Verdacht auf Viren

#0
30.06.2009, 15:53
Member

Beiträge: 180
#1 Die neuste Version des MSN Messenger's beendet oftmals hintereinander.

Auch der online Chat wird unterbrochen, aber die Internetverbindung ist sonst normal, alle Seiten werden angezeigt.

Habe hier mal ein Log-File erstellt:

Seitenanfang Seitenende
30.06.2009, 16:48
Member

Beiträge: 3716
#2 schau mal hier:
http://board.protecus.de/t23187.htm
abarbeiten bitte
Seitenanfang Seitenende
30.06.2009, 17:26
Member

Themenstarter

Beiträge: 180
#3 Ich kann Malwarebyte's Anti-Malware nicht installieren, es wird immer corrupted angezeigt.

Habe es mit FireFox und IE mit und ohne Downloadmanager versucht...
Seitenanfang Seitenende
30.06.2009, 17:34
Moderator

Beiträge: 5694
#4 Und wann gedenkst Du hier weiter zu fahren:
http://board.protecus.de/t37247-2.htm

Gruss Swiss
Seitenanfang Seitenende
30.06.2009, 18:07
Member

Themenstarter

Beiträge: 180
#5

Zitat

Swisstreasure postete
Und wann gedenkst Du hier weiter zu fahren:
http://board.protecus.de/t37247-2.htm

Gruss Swiss
Ja das ist nicht mein PC....
Das läuft schon...


Aber in diesem Thread handelt es von meinem PC.
Dieser Beitrag wurde am 30.06.2009 um 18:15 Uhr von Mario348 editiert.
Seitenanfang Seitenende
30.06.2009, 18:24
Moderator

Beiträge: 5694
#6 Ok dann Sorry ;)

>>
Lasse folgende Datei bei www.VIRUSTOTAL.com/de prüfen und poste das Ergebnis:

C:\WINDOWS\system32\wtmcore.exe
c:\windows\system32\wlsppc.dll


Auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren mit Strg V) --> Klick auf die zu prüfende Datei und öffnen--> klick auf "Senden der Datei"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> hier kopieren


>>
Schliesse alle Fenster und starte Hijack This
Klicke: Do a Systemscan only
Setze ein Häckchen in das Kästchen vor den genannten Einträgen bei: (falls diese noch vorhanden sind)

Zitat

O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
und wähle fix checked.

Starte den Rechner neu.

>>
Lade Dir Combofix auf den Desktop und benenne es in df.exe um:
http://www.virus-protect.org/artikel/tools/combofix3.html

Danach führe Test.exe aus und poste das Log:
http://www.virus-protect.org/artikel/tools/combofix.html

Gruss Swiss
Seitenanfang Seitenende
30.06.2009, 18:41
Member

Themenstarter

Beiträge: 180
#7

Zitat

Swisstreasure postete
Ok dann Sorry ;)

>>
Lasse folgende Datei bei www.VIRUSTOTAL.com/de prüfen und poste das Ergebnis:

C:\WINDOWS\system32\wtmcore.exe
c:\windows\system32\wlsppc.dll


Auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren mit Strg V) --> Klick auf die zu prüfende Datei und öffnen--> klick auf "Senden der Datei"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> hier kopieren


>>
Schliesse alle Fenster und starte Hijack This
Klicke: Do a Systemscan only
Setze ein Häckchen in das Kästchen vor den genannten Einträgen bei: (falls diese noch vorhanden sind)

Zitat

O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
und wähle fix checked.

Starte den Rechner neu.

>>
Lade Dir Combofix auf den Desktop und benenne es in df.exe um:
http://www.virus-protect.org/artikel/tools/combofix3.html

Danach führe Test.exe aus und poste das Log:
http://www.virus-protect.org/artikel/tools/combofix.html

Gruss Swiss
Was meinst du mit dem?

Zitat

O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
Da ein Häckchen setzen und bei den anderen 2 auch?

Was du mit Test. exe meinst, verstehe ich nicht...
Seitenanfang Seitenende
30.06.2009, 18:44
Moderator

Beiträge: 5694
#8 Steht doch alles genau beschrieben? Wo hast du Probleme?

Gehe auf www.virustotal.com/de und lass die zwei geposteten Datein dort testen wie ich beschrieben habe. Danach eins nach dem anderen abarbeiten wie beschrieben.

Gruss Swiss
Seitenanfang Seitenende
30.06.2009, 18:59
Member

Themenstarter

Beiträge: 180
#9

Zitat

Swisstreasure postete
Steht doch alles genau beschrieben? Wo hast du Probleme?

Gehe auf www.virustotal.com/de und lass die zwei geposteten Datein dort testen wie ich beschrieben habe. Danach eins nach dem anderen abarbeiten wie beschrieben.

Gruss Swiss
Ich verstehe einfach nicht, was der Registry-Eintrag als Zitat soll...

Dann noch die Test.exe mit diesem Link...

Meinst du damit einfach Combofix installieren und die Verknüpfung umbenennen und das Log-File posten?
Seitenanfang Seitenende
30.06.2009, 19:15
Moderator

Beiträge: 5694
#10 Es sind 3 verschiedene Sachen:

1.
>>
Lasse folgende Datei bei www.VIRUSTOTAL.com/de prüfen und poste das Ergebnis:

C:\WINDOWS\system32\wtmcore.exe
c:\windows\system32\wlsppc.dll

Auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren mit Strg V) --> Klick auf die zu prüfende Datei und öffnen--> klick auf "Senden der Datei"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> hier kopieren


Wenn du das fertig hast dann:

2.
>>
Schliesse alle Fenster und starte Hijack This
Klicke: Do a Systemscan only
Setze ein Häckchen in das Kästchen vor den genannten Einträgen bei: (falls diese noch vorhanden sind)

O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

und wähle fix checked.

Starte den Rechner neu.


Wenn du das fertig hast dann

3. Genau einfach Combofix umbenenne und posten. Kannst auch zuerst versuchen ohne umzubennenen. Nur wenn es nicht geht, dann musst du umbennennen,

Gruss Swiss
Seitenanfang Seitenende
01.07.2009, 12:07
Member

Themenstarter

Beiträge: 180
#11

Zitat

Swisstreasure postete
Es sind 3 verschiedene Sachen:

1.
>>
Lasse folgende Datei bei www.VIRUSTOTAL.com/de prüfen und poste das Ergebnis:

C:\WINDOWS\system32\wtmcore.exe
c:\windows\system32\wlsppc.dll

Auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren mit Strg V) --> Klick auf die zu prüfende Datei und öffnen--> klick auf "Senden der Datei"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> hier kopieren


Wenn du das fertig hast dann:

2.
>>
Schliesse alle Fenster und starte Hijack This
Klicke: Do a Systemscan only
Setze ein Häckchen in das Kästchen vor den genannten Einträgen bei: (falls diese noch vorhanden sind)

O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

und wähle fix checked.

Starte den Rechner neu.


Wenn du das fertig hast dann

3. Genau einfach Combofix umbenenne und posten. Kannst auch zuerst versuchen ohne umzubennenen. Nur wenn es nicht geht, dann musst du umbennennen,

Gruss Swiss
Also auf meinem PC ist WinTimer3 installiert, welches aus irgend einem Grund den Upload zu Jotti, virustotal.com und virus.org verweigert.

Da ich die aktuelle Version von NOD32 Anit-Virus nutze, weiss ich jetzt nicht, ob der Einsatz eines Online-Virenscanners sinvoll ist, da dieser ja einer der besten ist...

Zudem habe ich bereits einen Scann durchgeführt, mit 2 Funden, welche ich in die Quarantäne verschoben habe: (siehe Anhang)

Wie geht's nun weiter?

Seitenanfang Seitenende
01.07.2009, 18:42
Member
Avatar chrischahn87

Beiträge: 301
#12 Virustotal prüft mit den Signaturenvon mehreren Virenscannern !
Deswegen ist erkennungsrate sehr hoch !

Du bist ja bereits befallen deswegen könnte dein Nod32 dir auch nicht mehr viel helfen weil es bereits ausgeschalten sein könnte !

Befolge doch bitte die Anweisung von Swiss, gerade das Combofix-Log ist wichtig !
__________
Mein Leben verläuft streng nach Murphys Gesetz
Seitenanfang Seitenende
03.07.2009, 23:24
Member

Themenstarter

Beiträge: 180
#13 Also dann überspringe ich halt einfach den Schritt mit VirusTotal.

Aber muss ich dann bei HijackThis trotzdem dieses Häckchen setzen?
Seitenanfang Seitenende
03.07.2009, 23:33
Moderator

Beiträge: 5694
#14 Ja, bitte einfach genau Punkt für Punkt abarbeiten was ich geschrieben habe...

Gruss Swiss
Seitenanfang Seitenende
04.07.2009, 00:20
Member

Themenstarter

Beiträge: 180
#15

Zitat

Swisstreasure postete
Ja, bitte einfach genau Punkt für Punkt abarbeiten was ich geschrieben habe...

Gruss Swiss
Beim Scan mit HijackThis ist der erwähnte Eintrag nicht mehr aufgelistet.

Das ComboFix Log habe ich als Anhang angefügt.

Anhang: log.txt
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: