[amdamdes]

Hallo,
ich habe ein Problem mit "Funwebproducts".

Dieses Problem wird zwar von spybot erkannt, kann aber nicht behoben werden. Es erscheint folgende Warnung: "Einige Probleme konnten nicht behoben werden; der Grund könnte sein, daß die entprechenden Dateien immer noch im Speicher residieren. Dies kann wahrscheinlich nach einem Neustart behoben werden. Darf Spybot-S&D mit dem nächsten Systemstart automatisch mitstarten?"
Folgt man dieser Anweisung, löst dies jedoch nicht das Problem!
Selbiges Problem hatten auch schon andere vor mir, aber deren Lösungswege (z.B. http://h..p://www.trojaner-board.de/...bproducts.html oder h..p://board.protecus.de/t23196-3.htm) sind mir ein Rätsel bzw. bringen mich nicht weiter, deshalb hier mein Hilfegesuch!

Hier mein HiJack Logfile:

----------------------------------------------------------------
Anmerkung der Moderation:

Bitte keine kompletten HijackThis-Logs im Forum posten, sondern lediglich als Text-Datei an den Beitrag anhängen, wie auf folgender Seite (bebildert) beschrieben: http://www.pcwelt.de/forum/sicherhei...this-logs.html

Es kann auch weiterhin der Link zum ausgewerteten Log gepostet werden.

Gruß
Nevok
----------------------------------------------------------------


Danke für jegliche Hilfe!

[deoroller]

Zitat:

Das Problem wird vom Eu****uncher verursacht...ein völlig überflüssiger Prozess, der nichts anderes macht als irgendwelche Eulas von Google einzublenden, wenn man Google-Software startet.

Einfach den Eu****uncher (Eu****uncher.exe) killen und den Autostart Eintrag ausse Registry löschen

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion \Run

http://forum.hijackthis.de/showpost....46&postcount=2

Folgende Einträge fixen:

Code:

R3 - URLSearchHook: (no name) - {9CB65206-89C4-402c-BA80-02D8C59F9B1D} - C:\Program Files\AskTBar\SrchAstt\1.bin\A5SRCHAS.DLL
O3 - Toolbar: Ask Toolbar - {FE063DB9-4EC0-403e-8DD8-394C54984B2C} - C:\Program Files\AskTBar\bar\1.bin\ASKTBAR.DLL
O4 - HKLM\..\Run: [toolbar_eula_launcher] C:\Program Files\GoogleEULA\EU****uncher.exe
O9 - Extra button: eBay - Der weltweite Online-Marktplatz - {0B65DCC9-1740-43dc-B19C-4F309FB6A6CA} - http://h..p://rover.ebay.com/rover/1...170-17534-17/4 (file missing)
O9 - Extra 'Tools' menuitem: eBay - {0B65DCC9-1740-43dc-B19C-4F309FB6A6CA} - http://h..p://rover.ebay.com/rover/1...170-17534-17/4 (file missing)
O9 - Extra button: eBay - Der weltweite Online-Marktplatz - {0B65DCC9-1740-43dc-B19C-4F309FB6A6CA} - http://h..p://rover.ebay.com/rover/1...170-17534-17/4 (file missing) (HKCU)
O9 - Extra 'Tools' menuitem: eBay - {0B65DCC9-1740-43dc-B19C-4F309FB6A6CA} - http://h..p://rover.ebay.com/rover/1...170-17534-17/4 (file missing) (HKCU)

[amdamdes]

Also erstmal vielen herzlichen Dank
Schön, das es nichts ernstes ist

Allerdings bin ich nicht so fit was meinen lieben Rechner angeht und deshalb muss ich nochmal nachfragen...

Ich habe die besagten Einträge gefixt!

Allerdings ist mir das folgende noch nicht klar!? Wie funktioniert das für Anfänger?

Einfach den Eu****uncher (Eu****uncher.exe) killen und den Autostart Eintrag ausse Registry löschen

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion \Run

Vorsichtshalber hier auch nochmal eine aktuelle Logfile:
----------------------------------------------------------------
Anmerkung der Moderation:

Bitte keine kompletten HijackThis-Logs im Forum posten, sondern lediglich als Text-Datei an den Beitrag anhängen, wie auf folgender Seite (bebildert) beschrieben: http://www.pcwelt.de/forum/sicherhei...this-logs.html

Es kann auch weiterhin der Link zum ausgewerteten Log gepostet werden.

Gruß
Nevok
----------------------------------------------------------------

[deoroller]

Der Text aus dem anderen Forum über Eu****uncher.exe habe ich gepostet, um den Sinn dieser Datei zu verdeutlichen. Der Autostartausfruf ist jetzt nicht mehr vorhanden. HijackThis hat ihn aus der Registry entfernt.
Die Dateien/Programme, die mit den Autostarteinträgen gestartet werden, kann HIjackThis aber nicht entfernen. Das muss man nach einem Windows Neustart hinterher noch selbst tun.
Das geht nach einem Neustart, weil dabei die Sachen nicht mehr gestartet werden.

[amdamdes]

Zitat:

Zitat von deoroller

Die Dateien/Programme, die mit den Autostarteinträgen gestartet werden, kann HIjackThis aber nicht entfernen. Das muss man nach einem Windows Neustart hinterher noch selbst tun.
Das geht nach einem Neustart, weil dabei die Sachen nicht mehr gestartet werden.

Genau das ist mein Problem! Wie geht das?

vermutlich ist das auch der Grund weshalb Skybot noch immer die selbe Fehlermeldung bringt, oder?

[deoroller]

Der Teatimer von Spybot merkt beim Neustart, dass die Registry verändert wurde und fragt nach, ob es zugelassen werden soll.
Wenn du es nicht zulässt, kannst du dir das fixen auch sparen.

[amdamdes]

Zitat:

Zitat von deoroller

Der Teatimer von Spybot merkt beim Neustart, dass die Registry verändert wurde und fragt nach, ob es zugelassen werden soll.
Wenn du es nicht zulässt, kannst du dir das fixen auch sparen.

Danke danke danke für die Mühe und Geduld!

Ich tu auch alles was Du sagts, aber die funny Funwebproducts sind nicht tot zu kriegen. Ich habe besagte Einträge gekillt, die Änderung von skybot zugelassen und neu gestartet...

skybot findet Funwebproducts jedoch noch immer



Deshalb jetzt nochmal skybot bericht:

FunWebProducts: [SBI $7AEE25A5] Class ID (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_CLASSES_ROOT\CLSID\{147A976F-EEE1-4377-8EA7-4716E4CDD239}


--- Spybot - Search & Destroy version: 1.5 (build: 20070830) ---

2007-08-31 blindman.exe (1.0.0.6)
2007-08-31 SDMain.exe (1.0.0.4)
2007-08-31 SDUpdate.exe (1.0.6.4)
2007-08-31 SDWinSec.exe (1.0.0.8)
2007-08-31 SpybotSD.exe (1.5.1.15)
2007-08-31 TeaTimer.exe (1.5.0.9)
2007-09-25 unins000.exe (51.46.0.0)
2007-08-31 Update.exe (1.4.0.5)
2007-08-31 advcheck.dll (1.5.3.0)
2007-04-02 aports.dll (2.1.0.0)
2007-04-02 DelZip179.dll (1.79.5.3)
2007-08-31 SDHelper.dll (1.5.0.8)
2007-08-31 Tools.dll (2.1.2.0)
2007-09-19 Includes\Cookies.sbi (*)
2007-07-25 Includes\Dialer.sbi (*)
2007-09-19 Includes\DialerC.sbi (*)
2007-08-29 Includes\Hijackers.sbi (*)
2007-09-19 Includes\HijackersC.sbi (*)
2007-07-25 Includes\Keyloggers.sbi (*)
2007-09-19 Includes\KeyloggersC.sbi (*)
2004-11-29 Includes\LSP.sbi (*)
2007-09-12 Includes\Malware.sbi (*)
2007-09-19 Includes\MalwareC.sbi (*)
2007-09-05 Includes\PUPS.sbi (*)
2007-09-19 Includes\PUPSC.sbi (*)
2007-09-19 Includes\Revision.sbi (*)
2007-05-30 Includes\Security.sbi (*)
2007-09-19 Includes\SecurityC.sbi (*)
2007-09-12 Includes\Spybots.sbi (*)
2007-09-19 Includes\SpybotsC.sbi (*)
2007-08-21 Includes\Tracks.uti
2007-09-12 Includes\Trojans.sbi (*)
2007-09-19 Includes\TrojansC.sbi (*)
2008-12-24 Plugins\TCPIPAddress.dll

Und HiJack:

----------------------------------------------------------------
Anmerkung der Moderation:

Bitte keine kompletten HijackThis-Logs im Forum posten, sondern lediglich als Text-Datei an den Beitrag anhängen, wie auf folgender Seite (bebildert) beschrieben: http://www.pcwelt.de/forum/sicherhei...this-logs.html

Es kann auch weiterhin der Link zum ausgewerteten Log gepostet werden.

Gruß
Nevok
----------------------------------------------------------------

[amdamdes]

Mit counterspy gings! Jetzt scheint wieder alles sauber!

Danke nochmal

[amdamdes]

Interssant finde ich, dass spybot erst fragt ob dem löschen der "internet explorer search" Registrierung zugestimmt werden soll. Tut man dies, popt sofort wieder spybot auf und fragt ob man zustimmt, dass der selbe Wert wieder hinzufügt wird. Verweigert man dies, bleibt der pc scheinbar sauber, zumindest bringt spybot keine Problemmeldung mehr...
Nur Frage ich mich: Wie kommt es, das sich dieser "internet explorer search" sofort wieder registrieren möchte... Wo sitzt der denn? Und kann ich das nicht ganz abstellen?

[deoroller]

Sabina sagt dazu...
http://board.protecus.de/t23939.htm#230015