|
Plagegeister aller Art und deren Bekämpfung: Whenu.Weathercast.J in System Volume InformationWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
23.10.2006, 20:39 | #1 |
| Whenu.Weathercast.J in System Volume Information Hallo, wenn ich meinen Ad-Aware laufen lasse, dann bleibt er irgendwann mal einfach stehen, und macht nicht weiter. Gleichzeitig öffnet sich auch das Fenster vom Bitdefender, wo drinsteht, dass er die entsprechende Datei Whenu.Weathercast.J gefunden hat. Die befindet sich im System Volume Information/Restore Ordner. Habe versucht den Ordner durch Deaktivierung, Neustart und dann wieder Reaktivierung zu löschen, aber es funktioniert immer noch nicht. Obwohl der Ordner auf D: also da wo der Virus eigentlich ist, 0 MB hat. Wenn ich mit dem Bitdefender suche findet der gar nix. Nur halt der Ad-Aware, der dann halt stehenbleibt und dann nicht mehr weitermacht. Habe das System auch schon im abgesicherten Modus gescannt, aber da hat der Ad-Aware nichts gefunden. Spybot hat auch nix gefunden. Bin um jeden Ratschlag dankbar Greetz Zsolt |
23.10.2006, 23:37 | #2 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Whenu.Weathercast.J in System Volume Information Deaktiviere die Systemwiederherstellung. Starte Deinen Rechner neu und aktiviere diese wieder, sofern Du sie benötigst.
__________________Erstell danach ein Hijackthis-Logfile und poste es.
__________________ |
24.10.2006, 00:31 | #3 |
| Whenu.Weathercast.J in System Volume Information Hier die logfile, ich hoffe die hilft weiter:
__________________Logfile of HijackThis v1.99.1 Scan saved at 01:26:28, on 24.10.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\TGTSoft\StyleXP\StyleXPService.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE D:\Programme\Executive Software\Diskeeper\DkService.exe C:\WINDOWS\system32\slserv.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\Synaptics\SynTP\SynTPLpr.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\Programme\Java\jre1.5.0_08\bin\jusched.exe D:\progra~2\softwin\bitdef~1\bdswitch.exe D:\Programme\Softwin\BitDefender9\bdoesrv.exe D:\progra~2\softwin\bitdef~1\bdnagent.exe D:\PROGRA~2\Softwin\BITDEF~1\bdmcon.exe D:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe D:\Programme\Softwin\BitDefender9\vsserv.exe C:\802.11g WLAN\TIWLAN.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\Mozilla Firefox\firefox.exe D:\Eigene Dateien\Eigene Downloads\hijackthis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.bet365.com/home/livechat.asp?uid={6D67128D-873B-495C-B958-01AD6E483977}&usid=&langID=5 R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file) O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_08\bin\ssv.dll O2 - BHO: CoTGT_BHO Class - {C333CF63-767F-4831-94AC-E683D962C63C} - C:\Programme\TGTSoft\StyleXP\TGT_BHO.dll O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_08\bin\jusched.exe" O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [BDSwitchAgent] "D:\PROGRA~2\Softwin\BITDEF~1\bdswitch.exe" O4 - HKLM\..\Run: [BDOESRV] "D:\Programme\Softwin\BitDefender9\bdoesrv.exe" O4 - HKLM\..\Run: [BDNewsAgent] "D:\PROGRA~2\Softwin\BITDEF~1\bdnagent.exe" O4 - HKLM\..\Run: [BDMCon] D:\PROGRA~2\Softwin\BITDEF~1\bdmcon.exe O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe O4 - Global Startup: Adobe Reader - Schnellstart.lnk = D:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O8 - Extra context menu item: &ICQ Toolbar Search - res://D:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~2\MICROS~1\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_08\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_08\bin\ssv.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~2\MICROS~1\OFFICE11\REFIEBAR.DLL O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - d:\Programme\PartyGaming\PartyPoker\RunApp.exe (file missing) O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - d:\Programme\PartyGaming\PartyPoker\RunApp.exe (file missing) O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - d:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - d:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1154278582515 O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing) O23 - Service: Diskeeper - Executive Software International, Inc. - D:\Programme\Executive Software\Diskeeper\DkService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: BitDefender Desktop Update Service (LIVESRV) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe" /service (file missing) O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - D:\Programme\Softwin\BitDefender9\vsserv.exe" /service (file missing) O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing) |
24.10.2006, 10:04 | #4 | ||
/// Winkelfunktion /// TB-Süch-Tiger™ | Whenu.Weathercast.J in System Volume Information Deon Logfile sieht soweit okay aus, aber: Zitat:
Zitat:
__________________ Logfiles bitte immer in CODE-Tags posten |
24.10.2006, 14:44 | #5 |
| Whenu.Weathercast.J in System Volume Information Hi Cosinus, danke für die Antwort. Nur noch 2 Fragen: 1. Mit welchem Programm kann ich diese Sachen fixen? 2. Bekomme ich diesen Whenu.Weathercast.J aus diesem Ordner (d:\system volume information\_restore{xxxxxxx-xxxx-xxx......} irgendwie heraus? Der scheint ja durch das deaktivieren der Systemwiederherstellung nicht gelöscht worden zu sein. Greetz zsolt |
24.10.2006, 15:13 | #6 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Whenu.Weathercast.J in System Volume Information 1. Fixen mit Hijackthis. Starte es und klick auf Do a System scan only. Dort markierst Du einsprechende Einträge (Haken davor setzen) und klickst dann unten auf Fix checked. 2. Wenn Du die SWH komplett deaktivierst, wird der erwähnte Ordner geleert/gelöscht.
__________________ --> Whenu.Weathercast.J in System Volume Information |
24.10.2006, 19:28 | #7 |
| Whenu.Weathercast.J in System Volume Information Hallo, hab die SWH scho deaktiviert, aber er findet es trotzdem in diesem Ordner. Das heißt, er ist immer noch da... Kann man den Ordner irgendwie manuell durchforsten? Greetz zsolt |
24.10.2006, 19:39 | #8 |
| Whenu.Weathercast.J in System Volume Information Hallo, du bist so vorgegangen : SWH ausschalten,Kiste ausschalten,einschalten und booten ? Sicher ? Ganz sicher ? Dann mußt du den Fund mit Pfad der angemeckert wird posten ! Irrlicht |
25.10.2006, 17:35 | #9 |
| Whenu.Weathercast.J in System Volume Information Hallo, ja also ich hab den Computer seitdem öfter mal rauf und runtergefahre, die SWH ist seitdem die ganze Zeit aus. Das Ding heißt: Application.Whenu.Weathercast.J und der Pfad lautet d:\system volume information\_restore{2f10b73a-5732-44e8-bffa-3a4b95 Greetz zsolt |
25.10.2006, 18:31 | #10 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Whenu.Weathercast.J in System Volume Information Hast Du die Systemwiederherstellung für alle Laufwerke deaktiviert?
__________________ Logfiles bitte immer in CODE-Tags posten |
25.10.2006, 18:33 | #11 |
| Whenu.Weathercast.J in System Volume Information Ja hab ich |
25.10.2006, 21:43 | #12 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Whenu.Weathercast.J in System Volume Information Dann wirst Du diesen Ordner wohl manuell löschen müssen. Ist aber nicht ganz einfach, da man normalerweise nicht in den Ordner System Volume Information reinkann. Du musst Dir erst die Zugriffsrechte holen, oder kommst Du zufällig doch da so rein?
__________________ Logfiles bitte immer in CODE-Tags posten |
26.10.2006, 16:43 | #13 |
| Whenu.Weathercast.J in System Volume Information Yippiieee ich bin ihn los Hab den Inhalt des Ordners manuell gelöscht. War ein bißchen umständlich aber es hat gefunzt. Hab folgende Sachen gemacht falls es jemanden interessiert: 1. unter Extras -> Ordneroptionen -> Ansicht -> "Alle Dateien anzeigen" -> Häkchen rein -> "Geschützte Systemdateien ausblenden" -> Häkchen raus -> "Inhalte von Systemordnern anzeigen" -> Häkchen rein 2. Nun den PC im abgesicherten Modus starten und sich als Administrator anmelden, dann im Windows Explorer mit der rechten Maustaste in die Eigenschaften des Ordners "System Volume Information" gehen, und da auf den Registerkarte Sicherheit gehen (der übrigens im normalen Modus nicht angezeigt wird, also unbedingt abgesicherten Modus wählen). Dann klickt man auf "Hinzufügen", wo man im Fenster "Benutzer oder Gruppe wählen" auf "Erweitert" klickt. Entweder durchsucht man dann alle Benutzer und Gruppen oder gibt direkt die "Administratoren" ein und bestätigt die Eingabe entsprechend. Und nun kann man fleißig sämtliche Daten aus dem Ordner löschen Das ganze hab ich übrigens von da: http://proteino.de/index.php/4103002/ Vielen Dank an alle die mir geholfen haben draufzukommen Greetz zsolt |
Themen zu Whenu.Weathercast.J in System Volume Information |
abgesicherten, abgesicherten modus, ad-aware, befindet, bitdefender, datei, defender, einfach, fenster, funktioniert, gleichzeitig, information, laufen, löschen, modus, neustart, nicht mehr, nichts, spybot, suche, system, system volume information, versucht, virus, volume, öffnet |