Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Hermes.EXE

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 27.08.2004, 10:38   #1
Limerickboy
 
Hermes.EXE - Frage

Hermes.EXE



Hallo,
gestern lief bei mir ein Datei namens Win32_API.CAB im Rechner auf, die sich aber auf Grund von Restriktionen nicht öffnen und installieren konnte.
Im Archiv befand sich eine Datei hermes.exe sowie eine start.inf. Beim Googeln fand ich nicht so recht heraus, was dieser "Götterbote" auf meinem PC veranstalten wollte.
Weiß jemand etwas zu HERMES ?

Danke im Voraus
Linerickboy

Alt 27.08.2004, 12:35   #2
MountainKing
 
Hermes.EXE - Standard

Hermes.EXE



Da hast du aber nicht lange gegoogelt.

http://www.pestpatrol.com/pestinfo/i/i-worm_hermes.asp

Es gibt zwar noch eine wissenschaftliche Software gleichen Namens, wenn du die aber nicht bewusst installiert hast, handelt es sich um diesen Wurm.

Befolge:
http://www.trojaner-board.de/42731-escan-anleitung.html

und teile uns mit ob Trojaner/Viren wo gefunden wurden. Dann poste ein Log dieses Programms:

http://www.trojaner-board.de/51130-a...ijackthis.html
__________________


Alt 08.09.2004, 21:35   #3
JackDawsen
 
Hermes.EXE - Standard

Hermes.EXE



Hallo Zusammen,

soory aber ich begreife es einfach nicht.

Hab das gleiche Problem mit "Hermes".

Kann bitte mal jemand "genau" erklären was ich tun muss..... ich werd diesen Wurm einfach nicht los.

Hilfe bitte....
__________________

Alt 08.09.2004, 21:59   #4
MountainKing
 
Hermes.EXE - Standard

Hermes.EXE



Steht alles in den beiden letzten Links, mit E-Scan sannen und dann ein Log mit HijackThis erstellen und den Inhalt heir hinein kopieren.

Alt 21.09.2004, 13:41   #5
FakeShemp
 
Hermes.EXE - Standard

Hermes.EXE



Hallo!

Ich hab auch diesen Wurm und noch zusätzlich das Problem, dass ich meinen PC nicht im abgesicherten Modus hochfahren kann. Da kommt nur ein schwarzer Bildschirm, bei dem links oben im Eck der Curser blinkt.

Was nun???


Alt 21.09.2004, 18:40   #6
Cidre
Administrator, a.D.
 
Hermes.EXE - Standard

Hermes.EXE



@ FakeShemp

Es wäre sehr hilfreich, wenn du uns mehr Angaben bzw. Infos nennen würdest.
Welches OS verwendest du?
usw.

oder

Erstelle mit HiJackThis ein Log-File und poste es hier rein.
Persönliche Informationen, wie Benutzername und dergleichen, bitte unkenntlich machen.
__________________
--> Hermes.EXE

Alt 21.09.2004, 18:57   #7
FakeShemp
 
Hermes.EXE - Standard

Hermes.EXE



Also ich hab XP. Zu OS kann ich nix sagen. Ich weiß, dass mein Palm auch sowas hat, aber sagt mir sonst nix!

Mittlerweile kann ich ihn schon im "gesicherten Modus" hochfahren, dauert nur ziemlich lange...!

Soll ich jetzt so verfahren, wie weiter oben bereits beschrieben? Oder gibt es mittlerweile ein Tool, das die Hermes-Seuche alleine beseitigen kann?! Denn wie man mir sicher anmerkt, weiß ich gerade mal einigermaßen sicher, was und wo der Power-Schalter ist...!

Alt 21.09.2004, 19:02   #8
Cidre
Administrator, a.D.
 
Hermes.EXE - Standard

Hermes.EXE



OS steht für Operating System = Betriebssystem

Erstelle zuerst ein Log-File und danach eScan anwenden.
__________________
Gruß, Cidre


Alt 21.09.2004, 22:28   #9
FakeShemp
 
Hermes.EXE - Standard

Hermes.EXE



Okay, werde das morgen mal versuchen! Danke!

Alt 22.09.2004, 05:09   #10
Shadowdance
 
Hermes.EXE - Standard

Hermes.EXE



Hallo alle miteinander, als da wären:

@ Limerickboy
@ JackDawsen
@ FakeShemp

ich darf mal wiederholen .. bzw. zitieren:

Zitat:
Zitat von MountainKing

http://www.pestpatrol.com/pestinfo/i/i-worm_hermes.asp

Es gibt zwar noch eine wissenschaftliche Software gleichen Namens, wenn du die aber nicht bewusst installiert hast, handelt es sich um diesen Wurm.

Befolge:
http://www.trojaner-board.de/42731-escan-anleitung.html

und teile uns mit ob Trojaner/Viren wo gefunden wurden, und die Namen der Viren. Dann poste ein Log dieses Programms:

http://www.trojaner-board.de/51130-a...ijackthis.html
Bis dann,
Shadowdance

Alt 22.09.2004, 23:57   #11
FakeShemp
 
Hermes.EXE - Standard

Hermes.EXE



mwXface.log:

[0x000009f0] 22/09/2004 22:11:02:046 :[msvLclnt.dll]ModuleName = C:\BASES\MWAV\MWAVSCAN.COM
[0x000009f0] 22/09/2004 22:11:02:056 :[msvLclnt.dll]Registry Key Deleted Properly!!!
[0x000009f0] 22/09/2004 22:11:03:258 :[msvLclnt.dll]Options Set by External applications MWAVSCAN.COM are 9896960 (0x970400):
[0x000009f0] 22/09/2004 22:11:03:258 :[msvLclnt.dll]Mode :PACKED,ARCHIVED,CA,WARNINGS,MAILPLAIN
[0x000009f0] 22/09/2004 22:11:03:258 :[msvLclnt.dll]TimeOut : ffffffff
[0x000009f0] 22/09/2004 22:11:03:268 :[msvLclnt.dll]Priority : NORMAL
[0x000009f0] 22/09/2004 22:11:03:689 :[msvLclnt.dll]VirusCount = 103474 Latest Date = 2004/09/08
[0x00000fc8] 22/09/2004 22:16:29:908 :[msvLclnt.dll]VirusCount = 103474 Latest Date = 2004/09/08
[0x000009f0] 22/09/2004 22:16:41:865 :[msvLclnt.dll]VirusCount = 103474 Latest Date = 2004/09/08
[0x00000cd8] 23/09/2004 00:21:53:258 :[msvLclnt.dll]ModuleName = C:\BASES\MWAV\MWAVSCAN.COM
[0x00000cd8] 23/09/2004 00:21:53:258 :[msvLclnt.dll]Registry Key Deleted Properly!!!
[0x00000cd8] 23/09/2004 00:21:54:981 :[msvLclnt.dll]Options Set by External applications MWAVSCAN.COM are 9896960 (0x970400):
[0x00000cd8] 23/09/2004 00:21:54:981 :[msvLclnt.dll]Mode :PACKED,ARCHIVED,CA,WARNINGS,MAILPLAIN
[0x00000cd8] 23/09/2004 00:21:54:981 :[msvLclnt.dll]TimeOut : ffffffff
[0x00000cd8] 23/09/2004 00:21:54:981 :[msvLclnt.dll]Priority : NORMAL
[0x00000cd8] 23/09/2004 00:21:55:852 :[msvLclnt.dll]VirusCount = 103474 Latest Date = 2004/09/08



Logfile of HijackThis v1.98.2
Scan saved at 00:14:53, on 23.09.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS2\System32\smss.exe
C:\WINDOWS2\system32\winlogon.exe
C:\WINDOWS2\system32\services.exe
C:\WINDOWS2\system32\lsass.exe
C:\WINDOWS2\system32\svchost.exe
C:\WINDOWS2\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\WINDOWS2\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS2\system32\spoolsv.exe
C:\WINDOWS2\system32\drivers\KodakCCS.exe
D:\Programme\navapsvc.exe
D:\Programme\Tiny Personal Firewall\persfw.exe
C:\WINDOWS2\System32\ScsiAccess.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS2\Mixer.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\QuickTime\qttask.exe
E:\Programme\iTunesHelper.exe
C:\WINDOWS2\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
D:\Programme\Phonostar\phonostar\ps_agent.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Kodak\Kodak EasyShare software\bin\EasyShare.exe
C:\Programme\Kodak\KODAK Software Updater\7288971\Program\Kodak Software Updater.exe
D:\PALM ZIRE 31\HOTSYNC.EXE
D:\Programme\Folding_Home\winFAH.exe
D:\Programme\Folding_Home\FahCore_78.exe
D:\Programme\SAVScan.exe
C:\Programme\Internet Explorer\iexplore.exe
D:\Programme\hijackthis\hijackthis1982\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\Spybot\SPYBOT~1\SDHelper.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - D:\PROGRA~1\FLASHGET\FLASHGET\jccatch.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\Programme\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS2\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\Programme\NavShExt.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - D:\PROGRA~1\FLASHGET\FLASHGET\fgiebar.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [NAV CfgWiz] C:\Programme\Gemeinsame Dateien\Symantec Shared\CfgWiz.exe /GUID NAV /CMDLINE "REBOOT"
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS2\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] E:\Programme\iTunesHelper.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS2\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [YAW starten] "D:\Programme\YAW 3.5\yawguard.exe"
O4 - HKCU\..\Run: [PhonostarAgent] D:\Programme\Phonostar\phonostar\ps_agent.exe
O4 - Startup: HotSync Manager.lnk = D:\PALM ZIRE 31\HOTSYNC.EXE
O4 - Startup: Folding@Home 5.02.lnk = ?
O4 - Global Startup: Kodak EasyShare Software.lnk = C:\Programme\Kodak\Kodak EasyShare software\bin\EasyShare.exe
O4 - Global Startup: Kodak software updater.lnk = C:\Programme\Kodak\KODAK Software Updater\7288971\Program\Kodak Software Updater.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Alles mit FlashGet laden - D:\Programme\Flashget\FlashGet\jc_all.htm
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Mit FlashGet laden - D:\Programme\Flashget\FlashGet\jc_link.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: pdaConverter - D:\PALM ZIRE 31\pdaConverter\pdaConverter 1.3\convert_url.htm
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQ\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQ\ICQLite\ICQLite.exe
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\PROGRA~1\FLASHGET\FLASHGET\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\PROGRA~1\FLASHGET\FLASHGET\flashget.exe
O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {11010101-1001-1111-1000-110111001123} - ms-its:mhtml:file://c:\nosuch.mht!http://online.e-open.net/pop/chm/sext.chm::/d_sext.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1092955635631
O16 - DPF: {CC05BC12-2AA2-4AC7-AC81-0E40F83B1ADF} (Live365Player Class) - http://www.live365.com/players/play365.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{8DB1BF7D-0173-4C4F-9FB2-C495B8D6B399}: NameServer = 212.114.152.1 212.114.153.1

Alt 23.09.2004, 00:23   #12
Cidre
Administrator, a.D.
 
Hermes.EXE - Standard

Hermes.EXE



Diese Einträge solltest du noch fixen:
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O16 - DPF: {11010101-1001-1111-1000-110111001123} - ms-its:mhtml:file://c:\nosuch.mht!http://online.e-open.net/pop/chm/sext.chm::/d_sext.exe
O16 - DPF: {CC05BC12-2AA2-4AC7-AC81-0E40F83B1ADF} (Live365Player Class) - http://www.live365.com/players/play365.cab

Was mir allerdings noch mehr Sorgen bereitet, daß dein System nicht gepatcht ist.

btw: Ist die mwXface.log vollständig?

Lesenwerte Lektüre für die Zukunft:
http://www.mathematik.uni-marburg.de...ompromise.html
__________________
Gruß, Cidre


Alt 23.09.2004, 00:27   #13
FakeShemp
 
Hermes.EXE - Standard

Hermes.EXE



Was heißt denn "fixen"...???

mwXface müsste vollständig sein, weil ich habs via "alles markieren" kopiert.

Wie "patche" ich denn???

Und was ist jetzt überhaupt mit meinem "hermes.exe"-Wurm??? Ist der weg?!

Alt 23.09.2004, 00:39   #14
Cidre
Administrator, a.D.
 
Hermes.EXE - Standard

Hermes.EXE



Zitat:
Was heißt denn "fixen"...???
Haken setzen und auf Fix Checked klicken
Zitat:
mwXface müsste vollständig sein, weil ich habs via "alles markieren" kopiert.
Dann durchsuche bitte die mwav.log und poste die infizierten Dateien + was gefunden wurde.
Zitat:
Wie "patche" ich denn???
Mit dem IE diese Seite besuchen und die Updates installieren http://v5.windowsupdate.microsoft.co...r/default.aspx
Zitat:
Und was ist jetzt überhaupt mit meinem "hermes.exe"-Wurm??? Ist der weg?!
Vermutlich gelöscht. Erhältst du noch eine Meldung von NAV.
__________________
Gruß, Cidre


Alt 23.09.2004, 00:41   #15
FakeShemp
 
Hermes.EXE - Standard

Hermes.EXE



Zitat:
Zitat von Cidre
Lesenwerte Lektüre für die Zukunft:
http://www.mathematik.uni-marburg.de...ompromise.html
Lustiger Text!

Antwort

Themen zu Hermes.EXE
.inf, alten, archiv, datei, googel, googeln, grund, installiere, installieren, meinem, namens, nicht öffnen, rechner, recht, win, win32, öffnen



Ähnliche Themen: Hermes.EXE


  1. Sparkasse meldet, dass ich den Hermes v01 habe
    Plagegeister aller Art und deren Bekämpfung - 13.10.2012 (1)
  2. hermes v01 und Backup einspielen ?
    Plagegeister aller Art und deren Bekämpfung - 20.08.2012 (1)
  3. Hermes Trojaner
    Plagegeister aller Art und deren Bekämpfung - 03.08.2012 (1)
  4. Trojaner "Hermes"
    Plagegeister aller Art und deren Bekämpfung - 21.09.2004 (7)

Zum Thema Hermes.EXE - Hallo, gestern lief bei mir ein Datei namens Win32_API.CAB im Rechner auf, die sich aber auf Grund von Restriktionen nicht öffnen und installieren konnte. Im Archiv befand sich eine Datei - Hermes.EXE...
Archiv
Du betrachtest: Hermes.EXE auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.