassen und er hat aber nix gefunden.

so also meinst du ich sol auf arbeitsplatz gehen, Festplatte C, Ordner WINOWS, System32 und dann die Datei anklicken und löschen?

Falls du das so meinst habe ich das im Abgesicherten Modus schon ausprobiert und lässt sich aber auch nciht löschen," Datei wird gerade verwenden" und ja Systemwiederherstellung ist deaktiviert.

und nu?????