Hallo erstmal...
Ich habe Windows XP Profesionnel mit Service Pack2
mein Proble fieng vor ein paar Tagen an als ich diesen ICQ Wurm bekommen hab, ich weiß zwar nicht woher weil ich keinen Link bekommen habe aber ein Freund hat mir gesagt er habe einen Link von mir bekommen und so habe ich mal meinen Pc durchforstet und siehe da flash.exe+der icqwurm(<---weis den Name nicht mehr weil ich es irgendwie geschafft habe ihn zu zerstörn) kurz bevor ich es geschafft hatte ihn zu beseitigen haben sich dann komische Prozesse gemeldet wie(habe mich informiert und schreibe in Klammer was es sein "könnte") spoolv.exe(kann Druckerfehler sein aber habe seit einem Jahr keinen Drucker benutzt) wscntfy.exe(Security-Center von Windows;kann es bei task-manager beenden ist aber nach 1millisekunde wieder da und wenn ich beendet habe kommt rechts unten eine Meldung mit der "Der Computer ist eventuell gefährdet; Automatische Updates sind deaktiviert.) und msssdsa.exe(100%Spywarewurm) die meinen PC ziemlich langsam gemacht haben... ich habe mit dem Freund dem ich den Link geschickt hatte viel rumexperimentiert und irgendwie habe ich mich von msssdsa.exe befreit. Habe Kaspersky Spybot Panda und Ad-aware laufen lassen und alle sagen mir dass alles ok ist... kann mir jemand sagen wie ich weiter vorgehen kann/muss?

Benutze zum ersten mal ein Forum
und wäre sehr dankbar wenn mir jemand sagen könnte wo ich HiJack this herbekomme und wie ich es richtige nutze

schonmal jetzt Danke für eure Hilfe...

Also: habe mir HijackThis geholt und poste euch mal mein Logfile...


Logfile of HijackThis v1.99.1
Scan saved at 00:21:07, on 14.04.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\iTunes\iTunes.exe
C:\Programme\Teamspeak2_RC2\TeamSpeak.exe
C:\Programme\Firefox\firefox.exe
C:\Downloads\hijackthis_199\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: Web Anti-Virus statistics - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {029FDBA6-3547-11D7-AA4C-0050BF051A00} (Rawflow ICD Client) - http://www.giga.de/giga-stream-test/Rawflow.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1137257420531
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - AppInit_DLLs: confifc.dll ifcstat.dll
O20 - Winlogon Notify: msssmsda - C:\WINDOWS\system32\msssmsda.dll (file missing)
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Unknown owner - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" -r (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Windows User Mode Driver Framework (UMWdf) - Unknown owner - C:\WINDOWS\system32\wdfmgr.exe (file missing)

okii also hast du schon mal Sypbot S&D ausprobiert? das ist recht hilfreich

falls es damit nicht klappt hmm...

dann muss ich mal nen kollegen fragen

aber der Spybot S&D kann nicht schaden


*ups hatte nicht richtig ins logFile geguggt ;D sry du hast ja schon den Spybot S&D und der hat auch nichts gefundne ?!*

@DerInfizierte

Bei dir ist bzw. war ein Wurm im System, dieses sieht man an diesem Eintrag:

Zitat:

O20 - Winlogon Notify: msssmsda - C:\WINDOWS\system32\msssmsda.dll (file missing)

Fixe mit HijackThis als erstes folgende Einträge:

Zitat:

O20 - AppInit_DLLs: confifc.dll ifcstat.dll
O20 - Winlogon Notify: msssmsda - C:\WINDOWS\system32\msssmsda.dll (file missing)

Scanne danach dein System hiermit:

Arbeiten mit MWAV (eScan)

Wähle bitte die bei der Installation -> ENGLISH!
* Lies dir folgende Anleitung genau durch und arbeite sie ab:
-> Anleitung eScan
* Wichtig: Poste im Anschluss das Ergebnis mit Hilfe der “find.bat”.
(steht alles ganz genau in der Anleitung.)

Gruß
Sunny

Ich hab das Programm erst seid gestern und hab keine Ahnung wie man da was mit fixen kann... kann mir jemand vielleicht ne kleine Anleitung schreiben? oder nen Link dazu posten?

*das Glück ist mit den Dummen *

Hallo

Zitat:

...und hab keine Ahnung wie man da was mit fixen kann...

starte HijackThis mit der Option - do a system scan only - und hake diese Einträge an :

Zitat:

Zitat:

Zitat:

dann klicke auf - fix checked - beende HijackThis und starte deinen Rechner neu, nach dem Neustart kontrolliere per Hijackthis (neuen scan durchführen) ob die Einträge gelöscht wurden.

fahre Ford wie Sunny beschrieben hat.

MFG

Großes Problem jetz... habe so gemacht wie es hieß aber wenn ich fix checked drücke kommt eine Fehlermeldung...

An unexepted error has encurred at procedure: modBackup_MakeBacup(sItem_O20 - AppInit_DLLs: confifc.dll
ifcstat.dll)
Error #5 - Ungültiger Prozeduraufruf oder ungültiges Argument

Please email me at merijn@spywareinfo.com, reporting the following:
*What you were trying to fiy when the error occured, iff applicable
*How you can reproduce the error
*A complete HijackThis scan log, if possible

Windows version: Windows NT 5.01.2600
MSIE version: 6.0.2900.2180
HijackThis version: 1.99.1

This message has been copied to your clipboard.
Click OK to continue the rest of the scan

Hab alles ganz sauber abgeschrieben und hoffe ihr wisst was zu tun ist...
Mein Spybot hat mir nun angezeigt "folgender Wert gelöscht msssdsa"...

Habe HijackThis nochmal scanen lassen und beide Einträge waren weg...
ich fahre jetzt so fort wie ihr gesagt hattet mit e-scan

Richtig digges THX an nochgigger für die übels schnelle Hilfe

Was ihr vielleicht auch noch wissen solltet ist dass wenn ich unter "Start" auf Ausschalten drücke wird mein Mauspfeil zu einer Sanduhr und nix tut sich mehr...