Trojaner TR/Crypt.XPACK.Gen

Guten Abend erstmal!

Also vorweg mal ein Lob an die Leute dieses Forum, die sich bemühen anderen Usern zu helfen, die nicht ganz so viel Ahnung mit Viren, Trojanern (wie ich)...haben!!

Also alles fing letzte Woche an, dass sich plötzlich meine Windows Firewall und Automatische Updates deaktivierten. Firewall habe ich dann wieder aktiviert, Updates ließen sich nicht wieder aktivieren.
Kam mir spanisch vor und hab gleich avast AntiVirus gestartet und prompt hat er gemeldet das 3 Dateien mit dem Trojaner "TR/Crypt.XPACK.Gen" auf dem System wären. (Hatte eigentlich immer AntiVir auf meinem PC, bis zu meinem Umzug als mir geraten wurde, avast sei sehr sicher )

Habe dann gleich ausgewählt dass er sie löschen soll, hat er dann scheins auch gemacht, sollte dann neu starten und avast hat Automatisch den PC durchsucht und dann 4 Dateien mit dem Trojaner gefunden. Die ließen sich aber nicht löschen!
Habe dann gleich Avira AntiVir runtergeladen!
Wollte ich dann gleich Updaten, ließ er aber nicht zu, ka warum!
Jedenfalls hab ich dann AntiVir durchlaufen lassen und siehe da, es meldete mir 7 Dateien mit besagtem Trojaner. Ich liste die Dateien einmal auf:

C:\Windows\system32\qoMgdeFw.dll
C:\Windows\system32\pgewww.dll
C:\Windows\system32\opnmNdsS.dll
C:\Windows\system32\pxyxihuq.dll
C:\Windows\system32\rqRKEWnM.dll
C:\Windows\system32\vdwsxfcs.dll
C:\Windows\System Information

Später meldete er mir dann noch dass er das Trojan.Pferd TR/Agent2.Fz in
C:\Dokumente und Einstellungen\Alex....\senekaf65c.tmp gefunden hat.


€dit:
So, gerade eben hab ich jetzt mein AntiVir aktualisiert gekriegt, und er meldet mir weitere Funde in

C:\System Volume Information\...\A0075034.dll (TR/Crypt/XPACK.Gen)
C:\System Volume Information\...\A0075035.dll (TR/Crypt/XPACK.Gen)

C:\Windows\system32\xxyvUNfG.dll (TR/Agent.gtr.46952)

C:\Dokumente und Einstellungen\....\apstpldr.dll[1].htm (TR/Agent.gtr.46952)


Löschen, reparieren ließen sie sich nicht, aber hab sie dann in Quarantäne verschoben.

Anfangs ließen sich keine Ordner öffnen, sprich Arbeitsplatz, Eigene Dateien...
Tags darauf war der PC dann saulahm und hat für jede Aktion mindesten ne halbe Minute gebraucht. Heute jedoch geht alles wieder wie normal!

Wie es aussieht ist ja dann nur die C-Platte von dem Trojaner betroffen, da ich (zum Glück!) meine Eigene Dateien (Bilder,Videos...) alles auf meiner D-Platte habe!
Auch wenn es jetzt wieder so aussieht, dass alles wieder normal läuft, hätte ich die Frage, ob ich nur die C-Platte platt machen kann, da ich Angst hab das der S**eiss tiefer drin sitzt, ohne dass die D-Platte mit formatiert wird!?


PS: Als ich anfangs nach dem Trojaner gegoogelt habe, öffnete sich plötzlich ein neuer Tab mit leerem Inhalt und folgender URL, die ich jetzt einfach mal hier poste, vielleicht kann mir ja jemand sagen was es damit auf sich hat, also:
http://82.98.235.111/go/?cmp=vm_mg_juan&uid=7F3EAF06E33811DDB4BE166350CFFFFF&lid=Trojaner+TR+Crypt.XPACK.Gen&url=www.google.de%2FSearch%3Fhl%3Dde%26q%3DTrojaner+TR%2FCrypt.XPACK.Gen%26btnG%3DGoogle-Suche%26meta%3D&guid=DA350192A39446B093B44F1CF9CB55AC&affid=166350&rid=pfobnf&cl=superjuan

Der Tab öffnete sich jedes mal wenn ich in Google etwas gesucht habe jedoch war die IP vorne dran jedesmal anders.
Wie ihr lesen könnt steht in der URL "juan" und am Ende "superjuan",
ist das vielleicht der Nickname des Arsches (sry) der den Trojaner in Umlauf gebracht hat oder mir womöglich noch Daten ausspioniert?

PPS: Anhängend stelle ich mal die HJT.txt und die AntiVir.txt noch mit rein!
(wobei ich aus der Hijack Datei nicht schlau werde, was kann man denn daraus raus lesen?? Evtl. kann mich auch noch jemand aufklären :daumenhoc )

So, das wars erstmal von meiner Seite aus, ich hoffe das mir ein paar nette Menschen helfen können, zB. was ich auch noch für Progrämmchen durchlaufen lassen kann...da ich nicht viel Ahnung von Viren etc. habe und das auch mein erster Trojaner ist.

Vielen Dank schon mal im Vorraus!

Acrylium"

 

Ja kannst du.
Wäre evtl. das sicherste, da dein Rechner äußerst verseucht ist!
Es ist außerdem nicht sinnvoll 2 verschiedene Antivirenprogramme gleichzeitig laufen zu lassen.

Gruß kingjon

 

Avast und Antivir gleichzeitig ist nicht empfehlenswert, weil die sich gegen seitig stören können.
Acrobat Reader 6 ist stark veraltet und hat Schlupflöcher für schädlichen Code. --> Aktualisieren auf neuste Version.

Systemwiederherstellung deaktivieren.
PC im abgesicherten Modus starten.
http://www2.tu-berlin.de/www/software/virus/savemode.shtml
Temporäre Dateien löschen, mit:
CCleaner (Portable- kein Installer) http://www.wintotal.de/Software/index.php?id=2185
Anleitung:http://virus-protect.org/ccleaner.html
Mit HijackThis fixen:

Code:

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {399B0743-E72C-4DAA-8480-282D9FE4B53A} - C:\WINDOWS\system32\opnmNDsS.dll (file missing)
O2 - BHO: (no name) - {6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C} - C:\WINDOWS\system32\qoMgdeFw.dll
O2 - BHO: {c2347d61-1fb5-8fba-6cf4-670a5d52640c} - {c04625d5-a076-4fc6-abf8-5bf116d7432c} - C:\WINDOWS\system32\pgewww.dll (file missing)
O4 - HKLM\..\Run: [prunnet] "C:\WINDOWS\system32\prunnet.exe"
O4 - HKLM\..\Run: [4891d02e] rundll32.exe "C:\WINDOWS\system32\pxyxihuq.dll",b
O4 - HKCU\..\Run: [prunnet] "C:\WINDOWS\system32\prunnet.exe"
O20 - AppInit_DLLs: pgewww.dll
O20 - Winlogon Notify: qoMgdeFw - C:\WINDOWS\SYSTEM32\qoMgdeFw.dll

Was bedeutet Fixen ?
http://members.linzag.net/680262/HJT/HijackThis.html#Was_bedeutet_FIXEN

Sind die letzten Sicherheitsupdates installiert?
Benutzerkonto mit eingeschränkten Rechten benutzen. Da ist der System32-Ordner vor Veränderung und wichtige Bereiche der Registry geschützt.

 

Hallo, danke für die Antworten!

Natürlich hab ich avast dann gleich deinstalliert, vergessen zu erwähnen!
Und meine Updates sind auch auf dem neuesten!

Hab von nem Bekannten den Tipp gekriegt, dass ich die Windows XP Installations CD einlegen soll und dann auf Reparieren gehen, dann sollte seiner Meinung nach alles wieder ok sein!? stimmt das?

Ach und noch was, hab mein PC an um wenigstens noch Musik zu hören, bin aber vom Internet abgestöpselt..Kann der Trojaner innerhalb des Systems noch weitere Dateien infizieren?

Danke und grüße....

 

Bei der Reparaturinstallation werden nur die Windows Systemdateien von der CD neu installiert, aber keine Viren in anderen Bereichen überschrieben/gelöscht. Das ist nur sinnvoll, um überhaupt ein lauffähiges System zu kriegen, aber keinesfalls um Schädlinge zu beseitigen.
Ohne Internetanschluss kann zwar keine Schadsoftware nachgeladen werden, aber die anwesenden Trojaner können weiterhin Daten sammeln, die dann raus geschickt werden, sobald wieder eine Internetverbindung aufgebaut wird. Sie können sich auch über USB-Stick, USB-Platte, USB-Player und was sonst noch für Wechseldatenträger angeschlossen werden, weiter verbreitet werden. Formatiere am besten und installiere das Betriebssystem neu. Und dann gleich von Beginn an keine veraltete und Software aus unsicheren Quellen benutzen.

 

Hast du denn einen Scan aller Partitionen ausgeführt?
Auch zb. Mp3-Player, es gibt diverse manipulierte Mp3-Dateien im Netz!

Damit ist auch zusätzliche Gamesoftware von Drittanbietern gemeint, gerade der "TR/Agent" ist gerade in solcher Software vorhanden!

Gruß kingjon