PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Mit owd und owf.exe infiziert was tun?



drumerluke
10.03.2010, 16:00
Ich wurde irgendwann nach einem HTML-Scriptvirus mit OWD.exe und OWF.exe infinziert nja da waren noch mehr OW?.exe Datein, die konnte ich aber löschen, sie sind hauptsächlich in App.Data Lokal und ich kriege sie nicht weg! Was soll ich tun? Ich kann auch nur noch Mozilla sowie I.net Explorer mit Rechtsklick und als Admin öffnen öffnen...

Zur Info:
Avira Quarantäne Ordner - Bild (http://i41.tinypic.com/mkvqkz.jpg) guckt euch die Zeit rechts an!
Der Virus - Bild
(http://i42.tinypic.com/jk92f6.jpg)

gigu
10.03.2010, 16:28
Schreib dir den Pfad zur Datei auf, starte Windows im abgesicherten Modus und lösch sie manuel.

drumerluke
10.03.2010, 16:38
öhhhm kk ich versuch das ma

moppelito
10.03.2010, 16:42
Poste mal das Hijackthis Logfile!
Und Google mal ob das eine Windows Datei ist!

drumerluke
10.03.2010, 18:28
ja hier.... ich kann damit nix anfangen.... is keine windows datei SIEHE SPOILER!

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:26:27, on 10.03.2010
Platform: Windows Vista (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16386)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\taskeng.exe
C:\Users\DRUMER~1\AppData\Local\Temp\Owf.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\QLBCTRL.exe
C:\Windows\System32\msiexec16.exe
C:\Program Files\Steam\Steam.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
C:\Program Files\ICQ6.5\ICQ.exe
C:\Program Files\No-IP\DUC20.exe
C:\Users\drumerluke\AppData\Local\Temp\Owd.exe
C:\Users\drumerluke\Desktop\Bifrost 1.2.1d\Bifrost.exe
C:\Windows\system32\ctfmon.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.ask.com?o=15161&l=dis
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,C:\Windo ws\system32\MPK\MPK.exe
O1 - Hosts: ::1 localhost
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: Ask Toolbar BHO - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll (file missing)
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O3 - Toolbar: Ask Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll (file missing)
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [QlbCtrl] %ProgramFiles%\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [MSConfig] "C:\Windows\system32\msconfig.exe" /auto
O4 - HKLM\..\Run: [Sys32V2Contoller] F:\mw2mmgr32\mw2mmgr32.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [FreeAV] c:\windows\system32\msiexec16.exe
O4 - HKLM\..\Run: [GLSetIT32] c:\windows\system32\av.exe
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Program Files\Unlocker\UnlockerAssistant.exe" -H
O4 - HKCU\..\Run: [StartCCC] C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
O4 - HKCU\..\Run: [Svchost.exe] C:\Users\drumerluke\AppData\Roaming\winupd.exe
O4 - HKCU\..\Run: [{3FE79359-1250-1F2D-8D47-23433B1ABC3F}] C:\Users\drumerluke\AppData\Roaming\winupd.exe
O4 - HKCU\..\Run: [{349FC411-BA5F-AA45-66E8-872C0C15DD58}] C:\Users\drumerluke\AppData\Roaming\Win32.exe
O4 - HKCU\..\Run: [hmsvpc] rundll32.exe "C:\Users\drumerluke\AppData\Roaming\zlgafdh.dll",emwthw
O4 - HKCU\..\Run: [Steam] "c:\program files\steam\steam.exe" -silent
O4 - HKCU\..\Run: [uTorrent] "C:\Program Files\uTorrent\uTorrent.exe"
O4 - HKCU\..\Run: [Windfx] c:\windows\system32\winsfdx.exe
O4 - HKCU\..\Run: [LosAlamos] rundll32.exe C:\Users\DRUMER~1\AppData\Local\Temp\sshnas21.dll, AttachConsoleA
O4 - HKCU\..\Run: [F5JMWNZTHI] C:\Users\drumerluke\AppData\Local\Temp\Owd.exe -den anderen finde ich gerade nich
O4 - HKCU\..\Run: [AlcoholAutomount] "C:\Program Files\Alcohol Soft\Alcohol 120\AxAutoMntSrv.exe" -automount
O4 - HKCU\..\Run: [{E263907F-4673-B4D4-E25E-335020759102}] C:\Users\drumerluke\AppData\Roaming\winupd.exe
O4 - HKCU\..\Run: [{C114B358-D4A8-9530-5A5E-C700378FC077}] C:\Users\drumerluke\AppData\Roaming\svchost.exe
O4 - HKCU\..\Run: [Ke$ha - TiK ToK] C:\Users\DRUMER~1\AppData\Local\Temp\Ke$ha - TiK ToK.exe
O4 - Startup: CCC.lnk = ?
O4 - Global Startup: Hardcopy.LNK = C:\Program Files\Hardcopy\hardcopy.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6.5\ICQ.exe
O13 - Gopher Prefix:
O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\Windows\system32\agrsmsvc.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
O23 - Service: Com4Qlb - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\Com4Qlb.exe
O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies, Inc. - C:\Program Files\WinPcap\rpcapd.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - StarWind Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files\Common Files\Steam\SteamService.exe
O23 - Service: SWIHPWMI - Sierra Wireless Inc. - C:\Program Files\HPQ\Shared\Sierra Wireless\Win32\Unicode\SWIHPWMI.exe

--
End of file - 6542 bytes

D3MEN
10.03.2010, 19:13
fix die einträge

O4 - HKLM\..\Run: [FreeAV] c:\windows\system32\msiexec16.exe
O4 - HKLM\..\Run: [GLSetIT32] c:\windows\system32\av.exe

O4 - HKCU\..\Run: [Svchost.exe] C:\Users\drumerluke\AppData\Roaming\winupd.exe
O4 - HKCU\..\Run: [{C114B358-D4A8-9530-5A5E-C700378FC077}] C:\User\drumerlue\AppData\Roaming\svchost.exe



O4 - HKCU\..\Run: [Ke$ha - TiK ToK] C:\Users\DRUMER~1\AppData\Local\Temp\Ke$ha - TiK ToK.exe

O3 - Toolbar: Ask Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll (file missing)

O2 - BHO: Ask Toolbar BHO - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll (file missing)

C:\Users\DRUMER~1\AppData\Local\Temp\Owf.exe

Vitamin X
10.03.2010, 19:19
O4 - HKCU\..\Run: [Ke$ha - TiK ToK] C:\Users\DRUMER~1\AppData\Local\Temp\Ke$ha - TiK ToK.exe

rofl, voll drauf reingefallen :D

Ansonsten wenn das nicht gefixt wird, musst dir ein byte killer runterladen, weiss grade nicht ob die so intensif sind das Hijackthis es nicht fixen kann

drumerluke
10.03.2010, 20:10
NEIN!!!

FreeAV
GLSetIT32
Svchost.exe
und Ke$ha - TiK ToK
sind alles welche von mir ich hab mich selsbt infiziert aber mcih eigentlich wieder gelöscht nja es geht nur um owf und owd .exe -.- sooo blöd bin ich nun auch nich und diese musik höre ich gar nciht, ich hab mich nur selbstinfiziert weil ich keine victims bekommen habe nja bekomme ich immernoch nur sehr selten kommt aber weil cih noch ports freigeben muss und dafür das PW von der Fritz!Box per Keylogger holen muss nur mein Vater war seit langem nicht mehr drinne sonst guckt er immer jeden Tag rein um zu sehen ob die Kindersicherung wieder *HUST HUST HUST* """kaputt""" ist :D:D:D:D:D

GregorSamsa
10.03.2010, 20:20
Boote mit ner Linux CD und lösch dann die Dateien. Da kann eig. nichts passieren.

Danach manuell unter Win noch die Registry aufräumen.

drumerluke
10.03.2010, 21:10
inner regestry spiel ich lieber nicht rum, da lösche ich wieder nur das falsche bzw. vergesse was, habe auf meim alten PC mal den Papierkorb entfernt und kein Backup gemacht und nja denn hatte ich keinen mehr als ich ihn doch brauchte....