| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Whenu.Weathercast.J in System Volume InformationWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
| |
23.10.2006, 20:39
| #1 |
| |  Whenu.Weathercast.J in System Volume Information Hallo, wenn ich meinen Ad-Aware laufen lasse, dann bleibt er irgendwann mal einfach stehen, und macht nicht weiter. Gleichzeitig öffnet sich auch das Fenster vom Bitdefender, wo drinsteht, dass er die entsprechende Datei Whenu.Weathercast.J gefunden hat. Die befindet sich im System Volume Information/Restore Ordner. Habe versucht den Ordner durch Deaktivierung, Neustart und dann wieder Reaktivierung zu löschen, aber es funktioniert immer noch nicht. Obwohl der Ordner auf D: also da wo der Virus eigentlich ist, 0 MB hat. Wenn ich mit dem Bitdefender suche findet der gar nix. Nur halt der Ad-Aware, der dann halt stehenbleibt und dann nicht mehr weitermacht. Habe das System auch schon im abgesicherten Modus gescannt, aber da hat der Ad-Aware nichts gefunden. Spybot hat auch nix gefunden. Bin um jeden Ratschlag dankbar Greetz Zsolt |
|
23.10.2006, 23:37
| #2 |
| /// Winkelfunktion /// TB-Süch-Tiger™   | Whenu.Weathercast.J in System Volume Information Deaktiviere die Systemwiederherstellung. Starte Deinen Rechner neu und aktiviere diese wieder, sofern Du sie benötigst.
__________________Erstell danach ein Hijackthis-Logfile und poste es.
__________________ |
|
24.10.2006, 00:31
| #3 |
| | Whenu.Weathercast.J in System Volume Information Hier die logfile, ich hoffe die hilft weiter:
__________________Logfile of HijackThis v1.99.1 Scan saved at 01:26:28, on 24.10.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\TGTSoft\StyleXP\StyleXPService.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE D:\Programme\Executive Software\Diskeeper\DkService.exe C:\WINDOWS\system32\slserv.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\Synaptics\SynTP\SynTPLpr.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\Programme\Java\jre1.5.0_08\bin\jusched.exe D:\progra~2\softwin\bitdef~1\bdswitch.exe D:\Programme\Softwin\BitDefender9\bdoesrv.exe D:\progra~2\softwin\bitdef~1\bdnagent.exe D:\PROGRA~2\Softwin\BITDEF~1\bdmcon.exe D:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe D:\Programme\Softwin\BitDefender9\vsserv.exe C:\802.11g WLAN\TIWLAN.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\Mozilla Firefox\firefox.exe D:\Eigene Dateien\Eigene Downloads\hijackthis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.bet365.com/home/livechat.asp?uid={6D67128D-873B-495C-B958-01AD6E483977}&usid=&langID=5 R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file) O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_08\bin\ssv.dll O2 - BHO: CoTGT_BHO Class - {C333CF63-767F-4831-94AC-E683D962C63C} - C:\Programme\TGTSoft\StyleXP\TGT_BHO.dll O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_08\bin\jusched.exe" O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [BDSwitchAgent] "D:\PROGRA~2\Softwin\BITDEF~1\bdswitch.exe" O4 - HKLM\..\Run: [BDOESRV] "D:\Programme\Softwin\BitDefender9\bdoesrv.exe" O4 - HKLM\..\Run: [BDNewsAgent] "D:\PROGRA~2\Softwin\BITDEF~1\bdnagent.exe" O4 - HKLM\..\Run: [BDMCon] D:\PROGRA~2\Softwin\BITDEF~1\bdmcon.exe O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe O4 - Global Startup: Adobe Reader - Schnellstart.lnk = D:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O8 - Extra context menu item: &ICQ Toolbar Search - res://D:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~2\MICROS~1\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_08\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_08\bin\ssv.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~2\MICROS~1\OFFICE11\REFIEBAR.DLL O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - d:\Programme\PartyGaming\PartyPoker\RunApp.exe (file missing) O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - d:\Programme\PartyGaming\PartyPoker\RunApp.exe (file missing) O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - d:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - d:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1154278582515 O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing) O23 - Service: Diskeeper - Executive Software International, Inc. - D:\Programme\Executive Software\Diskeeper\DkService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: BitDefender Desktop Update Service (LIVESRV) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe" /service (file missing) O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - D:\Programme\Softwin\BitDefender9\vsserv.exe" /service (file missing) O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing) |
|
24.10.2006, 10:04
| #4 | ||
| /// Winkelfunktion /// TB-Süch-Tiger™ | Whenu.Weathercast.J in System Volume Information Deon Logfile sieht soweit okay aus, aber: Zitat:
Zitat:
__________________ Logfiles bitte immer in CODE-Tags posten  |
|
24.10.2006, 14:44
| #5 |
| | Whenu.Weathercast.J in System Volume Information Hi Cosinus, danke für die Antwort. Nur noch 2 Fragen: 1. Mit welchem Programm kann ich diese Sachen fixen? 2. Bekomme ich diesen Whenu.Weathercast.J aus diesem Ordner (d:\system volume information\_restore{xxxxxxx-xxxx-xxx......} irgendwie heraus? Der scheint ja durch das deaktivieren der Systemwiederherstellung nicht gelöscht worden zu sein. Greetz zsolt |
|
24.10.2006, 15:13
| #6 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Whenu.Weathercast.J in System Volume Information 1. Fixen mit Hijackthis. Starte es und klick auf Do a System scan only. Dort markierst Du einsprechende Einträge (Haken davor setzen) und klickst dann unten auf Fix checked. 2. Wenn Du die SWH komplett deaktivierst, wird der erwähnte Ordner geleert/gelöscht. 
__________________ --> Whenu.Weathercast.J in System Volume Information |
|
24.10.2006, 19:28
| #7 |
| | Whenu.Weathercast.J in System Volume Information Hallo, hab die SWH scho deaktiviert, aber er findet es trotzdem in diesem Ordner. Das heißt, er ist immer noch da...  Kann man den Ordner irgendwie manuell durchforsten? Greetz zsolt |
|
| Themen zu Whenu.Weathercast.J in System Volume Information |
| abgesicherten, abgesicherten modus, ad-aware, befindet, bitdefender, datei, defender, einfach, fenster, funktioniert, gleichzeitig, information, laufen, löschen, modus, neustart, nicht mehr, nichts, spybot, suche, system, system volume information, versucht, virus, volume, öffnet |
Hybrid-Darstellung
