Hermes.EXE
 

Hallo,
gestern lief bei mir ein Datei namens Win32_API.CAB im Rechner auf, die sich aber auf Grund von Restriktionen nicht öffnen und installieren konnte.
Im Archiv befand sich eine Datei hermes.exe sowie eine start.inf. Beim Googeln fand ich nicht so recht heraus, was dieser "Götterbote" auf meinem PC veranstalten wollte.
Weiß jemand etwas zu HERMES ?

Danke im Voraus
Linerickboy

Da hast du aber nicht lange gegoogelt. :)

http://www.pestpatrol.com/pestinfo/i/i-worm_hermes.asp

Es gibt zwar noch eine wissenschaftliche Software gleichen Namens, wenn du die aber nicht bewusst installiert hast, handelt es sich um diesen Wurm.

Befolge:
http://www.trojaner-board.de/42731-escan-anleitung.html

und teile uns mit ob Trojaner/Viren wo gefunden wurden. Dann poste ein Log dieses Programms:

http://www.trojaner-board.de/51130-a...ijackthis.html

Hallo Zusammen,

soory aber ich begreife es einfach nicht.

Hab das gleiche Problem mit "Hermes".

Kann bitte mal jemand "genau" erklären was ich tun muss..... ich werd diesen Wurm einfach nicht los.

Hilfe bitte....

Steht alles in den beiden letzten Links, mit E-Scan sannen und dann ein Log mit Hijackthis erstellen und den Inhalt heir hinein kopieren.

Hallo!

Ich hab auch diesen Wurm und noch zusätzlich das Problem, dass ich meinen PC nicht im abgesicherten Modus hochfahren kann. Da kommt nur ein schwarzer Bildschirm, bei dem links oben im Eck der Curser blinkt.

Was nun???

@ FakeShemp

Es wäre sehr hilfreich, wenn du uns mehr Angaben bzw. Infos nennen würdest.
Welches OS verwendest du?
usw.

oder

Erstelle mit HiJackThis ein Log-File und poste es hier rein.
Persönliche Informationen, wie Benutzername und dergleichen, bitte unkenntlich machen.

Also ich hab XP. Zu OS kann ich nix sagen. Ich weiß, dass mein Palm auch sowas hat, aber sagt mir sonst nix! :headbang:

Mittlerweile kann ich ihn schon im "gesicherten Modus" hochfahren, dauert nur ziemlich lange...!

Soll ich jetzt so verfahren, wie weiter oben bereits beschrieben? Oder gibt es mittlerweile ein Tool, das die Hermes-Seuche alleine beseitigen kann?! Denn wie man mir sicher anmerkt, weiß ich gerade mal einigermaßen sicher, was und wo der Power-Schalter ist...! :crazy:

OS steht für Operating System = Betriebssystem ;)

Erstelle zuerst ein Log-File und danach eScan anwenden.

Okay, werde das morgen mal versuchen! Danke! ;)

Hallo alle miteinander, als da wären:

@ Limerickboy
@ JackDawsen
@ FakeShemp

ich darf mal wiederholen .. bzw. zitieren:

Bis dann,
Shadowdance

mwXface.log:

[0x000009f0] 22/09/2004 22:11:02:046 :[msvLclnt.dll]ModuleName = C:\BASES\MWAV\MWAVSCAN.COM
[0x000009f0] 22/09/2004 22:11:02:056 :[msvLclnt.dll]Registry Key Deleted Properly!!!
[0x000009f0] 22/09/2004 22:11:03:258 :[msvLclnt.dll]Options Set by External applications MWAVSCAN.COM are 9896960 (0x970400):
[0x000009f0] 22/09/2004 22:11:03:258 :[msvLclnt.dll]Mode :PACKED,ARCHIVED,CA,WARNINGS,MAILPLAIN
[0x000009f0] 22/09/2004 22:11:03:258 :[msvLclnt.dll]TimeOut : ffffffff
[0x000009f0] 22/09/2004 22:11:03:268 :[msvLclnt.dll]Priority : NORMAL
[0x000009f0] 22/09/2004 22:11:03:689 :[msvLclnt.dll]VirusCount = 103474 Latest Date = 2004/09/08
[0x00000fc8] 22/09/2004 22:16:29:908 :[msvLclnt.dll]VirusCount = 103474 Latest Date = 2004/09/08
[0x000009f0] 22/09/2004 22:16:41:865 :[msvLclnt.dll]VirusCount = 103474 Latest Date = 2004/09/08
[0x00000cd8] 23/09/2004 00:21:53:258 :[msvLclnt.dll]ModuleName = C:\BASES\MWAV\MWAVSCAN.COM
[0x00000cd8] 23/09/2004 00:21:53:258 :[msvLclnt.dll]Registry Key Deleted Properly!!!
[0x00000cd8] 23/09/2004 00:21:54:981 :[msvLclnt.dll]Options Set by External applications MWAVSCAN.COM are 9896960 (0x970400):
[0x00000cd8] 23/09/2004 00:21:54:981 :[msvLclnt.dll]Mode :PACKED,ARCHIVED,CA,WARNINGS,MAILPLAIN
[0x00000cd8] 23/09/2004 00:21:54:981 :[msvLclnt.dll]TimeOut : ffffffff
[0x00000cd8] 23/09/2004 00:21:54:981 :[msvLclnt.dll]Priority : NORMAL
[0x00000cd8] 23/09/2004 00:21:55:852 :[msvLclnt.dll]VirusCount = 103474 Latest Date = 2004/09/08



Logfile of HijackThis v1.98.2
Scan saved at 00:14:53, on 23.09.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS2\System32\smss.exe
C:\WINDOWS2\system32\winlogon.exe
C:\WINDOWS2\system32\services.exe
C:\WINDOWS2\system32\lsass.exe
C:\WINDOWS2\system32\svchost.exe
C:\WINDOWS2\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\WINDOWS2\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS2\system32\spoolsv.exe
C:\WINDOWS2\system32\drivers\KodakCCS.exe
D:\Programme\navapsvc.exe
D:\Programme\Tiny Personal Firewall\persfw.exe
C:\WINDOWS2\System32\ScsiAccess.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS2\Mixer.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\QuickTime\qttask.exe
E:\Programme\iTunesHelper.exe
C:\WINDOWS2\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
D:\Programme\Phonostar\phonostar\ps_agent.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Kodak\Kodak EasyShare software\bin\EasyShare.exe
C:\Programme\Kodak\KODAK Software Updater\7288971\Program\Kodak Software Updater.exe
D:\PALM ZIRE 31\HOTSYNC.EXE
D:\Programme\Folding_Home\winFAH.exe
D:\Programme\Folding_Home\FahCore_78.exe
D:\Programme\SAVScan.exe
C:\Programme\Internet Explorer\iexplore.exe
D:\Programme\hijackthis\hijackthis1982\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\Spybot\SPYBOT~1\SDHelper.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - D:\PROGRA~1\FLASHGET\FLASHGET\jccatch.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\Programme\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS2\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\Programme\NavShExt.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - D:\PROGRA~1\FLASHGET\FLASHGET\fgiebar.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [NAV CfgWiz] C:\Programme\Gemeinsame Dateien\Symantec Shared\CfgWiz.exe /GUID NAV /CMDLINE "REBOOT"
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS2\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] E:\Programme\iTunesHelper.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS2\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [YAW starten] "D:\Programme\YAW 3.5\yawguard.exe"
O4 - HKCU\..\Run: [PhonostarAgent] D:\Programme\Phonostar\phonostar\ps_agent.exe
O4 - Startup: HotSync Manager.lnk = D:\PALM ZIRE 31\HOTSYNC.EXE
O4 - Startup: Folding@Home 5.02.lnk = ?
O4 - Global Startup: Kodak EasyShare Software.lnk = C:\Programme\Kodak\Kodak EasyShare software\bin\EasyShare.exe
O4 - Global Startup: Kodak software updater.lnk = C:\Programme\Kodak\KODAK Software Updater\7288971\Program\Kodak Software Updater.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Alles mit FlashGet laden - D:\Programme\Flashget\FlashGet\jc_all.htm
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Mit FlashGet laden - D:\Programme\Flashget\FlashGet\jc_link.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: pdaConverter - D:\PALM ZIRE 31\pdaConverter\pdaConverter 1.3\convert_url.htm
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQ\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQ\ICQLite\ICQLite.exe
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\PROGRA~1\FLASHGET\FLASHGET\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\PROGRA~1\FLASHGET\FLASHGET\flashget.exe
O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {11010101-1001-1111-1000-110111001123} - ms-its:mhtml:file://c:\nosuch.mht!http://online.e-open.net/pop/chm/sext.chm::/d_sext.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1092955635631
O16 - DPF: {CC05BC12-2AA2-4AC7-AC81-0E40F83B1ADF} (Live365Player Class) - http://www.live365.com/players/play365.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{8DB1BF7D-0173-4C4F-9FB2-C495B8D6B399}: NameServer = 212.114.152.1 212.114.153.1

Diese Einträge solltest du noch fixen:
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O16 - DPF: {11010101-1001-1111-1000-110111001123} - ms-its:mhtml:file://c:\nosuch.mht!http://online.e-open.net/pop/chm/sext.chm::/d_sext.exe
O16 - DPF: {CC05BC12-2AA2-4AC7-AC81-0E40F83B1ADF} (Live365Player Class) - http://www.live365.com/players/play365.cab

Was mir allerdings noch mehr Sorgen bereitet, daß dein System nicht gepatcht ist.

btw: Ist die mwXface.log vollständig?

Lesenwerte Lektüre für die Zukunft:
http://www.mathematik.uni-marburg.de...ompromise.html

Was heißt denn "fixen"...???

mwXface müsste vollständig sein, weil ich habs via "alles markieren" kopiert.

Wie "patche" ich denn???

Und was ist jetzt überhaupt mit meinem "hermes.exe"-Wurm??? Ist der weg?!

Haken setzen und auf Fix Checked klicken
Dann durchsuche bitte die mwav.log und poste die infizierten Dateien + was gefunden wurde.
Mit dem IE diese Seite besuchen und die Updates installieren http://v5.windowsupdate.microsoft.co...r/default.aspx
Vermutlich gelöscht. Erhältst du noch eine Meldung von NAV.

Lustiger Text! :D