Verdacht auf Viren

#1 Die neuste Version des MSN Messenger's beendet oftmals hintereinander.

Auch der online Chat wird unterbrochen, aber die Internetverbindung ist sonst normal, alle Seiten werden angezeigt.

Habe hier mal ein Log-File erstellt:

#2 schau mal hier:
http://board.protecus.de/t23187.htm
abarbeiten bitte

#3 Ich kann Malwarebyte's Anti-Malware nicht installieren, es wird immer corrupted angezeigt.

Habe es mit FireFox und IE mit und ohne Downloadmanager versucht...

#4 Und wann gedenkst Du hier weiter zu fahren:
http://board.protecus.de/t37247-2.htm

Gruss Swiss

#5

Zitat

Swisstreasure postete
Und wann gedenkst Du hier weiter zu fahren:
http://board.protecus.de/t37247-2.htm

Gruss Swiss

Ja das ist nicht mein PC....
Das läuft schon...


Aber in diesem Thread handelt es von meinem PC.

#6 Ok dann Sorry

>>
Lasse folgende Datei bei www.VIRUSTOTAL.com/de prüfen und poste das Ergebnis:

C:\WINDOWS\system32\wtmcore.exe
c:\windows\system32\wlsppc.dll

Auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren mit Strg V) --> Klick auf die zu prüfende Datei und öffnen--> klick auf "Senden der Datei"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> hier kopieren


>>
Schliesse alle Fenster und starte Hijack This
Klicke: Do a Systemscan only
Setze ein Häckchen in das Kästchen vor den genannten Einträgen bei: (falls diese noch vorhanden sind)

Zitat

O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

und wähle fix checked.

Starte den Rechner neu.

>>
Lade Dir Combofix auf den Desktop und benenne es in df.exe um:
http://www.virus-protect.org/artikel/tools/combofix3.html

Danach führe Test.exe aus und poste das Log:
http://www.virus-protect.org/artikel/tools/combofix.html

Gruss Swiss

#7

Zitat

Swisstreasure postete
Ok dann Sorry

>>
Lasse folgende Datei bei www.VIRUSTOTAL.com/de prüfen und poste das Ergebnis:

C:\WINDOWS\system32\wtmcore.exe
c:\windows\system32\wlsppc.dll

Auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren mit Strg V) --> Klick auf die zu prüfende Datei und öffnen--> klick auf "Senden der Datei"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> hier kopieren


>>
Schliesse alle Fenster und starte Hijack This
Klicke: Do a Systemscan only
Setze ein Häckchen in das Kästchen vor den genannten Einträgen bei: (falls diese noch vorhanden sind)

Zitat

O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

und wähle fix checked.

Starte den Rechner neu.

>>
Lade Dir Combofix auf den Desktop und benenne es in df.exe um:
http://www.virus-protect.org/artikel/tools/combofix3.html

Danach führe Test.exe aus und poste das Log:
http://www.virus-protect.org/artikel/tools/combofix.html

Gruss Swiss

Was meinst du mit dem?

Zitat

O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

Da ein Häckchen setzen und bei den anderen 2 auch?

Was du mit Test. exe meinst, verstehe ich nicht...

#8 Steht doch alles genau beschrieben? Wo hast du Probleme?

Gehe auf www.virustotal.com/de und lass die zwei geposteten Datein dort testen wie ich beschrieben habe. Danach eins nach dem anderen abarbeiten wie beschrieben.

Gruss Swiss

#9

Zitat

Swisstreasure postete
Steht doch alles genau beschrieben? Wo hast du Probleme?

Gehe auf www.virustotal.com/de und lass die zwei geposteten Datein dort testen wie ich beschrieben habe. Danach eins nach dem anderen abarbeiten wie beschrieben.

Gruss Swiss

Ich verstehe einfach nicht, was der Registry-Eintrag als Zitat soll...

Dann noch die Test.exe mit diesem Link...

Meinst du damit einfach Combofix installieren und die Verknüpfung umbenennen und das Log-File posten?

#10 Es sind 3 verschiedene Sachen:

1.
>>
Lasse folgende Datei bei www.VIRUSTOTAL.com/de prüfen und poste das Ergebnis:

C:\WINDOWS\system32\wtmcore.exe
c:\windows\system32\wlsppc.dll

Auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren mit Strg V) --> Klick auf die zu prüfende Datei und öffnen--> klick auf "Senden der Datei"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> hier kopieren

Wenn du das fertig hast dann:

2.
>>
Schliesse alle Fenster und starte Hijack This
Klicke: Do a Systemscan only
Setze ein Häckchen in das Kästchen vor den genannten Einträgen bei: (falls diese noch vorhanden sind)

O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

und wähle fix checked.

Starte den Rechner neu.

Wenn du das fertig hast dann

3. Genau einfach Combofix umbenenne und posten. Kannst auch zuerst versuchen ohne umzubennenen. Nur wenn es nicht geht, dann musst du umbennennen,

Gruss Swiss

#11

Zitat

Swisstreasure postete
Es sind 3 verschiedene Sachen:

1.
>>
Lasse folgende Datei bei www.VIRUSTOTAL.com/de prüfen und poste das Ergebnis:

C:\WINDOWS\system32\wtmcore.exe
c:\windows\system32\wlsppc.dll

Auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren mit Strg V) --> Klick auf die zu prüfende Datei und öffnen--> klick auf "Senden der Datei"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> hier kopieren

Wenn du das fertig hast dann:

2.
>>
Schliesse alle Fenster und starte Hijack This
Klicke: Do a Systemscan only
Setze ein Häckchen in das Kästchen vor den genannten Einträgen bei: (falls diese noch vorhanden sind)

O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

und wähle fix checked.

Starte den Rechner neu.

Wenn du das fertig hast dann

3. Genau einfach Combofix umbenenne und posten. Kannst auch zuerst versuchen ohne umzubennenen. Nur wenn es nicht geht, dann musst du umbennennen,

Gruss Swiss

Also auf meinem PC ist WinTimer3 installiert, welches aus irgend einem Grund den Upload zu Jotti, virustotal.com und virus.org verweigert.

Da ich die aktuelle Version von NOD32 Anit-Virus nutze, weiss ich jetzt nicht, ob der Einsatz eines Online-Virenscanners sinvoll ist, da dieser ja einer der besten ist...

Zudem habe ich bereits einen Scann durchgeführt, mit 2 Funden, welche ich in die Quarantäne verschoben habe: (siehe Anhang)

Wie geht's nun weiter?

#12 Virustotal prüft mit den Signaturenvon mehreren Virenscannern !
Deswegen ist erkennungsrate sehr hoch !

Du bist ja bereits befallen deswegen könnte dein Nod32 dir auch nicht mehr viel helfen weil es bereits ausgeschalten sein könnte !

Befolge doch bitte die Anweisung von Swiss, gerade das Combofix-Log ist wichtig !
__________
Mein Leben verläuft streng nach Murphys Gesetz

#13 Also dann überspringe ich halt einfach den Schritt mit VirusTotal.

Aber muss ich dann bei HijackThis trotzdem dieses Häckchen setzen?

#14 Ja, bitte einfach genau Punkt für Punkt abarbeiten was ich geschrieben habe...

Gruss Swiss

#15

Zitat

Swisstreasure postete
Ja, bitte einfach genau Punkt für Punkt abarbeiten was ich geschrieben habe...

Gruss Swiss

Beim Scan mit HijackThis ist der erwähnte Eintrag nicht mehr aufgelistet.

Das ComboFix Log habe ich als Anhang angefügt.