ikeoaup? hilfe!

guten abend liebe forencommunity,
es hat mich(wie ich meine) ziemlich hat erwischt.
während ich am abend ne runde counterstike:source zockte, meldete auf einmal avast einen fund. näheres kann der avast-logdatei entnommen werden. ich also auf löschen, weiterzocken. kurz danach wurde jedoch die verbindung zu einer unseriösen seite blockiert: funwebprodukts. ich habe von genannter site noch nichts gehört, sie war mir neu.
also hab ich halt die verbindung getrennt und denn war ruhe.
beim nächsten systemstart das gleiche spiel. wieder ikeoaup.exe und funwebprodukts.daraufhin nahm ich mir mal den process explorer vor und habe die beschädigten dateien (wieder) gelöscht. das die wiederkommen ist mir nicht neu, also meine antivir-rescue-disk rein aus ner alten pcwelt-ausgabe. upgedated hab ich sie auch, hat mir auch einige infizierte dateien angezeigt. ich wieder gelöscht, dann müssten sie ja eig weg sein. fehlanzeige! beim start das gleiche. jezz hab ich mich hier mal schlau gemacht und auch was gefunden:
aha. prevX is also schlauer als eine virenliste, die ich nach dem virus durchsucht habe
er ist seit dem 22. bekannt, das entspricht in etwa meinem infizierungsdatum. kaufen will ich mir das ding nich, nach mehrerem google-durchgucken werde ich die software auf jeden fall nicht nutzen, nur negativ erfahrungen.
offtopic:warum gibt pcwelt diesem tool 2,7 als note? ist es wirklich clean?
/offtopic
nun kam ich auf die idee, vll steht ja was im pcwelt-forum. auch nich, ich bin wohl einer der ersten glücklichen mit diesem virus. also las ich die forenregeln zum erstellen eines threads und bin auf DAS
gestoßen. laufen lassen, wunderbar! es zeigt mehr als avast&co!
warum findet anti-malware auch beschädigte/infizierte reg-schlüssel bzw warum avast oder antivir nicht?
naja jedenfalls wüsste ich gerne ob ich, wenn ich die regschlüssel lösche, ruhe hab oder ob es noch etwas ausgefallener wird.
im anhang is auch ein hijackthis-log.
also komplett: hijackthis-log, avast-log und anti-malware-log.
hoffe ihr könnt mir helfen

 

Na ja, vor allen Dingen ist da mal MyWebSearch, außerdem in allen möglichen temporären Ordnern jede Menge Grobzeugs, das dein AV-Programm für Trojaner hält. Du kannst ja mal googeln und dann entscheiden, ob sich für dich eine "Reinigung" von MyWebsearch" lohnt. Ich würde neu aufsetzen, es hat sich ohnehin jede Menge zumindest unnötiger Mist angesammelt.

Außerdem solltest du _dringend_ das Logfile avast-log entfernen. Das ist geschwätziger als es die Polizei erlaubt.
edit
Ooops, hatte vergessen, dass ja hier nur begrenzte Zeit für das Editieren bleibt. Aber vlt. erbarmt sich ja ein netter Mod.

 

Anhänge können immer verwaltet werden....

 

danke erstmal für die schnelle antwort

dann guck ich mir die logfile doch mal an, hatte zuert keine lust weil sah so viel aus
ich wollte mit dem aufsetzn bis windows7 wartn...mal gucken ob ich solange noch mit dem virus wartn kann..
jo es hat sich wirklich viel angesammelt, u.A. die 2 xp-installationen auf je einer festplatte ohne sinn...aber das is offtopic
ich google mal.
lg

EDIT: o.0, der is ja wirklich ziemlich geschw&#228;tzig der nette log>.<

 

Ach, aber andere sollen sich für dich die Mühe machen?

Hast du nun alle "MyWebSearchService" Einträge gefixt?
Du solltest auch manuell deine Registry durchsuchen und alle Einträge MyWeb.... betreffend löschen.

Warum ist neu aufsetzen ein Problem für dich, hast du kein Image angelegt?

Gruß kingjon

 

nein, aber ich kann mit logfiles wenig anfangen. ich hab auch diese logfile nicht verstanden, nur ich habe gesehen, was der nette user unter meinem ersten beitrag meinte mit geschwätzig.
ich habe die registry gescant,danach durchgeguckt wegen mywebsearch, ich sollte jezz wieder virenfrei sein. alle prozesse, die noch laufen, habe ich mit process explorer eindeutig zuordnen können und als ok befunden.
neu aufsetzen ist scheiße, weil kein image.
aber ich sollte mir wirklich mal die mühe machen, es lohnt sich ja bei einem befall enorm.
aber was ich immer noch nich verstehe: warum finden avast und antivir keine infizierten regschlüssel bzw einträge? ich meine dafür werden sie doch mehr oder weniger bezahlt
lg

 

Man muss sich mit der Materie auseindersetzen und verstehen, das ist für den normalen User ein großes Gebiet. Das du das nicht verstehst ist also okay - da die meisten User dafür keine Veranlassung haben.

Alles können diese Programme auch nicht.....
Zum einen, hast du beide Programme laufen? Anhand der Logfiles sehe ich dies nicht?

Mach bitte nochmals ein HJT-Log und Malwarebytes-Log. Und wie gehabt, anhängen.

Gruß kingjon

 

Hallo Slayour, nach Analyse das folgende:

starte MBAM erneut, erstmals updaten en dan den schnellen Scan wählen.

Dann dies - wenn MBAM ferig ist, muszt du auf dem Entfernenknopf klicken.

Erlaube MBAM bei schwierigkeiten beim entfernen den PC zu rebooten!

Danach ein neues HijackThisLog und auch dasz MBAMlog hochladen!

 

erstmal wegen beiden scannern:
nein, bei aktivem windows hab ich nur avast laufen, hab avira aber als notfall-disc um das system ohne windows zu scannen. hat aber nix gebracht, weil antivir die regschlüssel nicht erkannt hat.
im anhang die neuen log's
danke nochmal für die vielen tipps und die hilfe

 

OUCH!
M&#246;glichkeit A: Basteln, dauert sicher lange, ist unsicher, deine Daten k&#246;nnen an Dritte weitergehen, da sich immer etwas weiterhin verstecken k&#246;nnte

M&#246;glichkeit B: Neuaufsetzen

 

Dein Systeem ist noch nicht rein, deshalb solltest du jetzt einen scan tun mit Combofix.

Nim dir zeit die Gebrauchsanleiting von Combofix gut zu lesen, damit du weisz, wie dieses Tool arbeitet und wasz dabei erst deaktiviert werden musz!

http://www.bleepingcomputer.com/combofix/de/wie-combofix-benutzt-wird

 

@Abraham: und wer wertet das Combofix Log aus? Ich kenne keinen hier im Forum, und ein Combofix-Log verlangt eine ausf&#252;hrliche Analyse, damit keine Fehler passieren....

 

Hallo ~phoenix~, ich bin selber moderator auf www.nationaalcomputerforum.nl ( http://www.nationaalcomputerforum.nl/member.php?u=21119&tab=visitor_messaging )

Daher hoffe ich, dasz deine Frage hiermit beantwortet ist!

 

naja mein Holl&#228;ndisch ist etwas eingerostet^^
aber ok.... seh hier selten jemanden, der auf Combofix verweist...

 

Dasz tool kann ja auch besser nicht umsonst eingesetzt werden.
Dasz kann gut gehen aber auch böse ablaufen!

 

o.0 macht mir keine angst
nein bisher hat alles wunderbar geklappt(glaube ich)
log anbei
lg

 

Hallo Slayour,

Combofix hat dein Windows richtig unter die Lupe nehmen können!
Und hat erfolgreich das System gereinigt.
Wahrscheinlich das du schon bemerkt hast, dasz Windows jetzt flotter ist?

Very important: deïnstalliere via Configurationsschirm / Software:

a) Ask-toolbar
b) Sweetim-toolbar

Mache danach einen neustart deines PC's und poste dann ein neues HJT-log zur Kontrolle.

 

hey abraham,
ich w&#252;rde gerne der deinstallation nachkommen, jedoch ist von der ask-toolbar nix mehr da, auch nach nem suchlauf nich, und die sweetim-toolbar l&#228;sst sich nich deinstallieren(es ist ein schwerwiegender fehler w&#228;hrend der deinstallation aufgetreten). Vll liegt es daran, dass ich die DATEN der toolbar schon mal manuell gel&#246;scht habe, aber halt nur die die in D/programme/sweetim-toolbar waren...bis auf 4 st&#252;ck, da hab ich keinen zugriff drauf-.-
auch nich im abgesicherten modus...
auch die registry is von hand auf sweetIM gereinigt...l&#246;schen lassen sich die dateien aber tdem nich-.-
obwohl ich admin bin:S
hab ich da sonst noch welche vergessen?
lg

 

anhang:
hab erst jezz gesehn das ich nochma hjcken sollte, is anbei
lg

 

Hallo Slayour, vielleicht h&#228;ttest Du auf der D-Partition nachschauwen m&#252;ssen?

Aber gut, dat Sweetim v&#246;llig aus deinem Windows verschwindet, will ich dass du folgendes tust:

Starte ein neues Notepad, kein anderer Tekseditor anwenden!

Kopiere jetz den Blau- und Fettgedruckten Tekst in das Notepad:


Folder::
D:Pprogramme\SweetIM
D:\Programme\AskBarDis

Registry::
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{EEE6C35D-6118-11DC-9C72-001320C79847}"= "d:\programme\SweetIM\Toolbars\Internet Explorer\mgHelper.dll" [2008-10-08 173368]
[HKEY_CLASSES_ROOT\SweetIM_URLSearchHook.ToolbarURLSearchHook.1]
[HKEY_CLASSES_ROOT\SweetIM_URLSearchHook.ToolbarURLSearchHook]

Gib das Tekstdokument jetzt den Namen CFScript
und w&#228;hle Desktop bei bewahren,

Demn&#228;chst schiebst du das Dokument &#252;ber Combofix.



Dadurch wird Combofix wieder starten.
Nach dem Neustart wird Combofix ein neues Log pr&#228;sentierem.

Poste dieses Log dann, zusammen mit ein HijackThisLog!