Moin Moin,
seit ca. 3 Tagen und unendlich vielen durchläufen von Kaspersky weiss
ich jetzt nicht mehr weiter.In die Systemsteuerung komm ich auch nicht mehr,
security task manager sagt mir das der taskmanger durch eine andere datei ersetzt wurde.
klingt für mich irgendwie komisch,auf jeden fall habe ich keine chance mehr rein zu kommen
Dieses Fenster öffnet sich nach ca.20 Minuten immer wieder:



Hab volgende Prozesse unter Karantäne gestellt.
printer.exe
winavxx.exe

nur die printer.exe will nicht so richtig. von ihr kommt auch die "warnmeldung" siehe das bild oben.




nunja und hier die log-files

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:54:40, on 08.09.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\poweroff.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\printer.exe
C:\Programme\IVT Corporation\BlueSoleil\BlueSoleil.exe
F:\Programme\Xfire\xfire.exe
C:\Programme\Opera\Opera.exe
F:\Programme\ICQ6\ICQ.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\printer.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [WinAVX] C:\WINDOWS\system32\WinAvXX.exe
O4 - HKCU\..\Run: [WinAVX] C:\WINDOWS\system32\WinAvXX.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: system.exe
O4 - Startup: Xfire.lnk = F:\Programme\Xfire\xfire.exe
O4 - Global Startup: autorun.exe
O4 - Global Startup: BlueSoleil.lnk = ?
O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\scieplugin.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - F:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - F:\Programme\ICQ6\ICQ.exe
O23 - Service: Kaspersky Internet Security 6.0 (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe (file missing)
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - F:\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: NBService - Nero AG - F:\Programme\Nero7\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Poweroff - Jorgen Bosman - C:\WINDOWS\system32\poweroff.exe

--
End of file - 3016 bytes

thx im voraus schonmal

C:\WINDOWS\system32\printer.exe
C:\WINDOWS\system32\WinAvXX.exe

Beides Malware. An deiner Stelle würde ich Windows neu aufsetzen und anschließend absichern.


Gruß

Jan

Also bist du der Meinung das ich es nicht mehr so hinbekommen kann?
das komische ist,wenn ich printer aus der reg lösche taucht es trotzdem wieder auf. auch aus dem system32 ordner bekomm ich es nicht weg.
das ist doch zum fluchen

O4 - HKLM\..\Run: [WinAVX] C:\WINDOWS\system32\WinAvXX.exe
O4 - HKCU\..\Run: [WinAVX] C:\WINDOWS\system32\WinAvXX.exe
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\printer.exe
O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Pol icies\System, DisableRegedit=1

Die Sachen bitte fixen.




(Anleitung von undoreal *geborgt*)

Danach mittels Avenger die Dateien löschen:

Anleitung Avenger:

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:



2.) Klicke nun auf die Option „Input Script manually“ -> klicke jetzt auf die Lupe und kopiere folgenden Text rein:

Zitat:

Files to delete:
C:\WINDOWS\system32\WinAvXX.exe
C:\WINDOWS\system32\printer.exe

3.) Klicke nun auf die „grüne Ampel“, das Script fängt an zu arbeiten.



4.) Danach das System unverzüglich neu starten lassen
5.) Lass eScan nochmal laufen, erstelle und poste ein neues Logfile.
Poste ausserdem den Inhalt der C:\avenger.txt Datei.

Danach poste bitte ein neues HijackThis log und führe einen eScan aus.


(Anleitung von undoreal *geborgt*)

Gruß,

Jan

Hallo

alternativ mal Smitfraudfix
SmitfraudFix
laden und nach Anleitung übers System schicken (die Variante wird seit der Version 2.209 (August 06, 2007) erkannt).

MFG