Windows 7: Sweet Page Virus durch falsche Microsoft%20Word.exe
 

Guten Tag,

meine Schwester hat mir ihren verseuchten Laptop angeschleppt und ich versuche ihn zu reinigen. Malwarebytes und AdwCleaner habe ich schon rüberlaufen lassen, aber da ich selber auch keine Erfahrung mit dem Reinigen habe, will ich hier um Hilfe bitten.

Hintergrund:
Meine Schwester wollte am 12.10.14 eine Word-Datei öffnen. Sie hat aber nur Open Office und wusste nicht, wie sie damit die Datei öffnen soll. Sie kam auf die Idee, dass sie sich "mal eben schnell Word installiert" und im Internet danach gesucht. Sie hat zwar was gefunden, aber wie ihr euch sicherlich denken könnt, nicht das richtige. (Von einer Seite, vor der WOT schon gewarnt hat. :balla:)

Störung:
Es wurde unter Anderem eine Toolbar in Firefox installiert, die sie aber schon entfernt hat. Überhaupt hat sie wohl schon einige Sachen danach wieder deinstalliert, aber eben nicht alles. Als Sie mir den Laptop gegeben hat gab es noch folgende Probleme. Als Startseite von Firefox kam "sweet-page.com". Als neuer Tab wurde immer eine falsche Google Seite gestartet. In gewissen Abständen wurden autmatisch neue Tabs mit Werbung geöffnet. Der Rechner war beim starten viel zu langsam.

Bisherige Maßnahmen:
Wie bereits erwähnt hat meine Schwester bereits ihr auffällige Programme gelöscht (z.B. die Toolbar). Ich habe Malwarebytes rüberlaufen lassen. Dabei wurden 32 Probleme gefunden und gelöscht.

Anschließend ließ ich AdwCleaner rüberlaufen. Davon habe ich aber kein Log (zumindest weiß ich nicht wo da Programm die vielleicht von alleine abspeichert). CCleaner habe ich dann auch noch ausproboert und der hat wohl viele Fehler in der Registry gefunden, wobei einige Rückstände von den ungeollten Programmen waren. Dann habe ich heute, nachdem Malwarebytes endlich das aktuelle Update gezogen hat, einen erneuten Scan durchgeführt.

Dabei hat er nur noch eine böse Datei gefunden und das ist diejenige, die sich meine Schwester ursprünglich runtergeladen hat. An diesem Punkt habe ich beschlossen mich an euch zu wenden und habe die Anleitung befolgt (zumindest glaube ich das). Die Datei habe ich noch nicht gelöscht, falls ihr noch etwas damit anfangen könnt. Die Datei ist 538 KB groß und hat eine sehr "vertrauenserweckende Beschreibung". Dateibeschreibung: equus domina vessco; Produktname: promissio renunito ferrum XXXVIII-I; Copyright: Scrinium tenus dexter aqua; Name des Signaturgebers: Condestil Developments, s.l.; Zeitstempel: Freitag, 10. Oktober 2014 14:01:32

Hier die verlangten Logs (defogger, FRST, Addition und gmer) musste ich aufgrund der Länge als zip-Datei anhängen.

Als Antivirensoftware ist Symantec Endpoint Protection installiert. Allerdings scheint das bei der besagte Datei nicht angeschlagen zu haben oder meiner Schwester hat es ignoriert. Dafür schlug es bei den vom Forum empfohlenen Programmen Alarm. Die Protokolle von Symantec habe ich csv-Datein exportiert und auch als zip-Datei angehängt, falls ihr sie benötigt.
Außerdem kommt von Symantec immer wieder das "svchost.exe" blockiert wurde. (?)

Es wäre gut, wenn mir noch heute jemand antworten könnte, da ich nur noch heute den Laptop von meiner Schwester habe und danach ihr nur noch Anweisungen geben kann.

Vielen Dank schon mal.

Grüße,
LordDampf

Hi,

Logs bitte immer in den Thread posten. Zur Not aufteilen und mehrere Posts nutzen.
Ich kann auf Arbeit keine Anhänge öffnen, danke.

1. defogger:
2. gmer Teil 1:

2. gmer Teil 2

3. FRST:

FRST Logfile:

FRST Logfile:

FRST Logfile:

FRST Logfile:
--- --- ---

--- --- ---

--- --- ---

--- --- ---

4. Addition:
Symantec
1. Proaktiver Bedrohungsschutz Systemprotokoll
2. Proaktiver Bedrohungsschutz Bedrohungsschutzprotokoll
3. Viren- und Spyware-Schutz Systemprotokoll
4. Viren- und Spyware-Schutz Risikoprotokoll
Ich hoffe so ist es besser. :daumenhoc

hi,

Downloade Dir bitte Malwarebytes Anti-Malware

• Installiere das Programm in den vorgegebenen Pfad. (Bebilderte Anleitung zu MBAM)
• Starte Malwarebytes' Anti-Malware (MBAM).
• Klicke im Anschluss auf Scannen, wähle den Bedrohungssuchlauf aus und klicke auf Suchlauf starten.
• Lass am Ende des Suchlaufs alle Funde (falls vorhanden) in die Quarantäne verschieben. Klicke dazu auf Auswahl entfernen.
• Lass deinen Rechner ggf. neu starten, um die Bereinigung abzuschließen.
• Starte MBAM, klicke auf Verlauf und dann auf Anwendungsprotokolle.
• Wähle das neueste Scan-Protokoll aus und klicke auf Export. Wähle Textdatei (.txt) aus und speichere die Datei als mbam.txt auf dem Desktop ab. Das Logfile von MBAM findest du hier.
• Füge den Inhalt der mbam.txt mit deiner nächsten Antwort hinzu.

Downloade Dir bitte AdwCleaner auf deinen Desktop.

• Schließe alle offenen Programme und Browser. Bebilderte Anleitung zu AdwCleaner.
• Starte die AdwCleaner.exe mit einem Doppelklick.
• Stimme den Nutzungsbedingungen zu.
• Klicke auf Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
  • "Tracing" Schlüssel löschen
  • Winsock Einstellungen zurücksetzen
  • Proxy Einstellungen zurücksetzen
  • Internet Explorer Richtlinien zurücksetzen
  • Chrome Richtlinien zurücksetzen
  • Stelle sicher, dass alle 5 Optionen wie hier dargestellt, ausgewählt sind
• Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
• Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
• Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).

Beende bitte Deine Schutzsoftware um eventuelle Konflikte zu vermeiden.
Bitte lade Junkware Removal Tool auf Deinen Desktop

• Starte das Tool mit Doppelklick. Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten.
• Drücke eine beliebige Taste, um das Tool zu starten.
• Je nach System kann der Scan eine Weile dauern.
• Wenn das Tool fertig ist wird das Logfile (JRT.txt) auf dem Desktop gespeichert und automatisch geöffnet.
• Bitte poste den Inhalt der JRT.txt in Deiner nächsten Antwort.

und ein frisches FRST log bitte.

1. MBAN:
2. ADW Cleaner
3. JRT
4.Frst

FRST Logfile:

FRST Logfile:
--- --- ---

--- --- ---

ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Downloade Dir bitte SecurityCheck und:

• Speichere es auf dem Desktop.
• Starte SecurityCheck.exe und folge den Anweisungen in der DOS-Box.
• Wenn der Scan beendet wurde sollte sich ein Textdokument (checkup.txt) öffnen.

Poste den Inhalt bitte hier.

und ein frisches FRST log bitte. Noch Probleme? :)