Win64:Malware-gen in wmcodecs.dll - false positive?

Guten Abend,

ich bekomme seit Anfang des Jahres immer wieder die Meldung (siehe Screenshot), dass die Bedrohung “Win64:Malware-gen” in der Datei “wmcodes.dll” gefunden wurde. Ein Verschieben in den Viruscontainer bleibt erfolglos, da die Meldung am nächsten Tag oder schon nach ein paar Stunden wieder auftaucht. Manchmal sogar drei bis vier mal am Tag. Ich konnte über Google keinerlei Informationen über “wmcodecs.dll” finden (Es gibt ein paar Treffer, jedoch keinen in deutscher Sprache).
Ich habe die Datei auch schon “zur Analyse geschickt”.

Womöglich einfach ein falsch-positiver Alarm?

LG Chris

Teste die Datei bei VT (https://www.virustotal.com/de/) und poste den Ergebnislink.

Willkommen im Forum,
Asyn

Hier das Ergebnis https://www.virustotal.com/de/file/ef9a340ddca0b1c81e21a946be2662761fd0a3496baf3173f928e0fe95b0b2a2/analysis/1550158086/

was heißt das jetzt?

Hi, sieht mir nicht nach einem FP aus.

Hier die neueste Analyse: https://www.virustotal.com/#/file/ef9a340ddca0b1c81e21a946be2662761fd0a3496baf3173f928e0fe95b0b2a2/detection

Ne Idee wie ich die Malware los werde? Am besten format c: oder?

Wenn du willst, können wir einen Malware-Experten hinzuziehen. Sag Bescheid.

G Asyn

Hi!

Besser Du akzeptierst den Rat von Asyn. Der Malware-Experte schafft das! Greif zu und hab Erfolg.

Format C: ist schnell und schnell ist alles weg und ein Riesenberg von Arbeit auf Deinem Tisch!. Ich würde das nicht tun.

=Snake=

Dann komme ich gerne auf das Angebot eines Experten zurück :slight_smile:

Super! Eine gute Entscheidung. Warte auf Asyn.

ChrisFF,

Vorschlag Malwarebytes Adware Cleaner ein zu setzen: https://www.malwarebytes.com/adwcleaner/

polonus

@ =Snake=, entspann dich. Kein Grund mich mit PMs zu stressen.

@polonus Anbei das Log vom AdwCleaner

Ok. du brauchtest fast ne Stunde, um auf sein Angebot einzugehen! Da er morgen in Urlaub geht, habe ich ihn gebeten, Dir vorher noch zu helfen.
Also gab’s doch einen Grund, aber nun hast Du ja reagiert. Damit ziehe ich mich zurück.

=Snake=

Ha der ChrisFF.

So P(otential)U(nwanted)P(rogram) ist gelöst werden. Seht gut aus.
Keine weiteren bezonderen Angelegenheiten meldenswert?
Grüße aus der Rotterdamer Gegend,

polonus aka Damian

Ok, dann beobachte ich jetzt mal, ob sich Avast nochmal meldet. Bis jetzt kam keine Meldung mehr.

Vielen Dank für eure Hilfe!

Bitte schön & auf Holländisch: “Graag gedaan”.

polonus

CXhrisFF, falls du eine externe USB Festplatte hast, schliesse die an und mach auf dieser Systembackups/images deines Windows mit zum Beispiel Aomei Backupper Standard: https://www.backup-utility.com/de/free-backup-software.html bei Aomei heisst das Systemsicherung: https://www.backup-utility.com/de/features/system-backup.html und vergiss nicht das Boot/Rettungsmedium mit dem Assistenten zu machen. Ausserdem paß demnächst besser auf mit Installern :wink:

Hey, danke für die Tipps. Ich bin eigentlich sehr vorsichtig, was Installer angeht. Muss wohl in einem Anfall geistiger Abwesenheit passiert sein ;D

Ich habe jetzt gerade noch einmal einen Scan gemacht. Hierbei meldete Avast wieder die besagte Malware, diesmal aber im Avast-Ordner mit einem sehr seltsamen Dateinamen (siehe Anhang). Ist dies einfach der Virus-Container?

Betroffene Datei, WMCODECS.DLL._89DFC713CDFD4A8CD958F5F744CA7C6AF219E4A4, ist unsigniert eingetroffen.
Dabei hat sich Adware PUP befunden. Unter neu Programen kann sich noch etwas befinden, allerdings denke ich nicht.
Mit Task Manager (Aufgabeverwalter/Steurprogramm) waere auch noch zu sehen ob etwas vorgeht dass da nicht sein soll.

Bitte auch lesen: https://help.avast.com/de/av_free/18/settings_sh_std_on_exec.html

Datei-Schutz ist die grundlegende aktive Schutzebene in Avast Antivirus. Dadurch werden Programme und Dateien, die auf Ihrem PC gespeichert sind, in Echtzeit auf bösartige Bedrohungen gescannt, bevor sie geöffnet, ausgeführt, geändert oder gespeichert werden dürfen. Wenn Malware erkannt wird, verhindert der Dateisystem-Schutz, dass Ihr PC von diesem Programm oder dieser Datei infiziert wird.

Standardmäßig ist der Dateisystem-Schutz so konfiguriert, dass er optimalen Schutz bietet, sobald er aktiviert wurde. Es wird darum dringend empfohlen, diesen Schutz stets aktiviert zu lassen und die Konfiguration nur dann zu ändern, wenn Sie über fortgeschrittene Kenntnisse über den Malware-Schutz verfügen.

Verwenden Sie die Registerkarten auf der linken Seite des Fensters, um die einzelnen Verhaltenseinstellungen des Dateisystem-Schutzes zu verwalten. Wenn Sie die gewünschten Änderungen vorgenommen haben, klicken Sie auf OK, um die Einstellungen für den Dateisystem-Schutz zu speichern.

polonus

Hi ChrisFF,

Suma Sumarum - Im Datei Schutz kann nichts vorgehen, was nicht vorgehen soll. WMCODECS.DLL._89DFC713CDFD4A8CD958F5F744CA7C6AF219E4A4, ist so zu sagen dort drinnen “kaltgestellt”.

polonus

polonus, vielleicht könntest du mal mit ChrisFF sein System mit FRST überprüfen und so sehen, ob noch was da ist oder nicht das nicht auf sein System gehört?