Guten Abend,
seit ca. einer Woche ist mein Upload, ohne von mir genutzt zu werden, ständig voll ausgelastet. Zur Zeit als ich mir den Virus vermutlich eingefangen habe hatte ich noch Antivir Personal Classic Edition auf meinem Computer als Antivirusprogramm laufen. Doch Avira hat keinen Virus o.ä. gefunden, also habe ich mir Kaspersky zugelegt und siehe da es zeigt mir an, dass der Prozess services.exe (der meiner Meinung nach vom System ist) der Virus "worm.generic" ist und eine Prozessstrucktur, die für P2P Würmer typisch ist, aufzeigt. Wenn ich den Prozess nun beende oder in Quarantäne stelle wird der Computer nach dieser Fehlermeldung: "Die Anweisung in "0x00a2b254" verweist auf Speicher in "0xffffffff". Der Vorgang "read" konnte nicht auf dem Speicher ausgeführt werden. Klicken sie auf "OK", um das Programm zu beenden." Automatisch runtergefahren.

Ich habe bei der Suche nach Viren ansonsten noch ungefähr 3 Einträge mit Kaspersky gefunden die ich aber erfolgreich löschen konnte, das Problem besteht jedoch weiterhin. Ich bitte um Hilfe und hoffe ich komme um eine Systemneuinstallation herum, da sich eine Menge wichtige Daten auf dem Pc befinden.

Hier mein HJT-Logfile:

Logfile of HijackThis v1.99.1
Scan saved at 21:37:08, on 15.08.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe
C:\Programme\Java\jre1.6.0_02\bin\jusched.exe
C:\Programme\T-DSL SpeedManager\SpeedMgr.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Nikon\NkView6\NkvMon.exe
C:\Programme\Microsoft Office\Office\OSA.EXE
C:\Programme\T-DSL OnlineControl\ocontrol.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://www.web.de/]WEB.DE - E-Mail - DSL - Modem - Shopping - Entertainment
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O1 - Hosts: 121.128.133.26 gwgt1.joymax.com
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar6.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.1.615.5858\swg.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar6.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [QuickFinder Scheduler] c:\Corel\Office7\Shared\QFinder7\QFSCHED.EXE
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [RoxioEngineUtility] "C:\Programme\Gemeinsame Dateien\Roxio Shared\System\EngUtil.exe"
O4 - HKLM\..\Run: [RoxioDragToDisc] "C:\Programme\Roxio\Easy CD Creator 6\DragToDisc\DrgToDsc.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe"
O4 - HKLM\..\Run: [ICQ Lite] D:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [Windows Defender] "C:\Programme\Windows Defender\MSASCui.exe" -hide
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_7 -reboot 1
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE
O4 - Global Startup: NkvMon.exe.lnk = C:\Nikon\NkView6\NkvMon.exe
O4 - Global Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {53B8B406-42E4-4DD3-96E7-9DEC8CEB3DD8} (ICQVideoControl Class) - h**p://xtraz.icq.com/xtraz/activex/ICQVideoControl.cab
O16 - DPF: {69EF49E5-FE46-4B92-B5FA-2193AB7A6B8A} (GameLauncher Control) - h**p://www.acclaim.com/cabs/acclaim_v5.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1187023600875
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - h**p://static.ak.schuelervz.net/photouploader/ImageUploader4.cab
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - h**p://212.181.20.125/activex/AxisCamControl.cab
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools - C:\Programme\Spyware Doctor\sdhelp.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: T-DSL SpeedManager (TSMService) - T-Systems Business Services - C:\Programme\T-DSL SpeedManager\TSMSvc.exe

P.S.: Mein Betriebssystem ist Windows XP Home Edition mit ServicePack 2. Wenn es eine Möglichkeit gibt das System neu aufzulegen ohne Daten wie Bilder o.ä. auf dem Computer zu zerstören würde ich dies vorziehen, da ich um die Datensicherung von 50GB herumkommen will.

Scan die Datei

services.exe (liegt vermutlich im c:\windows\system32 Ordner) bei

http://www.virustotal.com

Poste das Ergebnis hier.

Bata

Ok hab die Datei gescannt Ergebnis: Kein Fund!!
Versteh ich nicht, nichteinmal Kaspersky hat einen Fund angezeigt obwohl es auf meinem PC einen Virus anzeigt wie oben beschrieben...

Dann sag uns doch mal wo genau die bemängelte Datei gefunden worden war? Was war die genaue Fehlermeldung?
Ohne das, können wir auch nur raten.

Ansonsten wär es noch ganz nett, wenn du uns sagen würdest, welche Viren du von deinem Rechner entfernen wolltest, bzw was Kapersky da angemahnt hatte.

lg myrtille

EDIT: Sers Cosinus! Da hat sich jemand viel mehr Mühe mit seinem Post gegeben.

Hallo.

Zitat:

Zur Zeit als ich mir den Virus vermutlich eingefangen habe hatte ich noch Antivir Personal Classic Edition auf meinem Computer als Antivirusprogramm laufen.

Das ist nicht weiter verwunderlich, darüber solltest du dir im Klaren sein, dass jeder Virenscanner Malware übersehen kann!

Dein Logfile sieht insgesamt sauber aus, allerdings kommt mir folgender Eintrag sehr spanisch vor:

Zitat:

O1 - Hosts: 121.128.133.26 gwgt1.joymax.com

Überprüf das mal, evtl. ist dir diese IP-Nummer bekannt - ich jedenfalls kann sie nicht erreichen.

Zitat:

der Prozess services.exe (der meiner Meinung nach vom System ist)

Das ist richtig, idR ist die services.exe eine legitime Systemdatei - aber nicht mehr dann wenn sie in einem anderen Pfad liegt. (Es ist aber auch u.U. möglich, dass sie zwar im richtigen Verzeichnis liegt aber dennoch verseucht ist, z.B. durch gezielte Manipulation eines Crackers, derZugang zu deinem Rechner durch eine Backdoor hatte)

Zitat:

"Die Anweisung in "0x00a2b254" verweist auf Speicher in "0xffffffff".

Hört sich für mich schon fast wie defekte oder zumindest überhitzte Hardware an!

Zitat:

Wenn es eine Möglichkeit gibt das System neu aufzulegen ohne Daten wie Bilder o.ä. auf dem Computer zu zerstören würde ich dies vorziehen, da ich um die Datensicherung von 50GB herumkommen will.

Vorsicht! Das grenzt an Selbstbetrug! Nicht, dass du das System neu aufsetzen musst (Anhaltspunkte für Schädlinge haben wir aus dem HJT-Log eh nicht), aber was machst du wenn durch einen Plattencrash all deine Daten weg sind?
Daher ist ein regelmäßiges Backup der wichtigsten Daten unausweichlich und sehr wichtig!

Zitat:

ch habe bei der Suche nach Viren ansonsten noch ungefähr 3 Einträge mit Kaspersky gefunden

Welche denn genau? Poste bitte genaue Meldungen mit allen nötigen Details, sonst wird das hier Lesen ausm Kaffeesatz.
eScan können wir uns wohl ersparen, hast ja KAV
Aber wenn du Lust hast kannst du das machen, im abgesicherten Modus, folge dem eScan-Link in meiner Sig.

Evtl. solltest du mal mit speziellen Programmen wie sie auf der UlitimateBootCD zu finden sind, deine Hardware testen.

Also die bemängelte Datei befindet sich unter C:\WINDOWS\system32.
Was ich außerdem mit Kaspersky gefunden habe kann ich leider beim besten Willen nichtmehr sagen da es wegen Neuinstallation von KAV nichtmehr im Verlauf zu sehen ist.
"O1 - Hosts: 121.128.133.26 gwgt1.joymax.com"
Der Eintrag sollte ok sein er stammt von einem Onlinespiel, das ich zurzeit spiele.
Die genaue Meldung die mir Kaspersky über services.exe liefert:

"Achtung
Potentiell gefährliche Software:
Worm.generic
Prozess (PID: 1176)
C:\WINDOWS\system32\services.exe
Der Prozess zeigt eine Aktivität die für P2P-Würmer typisch ist."

Dann habe ich die drei Möglichkeiten die Datei unter "Quarantäne" zu stellen, den Prozess zu "Schließn" oder den Prozess bzw. die Aktivität zu erlauben.
Nur bei letzterer Möglichkeit läuft das System weiter, bei den beiden anderen schaltet sich der Computer von alleine, mit der oben genannten Fehlermeldung ab.

P.S.: Ich weiß, dass ich eigentlich Backups machen sollte aber ich überwind mich nie dazu :P

Zitat:

Der Eintrag sollte ok sein er stammt von einem Onlinespiel, das ich zurzeit spiele.

Dann ist das nat. okay!
Die Meldungen die KAV da ausspuckt, kenn ich recht gut. Hab auf meinem Bürorechnner KAV6 drin, der hat anfangs immer über legitime Systemdateien geschimpft, wahrscheinlich macht der da eine Aktivitätanalyse und bewertet das ganze dann. Allerdings mehr Sorgfalt hätte gut getan, meine Kollegen haben mich oft gefragt warum denn der KAV da plötzlich ins Gesicht springt...die 5er Version hatte es nicht getan

Aber...die Meldung "Potentiell gefährliche Software:" sagt ja auch, dass es gefährlich sein kann aber eben nicht muss.
Da dieser von dir erwähnte Prozess die berüchtigte Windows-Systemdatei sein sollte, würde ich die Meldung vom KAV mit einem "Erlauben" quittieren...

Zitat:

P.S.: Ich weiß, dass ich eigentlich Backups machen sollte aber ich überwind mich nie dazu

Naja, musst du wissen, wie wichtig denn nun die Daten sind. Aber fällt die interne Platte aus, denkst du vllt auch, es wäre besser gewesen, mal eben ein paar Euros in eine externe Platte oder ne Spindel DVDs zu investieren.
Muss auch nicht immer Plattenausfall sein, das Dateisystem kann auch ne Macke bekommen, oder du löscht aus Versehen was oder oder oder

Ja klar Kav sagt in etwa "Kann was böses sein muss aber nicht", aber auch wenn ich auf "Erlauben" klicke kommt es innerhalb von 1-2 sekunden wieder also habe ich angenommen dass die Datei wirklich der Übeltäter ist. Die Meldung hört erst dann auf wenn ich die Datei auf die "Vertrauenswürdige Liste" hinzufüge.
Außerdem ist mir aufgefallen dass Kaspersky die Aktivität glaube ich solange blockt bis ich ihm sage was es tun soll sprich bevor ich auf Erlauben etc. klicke. Und in dieser Zeit geht der Upload dann auch tatsächlich auf Normalzustand also 0 kb/s. Erlaube ich hingegen den Prozess geht der Upload auch wieder hoch.
Das sind aber nur Vermutungen, da ich das ja nich weiß kann ja auch sein dass wenn nen Systemprozess geblockt wird das System au nichtmehr richtig geht sprich das Internet...wär ja au irgendwie logisch.

Lade Blacklight, starten und das Log hier posten.

Bata

jo danke für das Tool, es ist noch am Scannen ich poste den Bericht sobald es fertig ist.
Also Blacklight hat ein "Item" gefunden namens "system32:huy32.sys" wo die Datei nun liegt kann ich dem Programm nicht wirklich entnehmen bzw. ich weiß nicht wo ich es sehen soll...Aber ich bin mir ziemlich sicher dass es während der system32 Ordner durchsucht wurde gefunden wurde. Was soll ich jetzt tun, abgesehen davon dass es bei dem Programm nur eine Option und zwar "Rename" gibt.?

Datei mit "Rename" umbenennen lassen.
Dann lass Blacklight den Rechner neu starten.
Die Datei nach dem Neustart bei VirusTotal - Free Online Virus and Malware Scan scannen lassen, Auswertung hier posten.

Bata

Hm also ich weiß immoment nicht wie die Datei überhaupt heißt, ich dachte "system32:huy32.sys" war nur der Name des Viruses
Und in dem Logfile von Blacklight steht jetz folgendes:

08/16/07 00:55:23 [Info]: BlackLight Engine 1.0.64 initialized
08/16/07 00:55:23 [Info]: OS: 5.1 build 2600 (Service Pack 2)
08/16/07 00:55:23 [Note]: 7019 4
08/16/07 00:55:23 [Note]: 7005 0
08/16/07 00:55:23 [Error]: 6027 5
08/16/07 00:55:23 [Error]: 6002 0
08/16/07 00:55:25 [Note]: 7006 0
08/16/07 00:55:25 [Note]: 7011 1036
08/16/07 00:55:26 [Note]: 8001 2
08/16/07 00:55:28 [Note]: FSRAW library version 1.7.1022
08/16/07 01:10:26 [Info]: Hidden file: c:\WINDOWS\system32:huy32.sys
08/16/07 01:10:26 [Note]: 7002 0
08/16/07 01:13:33 [Note]: 2000 1012
08/16/07 01:13:33 [Note]: 2000 1012
08/16/07 01:27:19 [Note]: 7007 0


Im Windows Ordner exestiert die Datei mit diesem Namen allerdings nicht (Habe den Ordner so eingestellt, dass ich sowohl versteckte als auch systemdateien sehe)
Also kann ich die dtei auch nicht bei Virustotal scannen lassen

Sry, mein Fehler, die Datei heißt nun c:\WINDOWS\system32\huy32.sys.ren

Den Scan kannst Du Dir aber auch sparen, die Datei gehört zum Rootkit:Rustock, da steig ich aus uns sage Lies mich.
Ich hab keinen Plan und kann per Remote Kontrolle durch Dich auch nicht rausfinden was da noch alles läuft.
Bei solche einem Befall ist es immer sicherer den Rechner neu zu installieren. Eventuell funktioniert es auch mit einer Bereinigung, diese dürfte allerdings länger dauern als ein Neuaufsetzen.
Da die Datei Ursache für Deinen Traffic ist, kannst Du mit Sicherheit davon ausgehen, das Der Rechner zwar noch bei Dir steht, sobald Du ihn aber anschaltest und er im Netz ist, gehört er irgendwem.

Bata

Nagut hab mir schon gedacht, dass ich da nich drum herum komme. Trotzdem finde ich es verwunderlich dass Kav die Datei nie zuvor gefunden hat und auch jetzt nicht tut. Ich finde die Datei auch nicht im Ordner, obwohl das ja auch zu leicht wäre sie zu suchen und einfach zu löschen...
Also vielen dank an euch alle für die schnelle Hilfe Cosinus, BataAlexander und myrtille. Ich werd mich melden wenns nomma Probleme gibt, jetz wird aber erstmal geschlafen .

Klasse, sowas seh ich selten!

Zitat:

08/16/07 01:10:26 [Info]: Hidden file: c:\WINDOWS\system32:huy32.sys

Man beachte wo sich die Datei befindet, da wird nicht durch ein Backslash, sondern durch einen Doppelpunkt hingewiesen, wie und wo die Datei und gespeichert ist: in den alternativen Datenstömen (ADS) von NTFS!!