hallo alle miteinander

ich bekomme schon seit einer woche eine meldung von Kaspersky über den
Worm.Win32.fujack.n, Kasperski kann ihn aber leider nicht löschen, habe schon ein paar programme ausprobiert, doch keiner hats geschafft den zu löschen

ich weiß nicht mehr weiter, kann mir bitte jemand dabei helfen ?

das ist meine HijackThis logdatei

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:48:10, on 20.09.2009
Platform: Windows Vista SP2 (WinNT 6.00.1906)
MSIE: Internet Explorer v8.00 (8.00.6001.18813)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\taskeng.exe
C:\Program Files\HP\HP Software Update\hpwuSchd2.exe
C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\DAEMON Tools Lite\daemon.exe
C:\Windows\ehome\ehmsas.exe
C:\Program Files\Logitech\SetPoint\SetPoint.exe
C:\Program Files\Common Files\Logitech\khalshared\KHALMNPR.EXE
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2010\klwtblfs.exe
C:\Users\Scharbel\Downloads\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2010\ievkbd.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: link filter bho - {E33CF602-D945-461A-83F0-819F76A199F8} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2010\klwtbbho.dll
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2010\avp.exe"
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\daemon.exe" -autorun
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Logitech SetPoint.lnk = ?
O8 - Extra context menu item: Hinzufügen zu Anti-Banner - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2010\ie_banner_deny.htm
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: &Virtuelle Tastatur - {4248FE82-7FCB-46AC-B270-339F08212110} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2010\klwtbbho.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: Li&nks untersuchen - {CCF151D8-D089-449F-A5A4-D9909053F20F} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2010\klwtbbho.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O13 - Gopher Prefix:
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Program Files\Microsoft Office\Office12\GrooveSystemServices.dll
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll,C:\PROGRA~1\KASPER~1\KASPER~1\kloehk.dll
O23 - Service: Kaspersky Internet Security (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2010\avp.exe
O23 - Service: Google Update Service (gupdate) (gupdate) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
O23 - Service: SBSD Security Center Service (SBSDWSCService) - Safer Networking Ltd. - C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe
O23 - Service: NVIDIA Stereoscopic 3D Driver Service (Stereo Service) - NVIDIA Corporation - C:\Windows\System32\nvSCPAPISvr.exe

--
End of file - 6165 bytes

Hallo und Herzlich Willkommen!

Gibt es einen "relativ einfachen Weg",wenn eine frische Infektion vorliegt, oder mal bestimmte Probleme bekommt man auch gelöst, was man sogleich ausprobieren sollte:

Zitat:

Windows ME,XP u. Vista enthält ein Programm zur Systemwiederherstellung ( Damit lässt sich das System auf einen früheren Zeitpunkt zurücksetzen ,wo noch alles einwandfrei funktioniert. Die Systemwiederherstellung betrifft nur Systemeinstellungen.(programme die in der zwischenzeit installiert wurden gehen dabei verloren. man kann diesen vorgang auch wieder rückgängig machen, sollte man keinen erfolg damit erzielt haben.)
Du findest das Programm zur Systemwiederherstellung : Start/Programme/Zubehör/Systemprogramme/Systemwiederherstellung
Beim Ausführen der Systemwiederherstellung gehen keine persönlichen Dateien oder Kennwörter verloren. Dokumente, E-Mail-Nachrichten, Browserverlaufsdateien und die eingegebenen Kennwörter werden gespeichert, wenn Sie mithilfe der Systemwiederherstellung einen früheren Zustand wiederherstellen.
Die Systemwiederherstellung schützt Ihre persönlichen Dateien, indem Dateien im Ordner Eigene Dateien nicht wiederhergestellt werden. Darüber hinaus werden keine Dateien mit bekannten Dateinamenerweiterungen, wie DOC oder XLS, wiederhergestellt. Falls Sie nicht sicher sind, ob Ihre persönlichen Dateien bekannte Dateierweiterungen aufweisen, und Sie diese von der Systemwiederherstellung ausschließen möchten, speichern Sie sie im Ordner Eigene Dateien.
Falls ein Programm nach dem ausgewählten Wiederherstellungspunkt installiert wurde, kann das Programm im Rahmen der Wiederherstellung deinstalliert werden. Die mit diesem Programm erstellten Datendateien gehen nicht verloren. Um die Dateien wieder öffnen zu können, müssen Sie jedoch das entsprechende Programm erneut installieren.

Zitat:

Windows erstellt automatisch alle 24 Stunden automatisch einen Wiederherstellungspunkt -
Automatisch erstellte Wiederherstellungspunkte - bei Treiberinstallationen auch
Wiederherstellungspunkte (RP) werden erstellt, damit Benutzer zu früheren Systemzuständen zurückkehren können. Jeder Wiederherstellungspunkt erfasst die erforderlichen Daten für eine Wiederherstellung eines bestimmten Systemzustands. Wiederherstellungspunkte werden vor größeren Änderungen im System erstellt. Da diese Punkte automatisch erstellt werden, müssen Benutzer sie nicht manuell erzeugen (sofern sie dies nicht bewusst möchten).

Setzt doch dein Windows über die Systemwiederherstellung ganz zurück (falls nötig kannst Du es im abgesicherten Modus [F8] auch ausführen:
(drücke beim Hochfahren des Rechners [F8] solange, bis du eine Auswahlmöglichkeit hast, da "abgesicherten Modus " wählen)

Auf jeden Fall positive als auch negative Rückmeldungen erwünscht

gruß
Coverflow

okkk danke ich werde es mal ausprobieren
hoffe es klappt auch

Ich wollte das gerade mit der Systemwiederherstellung ausprobieren, komischerweise kann ich aber nur bis zum 18.9 zürck
da aber der wurm/virus schon davor entstanden ist, wird mir das ja nicht weiterhelfen

gibt es noch eine andere möglichkeit ?
oder vielleicht die festplatte gleich neu formatieren ?

hi

Neuinstallation = schnell und sicher!

1.
Im Log ist eigentlich nichts zu erkennen, kannst du den Bericht von Kaspersky mit den Malwarefunde hier posten?

- Die Anweisungen bitte gründlich lesen und immer streng einhalten, da ich die Reihenfolge nach bestimmten Kriterien vorbereitet habe:

1.
bitte Versteckte - und Systemdateien sichtbar machen::
→ Klicke unter Start auf Arbeitsplatz.
→ Klicke im Menü Extras auf Ordneroptionen.
→ Dateien und Ordner/Erweiterungen bei bekannten Dateitypen ausblenden → Haken entfernen
→ Geschützte und Systemdateien ausblenden → Haken entfernen
→ Versteckte Dateien und Ordner/Alle Dateien und Ordner anzeigen → Haken setzen.
→ Bei "Geschützte Systemdateien ausblenden" darf kein Häkchen sein und "Alle Dateien und Ordner anzeigen" muss aktiviert sein.

2.
- Lade dir RSIT - http://filepony.de/download-rsit/:
- an einen Ort deiner Wahl und führe die rsit.exe aus
- wird "Hijackthis" auch von RSIT installiert und ausgeführt
- RSIT erstellt 2 Logfiles (C:\rsit\log.txt und C:\rsit\info.txt) mit erweiterten Infos von deinem System - diese beide bitte komplett hier posten
** Kannst Du das Log in Textdatei speichern und hier anhängen (auf "Erweitert" klicken)

3.
Ich würde gerne noch all deine installierten Programme sehen:
Lade dir das Tool CCleaner herunter
installieren ("Füge CCleaner Yahoo! Toolbar hinzu" abwählen)→ starten→ unter Options settings-> "german" einstellen
dann klick auf "Extra (um die installierten Programme auch anzuzeigen)→ weiter auf "Als Textdatei speichern..."
wird eine Textdatei (*.txt) erstellt, kopiere dazu den Inhalt und füge ihn da ein

Zitat:

Damit dein Thread übersichtlicher und schön lesbar bleibt, am besten nutze den Code-Tags für deinen Post:
→ vor dein Log schreibst Du:[code]
hier kommt dein Logfile rein
→ dahinter:[/code]

gruß
Coverflow

so ich habe alles nach der reihenfolge die du mir aufgestellt hast gemacht, daher müsste das so stimmen

das zeigt mir Kaspersky immer an:

20.09.2009 22:11:09 Gefunden: Worm.Win32.Fujack.n Kaspersky Internet Security L:\setup.exe


Ich habe die log.txt und info.txt angehängt + die dateien vom CCleaner install.txt

hi

1.
DAEMON Tools Toolbar - rate ich dich ab davon

2.
Messenger Plus! Live...

Zitat:

Der Messenger Plus enthält einige Komponenten, die deinen Rechner ausspionieren (Trojaner) deshalb wird von diesem Programm abgeraten.Du musst messenger plus Deinstallieren, ► achte aber darauf, ob da etwas beim Deinstallieren mit da steht, wie "Partnerprogramme entfernen"!
Wenn du unbedingt möchtest (es ist besser ein Spy- und Adware freies Messenger Tool einzusetzen - wie Trillian,kann man in der Basisversion von Trillian die Instant Messenger ICQ, AIM, Yahoo! Messenger, Windows Live Messenger (MSN) und IRC vereinen) oder Miranda ),kannst du nochmal installieren,aber alles genau durchlesen, und Partnerprogrammen,Sponsoren etc musst du abwählen!

Immer die benutzerdefinierte Installation wählen, nicht die Standardinstallation, weil dann oft Sachen mitinstalliert werden, die man nicht braucht oder nicht möchte.

3.
Panda ActiveScan 2.0 - kannst einfach deinstallieren

4.
Jedes Speichermedium (wie USB-Sticks/Platten usw ) - "L" - auch bitte anschließen und dabei die [SHIFT]-Taste gedrückt halten!
Lade dir FindyKill.exe von hier herunter und speichere die Datei auf dem Desktop.

• Doppelklick auf die Datei, um FindyKill -> installieren
• akzeptiere die Nutzungsbedingungen (I agree with the above terms and conditions anhaken) und installiere das Programm in den vorgegebenen Pfad (C:\Programme\FindyKill).
• Beantworte die Frage, ob dort der Ordner FindyKill angelegt werden soll mit Ja und starte die Installation.
• Doppelklicke das FindyKill-Icon auf dem Desktop.
• Vista-User starten mit Rechtsklick und als Administrator!
• Es öffnet sich ein DOS-Fenster.
• Wähle "F" + Entertaste,
• im nächsten Screen die "2" + Entertaste, um die Bereinigung der Infektionen zu starten.
• Wenn der Scan beginnt, wird FindyKill eine Warnung anzeigen, dass Windows evtl. neu gestartet werden muss, akzeptiere das mit OK.
• Es wird eine Datenträgerbereinigung durchgeführt.
• Wenn der Suchlauf beendet ist, siehst Du (ggfs. nach Neustart) im DOS-Fenster den Hinweis "Nettoyage effetuee!".
• Das Fenster schließen.
• Poste den Bericht, der unter C:\FindyKill.txt zu finden ist, hier in den Thread.

so hab die bereinigung jetzt durchgeführt und auch alles vorher angeschlossen, was sonst bei mir immer angeschlossen ist

komischerweise habe ich kein gerät bzw. datenträger mit L:\
darum hat mich das auch bei Kaspersky die ganze zeit gewundert, weil der L: anzeigt obowhl ich das nicht habe, und auch wenn ich den ordner von Kaspersky aus öffenen wollte hat er angezeigt das dieser Datenträger bzw. ordner nicht vorhanden ist.

findykill.txt ist angehängt

Es gibt da sehr viele unterordner, die darf ich auch nicht löschen oder ?
also nur den inhalt von den unterordner löschen ?

Es gibt da sehr viele unterordner, die darf ich auch nicht löschen oder ?
also nur den inhalt von den unterordner löschen ?

genauso ist das, NUR Der Inhalt!!

ok danke, das mach ich dan gleich morgen weil das dauert dan eine weile

so hab das jetzt durchgeführt
die datei ist angehängt


Kaspersky zeigt mir auch manchmal das an

21.09.2009 15:37:59 Gefunden: Intrusion.Win.MSSQL.worm.Helkern Nicht vorhanden UDP von 190.210.25.161 auf lokalen Port 1434


sonst hab ich keine probleme mit dem pc

und ist der win32 fujack.... jetzt gelöscht ?

hi

wenn man in einer P2P-Börse und/oder Warez Seite Dateien/Programme runterläd...

Code: Alles auswählenAufklappen

ATTFilter

J:\SCHARBEL\MUSIK\EDONKEY\TOUS LES SIMS ►KEYGEN.EXE.EXE
         

Denn die die angebotenen Programme und Dateien enthalten Backdoor und Rootkit und nach dem Download so sehr tief und perfekt ins System eingebaut sind, so dass man praktisch nicht mehr herauszubekommen, bzw. dieses Problem nur durch eine Neuinstallation 100%ig lösen kann.
Weil dein Verhalten damit dem deutschen Recht unterliegt, wird den Supprt an dieser Stelle von unsere Seite aus beendet. Also am besten ist es, Du Sicherst deiner Daten und machst eine komplette Neuinstallation des Rechners, das ist der schnellste und sauberste lösung!
Aber wenigstens hast Du dann nach einer Neuinstallation wieder ein sauberes System und hoffentlich hast Du was draus gelernt und in Zukunft lässt die Finger von...
Warnung vor Crackprogrammen und Keygeneratoren

Zitat:

Sinn & Zweck der Sache - Viren Trojaner Würmer:
Ein Wurm, der fast als "guter Wurm" bezeichnet werden kann, zieht durch
das Netz und verbeitet sich über die File-Sharing Netzwerke BearShare, KaZaA
eMule & Co
Der Wurm besitzt unzählige verschiedene Namen bekannter Cracks oder
Keygeneratoren zur illegalen Benutzung von kommerzieller Software. Wer gezielt
nach solchen Dateien sucht, könnte also durchaus auch auf eine Wurmkopie
treffen.