Vollständige Version anzeigen : [PROBLEM] Virus URL SEARCH Hook *hilfe*


mia
10.09.2006, 22:26

hi
ich hab nen riesen prob.
ich hab nen virus der mir immer werbungen im inet öffnet.
hab rausgefunden dass es der URL SEARCH Hook is (über hijackthis)
nur ivh weiß nich wie ich den entfernen kann?
könt ihr mir helfen?

R3 - URLSearchHook: (no name) - {4347FB66-1DD0-6106-A2DA-6343C115A7EA} - C:\WINDOWS\system32\omkblig-dll

danke schon ma

mfg
mia


Crack02
10.09.2006, 23:23

ich geh mal davon aus, dass der virus hartnäckig ist, deswegen schlage ich die variante mit dem abgesicherten modus erst gar nicht vor.
windoof cd rein, wiederherstellungskonsole und dann die oben genannte dll umbennen oder löschen.


T7ita
10.09.2006, 23:36

Ähnliche Themen: Virus??? Hilfe! Seit kurzem wird mit wie in bild a angezeigt, dass mein pc "infiziert" ist. wenn ich draufklicke, will der was isntallieren. damit kann ich [...]
[C/C++] Problem mit Windows Keyboard Hook Hi, ich wollte endlich auch mal einen Keylogger für Windows per Hooks schreiben. Das Mitschneiden funktioniert auch soweit ganz gut, wen[...]
[PROBLEM] Virus URL SEARCH Hook *hilfe*
Ich würd auch wie Crack02 schon sagte mal den Abgesicherten Modus versuchen! Oder mal mit Kaspersky bei mir hat der schon bei ziehmlich hartnäckigen Sachen gefunzt!

Kaspersky Download: Software, Handbücher und Antiviren-Datenbanken | Kaspersky Lab DE (__-kaspersky-com/de/trials)


spotting
11.09.2006, 01:28

Hijackthis Anleitung (_virus-protect-org/hjtkurz-html)

und die log hier posten !!!
bevor du irgendetwas dort angepasst hast.

dann

datfindbat Anleitung (_virus-protect-org/datfindbat-html)
Bearbeite die 4 Logfiles von Datfindbat, indem du die letzten Wochen (seitdem der fehler auftritt plus eine woche minimum) in einer Textdatei (-txt) zusammenfasst, und hier anhängst.

dann, die datei omkblig-dll ist KEINE windows link bibliothek
auch wird sie unter google nicht geführt.
daher schließe ich darauf, dass sie zu einem trojan downloader gehört, der dateien mit variablen dateinamen erzeugt, um sich selber zu schützen_..
deshalb
lade diese datei bei jotti oder virusscan hoch,

und mit all diesen informationen sehen wir weiter.

Jottis Malwarescanner (_virusscan-jotti-org/de/)
__-virustotal-com/flash/index_en-html

mfg spotting


mia
11.09.2006, 17:06

hm_. also die datei hatte ich schon gelöscht aba die seiten öffnen sich trotzdem noch.
Zu spotting:
Hab nich so viel Zeit mein dad will den pc am mi zur arbeit nehm un des nem kollegen geben wird aba dann nen monat dauern_.
Deswegen will ich das vorher lösen.
Vllt hilft das:
Aslo jemand hat mir nen Link geschickt der komisch war also bei msn ich wollt nich drauf aba das caht fenster war inaktiv hab da drauf geklickt um es zu aktievieren un bin aus versehn auf den link gekommen seit dem öffnen sich diese fenster_.
Vllt hat ja jm schon ma ne Erfahrung mit diesem Virsu gemacht, weil MSn verbreitet ja sehr schnell.
Spybot un Adware hab ich alles schon laufen lassen

mfg
mia


spotting
11.09.2006, 17:10

wo ist das hijackthislogifle und die datfindbat logfile_..

wenn du es dir einmal angesehen hättest, hät ich jetzt diese zwei logfiles.
denn beides geht verhälltnismäsig schnell.

und im neuen hijackthis logfile wirst du eine anderen dateinamen sehen, den dann testen bei jotti oder virustotal.

mfg


mia
11.09.2006, 17:18

hm sry ich muss erstma was auflösen.
DAs is gar nich mein Pc sondern der von ner freundin hab ihn aba als mein ausgegeben, da das umständlich wär mit dem schreiben_..
Hm so wie gesagt diese datei hat sie gelöscht kann ich also ncih hochladen.
Hab aba die Hijackthis Logfile vor dem Löschen un nach dem löschen.
Könnt das dir helfen?

mfg
mia


spotting
11.09.2006, 17:20

frage, hast du den pc im moment vor dir stehen,

dann zeig sie her, ansonsten wird es wohl keinen sinn haben, wenn ich dir das jetzt erkläre, du dann zu deiner freundin fährst, wieder eine frage hast, zurück fährst _.. _.. _..


mia
11.09.2006, 17:26

hm naja hab ihn nich hier, aber ich hab die logfiles ma hochgeladen
das mit der "3" is nach dem Löschen un das ohne vor dem löschen.
Werd heut mit ihr teln un ihr des dann alles erklärn vorrausgesetzt ihr habt ne lösung.
Sie hat nich wenig ahnung von PC also sie wird es schon schaffen.
Hoff ihr findet ne lösung

Download offline!/

mfg
mia


spotting
11.09.2006, 17:52

also erstmal,
wozu hast du die denn in ein archiv gepackt? das it umständlich und verkompliziert die sache nur, in zukunft einfach als
direkt im forum posten bitte.

dann
[code]

C:\PROGRA~2\PRINTV~1\pvmodule-exe - Unbekannt -> jotti
C:\WINDOWS\system32\?ecurity\n?pdb-exe - Unbekannt -> jotti
R3 - URLSearchHook: (no name) - {4347FB66-1DD0-6106-A2DA-6343C115A7EA} - C:\WINDOWS\system32\omkblig-dll - Eventuell Böse
O4 - HKLM\_.\Run: [PCI Audio Applications] W:\Drivers\Audio\C-Media\W2K-ME\app\Setup-exe - Unbekannt -> jotti
O4 - HKLM\_.\Run: [explorer] C:\Dokumente und Einstellungen\LM\Desktop\Xinstall-exe - Unbekannt -> jotti
O4 - HKLM\_.\Run: [keyboard] C:\\kybrdff_17-exe - Unbekannt -> jotti
O4 - HKLM\_.\Run: [newname] C:\\nwnmff_17-exe - Unbekannt -> jotti
O4 - HKLM\_.\Run: [kec31250] RUNDLL32-EXE w0010867-dll,n 0043124c0000000a0010867 - Unbekannt -> jotti (diese w0010867-dll !!!)
O4 - HKLM\_.\Run: [IpWins] C:\Programme\ipwins\ipwins-exe - Unbekannt
O4 - HKLM\_.\Run: [PVModule] C:\PROGRA~2\PRINTV~1\pvmodule-exe - Unbekannt
O4 - HKCU\_.\Run: [NewYorkerAgent] C:\Programme\NewYorkerRadio\ps_agent-exe - Unbekannt
O4 - HKCU\_.\Run: [Rorr] "C:\DOKUME~1\LM\ANWEND~1\ICROSO~1\fast-exe" -vt yazb - Unbekannt
O4 - HKCU\_.\Run: [Xsx] C:\WINDOWS\system32\?ecurity\n?pdb-exe - Unbekannt
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag-exe (file missing) - Eventuell Böse
O9 - Extra 'Tools' menuitem: _xpsp3res-dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag-exe (file missing) - Eventuell Böse
O16 - DPF: {E055C02E-6258-40FF-80A7-3BDA52FACAD7} (Installer Class) - _activex-matcash-com/speedtest2-dll - Eventuell Böse
O20 - Winlogon Notify: Extensions - C:\WINDOWS\system32\r88slil718q-dll - Unbekannt

also, das ist die auswertung der ersten logfile,
da steckt eine ganze menge drin.
teste die dateien, die jetzt dort stehen bei jotti oder virustotal, und zwar alle,
Jottis Malwarescanner (_virusscan-jotti-org/de/)
__-virustotal-com/flash/index_en-html

zeigt mir ein datfindbat log und lass deine freundin einen escan machen,
und zwar nach exakt dieser anleitung
escan anleitung (_virus-protect-org/escan-html)

danach zeig ich dir, wie sie das alles beseitigen kann.

aber mein erster eindruck ist, sie sollte entweder einen fachmann da rangehen lassen, oder formatieren.

denn nur dieser eine eintrag aus der logfile auswertung von hijackthis-de ist es nicht alleine, der böse ist. diese dateien z_B. C:\\kybrdff_17-exe sorgen u_A. dafür, dass er nur sehr schwer zu entfernen ist.
wenn ich da dann nicht alles auf einen schlag treffe, beginnt der spass von vorne.

mfg spotting

mfg spotting


mia
11.09.2006, 19:05

also hab zwa noch nich mit ihr gesprochen aba hab ma nach dieser datei: kybrdff_17-exe gegoogelt.
Un hab raus gefunden das man dies über msn bekommt un sich fenster öffnen also dieser URL Serach Hook is auch defekt aba nicht das grundprob.
Hab hier ma den link: MSN Trojaner und Adware - Forum - CHIP Online (__-chip-de/c1_forum/thread-html?bwthreadid=994551)
Steht oft das man formatieren soll aba gibts keine andre möglichkeit?

mfg
mia


spotting
12.09.2006, 10:04

die andere möglichkeit habe ich jetzt zweimal angefangen zu beschreiben.
da es immer unterschiedliche dateinamen sind, brauche ich diese informationen die ich nach meinen bisherigen posts auch haben wollte,

aber

ein formatieren ist einfacher, schneller und ist die eizige möglichkeit, die einen erfolg garantiert.

mfg




raid-rush.ws | Imprint & Contact pr