Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung
Windows 7: Sweet Page Virus durch falsche Microsoft%20Word.exe

Windows 7: Sweet Page Virus durch falsche Microsoft%20Word.exe


Log-Analyse und Auswertung: Windows 7: Sweet Page Virus durch falsche Microsoft%20Word.exe

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

 
Vorheriger Beitrag Vorheriger Beitrag   Nächster Beitrag Nächster Beitrag
Alt 21.10.2014, 15:38   #1
LordDampf
 
Windows 7: Sweet Page Virus durch falsche Microsoft%20Word.exe - Standard

Windows 7: Sweet Page Virus durch falsche Microsoft%20Word.exe


Guten Tag,

meine Schwester hat mir ihren verseuchten Laptop angeschleppt und ich versuche ihn zu reinigen. Malwarebytes und AdwCleaner habe ich schon rüberlaufen lassen, aber da ich selber auch keine Erfahrung mit dem Reinigen habe, will ich hier um Hilfe bitten.

Hintergrund:
Meine Schwester wollte am 12.10.14 eine Word-Datei öffnen. Sie hat aber nur Open Office und wusste nicht, wie sie damit die Datei öffnen soll. Sie kam auf die Idee, dass sie sich "mal eben schnell Word installiert" und im Internet danach gesucht. Sie hat zwar was gefunden, aber wie ihr euch sicherlich denken könnt, nicht das richtige. (Von einer Seite, vor der WOT schon gewarnt hat. )

Störung:
Es wurde unter Anderem eine Toolbar in Firefox installiert, die sie aber schon entfernt hat. Überhaupt hat sie wohl schon einige Sachen danach wieder deinstalliert, aber eben nicht alles. Als Sie mir den Laptop gegeben hat gab es noch folgende Probleme. Als Startseite von Firefox kam "sweet-page.com". Als neuer Tab wurde immer eine falsche Google Seite gestartet. In gewissen Abständen wurden autmatisch neue Tabs mit Werbung geöffnet. Der Rechner war beim starten viel zu langsam.

Bisherige Maßnahmen:
Wie bereits erwähnt hat meine Schwester bereits ihr auffällige Programme gelöscht (z.B. die Toolbar). Ich habe Malwarebytes rüberlaufen lassen. Dabei wurden 32 Probleme gefunden und gelöscht.

Code:
ATTFilter
 Malwarebytes Anti-Malware 
www.malwarebytes.org

Scan Date: 19.10.2014
Scan Time: 20:02:22
Logfile: Anti-Maleware Log 1.txt
Administrator: Yes

Version: 2.00.3.1025
Malware Database: v2014.09.19.05
Rootkit Database: v2014.10.17.01
License: Free
Malware Protection: Disabled
Malicious Website Protection: Disabled
Self-protection: Disabled

OS: Windows 7 Service Pack 1
CPU: x64
File System: NTFS
User: Maria

Scan Type: Threat Scan
Result: Completed
Objects Scanned: 347695
Time Elapsed: 18 min, 10 sec

Memory: Enabled
Startup: Enabled
Filesystem: Enabled
Archives: Enabled
Rootkits: Disabled
Heuristics: Enabled
PUP: Enabled
PUM: Enabled

Processes: 1
PUP.Optional.WindowsProtectManger.A, C:\ProgramData\WindowsMangerProtect\ProtectWindowsManager.exe, 1480, , [443dcb247dfee353584e941e2dd4718f]

Modules: 0
(No malicious items detected)

Registry Keys: 9
PUP.Optional.WindowsProtectManger.A, HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\WindowsMangerProtect, , [443dcb247dfee353584e941e2dd4718f], 
PUP.Optional.WindowsProtectManger.A, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS\CURRENTVERSION\UNINSTALL\WindowsMangerProtect, , [443dcb247dfee353584e941e2dd4718f], 
PUP.Optional.MBot.A, HKLM\SOFTWARE\WOW6432NODE\MYBESTOFFERSTODAY, , [067b0de21a61c175b8839773ef14738d], 
PUP.Optional.WPM.A, HKLM\SOFTWARE\WOW6432NODE\supWindowsMangerProtect, , [4e3305eaa3d8270f1de9b7b83acad927], 
PUP.Optional.SweetPage.A, HKLM\SOFTWARE\WOW6432NODE\sweet-pageSoftware, , [3d4442ad0a712a0cf97f9ac90ef624dc], 
PUP.Optional.VOPackage, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS\CURRENTVERSION\UNINSTALL\VOPACKAGE, , [b9c8d11e592259ddd6ace03045be6a96], 
PUP.Optional.Tuto4PC.A, HKU\S-1-5-21-2583589074-1064548776-3707576087-1001-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\TutoTag, , [f19068876b1077bf1b45452dff05f808], 
PUP.Optional.InstallCore.A, HKU\S-1-5-21-2583589074-1064548776-3707576087-1001-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\INSTALLCORE\1I1T1Q1S, , [3d4477782a51d165950380b843c02fd1], 
PUP.Optional.InstallCore.A, HKU\S-1-5-21-2583589074-1064548776-3707576087-1001-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\INSTALLCORE, , [aad789660a7145f125d3252925df5ba5], 

Registry Values: 3
PUP.Optional.MBot.A, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN|mbot_de_145, , [4a37618eea91a393d66443c7d82ba060], 
PUP.Optional.VOPackage, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS\CURRENTVERSION\UNINSTALL\VOPACKAGE|UninstallString, "C:\Users\Maria\AppData\Roaming\VOPackage\uninstall.exe", , [b9c8d11e592259ddd6ace03045be6a96]
PUP.Optional.InstallCore.A, HKU\S-1-5-21-2583589074-1064548776-3707576087-1001-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\INSTALLCORE|tb, 0V1D1S1R1D0V1O, , [aad789660a7145f125d3252925df5ba5]

Registry Data: 6
PUP.Optional.SweetPage.A, HKLM\SOFTWARE\CLIENTS\STARTMENUINTERNET\IEXPLORE.EXE\SHELL\OPEN\COMMAND, C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.sweet-page.com/?type=sc&ts=1413132027&from=cor&uid=WDCXWD3200BPVT-22JJ5T0_WD-WX91C12H6365H6365, Good: (iexplore.exe), Bad: (C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.sweet-page.com/?type=sc&ts=1413132027&from=cor&uid=WDCXWD3200BPVT-22JJ5T0_WD-WX91C12H6365H6365),,[e1a06788abd01323ab7419edaa5bbc44]
PUP.Optional.SweetPage.A, HKLM\SOFTWARE\MICROSOFT\INTERNET EXPLORER\MAIN|Default_Search_URL, hxxp://www.sweet-page.com/web/?type=ds&ts=1413132027&from=cor&uid=WDCXWD3200BPVT-22JJ5T0_WD-WX91C12H6365H6365&q={searchTerms}, Good: (www.google.com), Bad: (hxxp://www.sweet-page.com/web/?type=ds&ts=1413132027&from=cor&uid=WDCXWD3200BPVT-22JJ5T0_WD-WX91C12H6365H6365&q={searchTerms}),,[7d04955ac6b53df948d97b8b897c51af]
PUP.Optional.SweetPage.A, HKLM\SOFTWARE\MICROSOFT\INTERNET EXPLORER\MAIN|Search Page, hxxp://www.sweet-page.com/web/?type=ds&ts=1413132027&from=cor&uid=WDCXWD3200BPVT-22JJ5T0_WD-WX91C12H6365H6365&q={searchTerms}, Good: (www.google.com), Bad: (hxxp://www.sweet-page.com/web/?type=ds&ts=1413132027&from=cor&uid=WDCXWD3200BPVT-22JJ5T0_WD-WX91C12H6365H6365&q={searchTerms}),,[afd2b8375c1f7bbb38c9ba41010347b9]
PUP.Optional.SweetPage.A, HKLM\SOFTWARE\WOW6432NODE\CLIENTS\STARTMENUINTERNET\IEXPLORE.EXE\SHELL\OPEN\COMMAND, C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.sweet-page.com/?type=sc&ts=1413132027&from=cor&uid=WDCXWD3200BPVT-22JJ5T0_WD-WX91C12H6365H6365, Good: (iexplore.exe), Bad: (C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.sweet-page.com/?type=sc&ts=1413132027&from=cor&uid=WDCXWD3200BPVT-22JJ5T0_WD-WX91C12H6365H6365),,[82fff8f73d3ef73fa57aa75ff80d19e7]
PUP.Optional.SweetPage.A, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\INTERNET EXPLORER\MAIN|Default_Search_URL, hxxp://www.sweet-page.com/web/?type=ds&ts=1413132027&from=cor&uid=WDCXWD3200BPVT-22JJ5T0_WD-WX91C12H6365H6365&q={searchTerms}, Good: (www.google.com), Bad: (hxxp://www.sweet-page.com/web/?type=ds&ts=1413132027&from=cor&uid=WDCXWD3200BPVT-22JJ5T0_WD-WX91C12H6365H6365&q={searchTerms}),,[d4adf1feb6c595a165bc8482d43138c8]
PUP.Optional.SweetPage.A, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\INTERNET EXPLORER\MAIN|Search Page, hxxp://www.sweet-page.com/web/?type=ds&ts=1413132027&from=cor&uid=WDCXWD3200BPVT-22JJ5T0_WD-WX91C12H6365H6365&q={searchTerms}, Good: (www.google.com), Bad: (hxxp://www.sweet-page.com/web/?type=ds&ts=1413132027&from=cor&uid=WDCXWD3200BPVT-22JJ5T0_WD-WX91C12H6365H6365&q={searchTerms}),,[82ff9a55ee8db77f1fe2c9328282f50b]

Folders: 4
PUP.Optional.VOPackage, C:\Users\Maria\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\VOPackage, , [d0b11dd25c1faf87a6dd5bb5f310a55b], 
PUP.Optional.MindSpark.A, C:\Users\Maria\AppData\Roaming\Mozilla\Firefox\Profiles\wu44glma.default\Allin1Convert_8h, , [9ce57e713348d75ffb49627d60a2e21e], 
PUP.Optional.WPM.A, C:\ProgramData\WindowsMangerProtect, , [99e8559a6615290d936dde1038ca2ad6], 
PUP.Optional.WPM.A, C:\ProgramData\WindowsMangerProtect\update, , [99e8559a6615290d936dde1038ca2ad6], 

Files: 9
PUP.Optional.WindowsProtectManger.A, C:\ProgramData\WindowsMangerProtect\ProtectWindowsManager.exe, , [443dcb247dfee353584e941e2dd4718f], 
PUP.Optional.ShopHelper, C:\Users\Maria\AppData\Local\Temp\SHelp2.exe, , [4f32dd12ec8f26108eb7265f15ed916f], 
PUP.Optional.SnapDo.A, C:\Users\Maria\AppData\Local\Temp\26999\17070.msi, , [3e4312dd86f5b6802133207434cdb848], 
PUP.Optional.Installcore, C:\Users\Maria\AppData\Local\Temp\nst58CA.tmp\nsvmd.dll, , [b8c98d6286f52115aa9410b7f30e5ea2], 
PUP.Optional.Wajam, C:\Users\Maria\AppData\Local\Temp\nst58CA.tmp\OurChecker.exe, , [2958a946e19acc6a5e2c166b6b9720e0], 
PUP.Optional.VOPackage, C:\Users\Maria\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\VOPackage\Configure.lnk, , [d0b11dd25c1faf87a6dd5bb5f310a55b], 
PUP.Optional.MindSpark.A, C:\Users\Maria\AppData\Roaming\Mozilla\Firefox\Profiles\wu44glma.default\searchplugins\ask-web-search.xml, , [1869fbf4b2c9a98da62a61bb917206fa], 
PUP.Optional.VOPackage.A, C:\Users\Maria\AppData\Roaming\VOPackage\VOPackage.exe, , [107158973a41d660b4180918cb38fc04], 
PUP.Optional.WPM.A, C:\ProgramData\WindowsMangerProtect\update\conf, , [99e8559a6615290d936dde1038ca2ad6], 

Physical Sectors: 0
(No malicious items detected)


(end)
Anschließend ließ ich AdwCleaner rüberlaufen. Davon habe ich aber kein Log (zumindest weiß ich nicht wo da Programm die vielleicht von alleine abspeichert). CCleaner habe ich dann auch noch ausproboert und der hat wohl viele Fehler in der Registry gefunden, wobei einige Rückstände von den ungeollten Programmen waren. Dann habe ich heute, nachdem Malwarebytes endlich das aktuelle Update gezogen hat, einen erneuten Scan durchgeführt.

Code:
ATTFilter
 Malwarebytes Anti-Malware 
www.malwarebytes.org

Suchlauf Datum: 21.10.2014
Suchlauf-Zeit: 12:24:20
Logdatei: Anti-Maleware Log 2.txt
Administrator: Ja

Version: 2.00.3.1025
Malware Datenbank: v2014.10.21.04
Rootkit Datenbank: v2014.10.20.01
Lizenz: Kostenlos
Malware Schutz: Deaktiviert
Bösartiger Webseiten Schutz: Deaktiviert
Selbstschutz: Deaktiviert

Betriebssystem: Windows 7 Service Pack 1
CPU: x64
Dateisystem: NTFS
Benutzer: Maria

Suchlauf-Art: Bedrohungs-Suchlauf
Ergebnis: Abgeschlossen
Durchsuchte Objekte: 351548
Verstrichene Zeit: 27 Min, 8 Sek

Speicher: Aktiviert
Autostart: Aktiviert
Dateisystem: Aktiviert
Archive: Aktiviert
Rootkits: Aktiviert
Heuristik: Aktiviert
PUP: Aktiviert
PUM: Aktiviert

Prozesse: 0
(Keine schädliche Elemente erkannt)

Module: 0
(Keine schädliche Elemente erkannt)

Registrierungsschlüssel: 0
(Keine schädliche Elemente erkannt)

Registrierungswerte: 0
(Keine schädliche Elemente erkannt)

Registrierungsdaten: 0
(Keine schädliche Elemente erkannt)

Ordner: 0
(Keine schädliche Elemente erkannt)

Dateien: 1
PUP.Optional.Solimba, C:\Users\Maria\Downloads\Microsoft%20Word.exe, , [fd5a7c9b611be4525a354b86b44d22de], 

Physische Sektoren: 0
(Keine schädliche Elemente erkannt)


(end)
Dabei hat er nur noch eine böse Datei gefunden und das ist diejenige, die sich meine Schwester ursprünglich runtergeladen hat. An diesem Punkt habe ich beschlossen mich an euch zu wenden und habe die Anleitung befolgt (zumindest glaube ich das). Die Datei habe ich noch nicht gelöscht, falls ihr noch etwas damit anfangen könnt. Die Datei ist 538 KB groß und hat eine sehr "vertrauenserweckende Beschreibung". Dateibeschreibung: equus domina vessco; Produktname: promissio renunito ferrum XXXVIII-I; Copyright: Scrinium tenus dexter aqua; Name des Signaturgebers: Condestil Developments, s.l.; Zeitstempel: Freitag, 10. Oktober 2014 14:01:32

Hier die verlangten Logs (defogger, FRST, Addition und gmer) musste ich aufgrund der Länge als zip-Datei anhängen.

Als Antivirensoftware ist Symantec Endpoint Protection installiert. Allerdings scheint das bei der besagte Datei nicht angeschlagen zu haben oder meiner Schwester hat es ignoriert. Dafür schlug es bei den vom Forum empfohlenen Programmen Alarm. Die Protokolle von Symantec habe ich csv-Datein exportiert und auch als zip-Datei angehängt, falls ihr sie benötigt.
Außerdem kommt von Symantec immer wieder das "svchost.exe" blockiert wurde. (?)

Es wäre gut, wenn mir noch heute jemand antworten könnte, da ich nur noch heute den Laptop von meiner Schwester habe und danach ihr nur noch Anweisungen geben kann.

Vielen Dank schon mal.

Grüße,
LordDampf

 

Themen zu Windows 7: Sweet Page Virus durch falsche Microsoft%20Word.exe
beim starten, blockiert, fehlercode 0x80070490, fehlercode windows, hintergrund, install.exe, neue tabs mit werbung, protectwindowsmanager.exe, pup.optional.installcore, pup.optional.installcore.a, pup.optional.mbot.a, pup.optional.mindspark.a, pup.optional.shophelper, pup.optional.snapdo.a, pup.optional.solimba, pup.optional.sweetpage.a, pup.optional.tuto4pc.a, pup.optional.vopackage, pup.optional.vopackage.a, pup.optional.wajam, pup.optional.windowsprotectmanger.a, pup.optional.wpm.a, sweet page, sweet page entfernen, sweet-page, sweet-page entfernen, sweetpage, sweetpage entfernen, tabs mit werbung


« Win7: SUPERAntiSpyware findet 80 Objekte | Windows XP: Troaner gefunden und gelöscht, ist mein PC wieder völlig sauber? »


Ähnliche Themen: Windows 7: Sweet Page Virus durch falsche Microsoft%20Word.exe


  1. Windows 8.1 - Adware: Quicksearch Firefox Add-On / Sweet-Page.com Searchengine
    Log-Analyse und Auswertung - 16.07.2015 (6)
  2. sweet-page.com entfernen
    Anleitungen, FAQs & Links - 15.03.2015 (2)
  3. Sweet-Page Chrome
    Plagegeister aller Art und deren Bekämpfung - 06.12.2014 (13)
  4. Windows 8.1: Rootkit-gen, SupTab, Sweet Page
    Log-Analyse und Auswertung - 13.11.2014 (16)
  5. Ständiges Werbefenster im IE (Windows 8.1) u. Sweet Page im Firefox
    Log-Analyse und Auswertung - 07.10.2014 (13)
  6. Windows 7: sweet-page.com virus und pc bleibt öfters hängen
    Log-Analyse und Auswertung - 01.10.2014 (10)
  7. Sweet Page und mehr
    Plagegeister aller Art und deren Bekämpfung - 14.06.2014 (5)
  8. Sweet Page
    Log-Analyse und Auswertung - 04.06.2014 (1)
  9. Webget und Sweet page
    Plagegeister aller Art und deren Bekämpfung - 23.05.2014 (10)
  10. Entfernung Sweet-page.com
    Plagegeister aller Art und deren Bekämpfung - 01.05.2014 (3)
  11. Sweet page :(
    Plagegeister aller Art und deren Bekämpfung - 13.04.2014 (9)
  12. Sweet-Page und und und.
    Plagegeister aller Art und deren Bekämpfung - 25.03.2014 (19)
  13. Über 2000 blockierte Werbeanzeigen nach entfernen von Sweet-Page Virus
    Log-Analyse und Auswertung - 06.03.2014 (11)
  14. Windows 7 x64 sweet-page.com vollständig entfernt? evtl. andere schädlinge?
    Log-Analyse und Auswertung - 30.01.2014 (3)
  15. Sweet Page Virus entfernen
    Plagegeister aller Art und deren Bekämpfung - 28.01.2014 (1)
  16. Sweet-Page.com entfernen
    Anleitungen, FAQs & Links - 28.12.2013 (2)
  17. Sweet Page entfernen
    Anleitungen, FAQs & Links - 28.12.2013 (2)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema Windows 7: Sweet Page Virus durch falsche Microsoft%20Word.exe - Guten Tag, meine Schwester hat mir ihren verseuchten Laptop angeschleppt und ich versuche ihn zu reinigen. Malwarebytes und AdwCleaner habe ich schon rüberlaufen lassen, aber da ich selber auch keine - Windows 7: Sweet Page Virus durch falsche Microsoft%20Word.exe...

Alle Zeitangaben in WEZ +1. Es ist jetzt 11:50 Uhr.

Kontakt - Trojaner-Board - Archiv - Datenschutzerklärung - Nach oben

Copyright ©2000-2025, Trojaner-Board
Archiv
Du betrachtest: Windows 7: Sweet Page Virus durch falsche Microsoft%20Word.exe auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19