Auswertung eines AdwCleaner - logfiles

Hi!

Würde sich bitte jemand meines AdwCleaner-Logs annehmen?

# AdwCleaner v3.311 - Bericht erstellt am 08/10/2014 um 23:24:03
# Aktualisiert 30/09/2014 von Xplode
# Betriebssystem : Windows 7 Home Premium Service Pack 1 (64 bits)
# Benutzername : Administration - NOTEBOOK-MM
# Gestartet von : C:\Users\Administration\Desktop\adwcleaner_3.311.exe
# Option : Suchen


***** [ Dienste ] *****




***** [ Dateien / Ordner ] *****


Datei Gefunden : C:\Users\XXX\AppData\Roaming\Mozilla\Firefox\Profiles\6t6xl09n.default\foxydeal.sqlite
Datei Gefunden : C:\Users\XXX\AppData\Roaming\Mozilla\Firefox\Profiles\6t6xl09n.default\searchplugins\11-suche.xml
Datei Gefunden : C:\Users\YYY\AppData\Roaming\Mozilla\Firefox\Profiles\9lmvyp8p.default\searchplugins\11-suche.xml


***** [ Tasks ] *****




***** [ Verknüpfungen ] *****




***** [ Registrierungsdatenbank ] *****


Schlüssel Gefunden : HKCU\Software\OCS
Schlüssel Gefunden : [x64] HKCU\Software\OCS
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\CLSID\{065C1A21-97F8-45FB-A9F0-861B60FACEC8}
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\CLSID\{3204358F-5904-46A6-841F-D6B5BE3EF4E3}
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\CLSID\{3AE67737-0E3E-44AA-AA5E-46A68BF017FF}
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\CLSID\{3EE5B726-044A-48D2-AA7B-049BD9A0F62A}
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\CLSID\{60FBBE03-57FF-49D8-B38E-053D3F489825}
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\CLSID\{6A5182F1-C0B8-42B8-96CC-7F329CD46913}
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\CLSID\{6C153418-8E4D-4FAF-AF27-5201E38463A7}
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\CLSID\{A26A2F05-AC4D-4A1E-9531-9125F7309B78}
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\CLSID\{CC5D6240-7DF0-435D-9B9B-F8586A99DE86}
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\CLSID\{F343045E-E20A-46E1-82D8-9962C43EFC9E}
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\CLSID\{FBB360DC-CB6C-4D6A-808A-2C773151BFFF}
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\CLSID\{FFD7DDAC-EC28-42A5-8D39-917B9078604B}
Schlüssel Gefunden : HKLM\SOFTWARE\Microsoft\Tracing\apnstub_RASAPI32
Schlüssel Gefunden : HKLM\SOFTWARE\Microsoft\Tracing\apnstub_RASMANCS
Schlüssel Gefunden : HKLM\SOFTWARE\Microsoft\Tracing\BingBar_RASMANCS


***** [ Browser ] *****


-\\ Internet Explorer v11.0.9600.17280




-\\ Mozilla Firefox v32.0.3 (x86 de)


[ Datei : C:\Users\Administration\AppData\Roaming\Mozilla\Firefox\Profiles\py3v1gpp.default\prefs.js ]




[ Datei : C:\Users\XXX\AppData\Roaming\Mozilla\Firefox\Profiles\6t6xl09n.default\prefs.js ]




[ Datei : C:\Users\XXX\AppData\Roaming\Mozilla\Firefox\Profiles\xop24fo8.Test\prefs.js ]




[ Datei : C:\Users\YYY\AppData\Roaming\Mozilla\Firefox\Profiles\9lmvyp8p.default\prefs.js ]




*************************


AdwCleaner[R0].txt - [2745 octets] - [10/07/2014 00:26:22]
AdwCleaner[R1].txt - [2946 octets] - [08/10/2014 23:09:42]
AdwCleaner[R2].txt - [2862 octets] - [08/10/2014 23:24:03]


########## EOF - C:\AdwCleaner\AdwCleaner[R2].txt - [2922 octets] ##########

Gruß und vielen Dank im Voraus,

Scyllo

Hi!

Erst einmal vielen Dank für Eure Hilfe!

Zitat

Wenn du bewusst bei 1&1 (http://www.1und1.de/) die Suche als Suchanbieter hinzu gefügt hast kommt das daher und ist nicht weiter schlimm.

Ich bin bei 1&1, aber ich wüsste nicht, welche Suche ich als Suchanbieter hinzugefügt haben sollte. Wie wäre das denn theoretisch verlaufen (was hätte ich auch der 1&1-Seite anklicken müssen)?

Zitat

zu foxydeal.sqlite: siehe http://www.hijackthis-forum.de/hijackth ... y-ein.html also könnte von ProxyTube kommen.

Hä? Ich hatte mal ProxyTube installiert; allerdings wurde ich im Zuge der Installation gefragt, ob ich auch foxydeal installieren möchte. Dies lehnte ich allerdings ab (habe diesbezüglich auch keinen Haken gesetzt!). Woher kommt der Fund also?

Zitat

HKCU\Software\OCS

kommt von Chip Downloader. Hau weg die Dinger http://forum.chip.de/viren-trojaner-wue ... st11088109

Einige im verlinkten Forum schreiben allerdings, die OCS-Einträge kämen nach dem Löschen wieder...

Zitat

- Microsoft\Tracing\apnstub sind verzeichnete Webzugriffe einer apnstub.exe

Hmm, das sagt mir leider nicht viel.

Laut diesem Link http://www.file.net/prozess/apnstub.exe.html kann es wohl mit Avira zusammenhängen (war mal installiert), hingegen wäre mir nicht bewusst, dass mal die Ask.Toolbar installiert war.

Zitat

Ein Klick auf den Autor sagt mir zB dass es der gleiche wie von Roxio (Brennsoftware) sein muss.
Irgendwas von denen hast du mal installiert.

Meine vorinstallierte Brennsoftware ist von Roxio! Darf ich diesen Eintrag folglich nicht mit löschen und muss ihn zuvor abwählen?

Zitat

Aus der Trefferliste: http://www.herdprotect.com/albumcommonplu…5ca8455e59.aspx
Dort wird diese CLSID (Class ID) gelistet, dort steht die zugehörige Datei, Autor usw.
Ein Klick auf den Autor sagt mir zB dass es der gleiche wie von Roxio (Brennsoftware) sein muss.

Das trifft z.B. für {065C1A21-97F8-45FB-A9F0-861B60FACEC8} zu. Gibt man jedoch andere Funde ein, landet man häufig nur auf Seiten, auf denen andere lediglich Ihre eigenen logfiles posten.

Gibt es einen Trick die Seiten zu finden, wie http://www.herdprotect.com, auf denen die Funde auch näher erklärt werden?

Gruß,

Scyllo

Hi!

Ich bin gerade etwas verunsichert.....

Bevor ich die Ergebnisse seitens des AdwCleaners löschen lassen wollte, habe ich zuerst ein Vollbackup des Systems mittels Acronis angefertigt.

Danach führte ich den AdwCleaner im Admin-Konto als Administrator aus und betätigte den Button "Löschen".

Nach einem Systemneustart führte ich dann den CCleaner aus.

Nun meine Fragen:

1. Ist es "normal", dass der CCleaner nun noch das hier anzeigt, obwohl es ja eigentlich seitens des AdwCleaners gelöscht wurde? Oder wofür stehen diese "Funde" genau? Vor dem Löschen mittels AdwCleaner waren im CCleaner nämlich keine Fundstellen in der Registry vorhanden.

[Blockierte Grafik: http://img5.fotos-hochladen.net/uploads/ccleanermcunhsorqw.jpg]

2. Mir ist aufgefallen, dass ich nun bereits diverse Seiten (Amazon, Camp- Firefox, etc.) im Firefox über die Erweiterung NoScript neu erlauben musste. Eventuell handelt es sich auch um alle bereits erlaubten Seiten (das weiß ich aber nicht).

Ist auch das nach der Löschung durch den AdwCleaner "normal"?

Gruß,

Scyllo

Danke für die Antwort!

Zitat von Bernd.

AdwCleaner hat ja oben besagte Einträge in der Registry gefunden und gelöscht. Selbst,w enn du Roxie vertraust, stuift AdwCleaner das schon als Adware ein, weil das Verhalten dieser Einträge wohl keinen anderen Schluss zulässt.

Was CCleaner da nun draus macht ist das, dass diese Einträge entweder defekt oder ungültig sind, oder Verweise dahinzeigen und somit einen Fehler findet. Wenn du CCleaner jetzt bereinigen lässt, kann es passieren, dass Roxie rumspinnt - oder auch nicht. CCleaner bietet ja ein Backup der Funde an, nutze es.

Weshalb würde denn Roxie erst dann "rumspinnen", wenn ich abschließend eine Bereinigung durch CCleaner durchführen lassen würde?

Denn gelöscht wurden die besagten Einträge doch bereits durch AdwCleaner. Hätte Roxie denn nicht quasi schon dann eine "Reaktion" zeigen müssen?

Das klingt für mich ein wenig so, als wenn ich 6 Teile aus dem Motorraum eines Autos entferne, dieses aber problemlos weiterfährt und erst, wenn ich durch eine externe Software den "Eintrag" löschen lasse, dass diese Teile nun nicht mehr vorhanden sind, streikt dann plötzlich der Wagen.

Oder stelle ich mir das zu einfach vor?

Könnte bitte noch jemand etwas dazu sagen, weshalb ich nach dem Löschen mittels AdwCleaner nun plötzlich alle bisher erlaubten Scripte auf Internetseiten nun neu mit NoScript erlauben muss? Welcher angehakte Fund bei AdwCleaner war dafür verantwortlich?

Gruß,

Scyllo

Hi!

Also irgendetwas scheint bei der Löschung durch AdwCleaner "schief gelaufen" zu sein.....zumindest im Windows-Benutzerkonto meiner Partnerin:

Als sie vorhin das erste Mal seit dem Löschvorgang durch AdwCleaner (gelöscht wurden alle Einträge aus dem oben angegebenen Logfile) den Firefox öffnete, "poppten" mehre Tabs auf, welche zu Add-Ons gehören, die (neben anderen) in Ihrem Firefox installiert sind:

[Blockierte Grafik: http://img5.fotos-hochladen.net/thumbnail/nachlschungw0gdmuztkp_thumb.jpg]

Auch wenn man dann beispielsweise den Tab von Lazarus öffnet und über NoScript "getlazarus.com" permanent erlaubt; beim nächsten Start von Firefox poppen wieder diese Tabs auf und die Erlaubnis seitens NoScript wird einfach ignoriert (vergessen), "getlazarus.com" muss erneut permanent erlaubt werden!

Zudem ist oben in der Browserleiste (rechts neben dem Adress- sowie Suchfeld) ein Symbol hinzugekommen, das dort vorher nicht war (Toggle Favorites von QuickJava); als ich dieses durch "Anpassen" entfernte, war auch dies nach einem Neustart des FF wieder vorhanden.

Was ist da los........?

Was genau beim Löschvorgang durch AdwCleaner ist dafür verantwortlich?

Und wie lässt es sich nun beheben, dass ständig diese Tabs aufgehen, sobald man den Firefox startet? In meinem Benutzerkonto ist dies übrigens nicht der Fall!

Gruß,

Scyllo

Edit: Hmmm....das klingt ja so ähnlich wie hier: https://www.camp-firefox.de/forum/viewtopic.php?f=1&t=107602

Wenn ich nun in dem besagten Benutzerkonto den FF zurücksetzen würde, wird dann auch wirklich nur der FF in diesem Konto zurückgesetzt oder könnte unter Umständen auch mein FF betroffen sein?

Leider hat der Themenersteller des verlinkten Threads ja nicht geschrieben, was genau ihm nun geholfen hatte....

Hallo!

Kurze Rückmeldung:

Da ich ja ein System-Vollbackup als Sicherheit hatte, habe ich heute Nacht einfach mal den Firefox im Benutzerkonto meiner Freundin zurückgesetzt.

Dies scheint das von mir geschilderte Phänomen/Problem behoben zu haben!

Allerdings würde mich schon noch das folgende interessieren:

In Ihrem Profil wurde dieselbe "Adware-Suchmaschine" seitens AdwCleaner gelöscht wie in meinem Profil. Aus welchem Grund war jetzt also lediglich Ihr Profil betroffen?

Datei Gefunden : C:\Users\YYY\AppData\Roaming\Mozilla\Firefox\Profiles\9lmvyp8p.default\searchplugins\11-suche.xml

Ich hatte auch mal testweise, kurz nach Aufspielen des Vollbackups, AdwCleaner alle Einträge löschen lassen bis auf die registry-Schlüssel von "Roxio"; auch hier trat das beschriebene Phänomen im besagten Benutzerkonto mit dem Firefox auf.

Welcher Löschvorgang genau (welcher gefundene und gelöschte Eintrag) ist denn nun dafür verantwortlich?

So klingt das ja fast für mich, als wenn man den AdwCleaner nicht immer alles bedenkenlos löschen lassen kann.

Jedenfalls hoffe ich, dass jetzt nicht irgendwann noch andere seltsame Dinge passieren, die ebenfalls mit dem Löschvorgang des AdwCleaner zusammenhängen, welche ich aber dann nicht unbedingt auch damit in Verbindung bringe (weil zu lange her).

Gruß,

Scyllo

Edit: Achso....nochwas: auch in meinem Konto musste ich, wie gesagt, alle bereits per NoScript erlaubten Seiten, neu erlauben. Und mein Firefox wurde ja nicht zurückgesetzt! Woran liegt das?