MSN - Virus... nsProcess.dll

#1 Hallo...
gestern habe ich einen Virus geschickt bekommen per msn...
Nur blöd von mir das ich raufgeklickt hab... weil es eben von nen Kumpel kam...

Jetzt meine frage wie kann ich Ihn entfernen gibs erfahrungen?

Virus spiegelt sich wie folgt wieder...

Starte den Rechner -> antivir bringt sofort eine Meldung das ein Trojanisches Pferd gefunden wurde... dann meldet sichh MSn Messig von alleine und er schickt an alle Kontakt die online einen Text damit sich die User auch diesen Virus holen...

Ist wohl auch Toolbar 888 dran schuld...

nur wie entferne ich diesen lästigen Mist wieder?

Folgende Informationen ergaben sich im abgesicherten Modus...

Zitat

Verzeichnis von C:\WINDOWS\system32

03.09.2006 12:06 360.258 OODBS.lor
03.09.2006 12:02 138.862 alfa.exe
03.09.2006 12:02 20.480 sprdu.exe
03.09.2006 12:02 26.682 nvapps.xml
06.08.2006 23:19 7.006 jupdate-1.5.0_06-b05.log
06.08.2006 13:20 2.206 wpa.dbl
29.07.2006 19:32 48.936 sirenacm.dll
21.07.2006 06:59 215.264 FNTCACHE.DAT
10.06.2006 01:12 57.384 avsda.dll
28.05.2006 20:47 443.580 perfh009.dat
28.05.2006 20:47 74.690 perfc009.dat
28.05.2006 20:47 466.414 perfh007.dat
28.05.2006 20:47 89.890 perfc007.dat
28.05.2006 20:47 1.082.022 PerfStringBackup.INI

Zitat

Verzeichnis von C:\DOKUME~1\Mk-gfx2\LOKALE~1\Temp

Zitat

Verzeichnis von C:\WINDOWS

03.09.2006 12:07 497.816 ntbtlog.txt
03.09.2006 12:07 0 0.log
03.09.2006 12:06 2.048 bootstat.dat
03.09.2006 12:05 32.570 SchedLgU.Txt
03.09.2006 12:05 213 wiadebug.log
03.09.2006 12:05 107.958 WindowsUpdate.log
03.09.2006 12:02 50 wiaservc.log
03.09.2006 08:50 628 win.ini
03.09.2006 08:50 435 system.ini
02.09.2006 20:04 192 winamp.ini
01.09.2006 19:08 35.983 wmsetup.log
30.08.2006 17:59 69 NeroDigital.ini
20.08.2006 14:10 1.966 ST6UNST.003
20.08.2006 14:10 73.216 ST6UNST.EXE
20.08.2006 14:04 2.110 ST6UNST.002
20.08.2006 14:04 2.767 ST6UNST.001
18.08.2006 15:39 94.942 setupapi.log
17.08.2006 23:51 332 ST6UNST.000
09.08.2006 13:02 297.067 setupact.log
28.05.2006 17:42 512 ODBC.INI

Zitat

Verzeichnis von C:\

03.09.2006 12:15 0 sys.txt
03.09.2006 12:15 5.906 system.txt
03.09.2006 12:14 135 systemtemp.txt
03.09.2006 12:14 102.398 system32.txt
09.06.2006 13:35 1.752 temp.htm

Zitat

HiJack ergab folgendes...

Logfile of HijackThis v1.99.1
Scan saved at 12:21:08, on 03.09.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Mk-gfx2\Desktop\hijackthis_199\HijackThis.exe

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Programme\MessengerPlus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe

#2 Avenger
http://virus-protect.org/artikel/tools/avenger.html

kopiere rein
Files to delete:

Zitat

C:\WINDOWS\system32\alfa.exe
C:\WINDOWS\system32\sprdu.exe
C:\Dokumente und Einstellungen\Mk-gfx2\Lokale Einstellungen\Temp\1.reg
C:\Dokumente und Einstellungen\Mk-gfx2\Lokale Einstellungen\Temp\1.reg.vir
C:\WINDOWS\Downloaded Program Files\amm06.ocx
C:\WINDOWS\Downloaded Program Files\imloader.exe
C:\WINDOWS\Downloaded Program Files\speedtest2.dll

Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

**
poste das log vom avenger, was erscheint

**
poste das log:
http://virus-protect.org/artikel/tools/combofix.html
__________
MfG Sabina

rund um die PC-Sicherheit

#3 kann den befehl nicht ausführen...
kommt ein feherl folgender Art:

Zitat

Fatal error: could not create new script file.
Error code: 1813
Error logged to errorlog.txt. Aborting now!

#4 versuche es solange, bis es klappt, oder loesche alles einzeln mit der killbox
http://virus-protect.org/killbox.html

dann poste das log von combofix, dann scanne mit ewido und poste den scanreport
http://virus-protect.org/ewido.html
__________
MfG Sabina

rund um die PC-Sicherheit