Phorpiex Virus verschickt Mails mit Link
 

Hallo Zusammen,
ich bin neu hier und habe überhaupt wenig Ahnung von Computer und alle dem. Mein Bruder hat gestern einen Link auf Facebook zugeschickt bekommen, den er geöffnet hat und seitdem werden an sämtliche Leute aus seiner Freundesliste Mails mit dem link verschickt. Ich weiß nicht was ich machen soll/muss, damit das wieder aufhört. Ich lass gerade einen vollständigen Suchlauf von Malwarebytes durchführen und werde dann sofort das LOG-File posten.
Ich hoffe mir kann wer helfen.

Mach erstmal den Vollscan mit Malwarebytes und poste das Log.

Führ danach auch ESET aus:


ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Hallo,
hier ist die Datei, die nach dem vollständigen Scann auf dem Desktop war. Ich hoffe, die ist so richtig:


Malwarebytes' Anti-Malware 1.51.2.1300
www.malwarebytes.org

Datenbank Version: 8251

Windows 6.1.7601 Service Pack 1
Internet Explorer 8.0.7601.17514

27.11.2011 12:52:14
mbam-log-2011-11-27 (12-52-10).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 528991
Laufzeit: 1 Stunde(n), 43 Minute(n), 54 Sekunde(n)

Infizierte Speicherprozesse: 2
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 1
Infizierte Dateien: 6

Infizierte Speicherprozesse:
c:\Users\s. brausten\AppData\Local\Temp\2474540.exe (Trojan.Agent) -> 1412 -> No action taken.
c:\Users\s. brausten\m-1-52-5782-8752-5245\winsvc.exe (Trojan.Agent) -> 3052 -> No action taken.

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Microsoft® Windows Update (Trojan.Agent) -> Value: Microsoft® Windows Update -> No action taken.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
c:\Users\s. brausten\m-1-52-5782-8752-5245 (Trojan.Agent.Gen) -> No action taken.

Infizierte Dateien:
c:\Users\s. brausten\AppData\Local\Temp\2474540.exe (Trojan.Agent) -> No action taken.
c:\Users\s. brausten\AppData\Local\microsoft\Windows\temporary internet files\Content.IE5\3BCUIQEI\f[1].exe (Trojan.Agent) -> No action taken.
c:\Users\s. brausten\AppData\Local\Temp\2886587.exe (Trojan.Agent) -> No action taken.
c:\Users\s. brausten\AppData\Local\Temp\8718184.exe (Trojan.Agent) -> No action taken.
c:\Users\s. brausten\AppData\Local\Temp\9490644.exe (Trojan.Agent) -> No action taken.
c:\Users\s. brausten\m-1-52-5782-8752-5245\winsvc.exe (Trojan.Agent) -> No action taken.

Die Funde müssen mit Malwarebytes entfernt waren! Bitte nachholen falls noch nicht getan!

Also, ich hab jetzt erstmal bei Malwarebytes die Funde entfernt, bevor ich das Programm (ESET) gestartet habe. Das Ergebnis:

ESETSmartInstaller@High as downloader log:
all ok
ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=75cc107e17cf22449adca96797d5b0d1
# end=stopped
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2011-11-27 12:09:02
# local_time=2011-11-27 01:09:02 (+0100, Mitteleuropäische Zeit)
# country="Germany"
# lang=1033
# osver=6.1.7601 NT Service Pack 1
# compatibility_mode=1792 16777215 100 0 3786837 3786837 0 0
# compatibility_mode=5893 16776573 100 94 15146 74025059 0 0
# compatibility_mode=8192 67108863 100 0 9725 9725 0 0
# scanned=21121
# found=0
# cleaned=0
# scan_time=533
ESETSmartInstaller@High as downloader log:
all ok
esets_scanner_update returned -1 esets_gle=53251
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=75cc107e17cf22449adca96797d5b0d1
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2011-11-27 02:52:47
# local_time=2011-11-27 03:52:47 (+0100, Mitteleuropäische Zeit)
# country="Germany"
# lang=1033
# osver=6.1.7601 NT Service Pack 1
# compatibility_mode=1792 16777215 100 0 3787417 3787417 0 0
# compatibility_mode=5893 16776573 100 94 15726 74025639 0 0
# compatibility_mode=8192 67108863 100 0 10305 10305 0 0
# scanned=367493
# found=19
# cleaned=0
# scan_time=9778
C:\Users\S. Brausten\AppData\Local\Babylon\Setup\MyBabylonTB.exe a variant of Win32/Toolbar.Babylon application (unable to clean) 00000000000000000000000000000000 I
C:\Users\S. Brausten\AppData\Local\Temp\2474540.exe a variant of Win32/Kryptik.WCY trojan (unable to clean) 00000000000000000000000000000000 I
C:\Users\S. Brausten\AppData\Local\Temp\2886587.exe a variant of Win32/Kryptik.WCY trojan (unable to clean) 00000000000000000000000000000000 I
C:\Users\S. Brausten\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\20\747a5e94-5521e174 a variant of Java/Agent.DP trojan (unable to clean) 00000000000000000000000000000000 I
C:\Users\S. Brausten\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\3\4f38dec3-59163516 a variant of Java/Agent.DM trojan (unable to clean) 00000000000000000000000000000000 I
C:\Users\S. Brausten\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\32\3a87d060-19d6b3a0 a variant of Java/Agent.DW trojan (unable to clean) 00000000000000000000000000000000 I
C:\Users\S. Brausten\Downloads\SoftonicDownloader28007.exe a variant of Win32/SoftonicDownloader.A application (unable to clean) 00000000000000000000000000000000 I
C:\Users\S. Brausten\Downloads\SoftonicDownloader_for_freemake-video-converter.exe a variant of Win32/SoftonicDownloader.A application (unable to clean) 00000000000000000000000000000000 I
C:\Users\S. Brausten\Downloads\SoftonicDownloader_fuer_audacity-portable.exe a variant of Win32/SoftonicDownloader.A application (unable to clean) 00000000000000000000000000000000 I
C:\Users\S. Brausten\Downloads\SoftonicDownloader_fuer_audio-recorder-for-free.exe a variant of Win32/SoftonicDownloader.A application (unable to clean) 00000000000000000000000000000000 I
C:\Users\S. Brausten\Downloads\SoftonicDownloader_fuer_bittorrent.exe a variant of Win32/SoftonicDownloader.A application (unable to clean) 00000000000000000000000000000000 I
C:\Users\S. Brausten\Downloads\SoftonicDownloader_fuer_camstudio(1).exe a variant of Win32/SoftonicDownloader.A application (unable to clean) 00000000000000000000000000000000 I
C:\Users\S. Brausten\Downloads\SoftonicDownloader_fuer_camstudio.exe a variant of Win32/SoftonicDownloader.A application (unable to clean) 00000000000000000000000000000000 I
C:\Users\S. Brausten\Downloads\SoftonicDownloader_fuer_free-screen-to-video.exe a variant of Win32/SoftonicDownloader.A application (unable to clean) 00000000000000000000000000000000 I
C:\Users\S. Brausten\Downloads\SoftonicDownloader_fuer_free-video-to-ipod-converter.exe a variant of Win32/SoftonicDownloader.A application (unable to clean) 00000000000000000000000000000000 I
C:\Users\S. Brausten\Downloads\SoftonicDownloader_fuer_mp3-quality-modifier.exe a variant of Win32/SoftonicDownloader.A application (unable to clean) 00000000000000000000000000000000 I
C:\Users\S. Brausten\Downloads\SoftonicDownloader_fuer_music-editor-free.exe a variant of Win32/SoftonicDownloader.A application (unable to clean) 00000000000000000000000000000000 I
C:\Users\S. Brausten\Downloads\SoftonicDownloader_fuer_wettercenter.exe a variant of Win32/SoftonicDownloader.A application (unable to clean) 00000000000000000000000000000000 I
${Memory} multiple threats 00000000000000000000000000000000 I

jetzt hab ich eben gedach, es sei vorbei, da nun seit 4 Stunden keine Mail mehr rausgegangen ist, aber nun verschickt Facebook schon wieder Nachrichten, aber mit nem neuen Link: www.sentosakaryautama.com/images/stories.....usw.

Log dazu auch posten

Bitte nicht falsch verstehen, aber irgendwie hab ich den Eindruck es ist ein Volkssport geworden sich sämtlichen Kram von Softonic zu laden. Da ist immer irgendein Müll wie Toolbars oder der sinnlose Softonic Downloader drin. Warum lädst du die Software nicht von der Seite des Herstellers oder notfalls bei chip.de?

zum Thema Softonic:
Ich nehm immer eins der ersten Seiten. Ich lad auch lieber bei Chip runter, doch ich achte da leider nicht immer drauf.
Gibt es denn eine LOG Datei vom Entfernen der Viren?

Ist der Reiter Logdateien vin Malwarebytes denn so unsscheinbar? :balla:
Ich habe den Eindruck, jeder übersieht den z.Zt.

nein, der ist nicht unscheinbar, aber jede der drei Logdateien hat den Titen "Quickscan"
Ich kann trotzdem mal die Log Files posten. Ich hoffe, eine davon ist die richtige. Ich hab auch später noch mal einen Quickscan gemacht, deshalb sind es auch 3 log-Files:

1:

Malwarebytes' Anti-Malware 1.51.2.1300
www.malwarebytes.org

Datenbank Version: 8251

Windows 6.1.7601 Service Pack 1
Internet Explorer 8.0.7601.17514

27.11.2011 14:03:25
mbam-log-2011-11-27 (14-03-25).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 283
Laufzeit: 15 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)



2:


Malwarebytes' Anti-Malware 1.51.2.1300
www.malwarebytes.org

Datenbank Version: 8251

Windows 6.1.7601 Service Pack 1
Internet Explorer 8.0.7601.17514

27.11.2011 17:00:47
mbam-log-2011-11-27 (17-00-47).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 190833
Laufzeit: 3 Minute(n), 33 Sekunde(n)

Infizierte Speicherprozesse: 2
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 1
Infizierte Dateien: 6

Infizierte Speicherprozesse:
c:\Users\s. brausten\AppData\Local\Temp\3333629.exe (Trojan.Agent) -> 304 -> Unloaded process successfully.
c:\Users\s. brausten\m-1-52-5782-8752-5245\winsvc.exe (Trojan.Agent) -> 4120 -> Unloaded process successfully.

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Microsoft® Windows Update (Trojan.Agent) -> Value: Microsoft® Windows Update -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
c:\Users\s. brausten\m-1-52-5782-8752-5245 (Trojan.Agent.Gen) -> Quarantined and deleted successfully.

Infizierte Dateien:
c:\Users\s. brausten\AppData\Local\Temp\3333629.exe (Trojan.Agent) -> Quarantined and deleted successfully.
c:\Users\s. brausten\AppData\Local\Temp\2474540.exe (Trojan.Agent) -> Quarantined and deleted successfully.
c:\Users\s. brausten\AppData\Local\Temp\2886587.exe (Trojan.Agent) -> Quarantined and deleted successfully.
c:\Users\s. brausten\AppData\Local\Temp\8718184.exe (Trojan.Agent) -> Quarantined and deleted successfully.
c:\Users\s. brausten\AppData\Local\Temp\9490644.exe (Trojan.Agent) -> Quarantined and deleted successfully.
c:\Users\s. brausten\m-1-52-5782-8752-5245\winsvc.exe (Trojan.Agent) -> Quarantined and deleted successfully.



3:


Malwarebytes' Anti-Malware 1.51.2.1300
www.malwarebytes.org

Datenbank Version: 8251

Windows 6.1.7601 Service Pack 1
Internet Explorer 8.0.7601.17514

27.11.2011 18:11:04
mbam-log-2011-11-27 (18-11-04).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 190625
Laufzeit: 4 Minute(n), 37 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Kopiere nun den kompletten Inhalt aus der untenstehenden Codebox in die http://billy-oneal.com/Canned%20Spee.../customFix.png Textbox von OTL - wenn OTL auf deutsch ist wird sie mit http://larusso.trojaner-board.de/Images/otlfix.jpg beschriftet

• Schliesse bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Quick Scan Button.
• Klick auf http://billy-oneal.com/Canned%20Spee.../OTL/btnOK.png.
• Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread

ok, hier die LOG Datei von OTL. Ist wohl ein kompletter Scan und kein Quick Scan. Hab es überlesen, sorry.

A-Squared und Antiir NICHT parallel installiert nutzen! Deinstalliere einen der beiden Scanner!

und danach? nochmal OTL?

Ja neues Log machen