Ich schildere mal wie ich zu dem virus gekommen bin:
In der Schule, wir sind eine Laptopklasse, gab ich meinen USB-Stick an eine Klassenkollegin weiter. Mein USB-Stick wurde an ihren Laptop angeschlossen, zusätzlich wurde noch ein weiterer USB-Stick angeschlossen, und auf einmal waren alle Dateien und Ordner auf meinem USB-Stick als Verknüpfung gekennzeichnet und nur mehr 1kb groß. Die Dateien lassen sich auch nicht mehr öffnen.
Es war auch noch eine weitere Datei auf meinem USB-Stick, die vorher nicht drauf war. Diese hieß: gaisox.exe
Ich hab dann mal den gesamten USB-Stick-Inhalt mit AviraAntivir auf Viren geprüft und nichts gefunden. Seltsamerweise war plötzlich die "gaisox.exe" Datei nicht mehr da.
Stattdessen liefen nun 2neue Prozesse auf meinem Laptop: cxroapx.exe und cxroap.exe
Und es war ein Autostartprogramm hinzugekommen ... cxroap.exe
Diese cxroap.exe sollte sich angeblich im User Verzeichnis befinden ... hab die versteckten Elemente eingeblendet, aber die Datei war nicht zu sehen.
Ich hab natürlich gleich mal nach gaisox und cxroap gegoogelt und außer einem Eintrag nicht gefunden: hxxp://www.prevx.com/filenames/X1345119379868581302-X1/GAISOX.EXE.html
Der Virus scheint also neu zu sein.
Ich hab dann eine Systemwiederherstellung versucht. Leider schlug diese aus unbekannten Gründen fehl. Einziger "Erfolg" es lief nur noch der Prozess "cxroap.exe"
Ich hab natürlich versucht den Autostartprozess in der Systemsteuerung und auch im Task-Manager zu beenden ... ohne Erfolg
Dann hab ich einmal im Task-Manager auf "Prozesse aller Benutzer anzeigen" gedrückt, noch einmal versucht den Prozess zu beenden ... und er war dann weg. In der Systemsteuerung konnte ich ihn dann auch entfernen. Nach einem Neustart des Laptops starteten die Prozesse auch nicht mehr.
Ich hab dann meinen USB-Stick formatiert und auch dort schien der Virus dann bereinigt. Ich konnte Dateien rüberkopieren ohne dass sie sofort wieder zu einer Verknüpfung gemacht wurden.
Jetzt hab ich den USB-Stick auf meinem Stand-PC angesteckt und auf einmal waren die Dateien wieder Verknüpfungen ... zusätzlich kommen noch neue Ordner wie z.B. music, documents, passwords ... alle mit 1kb
In meiner Klasse sind nun mehrere betroffen. Einige haben schon "Experten" um Rat gefragt und keiner konnte den Virus entfernen. Ein "Experte" hat den Laptop einer Klassenkollegin angeblich 3mal neu aufgesetzt und der Virus ist angeblich immer noch da.
Bei dem oben angeführten Link ist ein Tool, dass den Virus angeblich entfernen kann. Ich weiß nur nicht ob man dieser Software trauen kann ... immerhin ist das der einzige Eintrag über den "gaisox"-virus. Könnte ja auch eine gemeine Falle sein ...
Sorry, dass das jetzt ein so langer Text ist ... ich wollt nur alles anführen was ich weiß

Kann jemand helfen???

hat keiner einen Lösungvorschlag?!

Zitat:

Es war auch noch eine weitere Datei auf meinem USB-Stick, die vorher nicht drauf war. Diese hieß: gaisox.exe

Hallo und

Lass mich raten: Ihr arbeitet natürlich alle als Admin und habt natürlich die automatische Wiedergabe (autorun) auf allen Laufwerken aktiviert. Das ist die MS-Windows-Standardeinstellung. Bei sowas dämliches als default muss man sich über Befall nun wirklich nicht mehr wundern wenn man gedankenlos infizierte USB-Sticks ansteckt.

Zitat:

Ein "Experte" hat den Laptop einer Klassenkollegin angeblich 3mal neu aufgesetzt und der Virus ist angeblich immer noch da.

Dann hat der sog. Experte 3x was falsch gemacht, denn mit einer vernünftigen Neuinstallation bleiben keine Schädlinge übrig.

Wieviele Rechner sind jetzt infiziert? Dein Notebook und Dein Desktop-PC?

erstmal danke für die antwort!

ja wir arbeiten alle als admins ... wenn das bei Windows Vista Business Standard ist dann wird das wohl bei allen sein ... weiß jz nicht so genau was du da meinst ... wenn ich nen USB-Stick anstecke fragt er mich ob ich den ordner öffnen will, oder was abspielen möchte, etc.

ich dachte auch dass mit ner Neuinstallation des systems alle viren weg sein sollten, über die kompetenz dieses "experten" weiß ich nicht bescheid

seit ein paar minuten hab ich neue informationen:
dieses prefx (vorhin verlinkt) funktioniert nicht wirklich ... durchsucht den pc und bei ner datei (toshiba irgendwas ... mein laptop is von toshiba) bleibt er stehen und macht nix mehr ... alles hängt sich auf ... NOT-Aus, mehr geht nicht

hab jz mit "Spybot - Search & Destroy" den laptop und auch den Desktop-PC durchsucht ... in beiden Fällen nichts gefunden
während auf dem Laptop jedoch die Datei: cxroap.exe sich im USER-Verzeichnis befindet, ist dies auf dem Desktop-PC nicht der Fall
mein (ehemals) infizierter USB-Stick zeigt manchmal die Daten normal an manchmal sind sie wieder nur Verknüpfungen ... den werd ich wohl in die Tonne hauen können!
Wenn ich versuche diese Datei cxroap.exe manuell zu löschen erscheint ne meldung dass die datei gerade von einem anderen programm benutzt wird!

in google gibt es keinen einzigen eintrag für diesen virus!
ich denke es bleibt mir nichts anderes übrig, als Windows neu zu installieren! die frage ist halt nur ob es genügt wenn ich das Laufwerk wo Windows oben ist abräume oder ob ich alle Laufwerke abräume ... würde dann nen datenverlust bedeuten!

Wir analysieren erstmal einen Rechner. Such Dir den aus, ich will aber nicht, dass Du hier Logs von verschiedenen Rechnern in diesem Strang zusammengewürfelt reinpostest.

Bitte routinemäßig einen Vollscan mit Malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Danach OTL:

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Doppelklick auf die OTL.exe
• Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
• Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
• Unter Extra Registry, wähle bitte Use SafeList
• Klicke nun auf Run Scan links oben
• Wenn der Scan beendet wurde werden 2 Logfiles erstellt
• Poste die Logfiles hier in den Thread.

danke für die Antwort!! ich werd das ganze dann mit meinem Laptop machen! muss heute leider noch für nen test lernen, werd also vermutlich erst morgen nachmittag dazu kommen!

okay! neuer stand der dinge, ablauf der ereignisse in chronologischer reihenfolge:

avira antivir hat heute wieder ein neues update bekommen!
ich downloade, installiere, update "malwarebytes" und starte den vollständigen scan; nach ein paar dateien: "keine rückmeldung", ich warte kurz, versuch dann strg+alt+entf, nichts kommt ... nach kurzer zeit schwarzer bildschirm und nur noch meine maus zu sehen .... NOT-AUS!
neustart! sofort nach der anmeldung wird automatisch avira antivir gestartet, kurz darauf kommt die meldung: cxroap.exe = virus ... ich drück löschen
ich starte erneut den vollständigen suchlauf mit "malwarebytes" ... wieder nach ein paar dateien "keine Rückmeldung" ... ich warte ein paar minuten, aber rien ne va plus! versuch wieder strg+alt+enft. ... schwarzer bildschirm ... ich warte ... fehlermeldung: irgendwas mit sicherheitsoptionen (leider wieder vergessen, sorry); NOT-AUS!
neustart .... und jz bin ich hier

ich bezweifle dass das alles normal ist, immerhin war mit "prefx" genau dasselbe ... das hat auch nach kurzer zeit nicht mehr reagiert ...
ich werd jz mal mit avira nen vollständigen scan machen
ich hoffe man konnte mit den oben angeführten ereignissen was anfangen!

edit: die datei "cxroap.exe" liegt jz nicht mehr im USER-verzeichnis ... wurde also gelöscht, bleibt eben nurmehr die frage, ob dateien am laptop infiziert sind!

Avira hast Du doch schon zig Mal gemacht, die Ergebnisse von Malwarebytes und OTL sind jetzt viel wichtiger!

avira hab ich einmal gemacht da wurde nichts gefunden
jz hat avira ein update bekommen und er hat den virus sofort erkannt ...
und wie gesagt dieses Malwarebytes reagiert nach ein paar dateien nicht mehr ... und ich habs 2mal versucht und nebenbei ist rein garnichts gelaufen!
ich würds ja gern machen aber es funktioniert leider nicht ... ich habe keine ahnung warum

Dann mach erstmal nur die Logs mit OTL!

sorry dass das jz so lang gedauert hat, aber ich wollte den avira scan noch fertig laufen lassen ... kein Fund!

heir die 2 gewünschten dateien von OTL
OTL.txt
Anhang 9472

Extras.txt
Anhang 9473


p.s. nur weils mir grad beim scan aufgefallen ist: ich hab 2 windows.old ordner, da ich meinen laptop früher schon 2mal neu aufgesetzt habe. die windows.old ordner nehmen ja ziemlich viel speicherplatz ein und eig. sind die zu nichts zu gebrauchen, kann ich die bedenkenlos löschen?

die Logfiles am besten immer in [ CODE ]*hier das logfile*[ /CODE ] posten.

Beim Beitrag schreiben ist es der Button mit der #

Bevor es mit dem Virus ausgewertet ist würde ich nichts eilig löschen.

cosinus wird dir dann mit der Auswertung der Logfiles weiterhelfen

danke!
bezüglich den windows.old ordnern: grundsätzlich kann man sie aber bedenkenlos löschen?

Zitat:

"ProxyServer" = 172.16.25.200:8080

Ist der Proxyserver bekannt und auch gewollt?

Zitat:

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = hak-neusiedl.local

Warum kümmert sich eigentlich nicht Eure IT-Abteilung um Eure Probleme?

der proxy server wird in der schule verwendet! bei meinem internet zu hause hab ich keinen proxy!

"das liegt nicht im aufgabenbereich der schule und auch nicht in meinem", so ähnlich hat das mal der netzwerkadministrator gesagt.


was liest du jz eigentlich aus den beiden dateien heraus ... siehst du da ob noch infizierte dateien da sind?
btw. die 3 anderen aus meiner klasse die den virus hatten, sind ihn durch mehrmaliges neu aufsetzen losgeworden

Ok, verstehe, es ist eine Schule. Aber wozu muss da das private Notebook in die Domäne rein...das klingt mir nicht ganz einleuchtend.
Proxy ist also gewollt. Dann machen wir mal weiter.

Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":Files" muss mitkopiert werden!!!)

Code: Alles auswählenAufklappen

ATTFilter

:Files
C:\Windows\tasks\At*.job
:Commands
[purity]
[resethosts]
[emptytemp]
         

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.