Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Whenu.Weathercast.J in System Volume Information (https://www.trojaner-board.de/33084-whenu-weathercast-j-system-volume-information.html)

zsolti81 23.10.2006 20:39
Whenu.Weathercast.J in System Volume Information
 
Hallo,

wenn ich meinen Ad-Aware laufen lasse, dann bleibt er irgendwann mal einfach stehen, und macht nicht weiter. Gleichzeitig öffnet sich auch das Fenster vom Bitdefender, wo drinsteht, dass er die entsprechende Datei Whenu.Weathercast.J gefunden hat. Die befindet sich im System Volume Information/Restore Ordner.

Habe versucht den Ordner durch Deaktivierung, Neustart und dann wieder Reaktivierung zu löschen, aber es funktioniert immer noch nicht. Obwohl der Ordner auf D: also da wo der Virus eigentlich ist, 0 MB hat.

Wenn ich mit dem Bitdefender suche findet der gar nix. Nur halt der Ad-Aware, der dann halt stehenbleibt und dann nicht mehr weitermacht.

Habe das System auch schon im abgesicherten Modus gescannt, aber da hat der Ad-Aware nichts gefunden. Spybot hat auch nix gefunden.

Bin um jeden Ratschlag dankbar


Greetz Zsolt

cosinus 23.10.2006 23:37
Deaktiviere die Systemwiederherstellung. Starte Deinen Rechner neu und aktiviere diese wieder, sofern Du sie benötigst.
Erstell danach ein Hijackthis-Logfile und poste es.

zsolti81 24.10.2006 00:31
Hier die logfile, ich hoffe die hilft weiter:


Logfile of HijackThis v1.99.1
Scan saved at 01:26:28, on 24.10.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
D:\Programme\Executive Software\Diskeeper\DkService.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Java\jre1.5.0_08\bin\jusched.exe
D:\progra~2\softwin\bitdef~1\bdswitch.exe
D:\Programme\Softwin\BitDefender9\bdoesrv.exe
D:\progra~2\softwin\bitdef~1\bdnagent.exe
D:\PROGRA~2\Softwin\BITDEF~1\bdmcon.exe
D:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
D:\Programme\Softwin\BitDefender9\vsserv.exe
C:\802.11g WLAN\TIWLAN.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Mozilla Firefox\firefox.exe
D:\Eigene Dateien\Eigene Downloads\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.bet365.com/home/livechat.asp?uid={6D67128D-873B-495C-B958-01AD6E483977}&usid=&langID=5
R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_08\bin\ssv.dll
O2 - BHO: CoTGT_BHO Class - {C333CF63-767F-4831-94AC-E683D962C63C} - C:\Programme\TGTSoft\StyleXP\TGT_BHO.dll
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_08\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [BDSwitchAgent] "D:\PROGRA~2\Softwin\BITDEF~1\bdswitch.exe"
O4 - HKLM\..\Run: [BDOESRV] "D:\Programme\Softwin\BitDefender9\bdoesrv.exe"
O4 - HKLM\..\Run: [BDNewsAgent] "D:\PROGRA~2\Softwin\BITDEF~1\bdnagent.exe"
O4 - HKLM\..\Run: [BDMCon] D:\PROGRA~2\Softwin\BITDEF~1\bdmcon.exe
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = D:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://D:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~2\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_08\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_08\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~2\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - d:\Programme\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - d:\Programme\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - d:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - d:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1154278582515
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: Diskeeper - Executive Software International, Inc. - D:\Programme\Executive Software\Diskeeper\DkService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe" /service (file missing)
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - D:\Programme\Softwin\BitDefender9\vsserv.exe" /service (file missing)
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)

cosinus 24.10.2006 10:04
Deon Logfile sieht soweit okay aus, aber:
Zitat:
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - d:\Programme\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - d:\Programme\PartyGaming\PartyPoker\RunApp.exe (file missing)
Die kannste fixen, sind unnötig und
Zitat:
C:\Programme\Java\jre1.5.0_08\bin\ssv.dll
Java könnte ein Update vertragen, bekommste von http://java.sun.com/. Evtl. auch der AdobeReader, der müsste sich aber mit der Autoupdate-Funktion melden.

zsolti81 24.10.2006 14:44
Hi Cosinus, danke für die Antwort.

Nur noch 2 Fragen:
1. Mit welchem Programm kann ich diese Sachen fixen?
2. Bekomme ich diesen Whenu.Weathercast.J aus diesem Ordner (d:\system volume information\_restore{xxxxxxx-xxxx-xxx......} irgendwie heraus? Der scheint ja durch das deaktivieren der Systemwiederherstellung nicht gelöscht worden zu sein.

Greetz zsolt

cosinus 24.10.2006 15:13
1. Fixen mit Hijackthis. Starte es und klick auf Do a System scan only. Dort markierst Du einsprechende Einträge (Haken davor setzen) und klickst dann unten auf Fix checked.
2. Wenn Du die SWH komplett deaktivierst, wird der erwähnte Ordner geleert/gelöscht. ;)

zsolti81 24.10.2006 19:28
Hallo,

hab die SWH scho deaktiviert, aber er findet es trotzdem in diesem Ordner. Das heißt, er ist immer noch da... :confused:

Kann man den Ordner irgendwie manuell durchforsten?

Greetz zsolt

irrlicht 24.10.2006 19:39
Hallo,
du bist so vorgegangen : SWH ausschalten,Kiste ausschalten,einschalten und booten ?
Sicher ? Ganz sicher ?
Dann mußt du den Fund mit Pfad der angemeckert wird posten !
Irrlicht

zsolti81 25.10.2006 17:35
Hallo,

ja also ich hab den Computer seitdem öfter mal rauf und runtergefahre, die SWH ist seitdem die ganze Zeit aus.

Das Ding heißt:

Application.Whenu.Weathercast.J

und der Pfad lautet

d:\system volume information\_restore{2f10b73a-5732-44e8-bffa-3a4b95



Greetz zsolt

cosinus 25.10.2006 18:31
Hast Du die Systemwiederherstellung für alle Laufwerke deaktiviert?

zsolti81 25.10.2006 18:33
Ja hab ich :(

cosinus 25.10.2006 21:43
Dann wirst Du diesen Ordner wohl manuell löschen müssen. Ist aber nicht ganz einfach, da man normalerweise nicht in den Ordner System Volume Information reinkann. Du musst Dir erst die Zugriffsrechte holen, oder kommst Du zufällig doch da so rein?

zsolti81 26.10.2006 16:43
Yippiieee ich bin ihn los :Boogie: :Boogie: :Boogie: :Boogie:

Hab den Inhalt des Ordners manuell gelöscht. War ein bißchen umständlich aber es hat gefunzt.

Hab folgende Sachen gemacht falls es jemanden interessiert:
1. unter Extras -> Ordneroptionen -> Ansicht
-> "Alle Dateien anzeigen" -> Häkchen rein
-> "Geschützte Systemdateien ausblenden" -> Häkchen raus
-> "Inhalte von Systemordnern anzeigen" -> Häkchen rein

2. Nun den PC im abgesicherten Modus starten und sich als Administrator anmelden, dann im Windows Explorer mit der rechten Maustaste in die Eigenschaften des Ordners "System Volume Information" gehen, und da auf den Registerkarte Sicherheit gehen (der übrigens im normalen Modus nicht angezeigt wird, also unbedingt abgesicherten Modus wählen). Dann klickt man auf "Hinzufügen", wo man im Fenster "Benutzer oder Gruppe wählen" auf "Erweitert" klickt. Entweder durchsucht man dann alle Benutzer und Gruppen oder gibt direkt die "Administratoren" ein und bestätigt die Eingabe entsprechend.

Und nun kann man fleißig sämtliche Daten aus dem Ordner löschen :snyper: :kloppen: :daumenhoc

Das ganze hab ich übrigens von da: http://proteino.de/index.php/4103002/


Vielen Dank an alle die mir geholfen haben draufzukommen :daumenhoc


Greetz zsolt


Alle Zeitangaben in WEZ +1. Es ist jetzt 12:23 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131