|
Plagegeister aller Art und deren Bekämpfung: C:\UploadsWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
15.09.2005, 19:12 | #1 |
| C:\Uploads Hey! Ich hab irgendwie diesen Ordner auf meinem PC und wusste bist jetzt nichts davon, bis AntiVir mir angezeigt hat, dass dorf infizierte Dateien wären.. Wie soll ich die nun löschen?! Und wie kann ich diesen Ordner überhaupt sehen?! Danke für Antworten! Max |
15.09.2005, 19:16 | #2 |
Moderator, a.D. | C:\Uploads Damit wir uns ein Bild von deinem Rechner machen können, poste mal ein Hijackthis-Log: http://www.trojaner-board.com/showthread.php?t=17493
__________________Versteckte Ordner sichtbar machen: http://www.winhilfe.info/windows_xp/...n_20050530101/ Gruß Yopie |
15.09.2005, 19:17 | #3 |
| C:\Uploads Lass' mich raten: Du hast immer noch nicht formatiert...
__________________ |
15.09.2005, 19:19 | #4 |
| C:\Uploads |
15.09.2005, 19:25 | #5 |
| C:\Uploads Ich hab wohl formatiert.. HijackThis Log: Logfile of HijackThis v1.99.1 Scan saved at 20:24:53, on 15.09.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\Java\jre1.5.0_04\bin\jusched.exe C:\Programme\ICQLite\ICQLite.exe C:\Programme\Creative\Shared Files\CAMTRAY.EXE C:\WINDOWS\Mixer.exe C:\Programme\QuickTime\qttask.exe C:\Programme\iTunes\iTunesHelper.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\Picasa2\PicasaMediaDetector.exe C:\Programme\Winamp\winampa.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\MSN Messenger\MsnMsgr.Exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\svchost.exe C:\Programme\iPod\bin\iPodService.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Dokumente und Einstellungen\Maxi\Desktop\hijackthis\HijackThis.exe O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [Creative WebCam Tray] C:\Programme\Creative\Shared Files\CAMTRAY.EXE O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [webHancer Survey Companion] "C:\Program Files\webHancer\Programs\whSurvey.exe" O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [Picasa Media Detector] C:\Programme\Picasa2\PicasaMediaDetector.exe O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O4 - Startup: Microsoft Office-Schnellstart.lnk = C:\Microsoft Word\Office\FASTBOOT.EXE O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary...r.cab31267.cab O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab31267.cab O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing) O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe danke! |
15.09.2005, 19:31 | #6 |
Moderator, a.D. | C:\Uploads Du hast webhancer drauf, evtl. kannst du das mit dieser Anleitung deinstallieren. http://www.webhancer.com/support/index.asp?s=34 Ansonsten: Wie lautete die genaue Meldung von Antivir? Gruß Yopie |
15.09.2005, 19:33 | #7 |
| C:\Uploads Was für Malware erkennt AntiVir in welchen Dateien? Spybot Search&Destroy und Ad-Aware runterladen, installieren und updaten. Starte den PC im abgesicherten Modus und deinstalliere, falls möglich, Webhancer über Systemsteuerung-> Software. Fixe mit HjT: O4 - HKLM\..\Run: [webHancer Survey Companion] "C:\Program Files\webHancer\Programs\whSurvey Lösche anschließend den Ordner C:\Program Files\webHancer\ manuell. Scanne mit Spybot S&D und Ad-Aware. Lass' alle Probleme beheben. Neustart. Neues HjT-Log und die Funde von AntiVir posten. |
15.09.2005, 19:53 | #8 |
| C:\Uploads Ich hab aber kein Webhancer auf meinem PC.. In der Systemsteuerung zeigt er das nicht an und Program Files -> Webhancer gibt's auch nicht... Antivir zeigt an, dass irgendwelche archivierten Ordner betroffen sind und die löscht es nicht.. Was jetzt?! |
15.09.2005, 19:55 | #9 | |
| C:\UploadsZitat:
|
15.09.2005, 20:52 | #10 |
| C:\Uploads Ich mach immernoch diesen Antivir Scan.. der läuft jetzt schon 55 minuten ca. Der "Virus" in dem ganzen Verzeichnis Uploads heißt TR/Crypt.E naja.. soll ich zu ende laufen lassen oder einfach uploads löschen und abbrechen?! |
15.09.2005, 21:06 | #11 |
Moderator, a.D. | C:\Uploads Guck mal: http://www.trojaner-board.de/showthread.php?t=19224 Mach mal einen eScan nach Anleitung; Link zur Anleitung in der FAQ-Sektion bitte selbst raussuchen! Anleitung genau beachten! Funde mithilfe der find.rar posten! Gruß Yopie |
27.09.2005, 13:01 | #12 |
| C:\Uploads Hallo! Dieses Verzeichnis fand ich (resp. Antivir) gestern auch bei einer Kundin. Es handelt sich um ein verstecktes Verzeichnis voller Cracks. Es waren ca. 13'000 Files. Ein Trojaner (verm. Trojaner Crypt.E) scheint es zu ermöglichen, von aussen auf diesen PC zuzugreifen. Wahrscheinlich erscheinen die Cracks dann auf Seiten wie Astalavista u. Co. Man kann den Ordner z.b. über die Kommandozeile (cmd) löschen, oder mit dem Total Commander. Den Trojaner selbst habe ich mit E-Scan entfernt. Danach habe ich beim eingebauten Firewall nachgeschaut ob irgendwelche unnützen Ports offen sind. Scheint alles wieder normal zu sein. Auch HijackThis hat nichts Schädliches mehr gemeldet! Ich habe der Kundin in Auftrag gegeben, ab jetzt alle paar Tage den ganzen PC zu scannen. Bin gespannt ob der Ordner wieder erscheint...! Gruss, Berni |
Themen zu C:\Uploads |
angezeigt, antivir, antworten, dateien, infizierte, infizierte dateien, löschen, löschen?, nichts, ordner, upload, uploads, worte, überhaupt |