Virus Trojan in register??????

Hoi

Vanochtend starte ik Aida 32 op en meteen kwam er een melding dat er een TRjan virus in zat enwel in het volgende:

OWMngr.exe Regeister User Run.

Nu is mijn vraag:
Hoe krijg ik het eruit en kan het verwijderen geen kwaad ik bedoel het progje waar het in zit heb ik dat nodig???

Graag jullie hulp

Download HijackThis. Uitleg en link vind je hier: http://www.tomcoyote.org/hjt/
Unzip en run het. Klik op Scan > Save log en sla het log op als een .txt bestand.
Kopieer en plak de inhoud in je volgende post.
Fix nog niets, het meest heb je gewoon nodig.
Trouwens AdAware zou hem moeten verwijderen, maar als het niet lukt, zie ik het log wel verschijnen.

Groetjes,

Pieter

Hier wat aan???
http://answers.google.com/answers/main?cmd=threadview&id=211908

OWMngr Registry\User\Run C:\WINDOWS\SYSTEM\OWMngr.exe


Kan ik bovenstaande niet verwijderen dan??? Of heeft het systeem het nodig???

en adware heb ik wel maar ik kan niet zien of hij hem verwijderd.

en ten 3e is een trojan erg gevaarlijk??

Spybot geinstallerd en deze vond 4 files, heb ze gecleand en gedumpd.

daarna nog eens met spybot toen was het schoon.
Wat raar is (of niet) dat www.housecall.nl niets vond voor ik spybot erop zette.

Bart,

Je kunt dat bestand gewoon verwijderen, maar het kreng komt bijna nooit alleen.
Dus ik zou toch graag je log willen zien.

Groetjes,

Pieter

OWMngr Registry\User\Run C:\WINDOWS\SYSTEM\OWMngr.exe


heb ik dat bovenstaande bestand niet nodig dan???
en pieter eerlijk gezegd gaat me wat jij zegt boven de pet oftewel kan ik dat????Download HijackThis. Uitleg en link vind je hier: http://www.tomcoyote.org/hjt/
Unzip en run het. Klik op Scan > Save log en sla het log op als een .txt bestand.
Kopieer en plak de inhoud in je volgende post.
Fix nog niets, het meest heb je gewoon nodig.
Trouwens AdAware zou hem moeten verwijderen, maar als het niet lukt, zie ik het log wel verschijnen.
-----------------------------------------------------------

Nou Pieter check this out!!!!!

Logfile of HijackThis v1.94.0
Scan saved at 11:32:48, on 19-6-03
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v5.00 (5.00.2614.3500)

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL=http://searchbar.linksummary.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page=http://www.hetnet.nl/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL=http://www.msn.nl
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page=
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page=c:\windows\SYSTEM\blank.htm
O1 - Hosts: 207.44.240.65 ads.x10.com
O1 - Hosts: 207.44.240.65 images.x10.com
O1 - Hosts: 207.44.240.65 count.exitexchange.com
O1 - Hosts: 207.44.240.65 servedby.netadvertising.com
O1 - Hosts: 207.44.240.65 images.trafficmp.com
O1 - Hosts: 207.44.240.65 ad.uk.doubleclick.net
O1 - Hosts: 207.44.240.65 ad.ca.doubleclick.net
O1 - Hosts: 207.44.240.65 ads.specificpop.com
O1 - Hosts: 207.44.240.65 ads.specificclick.com
O1 - Hosts: 207.44.240.65 ads.popupsponsor.com
O1 - Hosts: 207.44.240.65 adfarm.mediaplex.com
O1 - Hosts: 207.44.240.65 media.fastclick.net
O1 - Hosts: 207.44.240.65 media1.fastclick.net
O1 - Hosts: 207.44.240.65 media19.fastclick.net
O1 - Hosts: 207.44.240.65 media28.fastclick.net
O1 - Hosts: 207.44.240.65 media29.fastclick.net
O1 - Hosts: 207.44.240.65 media39.fastclick.net
O1 - Hosts: 207.44.240.65 adserv.internetfuel.com
O1 - Hosts: 207.44.240.65 www.satellitepop.com
O1 - Hosts: 207.44.240.65 count.exitexchange.com
O1 - Hosts: 207.44.240.65 z1.adserver.com
O1 - Hosts: 207.44.240.65 view.atdmt.com
O1 - Hosts: 207.44.240.65 servedfor.valuead.com
O1 - Hosts: 207.44.240.65 banners.valuead.com
O1 - Hosts: 207.44.240.65 img.mediaplex.com
O1 - Hosts: 207.44.240.65 ln.doubleclick.net
O1 - Hosts: 207.44.240.65 m2.doubleclick.net
O1 - Hosts: 207.44.240.65 m.doubleclick.net
O1 - Hosts: 207.44.240.65 ad.doubleclick.net
O1 - Hosts: 207.44.240.65 media28.fastclick.net
O1 - Hosts: 207.44.240.65 media39.fastclick.net
O1 - Hosts: 207.44.240.65 media.fastclick.net
O1 - Hosts: 207.44.240.65 popuptraffic.com
O1 - Hosts: 207.44.240.65 leader.linkexchange.com
O1 - Hosts: 207.44.240.65 rad.msn.com
O1 - Hosts: 207.44.240.65 view.atdmt.com
O1 - Hosts: 207.44.240.65 iv.doubleclick.net
O1 - Hosts: 207.44.240.65 focusin.ads.targetnet.com
O1 - Hosts: 207.44.240.65 a.tribalfusion.com
O2 - BHO: (no name) - {1D870C86-AA3C-4451-81E4-71D480A1A652} - C:\WINDOWS\SYSTEM\SBSRCH_V22.DLL
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] c:\windows\scanregw.exe /autorun
O4 - HKLM\..\Run: [Taakcontrole] c:\windows\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [EnsoniqMixer] starter.exe
O4 - HKLM\..\Run: [TaskMonitor] c:\windows\taskmon.exe
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [iamapp] C:\Program Files\Norton Internet Security\IAMAPP.EXE
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Common Files\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [Machine Debug Manager] C:\WINDOWS\SYSTEM\MDM.EXE
O4 - HKLM\..\RunServices: [nisserv] C:\Program Files\Norton Internet Security\NISSERV.EXE
O4 - HKLM\..\RunServices: [MessengerPlus2] "C:\Program Files\Messenger Plus! 2\MsgPlus.exe"
O4 - HKLM\..\RunServices: [ccEvtMgr] "C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe"
O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Program Files\Common Files\Symantec Shared\Script Blocking\SBServ.exe" -reg
O4 - HKCU\..\Run: [OWMngr] C:\WINDOWS\SYSTEM\OWMngr.exe
O4 - HKCU\..\RunServices: [OWMngr] C:\WINDOWS\SYSTEM\OWMngr.exe
O9 - Extra button: ICQ (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O9 - Extra button: Translate (HKLM)
O9 - Extra 'Tools' menuitem: Translator (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {0E5F0222-96B9-11D3-8997-00104BD12D94} (sys Class) - http://www.pcpitstop.com/pcpitstop/PCPitStop.CAB
O16 - DPF: {FE8287E9-5F43-11D3-ABCA-00105A5C1F46} (HouseCall Control) - http://www.housecall.nl/housecall/xscan4.cab
O16 - DPF: {1FB464C8-09BB-4017-A2F5-EB742F04392F} (Microsoft Terminal Services Control (redist)) - http://www.bibliotheekdoesburg.nl/catalogus/mstscax.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {C4925E65-7A1E-11D2-8BB4-00A0C9CC72C3} (Virtools WebPlayer Class) - http://a532.g.akamai.net/f/532/6712/1d/player.virtools.com/downloads/player/Install2.1/Installer.exe
O16 - DPF: {9059F30F-4EB1-4BD2-9FDC-36F43A218F4A} (Microsoft RDP Client Control (redist)) - http://www.bibliotheekdoesburg.nl/catalogus/msrdp.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/ansi/iuctl.CAB?37682.4601273148
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/SSC/SharedContent/common/bin/cabsa.cab
O16 - DPF: {1D870C86-AA3C-4451-81E4-71D480A1A652} (SubSrch_V2_2.clsIeEnhcdSrch) - http://216.93.172.116/sub2bc.exe

Bart,

Vink alles hieronder aan, sluit alle vensters behalve HijackThis en klik op Fix checked:
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL=http://searchbar.linksummary.com/
Alle O1 items
O2 - BHO: (no name) - {1D870C86-AA3C-4451-81E4-71D480A1A652} - C:\WINDOWS\SYSTEM\SBSRCH_V22.DLL
O4 - HKCU\..\Run: [OWMngr] C:\WINDOWS\SYSTEM\OWMngr.exe
O4 - HKCU\..\RunServices: [OWMngr] C:\WINDOWS\SYSTEM\OWMngr.exe
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
O16 - DPF: {1D870C86-AA3C-4451-81E4-71D480A1A652} (SubSrch_V2_2.clsIeEnhcdSrch) - http://216.93.172.116/sub2bc.exe

Start dan opnieuw op en verwijder:
C:\WINDOWS\SYSTEM\OWMngr.exe

Als je zelf ooit een hosts file hebt gemaakt, kun je opnieuw beginnen, deze was gehijacked.

Groetjes,

Pieter

Pieter....

hoe verwijder ik deze dan?????Start dan opnieuw op en verwijder:
C:\WINDOWS\SYSTEM\OWMngr.exe

Geplaatst door Pieter Arntz
Bart,

Vink alles hieronder aan, sluit alle vensters behalve HijackThis en klik op Fix checked:
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL=http://searchbar.linksummary.com/
Alle O1 items
O2 - BHO: (no name) - {1D870C86-AA3C-4451-81E4-71D480A1A652} - C:\WINDOWS\SYSTEM\SBSRCH_V22.DLL
O4 - HKCU\..\Run: [OWMngr] C:\WINDOWS\SYSTEM\OWMngr.exe
O4 - HKCU\..\RunServices: [OWMngr] C:\WINDOWS\SYSTEM\OWMngr.exe
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
O16 - DPF: {1D870C86-AA3C-4451-81E4-71D480A1A652} (SubSrch_V2_2.clsIeEnhcdSrch) - http://216.93.172.116/sub2bc.exe

Start dan opnieuw op en verwijder:
C:\WINDOWS\SYSTEM\OWMngr.exe

Als je zelf ooit een hosts file hebt gemaakt, kun je opnieuw beginnen, deze was gehijacked.

Groetjes,

Pieter

Klik om te vergroten...

------------------------------------------------------------------------------------------------------------------------------------------------

is gebeurt alleen nu nog die ene C:\WINDOWS\SYSTEM\OWMngr.exe
hoe doe ik dat precies??????

gebruiker220,

start op in de veilige modus en verwijder hem in de veilige modus.

Hey die saldos.....
thanks voor je antwoord maar uhhhh hoe vind ik dat bestandje??????

In verkenner het pad volgen, rechtsklikken op het OWMngr.exe bestand en verwijderen.
Hij start niet meer op dus het zou in normale modus ook moeten kunnen, maar veilige modus geeft een nog grotere kans op succes.

Groetjes,

Pieter

Geplaatst door Pieter Arntz
In verkenner het pad volgen, rechtsklikken op het OWMngr.exe bestand en verwijderen.
Hij start niet meer op dus het zou in normale modus ook moeten kunnen, maar veilige modus geeft een nog grotere kans op succes.

Groetjes,

Pieter

Klik om te vergroten...

pieter sorry....
maar het pad volgen?????????
ikke dom sorry...........

ikke niet dom ik heb hem....maar gewoon niet te verwijderen dus probeer het in veilige modus. tot zo?

Inderdaad, het moet in de veilige modus.
En als het ook niet lukt in de veilige modus, verwijder hem dan in DOS.

Geplaatst door saldos
Inderdaad, het moet in de veilige modus.

Klik om te vergroten...

Bart is de tweede die ik meemaak, die het niet in normale modus lukt, dus moeten is een groot woord.

Groetjes,

Pieter

Logfile of HijackThis v1.94.0
Scan saved at 13:04:54, on 19-6-03
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v5.00 (5.00.2614.3500)

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page=http://www.hetnet.nl/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL=http://www.msn.nl
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page=
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page=c:\windows\SYSTEM\blank.htm
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] c:\windows\scanregw.exe /autorun
O4 - HKLM\..\Run: [Taakcontrole] c:\windows\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [EnsoniqMixer] starter.exe
O4 - HKLM\..\Run: [TaskMonitor] c:\windows\taskmon.exe
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [iamapp] C:\Program Files\Norton Internet Security\IAMAPP.EXE
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Common Files\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [Machine Debug Manager] C:\WINDOWS\SYSTEM\MDM.EXE
O4 - HKLM\..\RunServices: [nisserv] C:\Program Files\Norton Internet Security\NISSERV.EXE
O4 - HKLM\..\RunServices: [MessengerPlus2] "C:\Program Files\Messenger Plus! 2\MsgPlus.exe"
O4 - HKLM\..\RunServices: [ccEvtMgr] "C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe"
O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Program Files\Common Files\Symantec Shared\Script Blocking\SBServ.exe" -reg
O9 - Extra button: ICQ (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O9 - Extra button: Translate (HKLM)
O9 - Extra 'Tools' menuitem: Translator (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {0E5F0222-96B9-11D3-8997-00104BD12D94} (sys Class) - http://www.pcpitstop.com/pcpitstop/PCPitStop.CAB
O16 - DPF: {FE8287E9-5F43-11D3-ABCA-00105A5C1F46} (HouseCall Control) - http://www.housecall.nl/housecall/xscan4.cab
O16 - DPF: {1FB464C8-09BB-4017-A2F5-EB742F04392F} (Microsoft Terminal Services Control (redist)) - http://www.bibliotheekdoesburg.nl/catalogus/mstscax.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {C4925E65-7A1E-11D2-8BB4-00A0C9CC72C3} (Virtools WebPlayer Class) - http://a532.g.akamai.net/f/532/6712/1d/player.virtools.com/downloads/player/Install2.1/Installer.exe
O16 - DPF: {9059F30F-4EB1-4BD2-9FDC-36F43A218F4A} (Microsoft RDP Client Control (redist)) - http://www.bibliotheekdoesburg.nl/catalogus/msrdp.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/ansi/iuctl.CAB?37682.4601273148
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/SSC/SharedContent/common/bin/cabsa.cab


dit is nu de lijst.
ook het bestand is weg in veilige modus.

Maar nu de finalevraag aan jullie???

Wat heb ik nu weten te voorkomen??
en hoe weet ik in de toekomst wat wel of niet oke is????
en hoe komt zoiets binnen?????