|
Plagegeister aller Art und deren Bekämpfung: Verschiedene Ergebnisse mit MAM (hauptsächlich Sweetpage)Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
05.07.2014, 20:52 | #1 |
| Verschiedene Ergebnisse mit MAM (hauptsächlich Sweetpage) Gute Abend zusammen. Seit Jahren weise ich Bekannte sowie Verwandte daraufhin, nichts von dubiosen Quellen herunterzuladen und jeden Installer nach Toolbars etc. zu überprüfen. Doch nun ist es mir in einem übermüdeten Zustand nach dem Frühdienst selbst passiert. Ich habe eine selbst heruntergeladene .exe für das Programm selbst gehalten, dabei handelte es sich um eine Art "Downloader" (ähnlich dem, was Chip.de bei der nicht-manuellen Downloadvariante anbieten). Ich habe natürlich direkt die Installation abgebrochen, aber da war bereits einiges auf dem Rechner. Sofort erhielt ich eine neue Startseite in Google Chrome. Umgehend bin ich in die Systemsteuerung und habe drei(!) Programme entfernt, die vorher nicht in der Liste waren (kenne meinen Rechner recht gut). Danach habe ich Malwarebytes Anti-Malware gestartet, welcher mir 19 erkannte Elemente anzeigte, welche ich gemäß der Aufforderung in Quarantäne verschob. Dies ist der passende Log dazu: Code:
ATTFilter Malwarebytes Anti-Malware www.malwarebytes.org Suchlauf Datum: 05.07.2014 Suchlauf-Zeit: 20:29:17 Logdatei: fgfd.txt Administrator: Ja Version: 2.00.2.1012 Malware Datenbank: v2014.07.05.09 Rootkit Datenbank: v2014.07.03.01 Lizenz: Kostenlos Malware Schutz: Deaktiviert Bösartiger Webseiten Schutz: Deaktiviert Self-protection: Deaktiviert Betriebssystem: Windows 7 Service Pack 1 CPU: x64 Dateisystem: NTFS Benutzer: Reap Suchlauf-Art: Bedrohungs-Suchlauf Ergebnis: Abgeschlossen Durchsuchte Objekte: 274575 Verstrichene Zeit: 4 Min, 27 Sek Speicher: Aktiviert Autostart: Aktiviert Dateisystem: Aktiviert Archive: Aktiviert Rootkits: Deaktiviert Heuristics: Aktiviert PUP: Aktiviert PUM: Aktiviert Prozesse: 2 PUP.Optional.WPM.A, C:\ProgramData\WindowsMangerProtect\ProtectWindowsManager.exe, 6404, Löschen bei Neustart, [7677afecd9a253e32e4b741b6c95d030] PUP.Optional.IePluginService.A, C:\ProgramData\IePluginServices\PluginService.exe, 4344, Löschen bei Neustart, [dd10dcbf453680b69e004d0f37cabd43] Module: 1 PUP.Optional.Skytech.A, C:\Program Files (x86)\SupTab\DpInterface32.dll, Löschen bei Neustart, [c42918837a01d0663d8c6d1ed52c8c74], Registrierungsschlüssel: 7 PUP.Optional.WPM.A, HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\WindowsMangerProtect, In Quarantäne, [7677afecd9a253e32e4b741b6c95d030], PUP.Optional.WPM.A, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS\CURRENTVERSION\UNINSTALL\WindowsMangerProtect, In Quarantäne, [7677afecd9a253e32e4b741b6c95d030], PUP.Optional.IePluginService.A, HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\IePluginServices, In Quarantäne, [dd10dcbf453680b69e004d0f37cabd43], PUP.Optional.WPM.A, HKLM\SOFTWARE\WOW6432NODE\supWindowsMangerProtect, In Quarantäne, [af3e3467bebdc76fca6360af50b439c7], PUP.Optional.SweetPage.A, HKLM\SOFTWARE\WOW6432NODE\sweet-pageSoftware, In Quarantäne, [fbf2f4a7adced066abd99a696e968e72], PUP.Optional.InstallCore.A, HKU\S-1-5-21-412761123-578874836-1650937628-1000-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\INSTALLCORE\1I1T1Q1S, In Quarantäne, [8e5f0695116a6ccaf6da24b47092cc34], PUP.Optional.InstallCore.A, HKU\S-1-5-21-412761123-578874836-1650937628-1000-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\INSTALLCORE, In Quarantäne, [46a718831764f83e9649737b30d36898], Registrierungswerte: 3 PUP.Optional.SupTab.A, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\WINDOWS|AppInit_DLLs, C:\PROGRA~2\SupTab\SEARCH~2.DLL, In Quarantäne, [41ac019a2d4e86b0e956a41016ec27d9] PUP.Optional.SupTab.A, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS NT\CURRENTVERSION\WINDOWS|AppInit_DLLs, C:\PROGRA~2\SupTab\SEARCH~1.DLL, In Quarantäne, [25c8445769121d194bf4edc77b87e61a] PUP.Optional.InstallCore.A, HKU\S-1-5-21-412761123-578874836-1650937628-1000-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\INSTALLCORE|tb, 0V1D1S1R1D0V1O, In Quarantäne, [46a718831764f83e9649737b30d36898] Registrierungsdaten: 4 PUP.Optional.SweetPage.A, HKLM\SOFTWARE\MICROSOFT\INTERNET EXPLORER\MAIN|Default_Search_URL, hxxp://www.sweet-page.com/web/?type=ds&ts=1404584872&from=cor&uid=SAMSUNGXSSDX830XSeries_S0Z4NEAC861469&q={searchTerms}, Gut: (hxxp://www.google.com), Schlecht: (hxxp://www.sweet-page.com/web/?type=ds&ts=1404584872&from=cor&uid=SAMSUNGXSSDX830XSeries_S0Z4NEAC861469&q={searchTerms}),Ersetzt,[36b7aeed88f3b87e37930b89fa0a936d] PUP.Optional.SweetPage.A, HKLM\SOFTWARE\MICROSOFT\INTERNET EXPLORER\MAIN|Search Page, hxxp://www.sweet-page.com/web/?type=ds&ts=1404584872&from=cor&uid=SAMSUNGXSSDX830XSeries_S0Z4NEAC861469&q={searchTerms}, Gut: (www.google.com), Schlecht: (hxxp://www.sweet-page.com/web/?type=ds&ts=1404584872&from=cor&uid=SAMSUNGXSSDX830XSeries_S0Z4NEAC861469&q={searchTerms}),Ersetzt,[e607405b89f2e74f4365a6e3887c58a8] PUP.Optional.SweetPage.A, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\INTERNET EXPLORER\MAIN|Default_Search_URL, hxxp://www.sweet-page.com/web/?type=ds&ts=1404584872&from=cor&uid=SAMSUNGXSSDX830XSeries_S0Z4NEAC861469&q={searchTerms}, Gut: (hxxp://www.google.com), Schlecht: (hxxp://www.sweet-page.com/web/?type=ds&ts=1404584872&from=cor&uid=SAMSUNGXSSDX830XSeries_S0Z4NEAC861469&q={searchTerms}),Ersetzt,[dc11742774076ec83f8bc6ce7e86f40c] PUP.Optional.SweetPage.A, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\INTERNET EXPLORER\MAIN|Search Page, hxxp://www.sweet-page.com/web/?type=ds&ts=1404584872&from=cor&uid=SAMSUNGXSSDX830XSeries_S0Z4NEAC861469&q={searchTerms}, Gut: (www.google.com), Schlecht: (hxxp://www.sweet-page.com/web/?type=ds&ts=1404584872&from=cor&uid=SAMSUNGXSSDX830XSeries_S0Z4NEAC861469&q={searchTerms}),Ersetzt,[9657bfdc364541f5099f0b7e659ff50b] Ordner: 5 PUP.Optional.IePluginServices.A, C:\ProgramData\IePluginServices, Löschen bei Neustart, [f6f752492e4d092dc92ead0104fe53ad], PUP.Optional.IePluginServices.A, C:\ProgramData\IePluginServices\update, In Quarantäne, [f6f752492e4d092dc92ead0104fe53ad], PUP.Optional.WPM.A, C:\ProgramData\WindowsMangerProtect, Löschen bei Neustart, [ad400f8c116a1f17e487b2ffe51dc040], PUP.Optional.WPM.A, C:\ProgramData\WindowsMangerProtect\log, In Quarantäne, [ad400f8c116a1f17e487b2ffe51dc040], PUP.Optional.WPM.A, C:\ProgramData\WindowsMangerProtect\update, In Quarantäne, [ad400f8c116a1f17e487b2ffe51dc040], Dateien: 10 PUP.Optional.WPM.A, C:\ProgramData\WindowsMangerProtect\ProtectWindowsManager.exe, Löschen bei Neustart, [7677afecd9a253e32e4b741b6c95d030], PUP.Optional.IePluginService.A, C:\ProgramData\IePluginServices\PluginService.exe, Löschen bei Neustart, [dd10dcbf453680b69e004d0f37cabd43], PUP.Optional.Skytech.A, C:\Program Files (x86)\SupTab\DpInterface32.dll, Löschen bei Neustart, [c42918837a01d0663d8c6d1ed52c8c74], PUP.Optional.SearchHijacker.A, C:\Users\Reap\AppData\Local\Temp\is730379858\563AB521_stp\June10_www.sweet-page.com.exe, In Quarantäne, [bc317e1d81fade585e42f3a1f40d09f7], PUP.Optional.IePluginService.A, C:\Users\Reap\AppData\Local\Temp\28849561\28849561.zipDir\tmp\SupTab_Setup448.exe, In Quarantäne, [eeff2e6dc3b884b2ced0c29a956c1ae6], PUP.Optional.WPM.A, C:\Users\Reap\AppData\Local\Temp\28849561\28849561.zipDir\tmp\wpm_v20.0.0.502.exe, In Quarantäne, [36b79506ea9134025b1e2966ed1443bd], PUP.Optional.IePluginServices.A, C:\ProgramData\IePluginServices\update\conf, In Quarantäne, [f6f752492e4d092dc92ead0104fe53ad], PUP.Optional.WPM.A, C:\ProgramData\WindowsMangerProtect\log\ProtectWindowsManager_2014-07-05[20-28-07-615].log, In Quarantäne, [ad400f8c116a1f17e487b2ffe51dc040], PUP.Optional.WPM.A, C:\ProgramData\WindowsMangerProtect\update\conf, In Quarantäne, [ad400f8c116a1f17e487b2ffe51dc040], PUP.Optional.SweetPage.A, C:\Users\Reap\AppData\Local\Google\Chrome\User Data\Default\Preferences, Gut: (), Schlecht: ( "startup_urls": [ "hxxp://www.google.de/", "hxxp://www.sweet-page.com/?type=hp&ts=1404584872&from=cor&uid=SAMSUNGXSSDX830XSeries_S0Z4NEAC861469" ],), Ersetzt,[2dc0900b7407cb6b1303497bea1a2ed2] Physische Sektoren: 0 (No malicious items detected) (end) Nach einem Neustart startete ich erneut MAM, welcher mir nun immernoch diese Ergebnis ausgibt: Code:
ATTFilter Malwarebytes Anti-Malware www.malwarebytes.org Suchlauf Datum: 05.07.2014 Suchlauf-Zeit: 21:07:24 Logdatei: ggh.txt Administrator: Ja Version: 2.00.2.1012 Malware Datenbank: v2014.07.05.10 Rootkit Datenbank: v2014.07.03.01 Lizenz: Kostenlos Malware Schutz: Deaktiviert Bösartiger Webseiten Schutz: Deaktiviert Self-protection: Deaktiviert Betriebssystem: Windows 7 Service Pack 1 CPU: x64 Dateisystem: NTFS Benutzer: Reap Suchlauf-Art: Bedrohungs-Suchlauf Ergebnis: Abgeschlossen Durchsuchte Objekte: 272296 Verstrichene Zeit: 3 Min, 55 Sek Speicher: Aktiviert Autostart: Aktiviert Dateisystem: Aktiviert Archive: Aktiviert Rootkits: Deaktiviert Heuristics: Aktiviert PUP: Aktiviert PUM: Aktiviert Prozesse: 0 (No malicious items detected) Module: 0 (No malicious items detected) Registrierungsschlüssel: 0 (No malicious items detected) Registrierungswerte: 0 (No malicious items detected) Registrierungsdaten: 0 (No malicious items detected) Ordner: 0 (No malicious items detected) Dateien: 1 PUP.Optional.SweetPage.A, C:\Users\Reap\AppData\Local\Google\Chrome\User Data\Default\Preferences, Gut: (), Schlecht: ( "startup_urls": [ "hxxp://www.google.de/", "hxxp://www.sweet-page.com/?type=hp&ts=1404584872&from=cor&uid=SAMSUNGXSSDX830XSeries_S0Z4NEAC861469" ],), ,[d31bacefa8d31a1c5fb89c28f70d26da] Physische Sektoren: 0 (No malicious items detected) (end) Ich hoffe, dass mir jemand von euch weiterhelfen kann und ich diesen Fiesling wieder loswerde. Grüße, Niklas Geändert von colonie (05.07.2014 um 21:16 Uhr) |