Nervende Prozesse
 

Hallo
habe seit heute das problem das ich 2komische Dateien auf meinem Rechner habe.Die eine heist icthis.exe der andere icmntr.exe.
Wollte den prozess beenden aber er startet immer wieder neu.
Der Prozess öffnet alle paar minuten vershciedenen antiviren seiten.
gehe zwar nicht auf diese seiten ein aber es nervt doch ganz schön.
könnt ihr mir bitte helfen
Danke

Running processes:
C:\WINDOWS.1\System32\smss.exe
C:\WINDOWS.1\system32\winlogon.exe
C:\WINDOWS.1\system32\services.exe
C:\WINDOWS.1\system32\lsass.exe
C:\WINDOWS.1\system32\svchost.exe
C:\WINDOWS.1\System32\svchost.exe
C:\WINDOWS.1\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS.1\Explorer.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS.1\RTHDCPL.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\TerraTec\Remote\TTTVRC.exe
C:\WINDOWS.1\system32\RUNDLL32.EXE
C:\WINDOWS.1\system32\ctfmon.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\WINDOWS.1\system32\cisvc.exe
C:\Programme\Sitecom\Wireless Network USB Adapter 54G WL-113_002\Installer\WLANUTL.EXE
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS.1\system32\nvsvc32.exe
C:\WINDOWS.1\system32\winsvr.exe
C:\Dokumente und Einstellungen\Administrator.ZOCKEN-8A00C82C\Desktop\mousometer.exe
C:\WINDOWS.1\system32\cidaemon.exe
C:\Programme\Video Add-on\icmntr.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avcenter.exe
C:\Programme\Video Add-on\icthis.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ogame.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.1.615.5858\swg.dll
O2 - BHO: (no name) - {B499D34E-58EF-4927-AB9F-7AF52B2C4C82} - C:\Programme\Video Add-on\isfmdl.dll (file missing)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &TerraTec Home Cinema - {AD6E6555-FB2C-47D4-8339-3E2965509877} - C:\PROGRA~1\TerraTec\TerraTec Home Cinema\THCDeskBand.dll
O3 - Toolbar: IE Custom Tools - {6CA49FDD-4AEB-4F08-A394-C0A1F82CAA16} - C:\Programme\Video Add-on\ictmdl.dll (file missing)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS.1\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [TerraTec Remote Control] "C:\Programme\Gemeinsame Dateien\TerraTec\Remote\TTTVRC.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS.1\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS.1\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS.1\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [RocketDock] "C:\Programme\RocketDock\RocketDock.exe"
O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKLM\..\Policies\Explorer\Run: [some] C:\Programme\Video Add-on\icthis.exe
O4 - HKLM\..\Policies\Explorer\Run: [start] C:\Programme\Video Add-on\isfmntr.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS.1\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS.1\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS.1\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS.1\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: hamachi.lnk = C:\Programme\Hamachi\hamachi.exe
O4 - Startup: Mousometer.lnk = C:\Dokumente und Einstellungen\Administrator.ZOCKEN-8A00C82C\Desktop\mousometer.exe
O4 - Global Startup: Sitecom Wireless Utility.lnk = C:\Programme\Sitecom\Wireless Network USB Adapter 54G WL-113_002\Installer\WLANUTL.EXE
O4 - Global Startup: winserver_start.Ink.lnk = C:\WINDOWS.1\system32\winserver.exe
O4 - Global Startup: winsvr_start.lnk = C:\WINDOWS.1\system32\winsvr.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O22 - SharedTaskScheduler: curing - {3aea41ad-3ce4-48d9-acab-be40ad329e40} - C:\WINDOWS.1\system32\fqgwiw.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS.1\system32\nvsvc32.exe

--
End of file - 6713 bytes

Tach!

1. Logfiles bitte immer vollständig posten. Reiche den Kopf des HJT-Logfiles bitte nach.

2. Die Symptome deuten stark auf Zlob/smitfraud hin, und es scheint sich zu bestätigen:

3. Und das sieht wirklich übel aus (!):

Bevor wir hier über eine Bereinigung überhaupt diskutieren können, muss auf jeden Fall geklärt was für Schädlinge das sind. Werte diese drei Dateien daher mal bei Virustotal aus und poste sämtliche Ergebnisse inkl. Angaben zu Dateigrößen und Prüfsummen.

so logfile
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:46:15, on 2007-10-30
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

so jetzt das von virustotal hoffe habe richtig verstanden was ich mahcen sollte

Winserver.exe:

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.10.30.0 2007.10.30 -
AntiVir 7.6.0.30 2007.10.30 -
Authentium 4.93.8 2007.10.29 -
Avast 4.7.1074.0 2007.10.30 -
AVG 7.5.0.503 2007.10.29 -
BitDefender 7.2 2007.10.30 -
CAT-QuickHeal 9.00 2007.10.29 Trojan.Autoit.bd
ClamAV 0.91.2 2007.10.30 -
DrWeb 4.44.0.09170 2007.10.30 -
eSafe 7.0.15.0 2007.10.28 suspicious Trojan/Worm
eTrust-Vet 31.2.5253 2007.10.30 -
Ewido 4.0 2007.10.29 -
FileAdvisor 1 2007.10.30 -
Fortinet 3.11.0.0 2007.10.19 W32/Sohanad.DW!worm
F-Prot 4.3.2.48 2007.10.29 -
F-Secure 6.70.13030.0 2007.10.30 -
Ikarus T3.1.1.12 2007.10.30 Worm.Win32.AutoIt.d
Kaspersky 7.0.0.125 2007.10.30 -
McAfee 5151 2007.10.29 -
Microsoft 1.2908 2007.10.30 -
NOD32v2 2626 2007.10.30 -
Norman 5.80.02 2007.10.29 -
Panda 9.0.0.4 2007.10.30 -
Prevx1 V2 2007.10.30 -
Rising 19.47.12.00 2007.10.30 -
Sophos 4.23.0 2007.10.30 -
Sunbelt 2.2.907.0 2007.10.29 -
Symantec 10 2007.10.30 -
TheHacker 6.2.9.110 2007.10.27 -
VBA32 3.12.2.4 2007.10.28 Worm.Win32.AutoIt.d
VirusBuster 4.3.26:9 2007.10.29 -
Webwasher-Gateway 6.6.1 2007.10.30 -

weitere Informationen
File size: 230901 bytes
MD5: bedcbc8f803edce63fe0fcb9f428ebb7
SHA1: d0c7a9b1029d8016c07c409d5353419d136202a8
packers: UPX
packers: PE_Patch.UPX



winsvr.exe:


AhnLab-V3 2007.10.30.0 2007.10.30 -
AntiVir 7.6.0.30 2007.10.30 -
Authentium 4.93.8 2007.10.29 -
Avast 4.7.1074.0 2007.10.30 -
AVG 7.5.0.503 2007.10.29 -
BitDefender 7.2 2007.10.30 -
CAT-QuickHeal 9.00 2007.10.29 Trojan.Autoit.bd
ClamAV 0.91.2 2007.10.30 -
DrWeb 4.44.0.09170 2007.10.30 -
eSafe 7.0.15.0 2007.10.28 suspicious Trojan/Worm
eTrust-Vet 31.2.5253 2007.10.30 -
Ewido 4.0 2007.10.29 -
FileAdvisor 1 2007.10.30 -
Fortinet 3.11.0.0 2007.10.19 W32/Sohanad.DW!worm
F-Prot 4.3.2.48 2007.10.29 -
F-Secure 6.70.13030.0 2007.10.30 -
Ikarus T3.1.1.12 2007.10.30 Worm.Win32.AutoIt.d
Kaspersky 7.0.0.125 2007.10.30 -
McAfee 5151 2007.10.29 -
Microsoft 1.2908 2007.10.30 -
NOD32v2 2626 2007.10.30 -
Norman 5.80.02 2007.10.29 -
Panda 9.0.0.4 2007.10.30 -
Prevx1 V2 2007.10.30 Heuristic: Suspicious File With Outbound Communications
Rising 19.47.12.00 2007.10.30 -
Sophos 4.23.0 2007.10.30 -
Sunbelt 2.2.907.0 2007.10.29 -
Symantec 10 2007.10.30 -
TheHacker 6.2.9.110 2007.10.27 -
VBA32 3.12.2.4 2007.10.28 Worm.Win32.AutoIt.d
VirusBuster 4.3.26:9 2007.10.29 -
Webwasher-Gateway 6.6.1 2007.10.30 -

weitere Informationen
File size: 232031 bytes
MD5: cf85266730c96f54e3f40e80852bc29a
SHA1: 8d2b1303ac7a777bfd178399b68e36f4b244ebbb
packers: UPX
packers: PE_Patch.UPX
Prevx info: Prevx



fqgwiw.dll:


AhnLab-V3 2007.10.30.0 2007.10.30 -
AntiVir 7.6.0.30 2007.10.30 TR/Dldr.Bojo.Q
Authentium 4.93.8 2007.10.29 -
Avast 4.7.1074.0 2007.10.30 -
AVG 7.5.0.503 2007.10.30 -
BitDefender 7.2 2007.10.30 -
CAT-QuickHeal 9.00 2007.10.29 -
ClamAV 0.91.2 2007.10.30 -
DrWeb 4.44.0.09170 2007.10.30 -
eSafe 7.0.15.0 2007.10.28 -
eTrust-Vet 31.2.5253 2007.10.30 -
Ewido 4.0 2007.10.29 -
FileAdvisor 1 2007.10.30 -
Fortinet 3.11.0.0 2007.10.19 -
F-Prot 4.3.2.48 2007.10.29 -
F-Secure 6.70.13030.0 2007.10.30 -
Ikarus T3.1.1.12 2007.10.30 Trojan-Downloader.Win32.Bojo.q
Kaspersky 7.0.0.125 2007.10.30 Trojan-Downloader.Win32.Bojo.q
McAfee 5151 2007.10.29 -
Microsoft 1.2908 2007.10.30 -
NOD32v2 2626 2007.10.30 Win32/Hoax.Renos.NDT
Norman 5.80.02 2007.10.29 -
Panda 9.0.0.4 2007.10.30 -
Prevx1 V2 2007.10.30 -
Rising 19.47.12.00 2007.10.30 -
Sophos 4.23.0 2007.10.30 -
Sunbelt 2.2.907.0 2007.10.29 -
Symantec 10 2007.10.30 Downloader.MisleadApp
TheHacker 6.2.9.110 2007.10.27 -
VBA32 3.12.2.4 2007.10.28 -
VirusBuster 4.3.26:9 2007.10.29 -
Webwasher-Gateway 6.6.1 2007.10.30 Trojan.Dldr.Bojo.Q

weitere Informationen
File size: 12800 bytes
MD5: 516525fd6b9e75dcf2e94be754d7dbe3
SHA1: 4af61104370932151f8040dca16ac834cb25ded0

also
aus irgendeinem grund sind auf einma die 2 datein weg und die dll im system 32 ordner auch keine ahnung wieso aber was soll ich jetzt mit winsvr und winserver machen?

"Aus irgendeinem Grund" verschwindet auf deinem PC GAR NICHTS!

ja aber ich hab keine ahnung wieso er weg ist was kann ich dafür

Sicher wird eine Bereinigung nicht werden. Das scheint ein modifizierter Schädling zu sein, der noch nicht vernünftig erkannt wird. Außerdem lädt das Teil noch weiteren unbekannten Schadcode nach.
Wie können eine Bereigung probieren, aber ohne Garantie auf Erfolg. Entscheide dich: Bereinigen oder neu aufsetzen.

ne bereiniegung wär mir schon lieber man kanns ja mal probieren

Ok, dann folge mal dieser Anleitung zum Entfernen von Zlob. Wie schon in der Anleitung steht, solltest du das im abgesicherten Modus machen. Wenn du dort bist, fixe aber zuerst diese Einträge mit Hijackthis:

Verschiebe dann die Dateien

C:\WINDOWS.1\system32\winserver.exe
C:\WINDOWS.1\system32\winsvr.exe
C:\WINDOWS.1\system32\fqgwiw.dll

In ein Quarantändeverzeichnis. z.B. c:\backup und häng bei jeder Datei hinter der Dateiendung ein .vir an.
Führe dann unmittelbar danach den Smitfraudfix durch. Starte dann den Rechner neu in den normalen Modus und poste die Logdatei des Smitfraudfix sowie ein neues Hijackthis-Logfile. Dann sehen wir weiter.

Erst ma die frage ich kenn mich ja nicht so sonderlich gut aus wie is das mit dem fixen mit Hijackthis gemeint???

Hallo

mit fixen ist gemeint, du möchtest Hijackthis mit der Option - Scan - starten und dann die benannten Einträge anhaken, anschließend auf - fix checked - klicken.

MFG