| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Nicht löschbarer Registrierungsschlüssel und nicht auffindbarer Pfad!Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
16.05.2013, 11:53
| #1 |
| |  Nicht löschbarer Registrierungsschlüssel und nicht auffindbarer Pfad! Hallo zusammen... um mein System aufgeräumt und übersichtlich zu haben nutze ich TuneUp Utilities seit Jahren. Bei der letzten 1 Klick Wartung ist mir ein Registrierungsschlüssel aufgefallen den man nicht löschen kann, aber leer sein soll. hxxp://www.imgbox.de/users/BigBommel/Screenshot_8.jpg Durch Internet Recherche bin ich auf Euer Forum gestoßen wo das Thema schon angesprochen wurde, aber für mich nicht ganz plausibel war. Und das andere Problem ist durch die Free Antivirus Software "AVAST" aufgeflogen bzw. bekannt geworden. Durch die Antivirus Prüfung ist ein Pfad entdeckt wurden der nach Aussage von AVAST nicht auffindbar ist. hxxp://www.imgbox.de/users/BigBommel/Screenshot_9.jpg Die Internet Recherche war auch nicht sehr aufschlussreich für mich. Durch die fragwürdigen Ergebnisse habe ich mir Natürlich Gedanken gemacht und würde mich freuen wenn Ihr mir sagen könnt ob es was ernstes ist. Ich habe die... OTL.txt Gmer.txt Textdateien als Anhang beigefügt, leider hat OTL nach sechsfachem Versuch keine EXTRAS.txt Datei ausgespuckt. MFG Geändert von Piplo (16.05.2013 um 12:47 Uhr) Grund: Bilder nicht aufrufbar |
|
16.05.2013, 12:49
| #2 |
| /// Helfer-Team   |  Nicht löschbarer Registrierungsschlüssel und nicht auffindbarer Pfad! Hallo Piplo
__________________1 - Das Tune Uppp und auch CCcleaner contraproduktive Tools sind , sollte Dir (hoffentlich ) klar sein. Ich würde mich über Einverständniss freuen . Info: http://forum.chip.de/downloads-tools...f-1703155.html 2 - Du hast eine Vermutung ? - Befall des Systems ? - sonst würdest Du kein GMER log und Otl hier reinstellen . Richtig ? 3 - Um was es aber genau geht weiß man nicht - da die Bilder nicht vergrösserbar sind Schade .... Rajo |
|
16.05.2013, 13:19
| #3 |
| | Nicht löschbarer Registrierungsschlüssel und nicht auffindbarer Pfad! Hi rajo,
__________________ich denke mal bei mir ist es auch "macht der Gewohnheit" TuneUp zu nutzen. Ich hab halt auch schon gemerkt das WIN7 & WIN8 sehr gut alleine klar kommen. Aber wie man sieht bin ich doch mit Hilfe TU auf den nicht löschbaren Schlüssel gestoßen und die Internet Recherche macht mir so ein bisschen Kopfweh. Der Schlüssel DataMngr_toolbar soll angeblich nicht so sauber sein und ehrlich gesagt weiß ich auch nicht woher dieses Tool kommt. Und dann noch der komische Pfad System32\wdi{9f1811a...\snapshot.etl soll nach Dr. Google auch was auf dem Kerbholz haben. Ich vermute halt wirklich das DataMngr_toolbar (Registrierungsschlüssel) und snapshot.etl (Pfad) was nicht erfreuliches sind. Ja das mit den Bildern ist komisch, egal wie ich es hier angehe, die Bilder oder Links werden nicht korrekt angezeigt. Aber eigentlich sollten die jetzigen Links mit Kopieren funktionieren. |
|
16.05.2013, 14:27
| #4 |
| /// Helfer-Team | Nicht löschbarer Registrierungsschlüssel und nicht auffindbarer Pfad! Hi Piplo Wir fangen mal an : Hole dir ADWcleaner Starte die adwcleaner.exe als administrator mit rechtem Mausklick  Klicke auf Search. Nach Ende des Suchlaufs lässt du alles löschen das programm fordert dann einen Neustart ! den bitte mit ok bestätigen Nach den Neustart wird dir ein Löschlog automatisch angezeigt dieses bitte hier in die nächste Antwort posten falls das Fenster vesehentlich zu gemacht wurde :-) : Die Logdatei findet man unter C:\AdwCleaner[XX].txt. XX ist nur ein Platzhalter für eine beliebige nummer sende das neueste file Dann geht es weiter . Rajo Geändert von rajo (16.05.2013 um 14:33 Uhr) |
|
16.05.2013, 19:12
| #5 | |
| | Nicht löschbarer Registrierungsschlüssel und nicht auffindbarer Pfad! Nabend rajo, so wie es aussieht lag ich mit meiner Vermutung gar nicht so falsch. gefunden: AdwCleaner Logfile: Code:
ATTFilter # AdwCleaner v2.300 - Datei am 16/05/2013 um 19:25:49 erstellt
# Aktualisiert am 28/04/2013 von Xplode
# Betriebssystem : Windows 8 Pro with Media Center (64 bits)
# Benutzer : Wohnzimmer - BÜRO-PC
# Bootmodus : Normal
# Ausgeführt unter : C:\Users\Wohnzimmer\Desktop\adwcleaner.exe
# Option [Suche]
**** [Dienste] ****
***** [Dateien / Ordner] *****
Datei Gefunden : C:\END
Ordner Gefunden : C:\ProgramData\Babylon
Ordner Gefunden : C:\ProgramData\Tarma Installer
Ordner Gefunden : C:\Users\WOHNZI~1\AppData\Local\Temp\OCS
Ordner Gefunden : C:\Users\Wohnzimmer\AppData\LocalLow\boost_interprocess
Ordner Gefunden : C:\Users\Wohnzimmer\AppData\LocalLow\Delta
Ordner Gefunden : C:\Users\Wohnzimmer\AppData\Roaming\Babylon
***** [Registrierungsdatenbank] *****
Schlüssel Gefunden : HKCU\Software\BabylonToolbar
Schlüssel Gefunden : HKCU\Software\BI
Schlüssel Gefunden : HKCU\Software\Conduit
Schlüssel Gefunden : HKCU\Software\DataMngr
Schlüssel Gefunden : HKCU\Software\DataMngr_Toolbar
Schlüssel Gefunden : HKCU\Software\InstallCore
Schlüssel Gefunden : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{DF7770F7-832F-4BDF-B144-100EDDD0C3AE}
Schlüssel Gefunden : HKCU\Software\OCS
Schlüssel Gefunden : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4D79-A620-CCE0C0A66CC9}
Schlüssel Gefunden : HKLM\Software\Babylon
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\AppID\{C26644C4-2A12-4CA6-8F2E-0EDE6CF018F3}
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\Prod.cap
Schlüssel Gefunden : HKLM\Software\Conduit
Schlüssel Gefunden : HKLM\Software\DataMngr
Schlüssel Gefunden : HKLM\Software\InstallCore
Schlüssel Gefunden : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{80922EE0-8A76-46AE-95D5-BD3C3FE0708D}
Schlüssel Gefunden : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{10DE7085-6A1E-4D41-A7BF-9AF93E351401}
Schlüssel Gefunden : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{1AD27395-1659-4DFF-A319-2CFA243861A5}
Schlüssel Gefunden : HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\bi_uninstaller
Schlüssel Gefunden : HKLM\SOFTWARE\Tarma Installer
Schlüssel Gefunden : HKU\S-1-5-21-1694485516-419848332-1125097090-1000\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4D79-A620-CCE0C0A66CC9}
***** [Internet Browser] *****
-\\ Internet Explorer v10.0.9200.16537
[OK] Die Registrierungsdatenbank ist sauber.
-\\ Google Chrome v26.0.1410.64
Datei : C:\Users\Wohnzimmer\AppData\Local\Google\Chrome\User Data\Default\Preferences
Gefunden [l.2980] : urls_to_restore_on_startup = [ "hxxp://www.google.com/", "hxxp://www2.delta-search.com/?affID=119816&tt=gc_&babsrc=HP_ss&mntrId=547A50E54937A383" ]
Datei : C:\Users\Ysaef_000\AppData\Local\Google\Chrome\User Data\Default\Preferences
Gefunden [l.2737] : urls_to_restore_on_startup = [ "hxxp://www.google.com/", "hxxp://www.startfenster.com", "hxxp://start.mysearchdial.com/?f=1&a=ironmsd04&cd=2XzuyEtN2Y1L1QzuyDtD0EyDyEzytAyB0AtAzztA0CyD0FyEtN0D0Tzu0SyEzyyEtN1L2XzutBtFtBtFtCtFyCtCzztN1L1Czu1L1C1F1G1H1B1QtDyE&cr=1788408665&ir=" ]
-\\ Opera v12.15.1748.0
Datei : C:\Users\Wohnzimmer\AppData\Roaming\Opera\Opera\operaprefs.ini
[OK] Die Datei ist sauber.
Datei : C:\Users\Ysaef_000\AppData\Roaming\Opera\Opera\operaprefs.ini
[OK] Die Datei ist sauber.
*************************
AdwCleaner[R1].txt - [3374 octets] - [16/05/2013 19:25:49]
########## EOF - C:\AdwCleaner[R1].txt - [3434 octets] ##########
gelöscht: AdwCleaner Logfile: Code:
ATTFilter # AdwCleaner v2.300 - Datei am 16/05/2013 um 19:26:34 erstellt
# Aktualisiert am 28/04/2013 von Xplode
# Betriebssystem : Windows 8 Pro with Media Center (64 bits)
# Benutzer : Wohnzimmer - BÜRO-PC
# Bootmodus : Normal
# Ausgeführt unter : C:\Users\Wohnzimmer\Desktop\adwcleaner.exe
# Option [Löschen]
**** [Dienste] ****
***** [Dateien / Ordner] *****
Datei Gelöscht : C:\END
Ordner Gelöscht : C:\ProgramData\Babylon
Ordner Gelöscht : C:\ProgramData\Tarma Installer
Ordner Gelöscht : C:\Users\WOHNZI~1\AppData\Local\Temp\OCS
Ordner Gelöscht : C:\Users\Wohnzimmer\AppData\LocalLow\boost_interprocess
Ordner Gelöscht : C:\Users\Wohnzimmer\AppData\LocalLow\Delta
Ordner Gelöscht : C:\Users\Wohnzimmer\AppData\Roaming\Babylon
***** [Registrierungsdatenbank] *****
Schlüssel Gelöscht : HKCU\Software\BabylonToolbar
Schlüssel Gelöscht : HKCU\Software\BI
Schlüssel Gelöscht : HKCU\Software\Conduit
Schlüssel Gelöscht : HKCU\Software\DataMngr
Schlüssel Gelöscht : HKCU\Software\DataMngr_Toolbar
Schlüssel Gelöscht : HKCU\Software\InstallCore
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{DF7770F7-832F-4BDF-B144-100EDDD0C3AE}
Schlüssel Gelöscht : HKCU\Software\OCS
Schlüssel Gelöscht : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4D79-A620-CCE0C0A66CC9}
Schlüssel Gelöscht : HKLM\Software\Babylon
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\{C26644C4-2A12-4CA6-8F2E-0EDE6CF018F3}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Prod.cap
Schlüssel Gelöscht : HKLM\Software\Conduit
Schlüssel Gelöscht : HKLM\Software\DataMngr
Schlüssel Gelöscht : HKLM\Software\InstallCore
Schlüssel Gelöscht : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{80922EE0-8A76-46AE-95D5-BD3C3FE0708D}
Schlüssel Gelöscht : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{10DE7085-6A1E-4D41-A7BF-9AF93E351401}
Schlüssel Gelöscht : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{1AD27395-1659-4DFF-A319-2CFA243861A5}
Schlüssel Gelöscht : HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\bi_uninstaller
Schlüssel Gelöscht : HKLM\SOFTWARE\Tarma Installer
***** [Internet Browser] *****
-\\ Internet Explorer v10.0.9200.16537
[OK] Die Registrierungsdatenbank ist sauber.
-\\ Google Chrome v26.0.1410.64
Datei : C:\Users\Wohnzimmer\AppData\Local\Google\Chrome\User Data\Default\Preferences
Gelöscht [l.2982] : urls_to_restore_on_startup = [ "hxxp://www.google.com/", "hxxp://www2.delta-search.com/?affID[...]
Datei : C:\Users\Ysaef_000\AppData\Local\Google\Chrome\User Data\Default\Preferences
Gelöscht [l.2737] : urls_to_restore_on_startup = [ "hxxp://www.google.com/", "hxxp://www.startfenster.com", "hxxp[...]
-\\ Opera v12.15.1748.0
Datei : C:\Users\Wohnzimmer\AppData\Roaming\Opera\Opera\operaprefs.ini
[OK] Die Datei ist sauber.
Datei : C:\Users\Ysaef_000\AppData\Roaming\Opera\Opera\operaprefs.ini
[OK] Die Datei ist sauber.
*************************
AdwCleaner[R1].txt - [3499 octets] - [16/05/2013 19:25:49]
AdwCleaner[S1].txt - [3048 octets] - [16/05/2013 19:26:34]
########## EOF - C:\AdwCleaner[S1].txt - [3108 octets] ##########
Der wurde nicht gelöscht... Zitat:
Da waren sogar noch ein Paar die mir untergejubelt wurden. Ich befolge eigentlich schon seit beginn an die Tipps nur von Herstellerseiten Software zu laden und von dubiosen Seiten weg zu bleiben, aber auch das kann mal in die Hose gehen. Und seit WIN8 nutze ich auch nur WIN Defender und die WIN Firewall, weil es ausreichend sein soll. Aber scheint ja wohl nicht so ganz zu stimmen. Danke schön rajo und wie sieht es jetzt mit dem letzten Schlüssel aus? |
|
16.05.2013, 23:22
| #6 | |
| /// Helfer-Team | Nicht löschbarer Registrierungsschlüssel und nicht auffindbarer Pfad! piplo den key schau ich mir morgen an - kann aber später werden ... GN8  Rajo Zitat:
bitte lass den ADWcleaner nochmal laufen .. dann sehen wir ob er es schafft, sonst machen wir es händisch ich bin erst am abend wieder hier Rajo Piplo Zusatz ! nach ADW cleaner Mache bitte noch einen OTL lauf kopiere in die Textbox : Code:
ATTFilter netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%SYSTEMDRIVE%\*.*
%USERPROFILE%\*.*
%USERPROFILE%\temp\*.exe
%USERPROFILE%\AppData\Local\*.*
%USERPROFILE%\AppData\Local\*.
%USERPROFILE%\AppData\Local\temp\*.exe
%USERPROFILE%\AppData\Roaming\*.*
%USERPROFILE%\AppData\Roaming\*.
%Public%\Documents\Fonts\*.exe
%Public%\Documents\Config\*.exe
%Public%\Documents\*.*
%ProgramData%\*.*
%ProgramData%\*.
%CommonProgramFiles%\*.*
%CommonProgramFiles%\ComObjects*.exe
%commonprogramfiles(x86)%\*.*
%ProgramFiles%\*.*
%ProgramFiles%\*.
%ProgramFiles(x86)%\*.*
%ProgramFiles(x86)%\*.
%programdata%\Microsoft\Windows\DRM\*.tmp
%programdata%\Microsoft\DRM\*.tmp
%systemroot%\system32\config\systemprofile\AppData\Local\*.*
%systemroot%\system32\config\systemprofile\AppData\Roaming\*.*
%windir%\SysWOW64\config\systemprofile\AppData\Local\*.*
%windir%\SysWOW64\config\systemprofile\AppData\Roaming\*.*
%windir%\ServiceProfiles\LocalService\AppData\Local\Temp\*.tlb
%windir%\ServiceProfiles\NetworkService\AppData\Local\Temp\*.tlb
%windir%\temp\*.exe
%windir%\*.
%windir%\installer\*.
%windir%\system32\*.
%windir%\sysnative\*.
%Temp%\smtmp\1\*.*
%Temp%\smtmp\2\*.*
%Temp%\smtmp\3\*.*
%Temp%\smtmp\4\*.*
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\syswow64\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /90
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\syswow64\drivers\*.sys /90
%systemroot%\syswow64\drivers\*.sys /lockedfiles
%systemroot%\system32\Spool\prtprocs\w32x86\*.dll
%systemroot%\*. /rp /s
%systemroot%\assembly\tmp\*.* /S /MD5
%systemroot%\assembly\temp\*.* /S /MD5
%systemroot%\assembly\GAC\*.ini
%systemroot%\assembly\GAC_32\*.ini
%systemroot%\assembly\GAC_64\*.ini
%SystemRoot%\assembly\GAC_MSIL\*.ini
wsSystemRoot|l,n,u,@;True;False;True;$,{ /fn
%systemdrive%\$Recycle.Bin|@;true;true;true /fp
HKEY_CLASSES_ROOT\CLSID\{7C857801-7381-11CF-884D-00AA004B2E24} /s
HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s
HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{a2a9545d-a0c2-42b4-9708-a0b2badd77c8} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7C857801-7381-11CF-884D-00AA004B2E24} /s
HKEY_CLASSES_ROOT\clsid\{5839FCA9-774D-42A1-ACDA-D6A79037F57F} /s
HKEY_CLASSES_ROOT\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9} /s
HKEY_CURRENT_USER\Software\Classes\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5839FCA9-774D-42A1-ACDA-D6A79037F57F} /s
HKEY_CURRENT_USER\Software\Classes\clsid\{12d0253a-7c96-815c-11e0-3034bbd97cc0}] /s
HKEY_CURRENT_USER\Software\MSOLoad /s
bcdedit /enum all /v >C:\boot.txt /c
>C:\commands.txt echo list vol /raw /hide /c
/wait
>C:\DiskReport.txt diskpart /s C:\commands.txt /raw /hide /c
/wait
type c:\diskreport.txt /c
/wait
erase c:\commands.txt /hide /c
/wait
erase c:\diskreport.txt /hide /c
/md5start
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
sceclt.dll
ntelogon.dll
logevent.dll
consrv.dll
services.exe
explorer.exe
lsass.exe
svchost.exe
wininit.exe
winlogon.exe
userinit.exe
atapi.sys
iaStor.sys
serial.sys
volsnap.sys
disk.sys
redbook.sys
i8042prt.sys
afd.sys
netbt.sys
csc.sys
tcpip.sys
dfsc.sys
hlp.dat
str.sys
crexv.ocx
/md5stop
|
|
| Themen zu Nicht löschbarer Registrierungsschlüssel und nicht auffindbarer Pfad! |
| andere, anhang, antivirus, auffindbar, avast, dateien, entdeck, entdeckt, ergebnisse, forum, free, interne, internet, jahre, klick, leer, löschen, natürlich, nicht löschen, problem, prüfung, software, system, thema, würde |
Linear-Darstellung
