Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: C:\Uploads

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 15.09.2005, 19:12   #1
magszags
 
C:\Uploads - Icon17

C:\Uploads



Hey!
Ich hab irgendwie diesen Ordner auf meinem PC und wusste bist jetzt nichts davon, bis AntiVir mir angezeigt hat, dass dorf infizierte Dateien wären..
Wie soll ich die nun löschen?!
Und wie kann ich diesen Ordner überhaupt sehen?!
Danke für Antworten!
Max

Alt 15.09.2005, 19:16   #2
Yopie
Moderator, a.D.
 
C:\Uploads - Standard

C:\Uploads



Damit wir uns ein Bild von deinem Rechner machen können, poste mal ein Hijackthis-Log: http://www.trojaner-board.com/showthread.php?t=17493

Versteckte Ordner sichtbar machen: http://www.winhilfe.info/windows_xp/...n_20050530101/

Gruß
Yopie
__________________


Alt 15.09.2005, 19:17   #3
Haui45
 
C:\Uploads - Standard

C:\Uploads



Lass' mich raten: Du hast immer noch nicht formatiert...
__________________

Alt 15.09.2005, 19:19   #4
cotton
 
C:\Uploads - Standard

C:\Uploads



google:
http://www.dirks-computerecke.de/forum/ptopic,9727.html


tauschbörse installiert?

Alt 15.09.2005, 19:25   #5
magszags
 
C:\Uploads - Standard

C:\Uploads



Ich hab wohl formatiert..


HijackThis Log:
Logfile of HijackThis v1.99.1
Scan saved at 20:24:53, on 15.09.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Creative\Shared Files\CAMTRAY.EXE
C:\WINDOWS\Mixer.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Picasa2\PicasaMediaDetector.exe
C:\Programme\Winamp\winampa.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Maxi\Desktop\hijackthis\HijackThis.exe

O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [Creative WebCam Tray] C:\Programme\Creative\Shared Files\CAMTRAY.EXE
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [webHancer Survey Companion] "C:\Program Files\webHancer\Programs\whSurvey.exe"
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Picasa Media Detector] C:\Programme\Picasa2\PicasaMediaDetector.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: Microsoft Office-Schnellstart.lnk = C:\Microsoft Word\Office\FASTBOOT.EXE
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary...r.cab31267.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab31267.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe




danke!


Alt 15.09.2005, 19:31   #6
Yopie
Moderator, a.D.
 
C:\Uploads - Standard

C:\Uploads



Du hast webhancer drauf, evtl. kannst du das mit dieser Anleitung deinstallieren.
http://www.webhancer.com/support/index.asp?s=34

Ansonsten: Wie lautete die genaue Meldung von Antivir?

Gruß
Yopie

Alt 15.09.2005, 19:33   #7
Haui45
 
C:\Uploads - Standard

C:\Uploads



Was für Malware erkennt AntiVir in welchen Dateien?

Spybot Search&Destroy und Ad-Aware runterladen, installieren und updaten.

Starte den PC im abgesicherten Modus und deinstalliere, falls möglich, Webhancer über Systemsteuerung-> Software.

Fixe mit HjT:
O4 - HKLM\..\Run: [webHancer Survey Companion] "C:\Program Files\webHancer\Programs\whSurvey

Lösche anschließend den Ordner C:\Program Files\webHancer\ manuell.

Scanne mit Spybot S&D und Ad-Aware. Lass' alle Probleme beheben.

Neustart.

Neues HjT-Log und die Funde von AntiVir posten.

Alt 15.09.2005, 19:53   #8
magszags
 
C:\Uploads - Standard

C:\Uploads



Ich hab aber kein Webhancer auf meinem PC..
In der Systemsteuerung zeigt er das nicht an und Program Files -> Webhancer gibt's auch nicht...
Antivir zeigt an, dass irgendwelche archivierten Ordner betroffen sind und die löscht es nicht..
Was jetzt?!

Alt 15.09.2005, 19:55   #9
Haui45
 
C:\Uploads - Standard

C:\Uploads



Zitat:
Zitat von Haui45
...und deinstalliere, falls möglich, Webhancer über Systemsteuerung-> Software.
Dann weiter nach Anleitung.

Alt 15.09.2005, 20:52   #10
magszags
 
C:\Uploads - Standard

C:\Uploads



Ich mach immernoch diesen Antivir Scan.. der läuft jetzt schon 55 minuten ca.
Der "Virus" in dem ganzen Verzeichnis Uploads heißt TR/Crypt.E
naja.. soll ich zu ende laufen lassen oder einfach uploads löschen und abbrechen?!

Alt 15.09.2005, 21:06   #11
Yopie
Moderator, a.D.
 
C:\Uploads - Standard

C:\Uploads



Guck mal: http://www.trojaner-board.de/showthread.php?t=19224

Mach mal einen eScan nach Anleitung; Link zur Anleitung in der FAQ-Sektion bitte selbst raussuchen!
Anleitung genau beachten! Funde mithilfe der find.rar posten!

Gruß
Yopie

Alt 27.09.2005, 13:01   #12
Coolpix4500
 
C:\Uploads - Standard

C:\Uploads



Hallo!

Dieses Verzeichnis fand ich (resp. Antivir) gestern auch bei einer Kundin. Es handelt sich um ein verstecktes Verzeichnis voller Cracks. Es waren ca. 13'000 Files.

Ein Trojaner (verm. Trojaner Crypt.E) scheint es zu ermöglichen, von aussen auf diesen PC zuzugreifen. Wahrscheinlich erscheinen die Cracks dann auf Seiten wie Astalavista u. Co.

Man kann den Ordner z.b. über die Kommandozeile (cmd) löschen, oder mit dem Total Commander.

Den Trojaner selbst habe ich mit E-Scan entfernt. Danach habe ich beim eingebauten Firewall nachgeschaut ob irgendwelche unnützen Ports offen sind. Scheint alles wieder normal zu sein. Auch HijackThis hat nichts Schädliches mehr gemeldet!

Ich habe der Kundin in Auftrag gegeben, ab jetzt alle paar Tage den ganzen PC zu scannen. Bin gespannt ob der Ordner wieder erscheint...!

Gruss,
Berni

Antwort

Themen zu C:\Uploads
angezeigt, antivir, antworten, dateien, infizierte, infizierte dateien, löschen, löschen?, nichts, ordner, upload, uploads, worte, überhaupt





Zum Thema C:\Uploads - Hey! Ich hab irgendwie diesen Ordner auf meinem PC und wusste bist jetzt nichts davon, bis AntiVir mir angezeigt hat, dass dorf infizierte Dateien wären.. Wie soll ich die nun - C:\Uploads...
Archiv
Du betrachtest: C:\Uploads auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.