Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   C:\Uploads (https://www.trojaner-board.de/21851-c-uploads.html)

magszags 15.09.2005 19:12

C:\Uploads
 
Hey!
Ich hab irgendwie diesen Ordner auf meinem PC und wusste bist jetzt nichts davon, bis AntiVir mir angezeigt hat, dass dorf infizierte Dateien wären..
Wie soll ich die nun löschen?!
Und wie kann ich diesen Ordner überhaupt sehen?!
Danke für Antworten!
Max

Yopie 15.09.2005 19:16

Damit wir uns ein Bild von deinem Rechner machen können, poste mal ein Hijackthis-Log: http://www.trojaner-board.com/showthread.php?t=17493

Versteckte Ordner sichtbar machen: http://www.winhilfe.info/windows_xp/...n_20050530101/

Gruß :daumenhoc
Yopie

Haui45 15.09.2005 19:17

Lass' mich raten: Du hast immer noch nicht formatiert...

cotton 15.09.2005 19:19

google:
http://www.dirks-computerecke.de/forum/ptopic,9727.html

:)
tauschbörse installiert?

magszags 15.09.2005 19:25

Ich hab wohl formatiert..


HijackThis Log:
Logfile of HijackThis v1.99.1
Scan saved at 20:24:53, on 15.09.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Creative\Shared Files\CAMTRAY.EXE
C:\WINDOWS\Mixer.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Picasa2\PicasaMediaDetector.exe
C:\Programme\Winamp\winampa.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Maxi\Desktop\hijackthis\HijackThis.exe

O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [Creative WebCam Tray] C:\Programme\Creative\Shared Files\CAMTRAY.EXE
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [webHancer Survey Companion] "C:\Program Files\webHancer\Programs\whSurvey.exe"
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Picasa Media Detector] C:\Programme\Picasa2\PicasaMediaDetector.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: Microsoft Office-Schnellstart.lnk = C:\Microsoft Word\Office\FASTBOOT.EXE
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary...r.cab31267.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab31267.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe




danke!

Yopie 15.09.2005 19:31

Du hast webhancer drauf, evtl. kannst du das mit dieser Anleitung deinstallieren.
http://www.webhancer.com/support/index.asp?s=34

Ansonsten: Wie lautete die genaue Meldung von Antivir?

Gruß :daumenhoc
Yopie

Haui45 15.09.2005 19:33

Was für Malware erkennt AntiVir in welchen Dateien?

Spybot Search&Destroy und Ad-Aware runterladen, installieren und updaten.

Starte den PC im abgesicherten Modus und deinstalliere, falls möglich, Webhancer über Systemsteuerung-> Software.

Fixe mit HjT:
O4 - HKLM\..\Run: [webHancer Survey Companion] "C:\Program Files\webHancer\Programs\whSurvey

Lösche anschließend den Ordner C:\Program Files\webHancer\ manuell.

Scanne mit Spybot S&D und Ad-Aware. Lass' alle Probleme beheben.

Neustart.

Neues HjT-Log und die Funde von AntiVir posten.

magszags 15.09.2005 19:53

Ich hab aber kein Webhancer auf meinem PC..
In der Systemsteuerung zeigt er das nicht an und Program Files -> Webhancer gibt's auch nicht...
Antivir zeigt an, dass irgendwelche archivierten Ordner betroffen sind und die löscht es nicht..
Was jetzt?!

Haui45 15.09.2005 19:55

Zitat:

Zitat von Haui45
...und deinstalliere, falls möglich, Webhancer über Systemsteuerung-> Software.

Dann weiter nach Anleitung.

magszags 15.09.2005 20:52

Ich mach immernoch diesen Antivir Scan.. der läuft jetzt schon 55 minuten ca.
Der "Virus" in dem ganzen Verzeichnis Uploads heißt TR/Crypt.E
naja.. soll ich zu ende laufen lassen oder einfach uploads löschen und abbrechen?!

Yopie 15.09.2005 21:06

Guck mal: http://www.trojaner-board.de/showthread.php?t=19224

Mach mal einen eScan nach Anleitung; Link zur Anleitung in der FAQ-Sektion bitte selbst raussuchen!
Anleitung genau beachten! Funde mithilfe der find.rar posten!

Gruß :daumenhoc
Yopie

Coolpix4500 27.09.2005 13:01

Hallo!

Dieses Verzeichnis fand ich (resp. Antivir) gestern auch bei einer Kundin. Es handelt sich um ein verstecktes Verzeichnis voller Cracks. Es waren ca. 13'000 Files.

Ein Trojaner (verm. Trojaner Crypt.E) scheint es zu ermöglichen, von aussen auf diesen PC zuzugreifen. Wahrscheinlich erscheinen die Cracks dann auf Seiten wie Astalavista u. Co.

Man kann den Ordner z.b. über die Kommandozeile (cmd) löschen, oder mit dem Total Commander.

Den Trojaner selbst habe ich mit E-Scan entfernt. Danach habe ich beim eingebauten Firewall nachgeschaut ob irgendwelche unnützen Ports offen sind. Scheint alles wieder normal zu sein. Auch Hijackthis hat nichts Schädliches mehr gemeldet!

Ich habe der Kundin in Auftrag gegeben, ab jetzt alle paar Tage den ganzen PC zu scannen. Bin gespannt ob der Ordner wieder erscheint...!

Gruss,
Berni


Alle Zeitangaben in WEZ +1. Es ist jetzt 18:59 Uhr.

Copyright ©2000-2024, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28