|
Plagegeister aller Art und deren Bekämpfung: Nicht löschbarer Registrierungsschlüssel und nicht auffindbarer Pfad!Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
16.05.2013, 11:53 | #1 |
| Nicht löschbarer Registrierungsschlüssel und nicht auffindbarer Pfad! Hallo zusammen... um mein System aufgeräumt und übersichtlich zu haben nutze ich TuneUp Utilities seit Jahren. Bei der letzten 1 Klick Wartung ist mir ein Registrierungsschlüssel aufgefallen den man nicht löschen kann, aber leer sein soll. hxxp://www.imgbox.de/users/BigBommel/Screenshot_8.jpg Durch Internet Recherche bin ich auf Euer Forum gestoßen wo das Thema schon angesprochen wurde, aber für mich nicht ganz plausibel war. Und das andere Problem ist durch die Free Antivirus Software "AVAST" aufgeflogen bzw. bekannt geworden. Durch die Antivirus Prüfung ist ein Pfad entdeckt wurden der nach Aussage von AVAST nicht auffindbar ist. hxxp://www.imgbox.de/users/BigBommel/Screenshot_9.jpg Die Internet Recherche war auch nicht sehr aufschlussreich für mich. Durch die fragwürdigen Ergebnisse habe ich mir Natürlich Gedanken gemacht und würde mich freuen wenn Ihr mir sagen könnt ob es was ernstes ist. Ich habe die... OTL.txt Gmer.txt Textdateien als Anhang beigefügt, leider hat OTL nach sechsfachem Versuch keine EXTRAS.txt Datei ausgespuckt. MFG Geändert von Piplo (16.05.2013 um 12:47 Uhr) Grund: Bilder nicht aufrufbar |
16.05.2013, 12:49 | #2 |
/// Helfer-Team | Nicht löschbarer Registrierungsschlüssel und nicht auffindbarer Pfad! Hallo Piplo
__________________1 - Das Tune Uppp und auch CCcleaner contraproduktive Tools sind , sollte Dir (hoffentlich ) klar sein. Ich würde mich über Einverständniss freuen . Info: http://forum.chip.de/downloads-tools...f-1703155.html 2 - Du hast eine Vermutung ? - Befall des Systems ? - sonst würdest Du kein GMER log und Otl hier reinstellen . Richtig ? 3 - Um was es aber genau geht weiß man nicht - da die Bilder nicht vergrösserbar sind Schade .... Rajo |
16.05.2013, 13:19 | #3 |
| Nicht löschbarer Registrierungsschlüssel und nicht auffindbarer Pfad! Hi rajo,
__________________ich denke mal bei mir ist es auch "macht der Gewohnheit" TuneUp zu nutzen. Ich hab halt auch schon gemerkt das WIN7 & WIN8 sehr gut alleine klar kommen. Aber wie man sieht bin ich doch mit Hilfe TU auf den nicht löschbaren Schlüssel gestoßen und die Internet Recherche macht mir so ein bisschen Kopfweh. Der Schlüssel DataMngr_toolbar soll angeblich nicht so sauber sein und ehrlich gesagt weiß ich auch nicht woher dieses Tool kommt. Und dann noch der komische Pfad System32\wdi{9f1811a...\snapshot.etl soll nach Dr. Google auch was auf dem Kerbholz haben. Ich vermute halt wirklich das DataMngr_toolbar (Registrierungsschlüssel) und snapshot.etl (Pfad) was nicht erfreuliches sind. Ja das mit den Bildern ist komisch, egal wie ich es hier angehe, die Bilder oder Links werden nicht korrekt angezeigt. Aber eigentlich sollten die jetzigen Links mit Kopieren funktionieren. |
16.05.2013, 14:27 | #4 |
/// Helfer-Team | Nicht löschbarer Registrierungsschlüssel und nicht auffindbarer Pfad! Hi Piplo Wir fangen mal an : Hole dir ADWcleaner Starte die adwcleaner.exe als administrator mit rechtem Mausklick Klicke auf Search. Nach Ende des Suchlaufs lässt du alles löschen das programm fordert dann einen Neustart ! den bitte mit ok bestätigen Nach den Neustart wird dir ein Löschlog automatisch angezeigt dieses bitte hier in die nächste Antwort posten falls das Fenster vesehentlich zu gemacht wurde :-) : Die Logdatei findet man unter C:\AdwCleaner[XX].txt. XX ist nur ein Platzhalter für eine beliebige nummer sende das neueste file Dann geht es weiter . Rajo Geändert von rajo (16.05.2013 um 14:33 Uhr) |
16.05.2013, 19:12 | #5 | |
| Nicht löschbarer Registrierungsschlüssel und nicht auffindbarer Pfad! Nabend rajo, so wie es aussieht lag ich mit meiner Vermutung gar nicht so falsch. gefunden: AdwCleaner Logfile: Code:
ATTFilter # AdwCleaner v2.300 - Datei am 16/05/2013 um 19:25:49 erstellt # Aktualisiert am 28/04/2013 von Xplode # Betriebssystem : Windows 8 Pro with Media Center (64 bits) # Benutzer : Wohnzimmer - BÜRO-PC # Bootmodus : Normal # Ausgeführt unter : C:\Users\Wohnzimmer\Desktop\adwcleaner.exe # Option [Suche] **** [Dienste] **** ***** [Dateien / Ordner] ***** Datei Gefunden : C:\END Ordner Gefunden : C:\ProgramData\Babylon Ordner Gefunden : C:\ProgramData\Tarma Installer Ordner Gefunden : C:\Users\WOHNZI~1\AppData\Local\Temp\OCS Ordner Gefunden : C:\Users\Wohnzimmer\AppData\LocalLow\boost_interprocess Ordner Gefunden : C:\Users\Wohnzimmer\AppData\LocalLow\Delta Ordner Gefunden : C:\Users\Wohnzimmer\AppData\Roaming\Babylon ***** [Registrierungsdatenbank] ***** Schlüssel Gefunden : HKCU\Software\BabylonToolbar Schlüssel Gefunden : HKCU\Software\BI Schlüssel Gefunden : HKCU\Software\Conduit Schlüssel Gefunden : HKCU\Software\DataMngr Schlüssel Gefunden : HKCU\Software\DataMngr_Toolbar Schlüssel Gefunden : HKCU\Software\InstallCore Schlüssel Gefunden : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{DF7770F7-832F-4BDF-B144-100EDDD0C3AE} Schlüssel Gefunden : HKCU\Software\OCS Schlüssel Gefunden : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4D79-A620-CCE0C0A66CC9} Schlüssel Gefunden : HKLM\Software\Babylon Schlüssel Gefunden : HKLM\SOFTWARE\Classes\AppID\{C26644C4-2A12-4CA6-8F2E-0EDE6CF018F3} Schlüssel Gefunden : HKLM\SOFTWARE\Classes\Prod.cap Schlüssel Gefunden : HKLM\Software\Conduit Schlüssel Gefunden : HKLM\Software\DataMngr Schlüssel Gefunden : HKLM\Software\InstallCore Schlüssel Gefunden : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{80922EE0-8A76-46AE-95D5-BD3C3FE0708D} Schlüssel Gefunden : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{10DE7085-6A1E-4D41-A7BF-9AF93E351401} Schlüssel Gefunden : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{1AD27395-1659-4DFF-A319-2CFA243861A5} Schlüssel Gefunden : HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\bi_uninstaller Schlüssel Gefunden : HKLM\SOFTWARE\Tarma Installer Schlüssel Gefunden : HKU\S-1-5-21-1694485516-419848332-1125097090-1000\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4D79-A620-CCE0C0A66CC9} ***** [Internet Browser] ***** -\\ Internet Explorer v10.0.9200.16537 [OK] Die Registrierungsdatenbank ist sauber. -\\ Google Chrome v26.0.1410.64 Datei : C:\Users\Wohnzimmer\AppData\Local\Google\Chrome\User Data\Default\Preferences Gefunden [l.2980] : urls_to_restore_on_startup = [ "hxxp://www.google.com/", "hxxp://www2.delta-search.com/?affID=119816&tt=gc_&babsrc=HP_ss&mntrId=547A50E54937A383" ] Datei : C:\Users\Ysaef_000\AppData\Local\Google\Chrome\User Data\Default\Preferences Gefunden [l.2737] : urls_to_restore_on_startup = [ "hxxp://www.google.com/", "hxxp://www.startfenster.com", "hxxp://start.mysearchdial.com/?f=1&a=ironmsd04&cd=2XzuyEtN2Y1L1QzuyDtD0EyDyEzytAyB0AtAzztA0CyD0FyEtN0D0Tzu0SyEzyyEtN1L2XzutBtFtBtFtCtFyCtCzztN1L1Czu1L1C1F1G1H1B1QtDyE&cr=1788408665&ir=" ] -\\ Opera v12.15.1748.0 Datei : C:\Users\Wohnzimmer\AppData\Roaming\Opera\Opera\operaprefs.ini [OK] Die Datei ist sauber. Datei : C:\Users\Ysaef_000\AppData\Roaming\Opera\Opera\operaprefs.ini [OK] Die Datei ist sauber. ************************* AdwCleaner[R1].txt - [3374 octets] - [16/05/2013 19:25:49] ########## EOF - C:\AdwCleaner[R1].txt - [3434 octets] ########## gelöscht: AdwCleaner Logfile: Code:
ATTFilter # AdwCleaner v2.300 - Datei am 16/05/2013 um 19:26:34 erstellt # Aktualisiert am 28/04/2013 von Xplode # Betriebssystem : Windows 8 Pro with Media Center (64 bits) # Benutzer : Wohnzimmer - BÜRO-PC # Bootmodus : Normal # Ausgeführt unter : C:\Users\Wohnzimmer\Desktop\adwcleaner.exe # Option [Löschen] **** [Dienste] **** ***** [Dateien / Ordner] ***** Datei Gelöscht : C:\END Ordner Gelöscht : C:\ProgramData\Babylon Ordner Gelöscht : C:\ProgramData\Tarma Installer Ordner Gelöscht : C:\Users\WOHNZI~1\AppData\Local\Temp\OCS Ordner Gelöscht : C:\Users\Wohnzimmer\AppData\LocalLow\boost_interprocess Ordner Gelöscht : C:\Users\Wohnzimmer\AppData\LocalLow\Delta Ordner Gelöscht : C:\Users\Wohnzimmer\AppData\Roaming\Babylon ***** [Registrierungsdatenbank] ***** Schlüssel Gelöscht : HKCU\Software\BabylonToolbar Schlüssel Gelöscht : HKCU\Software\BI Schlüssel Gelöscht : HKCU\Software\Conduit Schlüssel Gelöscht : HKCU\Software\DataMngr Schlüssel Gelöscht : HKCU\Software\DataMngr_Toolbar Schlüssel Gelöscht : HKCU\Software\InstallCore Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{DF7770F7-832F-4BDF-B144-100EDDD0C3AE} Schlüssel Gelöscht : HKCU\Software\OCS Schlüssel Gelöscht : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4D79-A620-CCE0C0A66CC9} Schlüssel Gelöscht : HKLM\Software\Babylon Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\{C26644C4-2A12-4CA6-8F2E-0EDE6CF018F3} Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Prod.cap Schlüssel Gelöscht : HKLM\Software\Conduit Schlüssel Gelöscht : HKLM\Software\DataMngr Schlüssel Gelöscht : HKLM\Software\InstallCore Schlüssel Gelöscht : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{80922EE0-8A76-46AE-95D5-BD3C3FE0708D} Schlüssel Gelöscht : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{10DE7085-6A1E-4D41-A7BF-9AF93E351401} Schlüssel Gelöscht : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{1AD27395-1659-4DFF-A319-2CFA243861A5} Schlüssel Gelöscht : HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\bi_uninstaller Schlüssel Gelöscht : HKLM\SOFTWARE\Tarma Installer ***** [Internet Browser] ***** -\\ Internet Explorer v10.0.9200.16537 [OK] Die Registrierungsdatenbank ist sauber. -\\ Google Chrome v26.0.1410.64 Datei : C:\Users\Wohnzimmer\AppData\Local\Google\Chrome\User Data\Default\Preferences Gelöscht [l.2982] : urls_to_restore_on_startup = [ "hxxp://www.google.com/", "hxxp://www2.delta-search.com/?affID[...] Datei : C:\Users\Ysaef_000\AppData\Local\Google\Chrome\User Data\Default\Preferences Gelöscht [l.2737] : urls_to_restore_on_startup = [ "hxxp://www.google.com/", "hxxp://www.startfenster.com", "hxxp[...] -\\ Opera v12.15.1748.0 Datei : C:\Users\Wohnzimmer\AppData\Roaming\Opera\Opera\operaprefs.ini [OK] Die Datei ist sauber. Datei : C:\Users\Ysaef_000\AppData\Roaming\Opera\Opera\operaprefs.ini [OK] Die Datei ist sauber. ************************* AdwCleaner[R1].txt - [3499 octets] - [16/05/2013 19:25:49] AdwCleaner[S1].txt - [3048 octets] - [16/05/2013 19:26:34] ########## EOF - C:\AdwCleaner[S1].txt - [3108 octets] ########## Der wurde nicht gelöscht... Zitat:
Da waren sogar noch ein Paar die mir untergejubelt wurden. Ich befolge eigentlich schon seit beginn an die Tipps nur von Herstellerseiten Software zu laden und von dubiosen Seiten weg zu bleiben, aber auch das kann mal in die Hose gehen. Und seit WIN8 nutze ich auch nur WIN Defender und die WIN Firewall, weil es ausreichend sein soll. Aber scheint ja wohl nicht so ganz zu stimmen. Danke schön rajo und wie sieht es jetzt mit dem letzten Schlüssel aus? |
16.05.2013, 23:22 | #6 |
/// Helfer-Team | Nicht löschbarer Registrierungsschlüssel und nicht auffindbarer Pfad! piplo den key schau ich mir morgen an - kann aber später werden ... GN8 Rajo Hi piplo bitte lass den ADWcleaner nochmal laufen .. dann sehen wir ob er es schafft, sonst machen wir es händisch ich bin erst am abend wieder hier Rajo Piplo Zusatz ! nach ADW cleaner Mache bitte noch einen OTL lauf kopiere in die Textbox : Code:
ATTFilter netsvcs msconfig safebootminimal safebootnetwork activex drivers32 %SYSTEMDRIVE%\*.* %USERPROFILE%\*.* %USERPROFILE%\temp\*.exe %USERPROFILE%\AppData\Local\*.* %USERPROFILE%\AppData\Local\*. %USERPROFILE%\AppData\Local\temp\*.exe %USERPROFILE%\AppData\Roaming\*.* %USERPROFILE%\AppData\Roaming\*. %Public%\Documents\Fonts\*.exe %Public%\Documents\Config\*.exe %Public%\Documents\*.* %ProgramData%\*.* %ProgramData%\*. %CommonProgramFiles%\*.* %CommonProgramFiles%\ComObjects*.exe %commonprogramfiles(x86)%\*.* %ProgramFiles%\*.* %ProgramFiles%\*. %ProgramFiles(x86)%\*.* %ProgramFiles(x86)%\*. %programdata%\Microsoft\Windows\DRM\*.tmp %programdata%\Microsoft\DRM\*.tmp %systemroot%\system32\config\systemprofile\AppData\Local\*.* %systemroot%\system32\config\systemprofile\AppData\Roaming\*.* %windir%\SysWOW64\config\systemprofile\AppData\Local\*.* %windir%\SysWOW64\config\systemprofile\AppData\Roaming\*.* %windir%\ServiceProfiles\LocalService\AppData\Local\Temp\*.tlb %windir%\ServiceProfiles\NetworkService\AppData\Local\Temp\*.tlb %windir%\temp\*.exe %windir%\*. %windir%\installer\*. %windir%\system32\*. %windir%\sysnative\*. %Temp%\smtmp\1\*.* %Temp%\smtmp\2\*.* %Temp%\smtmp\3\*.* %Temp%\smtmp\4\*.* %systemroot%\system32\*.dll /lockedfiles %systemroot%\syswow64\*.dll /lockedfiles %systemroot%\Tasks\*.job /lockedfiles %systemroot%\system32\drivers\*.sys /90 %systemroot%\system32\drivers\*.sys /lockedfiles %systemroot%\syswow64\drivers\*.sys /90 %systemroot%\syswow64\drivers\*.sys /lockedfiles %systemroot%\system32\Spool\prtprocs\w32x86\*.dll %systemroot%\*. /rp /s %systemroot%\assembly\tmp\*.* /S /MD5 %systemroot%\assembly\temp\*.* /S /MD5 %systemroot%\assembly\GAC\*.ini %systemroot%\assembly\GAC_32\*.ini %systemroot%\assembly\GAC_64\*.ini %SystemRoot%\assembly\GAC_MSIL\*.ini wsSystemRoot|l,n,u,@;True;False;True;$,{ /fn %systemdrive%\$Recycle.Bin|@;true;true;true /fp HKEY_CLASSES_ROOT\CLSID\{7C857801-7381-11CF-884D-00AA004B2E24} /s HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{a2a9545d-a0c2-42b4-9708-a0b2badd77c8} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7C857801-7381-11CF-884D-00AA004B2E24} /s HKEY_CLASSES_ROOT\clsid\{5839FCA9-774D-42A1-ACDA-D6A79037F57F} /s HKEY_CLASSES_ROOT\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9} /s HKEY_CURRENT_USER\Software\Classes\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5839FCA9-774D-42A1-ACDA-D6A79037F57F} /s HKEY_CURRENT_USER\Software\Classes\clsid\{12d0253a-7c96-815c-11e0-3034bbd97cc0}] /s HKEY_CURRENT_USER\Software\MSOLoad /s bcdedit /enum all /v >C:\boot.txt /c >C:\commands.txt echo list vol /raw /hide /c /wait >C:\DiskReport.txt diskpart /s C:\commands.txt /raw /hide /c /wait type c:\diskreport.txt /c /wait erase c:\commands.txt /hide /c /wait erase c:\diskreport.txt /hide /c /md5start eventlog.dll scecli.dll netlogon.dll cngaudit.dll sceclt.dll ntelogon.dll logevent.dll consrv.dll services.exe explorer.exe lsass.exe svchost.exe wininit.exe winlogon.exe userinit.exe atapi.sys iaStor.sys serial.sys volsnap.sys disk.sys redbook.sys i8042prt.sys afd.sys netbt.sys csc.sys tcpip.sys dfsc.sys hlp.dat str.sys crexv.ocx /md5stop |
Themen zu Nicht löschbarer Registrierungsschlüssel und nicht auffindbarer Pfad! |
andere, anhang, antivirus, auffindbar, avast, dateien, entdeck, entdeckt, ergebnisse, forum, free, interne, internet, jahre, klick, leer, löschen, natürlich, nicht löschen, problem, prüfung, software, system, thema, würde |