[HaBo]
| Windows Dieses Forum dient den Diskussionen rund um alle Microsoft-Betriebssysteme. |
winupck.exe
Diskussion: winupck.exe im Forum Windows, in der Kategorie Operating Systems; Anzeige Hallo zusammen, habe seit gestern ein Prog auf meinem NB Namens "winupck.exe"...... Google findet nichts zu dieser Datei! Kennt ...
 |
18.09.04, 00:57
| #1 (permalink) |
| Registriert seit: 25.07.04  Likes: 0 |  winupck.exe Anzeige Hallo zusammen, habe seit gestern ein Prog auf meinem NB Namens "winupck.exe"...... Google findet nichts zu dieser Datei! Kennt Sie jemand von euch Danke Uli |
|  |
|
18.09.04, 01:19
| #2 (permalink) |
| Member of Honour   Registriert seit: 04.09.04  Likes: 0 |  Nein, nicht bekannt. Ist kein bekannter Systemprozess. Gruss root |
|
| |
| HaBOT | - Anzeige - |
|
|
18.09.04, 08:33
| #3 (permalink) |
| Themenstarter Registriert seit: 25.07.04 Likes: 0 | Das habe ich mir schon gedacht, obwohl die Datei im Verzeichnis /system32 sitzt. Aber erstmal vielen Dank Uli |
|
| |
|
18.09.04, 14:00
| #4 (permalink) | |
| Administrator   Registriert seit: 02.10.01 Likes: 30 | Zitat:
Manuelle Entfernung von Malware - Mache Rechtsklick auf die Datei und schau dir die Eigenschaften an, ob du dort vertrauenswürdige Infos findest. (Hersteller, Produktname etc.) - Schau dir das Erstellungsdatum der Datei an - Überlerlege was du an dem Datum der Erstellung gemacht hast, gehört die Datei evtl. zu einem an dem Tag installierten Programm etc ... - Starte Windows neu im Abgesicherten Modus - Führe eine Suche in der Registry nach dem Dateinamen durch: Findest du Einträge? Geben diese Einträge Aufschluss über diesen Prozess? Wurde der Datei eine CLSID zugewiesen? Führe eine Suche nach der CLSID in der Registry durch. Findest du weitere Einträge? Evtl. mit Verweisen auf andere (unbekannte) Dateien? Untersuche diese Dateien. Befinden sich Einträge in den bekannten "Autostart Schlüsseln" [1]? - Führe eine Dateisuche nach Dateien mit dem gewissen Erstellungsdatum durch / Ordne die Dateien in Windows\System32 nach dem Erstellungsdatum - Sei besonders skeptisch bei gefundenen Datein in Windows\System32 und anderen Windowsverzeichnissen - Untersuche besonders jede gefundene *.sys *.dll *.exe. Schau dir deren Eigenschaften an, google nach den Dateinamen, führe eine Suche in der Registry danach durch. - Läuft ein unbekannter Prozess? Downloade dir den Process Explorer. Untersuche auf welche Dateien der Prozess zugreift. => Lösche alle Dateien und Registryschlüssel die dir "spanisch" vorkommen. (Vor dem Löschen von Registryschlüsseln kannst du, wenn du magst, diese exportieren um die Löschung evtl. später wieder rückgängig machen zu können. Du kannst dir ein Backup-Verzeichnis erstellen und dort vorsichtshalber Kopien der zu löschenden Dateien aufbewaren.) - Untersuche alle bekannten Dateien, mit deren Hilfe Programme beim Systemstart ausgeführt werden können.[2] - Starte Windows neu - Führe eine Dateisuche mit aktuellem Erstellungsdatum durch. -> Findest du wieder neu erstellte, unbekannte, höchst suspekte Dateien? Laufen unbekannte Prozesse? Dann wurden leider noch nicht alle Dateien entfernt. - Führe eine Suche in der Registry durch. Wurden gelöschte Schlüssel wieder neu erstellt? Neue Einträge in den "Autostart Schlüsseln"? Dann wurden leider noch nicht alle Dateien entfernt. [1] Alle Autostart Registry-Schlüssel: Windows 95-XP - HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run - HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\RunOnce - HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\Cur rentVersion\Run - HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run - HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr ent Version\RunOnce - HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr ent Version\RunOnceEx - HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre nt Version\Explorer\User Shell Folders\Startup - HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr ent Version\Explorer\User Shell Folders\Common Startup - HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr ent Version\Explorer\Shell Folders\Common Startup - HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\Cur rent Version\Explorer\User Shell Folders\Startup - HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\Cur rent Version\Explorer\Shell Folders\Startup - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\Update\NetworkPath - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\Update\UpdateMode - HKEY_LOCAL_MACHINE\Software\CLASSES\exefile\shell\ open\command\ @="\"%1\" %*" - HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\Browser Helper Objects Windows 98 - XP - HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr ent Version\ShellServiceObjectDelayLoad Windows 2000 und XP - HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\Run - HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\Load - HKEY_CURRENT_USER\Software\Policies\Microsoft\Syst em\Scripts - HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Win dows\System\Scripts\Startup - HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\Current Version\Winlogon\Userinit - HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre nt Version\Explorer\Shell Folders\Startup - HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon Shell [2] Autostart über Dateien: Windows 95-98 - C:\Winboot.ini - C:\Config.sys, Einträge "Device=", "Install=", "Devicehigh=" und "Installhigh=" - C:\Autoexec.bat - C:\Win.bat - C:\Windows\Dosstart.bat - Winstart.bat Windows 95-ME - C:\Msdos.sys - C:\Windows\Wininit.ini - C:\Windows\System.ini, Eintrag "Shell=" - C:\Windows\Win.ini, Einträge "run=" und "load=" - C:\Windows\Startmenü\Programme\Autostart - C:\Windows\Profiles\<Benutzername>\Startmenü\Progr amme\Autostart - C:\Windows\AllUsers\Startmenü\Programme\Autostart Nur Windows ME - C:\Window\Command\Cmdinit.bat Nur Windows 2000 - C:\Winnt\Autoexec.nt und Config.nt Nur Windows XP - C:\Windows\Autoexec.nt und Config.nt Windows 2000 und XP - C:\Dokumente und Einstellungen\<Benutzername>\Startmenü\Programme\A utostart - C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart Internet Explorer Windows 95 und 98 - C:\Windows\Desktop als Webansicht - C:\Windows\Profiles\<Benutzername>\Desktop als Webansicht Windows98 und ME - C:\Windows\Web\*.htt Nur Windows 2000 - C:\Winnt\Web\*.htt Windows 98, ME, XP - C:\Windows\Web\*.htt Windows 2000 und XP - C:\Dokumente und Einstellungen\<Benutzername>\Desktop als Webansicht Ich hoffe mal das hilft dem ein oder anderen weiter. :)
__________________ RL sux big time... auch 2012! Deleting pr0n is like killing your best friend [HaBo] bei Facebook - Werde Fan | |
|
| |
|
24.09.04, 10:54
| #5 (permalink) |
| Themenstarter Registriert seit: 25.07.04 Likes: 0 | vielen Dank für deine Tipps, habe das NB vom Netz genommen und werde mal SpyBot drüberlaufen lassen mal sehen was der findet. |
|
| |
|
24.09.04, 11:52
| #6 (permalink) |
| Registriert seit: 03.09.04 Likes: 0 | diese winupck.exe ist ein trojaner. schau mal hier: http://www.trojaner-board.de/archive...hp/t-7651.html |
|
| |
|
24.09.04, 13:32
| #7 (permalink) |
| Themenstarter Registriert seit: 25.07.04 Likes: 0 | Jo, das ist ja klasse. Vielen Dank für deine Info, dann werde ich dem jetzt mal das Licht ausschlten. Naja anrichten kann der Trojaner zur Zeit eh nix, da das NB nicht im Netzwerk ist.  also nachdem Spybot durchgelaufen ist, habe ich nix mehr gefunden. ein Schlüssel in der Reg gefunden. Auch mit Hijack nix mehr gefunden Vielen Dank |
|
| |
|
| - Anzeige - | |
|
|
[HaBo] » Operating Systems » Windows » winupck.exe
| Themen-Optionen | |
| Ansicht | |
Linear-Darstellung
| |
