Trojaner-Board - Nicht löschbarer Registrierungsschlüssel und nicht auffindbarer Pfad!

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Nicht löschbarer Registrierungsschlüssel und nicht auffindbarer Pfad! (https://www.trojaner-board.de/135026-loeschbarer-registrierungsschluessel-auffindbarer-pfad.html)

Nicht löschbarer Registrierungsschlüssel und nicht auffindbarer Pfad!

Hallo zusammen...

um mein System aufgeräumt und übersichtlich zu haben nutze ich TuneUp Utilities seit Jahren. Bei der letzten 1 Klick Wartung ist mir ein Registrierungsschlüssel aufgefallen den man nicht löschen kann, aber leer sein soll.

hxxp://www.imgbox.de/users/BigBommel/Screenshot_8.jpg

Durch Internet Recherche bin ich auf Euer Forum gestoßen wo das Thema schon angesprochen wurde, aber für mich nicht ganz plausibel war.

Und das andere Problem ist durch die Free Antivirus Software "AVAST" aufgeflogen bzw. bekannt geworden. Durch die Antivirus Prüfung ist ein Pfad entdeckt wurden der nach Aussage von AVAST nicht auffindbar ist.

hxxp://www.imgbox.de/users/BigBommel/Screenshot_9.jpg

Die Internet Recherche war auch nicht sehr aufschlussreich für mich.
Durch die fragwürdigen Ergebnisse habe ich mir Natürlich Gedanken gemacht und würde mich freuen wenn Ihr mir sagen könnt ob es was ernstes ist.

Ich habe die...
OTL.txt
Gmer.txt

Textdateien als Anhang beigefügt, leider hat OTL nach sechsfachem Versuch keine EXTRAS.txt Datei ausgespuckt.

MFG

Hallo Piplo

1 - Das Tune Uppp und auch CCcleaner contraproduktive Tools sind , sollte Dir (hoffentlich ) klar sein.
Ich würde mich über Einverständniss freuen .
Info:
http://forum.chip.de/downloads-tools...f-1703155.html

2 - Du hast eine Vermutung ? - Befall des Systems ? - sonst würdest Du kein Gmer log
und Otl hier reinstellen . Richtig ?

3 - Um was es aber genau geht weiß man nicht - da die Bilder nicht vergrösserbar sind

Schade ....

Rajo

Hi rajo,
ich denke mal bei mir ist es auch "macht der Gewohnheit" TuneUp zu nutzen. Ich hab halt auch schon gemerkt das WIN7 & WIN8 sehr gut alleine klar kommen. Aber wie man sieht bin ich doch mit Hilfe TU auf den nicht löschbaren Schlüssel gestoßen und die Internet Recherche macht mir so ein bisschen Kopfweh. Der Schlüssel DataMngr_toolbar soll angeblich nicht so sauber sein und ehrlich gesagt weiß ich auch nicht woher dieses Tool kommt. Und dann noch der komische Pfad System32\wdi{9f1811a...\snapshot.etl soll nach Dr. Google auch was auf dem Kerbholz haben.
Ich vermute halt wirklich das DataMngr_toolbar (Registrierungsschlüssel) und snapshot.etl (Pfad) was nicht erfreuliches sind.

Ja das mit den Bildern ist komisch, egal wie ich es hier angehe, die Bilder oder Links werden nicht korrekt angezeigt. Aber eigentlich sollten die jetzigen Links mit Kopieren funktionieren.

Hi Piplo

Wir fangen mal an :

Hole dir
ADWcleaner

Starte die adwcleaner.exe als administrator mit rechtem Mausklick http://www.abload.de/img/alsadminausfhrenbes46.png

Klicke auf Search.
Nach Ende des Suchlaufs lässt du alles löschen
das programm fordert dann einen Neustart ! den bitte mit ok bestätigen

Nach den Neustart wird dir ein Löschlog automatisch angezeigt
dieses bitte hier in die nächste Antwort posten

falls das Fenster vesehentlich zu gemacht wurde :-) :
Die Logdatei findet man unter C:\AdwCleaner[XX].txt.
XX ist nur ein Platzhalter für eine beliebige nummer sende das neueste file

Dann geht es weiter .

Rajo

Nabend rajo,

so wie es aussieht lag ich mit meiner Vermutung gar nicht so falsch.

gefunden:
AdwCleaner Logfile:

Code:

# AdwCleaner v2.300 - Datei am 16/05/2013 um 19:25:49 erstellt

# Aktualisiert am 28/04/2013 von Xplode

# Betriebssystem : Windows 8 Pro with Media Center  (64 bits)

# Benutzer : Wohnzimmer - BÜRO-PC

# Bootmodus : Normal

# Ausgeführt unter : C:\Users\Wohnzimmer\Desktop\adwcleaner.exe

# Option [Suche]
 
 

**** [Dienste] ****
 
 

***** [Dateien / Ordner] *****
 

Datei Gefunden : C:\END

Ordner Gefunden : C:\ProgramData\Babylon

Ordner Gefunden : C:\ProgramData\Tarma Installer

Ordner Gefunden : C:\Users\WOHNZI~1\AppData\Local\Temp\OCS

Ordner Gefunden : C:\Users\Wohnzimmer\AppData\LocalLow\boost_interprocess

Ordner Gefunden : C:\Users\Wohnzimmer\AppData\LocalLow\Delta

Ordner Gefunden : C:\Users\Wohnzimmer\AppData\Roaming\Babylon
 

***** [Registrierungsdatenbank] *****
 

Schlüssel Gefunden : HKCU\Software\BabylonToolbar

Schlüssel Gefunden : HKCU\Software\BI

Schlüssel Gefunden : HKCU\Software\Conduit

Schlüssel Gefunden : HKCU\Software\DataMngr

Schlüssel Gefunden : HKCU\Software\DataMngr_Toolbar

Schlüssel Gefunden : HKCU\Software\InstallCore

Schlüssel Gefunden : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{DF7770F7-832F-4BDF-B144-100EDDD0C3AE}

Schlüssel Gefunden : HKCU\Software\OCS

Schlüssel Gefunden : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4D79-A620-CCE0C0A66CC9}

Schlüssel Gefunden : HKLM\Software\Babylon

Schlüssel Gefunden : HKLM\SOFTWARE\Classes\AppID\{C26644C4-2A12-4CA6-8F2E-0EDE6CF018F3}

Schlüssel Gefunden : HKLM\SOFTWARE\Classes\Prod.cap

Schlüssel Gefunden : HKLM\Software\Conduit

Schlüssel Gefunden : HKLM\Software\DataMngr

Schlüssel Gefunden : HKLM\Software\InstallCore

Schlüssel Gefunden : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{80922EE0-8A76-46AE-95D5-BD3C3FE0708D}

Schlüssel Gefunden : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{10DE7085-6A1E-4D41-A7BF-9AF93E351401}

Schlüssel Gefunden : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{1AD27395-1659-4DFF-A319-2CFA243861A5}

Schlüssel Gefunden : HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\bi_uninstaller

Schlüssel Gefunden : HKLM\SOFTWARE\Tarma Installer

Schlüssel Gefunden : HKU\S-1-5-21-1694485516-419848332-1125097090-1000\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4D79-A620-CCE0C0A66CC9}
 

***** [Internet Browser] *****
 

-\\ Internet Explorer v10.0.9200.16537
 

[OK] Die Registrierungsdatenbank ist sauber.
 

-\\ Google Chrome v26.0.1410.64
 

Datei : C:\Users\Wohnzimmer\AppData\Local\Google\Chrome\User Data\Default\Preferences
 

Gefunden [l.2980] : urls_to_restore_on_startup = [ "hxxp://www.google.com/", "hxxp://www2.delta-search.com/?affID=119816&tt=gc_&babsrc=HP_ss&mntrId=547A50E54937A383" ]
 

Datei : C:\Users\Ysaef_000\AppData\Local\Google\Chrome\User Data\Default\Preferences
 

Gefunden [l.2737] : urls_to_restore_on_startup = [ "hxxp://www.google.com/", "hxxp://www.startfenster.com", "hxxp://start.mysearchdial.com/?f=1&a=ironmsd04&cd=2XzuyEtN2Y1L1QzuyDtD0EyDyEzytAyB0AtAzztA0CyD0FyEtN0D0Tzu0SyEzyyEtN1L2XzutBtFtBtFtCtFyCtCzztN1L1Czu1L1C1F1G1H1B1QtDyE&cr=1788408665&ir=" ]
 

-\\ Opera v12.15.1748.0
 

Datei : C:\Users\Wohnzimmer\AppData\Roaming\Opera\Opera\operaprefs.ini
 

[OK] Die Datei ist sauber.
 

Datei : C:\Users\Ysaef_000\AppData\Roaming\Opera\Opera\operaprefs.ini
 

[OK] Die Datei ist sauber.
 

*************************
 

AdwCleaner[R1].txt - [3374 octets] - [16/05/2013 19:25:49]
 

########## EOF - C:\AdwCleaner[R1].txt - [3434 octets] ##########

--- --- ---

gelöscht:
AdwCleaner Logfile:

Code:

# AdwCleaner v2.300 - Datei am 16/05/2013 um 19:26:34 erstellt

# Aktualisiert am 28/04/2013 von Xplode

# Betriebssystem : Windows 8 Pro with Media Center  (64 bits)

# Benutzer : Wohnzimmer - BÜRO-PC

# Bootmodus : Normal

# Ausgeführt unter : C:\Users\Wohnzimmer\Desktop\adwcleaner.exe

# Option [Löschen]
 
 

**** [Dienste] ****
 
 

***** [Dateien / Ordner] *****
 

Datei Gelöscht : C:\END

Ordner Gelöscht : C:\ProgramData\Babylon

Ordner Gelöscht : C:\ProgramData\Tarma Installer

Ordner Gelöscht : C:\Users\WOHNZI~1\AppData\Local\Temp\OCS

Ordner Gelöscht : C:\Users\Wohnzimmer\AppData\LocalLow\boost_interprocess

Ordner Gelöscht : C:\Users\Wohnzimmer\AppData\LocalLow\Delta

Ordner Gelöscht : C:\Users\Wohnzimmer\AppData\Roaming\Babylon
 

***** [Registrierungsdatenbank] *****
 

Schlüssel Gelöscht : HKCU\Software\BabylonToolbar

Schlüssel Gelöscht : HKCU\Software\BI

Schlüssel Gelöscht : HKCU\Software\Conduit

Schlüssel Gelöscht : HKCU\Software\DataMngr

Schlüssel Gelöscht : HKCU\Software\DataMngr_Toolbar

Schlüssel Gelöscht : HKCU\Software\InstallCore

Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{DF7770F7-832F-4BDF-B144-100EDDD0C3AE}

Schlüssel Gelöscht : HKCU\Software\OCS

Schlüssel Gelöscht : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4D79-A620-CCE0C0A66CC9}

Schlüssel Gelöscht : HKLM\Software\Babylon

Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\{C26644C4-2A12-4CA6-8F2E-0EDE6CF018F3}

Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Prod.cap

Schlüssel Gelöscht : HKLM\Software\Conduit

Schlüssel Gelöscht : HKLM\Software\DataMngr

Schlüssel Gelöscht : HKLM\Software\InstallCore

Schlüssel Gelöscht : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{80922EE0-8A76-46AE-95D5-BD3C3FE0708D}

Schlüssel Gelöscht : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{10DE7085-6A1E-4D41-A7BF-9AF93E351401}

Schlüssel Gelöscht : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{1AD27395-1659-4DFF-A319-2CFA243861A5}

Schlüssel Gelöscht : HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\bi_uninstaller

Schlüssel Gelöscht : HKLM\SOFTWARE\Tarma Installer
 

***** [Internet Browser] *****
 

-\\ Internet Explorer v10.0.9200.16537
 

[OK] Die Registrierungsdatenbank ist sauber.
 

-\\ Google Chrome v26.0.1410.64
 

Datei : C:\Users\Wohnzimmer\AppData\Local\Google\Chrome\User Data\Default\Preferences
 

Gelöscht [l.2982] : urls_to_restore_on_startup = [ "hxxp://www.google.com/", "hxxp://www2.delta-search.com/?affID[...]
 

Datei : C:\Users\Ysaef_000\AppData\Local\Google\Chrome\User Data\Default\Preferences
 

Gelöscht [l.2737] : urls_to_restore_on_startup = [ "hxxp://www.google.com/", "hxxp://www.startfenster.com", "hxxp[...]
 

-\\ Opera v12.15.1748.0
 

Datei : C:\Users\Wohnzimmer\AppData\Roaming\Opera\Opera\operaprefs.ini
 

[OK] Die Datei ist sauber.
 

Datei : C:\Users\Ysaef_000\AppData\Roaming\Opera\Opera\operaprefs.ini
 

[OK] Die Datei ist sauber.
 

*************************
 

AdwCleaner[R1].txt - [3499 octets] - [16/05/2013 19:25:49]

AdwCleaner[S1].txt - [3048 octets] - [16/05/2013 19:26:34]
 

########## EOF - C:\AdwCleaner[S1].txt - [3108 octets] ##########

--- --- ---
Der wurde nicht gelöscht...

Zitat:

Schlüssel Gefunden : HKU\S-1-5-21-1694485516-419848332-1125097090-1000\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4D79-A620-CCE0C0A66CC9}

Da waren sogar noch ein Paar die mir untergejubelt wurden. Ich befolge eigentlich schon seit beginn an die Tipps nur von Herstellerseiten Software zu laden und von dubiosen Seiten weg zu bleiben, aber auch das kann mal in die Hose gehen. Und seit WIN8 nutze ich auch nur WIN Defender und die WIN Firewall, weil es ausreichend sein soll. Aber scheint ja wohl nicht so ganz zu stimmen.

Danke schön rajo und wie sieht es jetzt mit dem letzten Schlüssel aus?

piplo
den key schau ich mir morgen an - kann aber später werden ...

GN8 :)

Rajo

Zitat:

Zitat von Piplo (Beitrag 1063567)

und wie sieht es jetzt mit dem letzten Schlüssel aus?

Hi piplo

bitte lass den ADWcleaner nochmal laufen .. dann sehen wir ob er es schafft,
sonst machen wir es händisch :)

ich bin erst am abend wieder hier

Rajo

Piplo

Zusatz ! nach ADW cleaner
Mache bitte noch einen OTL lauf

kopiere in die Textbox :

Code:

netsvcs

msconfig

safebootminimal

safebootnetwork

activex

drivers32

%SYSTEMDRIVE%\*.*

%USERPROFILE%\*.*

%USERPROFILE%\temp\*.exe

%USERPROFILE%\AppData\Local\*.*

%USERPROFILE%\AppData\Local\*.

%USERPROFILE%\AppData\Local\temp\*.exe

%USERPROFILE%\AppData\Roaming\*.*

%USERPROFILE%\AppData\Roaming\*.

%Public%\Documents\Fonts\*.exe

%Public%\Documents\Config\*.exe

%Public%\Documents\*.*

%ProgramData%\*.*

%ProgramData%\*.

%CommonProgramFiles%\*.*

%CommonProgramFiles%\ComObjects*.exe

%commonprogramfiles(x86)%\*.*

%ProgramFiles%\*.*

%ProgramFiles%\*.

%ProgramFiles(x86)%\*.*

%ProgramFiles(x86)%\*.

%programdata%\Microsoft\Windows\DRM\*.tmp

%programdata%\Microsoft\DRM\*.tmp

%systemroot%\system32\config\systemprofile\AppData\Local\*.*

%systemroot%\system32\config\systemprofile\AppData\Roaming\*.*

%windir%\SysWOW64\config\systemprofile\AppData\Local\*.*

%windir%\SysWOW64\config\systemprofile\AppData\Roaming\*.*

%windir%\ServiceProfiles\LocalService\AppData\Local\Temp\*.tlb

%windir%\ServiceProfiles\NetworkService\AppData\Local\Temp\*.tlb

%windir%\temp\*.exe

%windir%\*.

%windir%\installer\*.

%windir%\system32\*.

%windir%\sysnative\*.

%Temp%\smtmp\1\*.*

%Temp%\smtmp\2\*.*

%Temp%\smtmp\3\*.*

%Temp%\smtmp\4\*.*

%systemroot%\system32\*.dll /lockedfiles

%systemroot%\syswow64\*.dll /lockedfiles

%systemroot%\Tasks\*.job /lockedfiles

%systemroot%\system32\drivers\*.sys /90

%systemroot%\system32\drivers\*.sys /lockedfiles

%systemroot%\syswow64\drivers\*.sys /90

%systemroot%\syswow64\drivers\*.sys /lockedfiles

%systemroot%\system32\Spool\prtprocs\w32x86\*.dll

%systemroot%\*. /rp /s

%systemroot%\assembly\tmp\*.* /S /MD5

%systemroot%\assembly\temp\*.* /S /MD5

%systemroot%\assembly\GAC\*.ini

%systemroot%\assembly\GAC_32\*.ini

%systemroot%\assembly\GAC_64\*.ini

%SystemRoot%\assembly\GAC_MSIL\*.ini

wsSystemRoot|l,n,u,@;True;False;True;$,{ /fn

%systemdrive%\$Recycle.Bin|@;true;true;true /fp

HKEY_CLASSES_ROOT\CLSID\{7C857801-7381-11CF-884D-00AA004B2E24} /s

HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s

HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{a2a9545d-a0c2-42b4-9708-a0b2badd77c8} /s

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7C857801-7381-11CF-884D-00AA004B2E24} /s

HKEY_CLASSES_ROOT\clsid\{5839FCA9-774D-42A1-ACDA-D6A79037F57F} /s

HKEY_CLASSES_ROOT\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9} /s

HKEY_CURRENT_USER\Software\Classes\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9} /s

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5839FCA9-774D-42A1-ACDA-D6A79037F57F} /s

HKEY_CURRENT_USER\Software\Classes\clsid\{12d0253a-7c96-815c-11e0-3034bbd97cc0}] /s

HKEY_CURRENT_USER\Software\MSOLoad /s

bcdedit /enum all /v >C:\boot.txt /c

>C:\commands.txt echo list vol /raw /hide /c

/wait

>C:\DiskReport.txt diskpart /s C:\commands.txt /raw /hide /c

/wait

type c:\diskreport.txt /c

/wait

erase c:\commands.txt /hide /c

/wait

erase c:\diskreport.txt /hide /c

/md5start

eventlog.dll

scecli.dll

netlogon.dll

cngaudit.dll

sceclt.dll

ntelogon.dll

logevent.dll

consrv.dll

services.exe

explorer.exe

lsass.exe

svchost.exe

wininit.exe

winlogon.exe

userinit.exe

atapi.sys

iaStor.sys

serial.sys

volsnap.sys

disk.sys

redbook.sys

i8042prt.sys

afd.sys

netbt.sys

csc.sys

tcpip.sys

dfsc.sys

hlp.dat

str.sys

crexv.ocx

/md5stop

und poste das log ( in code Tags ! )