Hermes.EXE
 

Hallo,
gestern lief bei mir ein Datei namens Win32_API.CAB im Rechner auf, die sich aber auf Grund von Restriktionen nicht öffnen und installieren konnte.
Im Archiv befand sich eine Datei hermes.exe sowie eine start.inf. Beim Googeln fand ich nicht so recht heraus, was dieser "Götterbote" auf meinem PC veranstalten wollte.
Weiß jemand etwas zu HERMES ?

Danke im Voraus
Linerickboy

Da hast du aber nicht lange gegoogelt. :)

http://www.pestpatrol.com/pestinfo/i/i-worm_hermes.asp

Es gibt zwar noch eine wissenschaftliche Software gleichen Namens, wenn du die aber nicht bewusst installiert hast, handelt es sich um diesen Wurm.

Befolge:
http://www.trojaner-board.de/42731-escan-anleitung.html

und teile uns mit ob Trojaner/Viren wo gefunden wurden. Dann poste ein Log dieses Programms:

http://www.trojaner-board.de/51130-a...ijackthis.html

Hallo Zusammen,

soory aber ich begreife es einfach nicht.

Hab das gleiche Problem mit "Hermes".

Kann bitte mal jemand "genau" erklären was ich tun muss..... ich werd diesen Wurm einfach nicht los.

Hilfe bitte....

Steht alles in den beiden letzten Links, mit E-Scan sannen und dann ein Log mit Hijackthis erstellen und den Inhalt heir hinein kopieren.

Hallo!

Ich hab auch diesen Wurm und noch zusätzlich das Problem, dass ich meinen PC nicht im abgesicherten Modus hochfahren kann. Da kommt nur ein schwarzer Bildschirm, bei dem links oben im Eck der Curser blinkt.

Was nun???

@ FakeShemp

Es wäre sehr hilfreich, wenn du uns mehr Angaben bzw. Infos nennen würdest.
Welches OS verwendest du?
usw.

oder

Erstelle mit HiJackThis ein Log-File und poste es hier rein.
Persönliche Informationen, wie Benutzername und dergleichen, bitte unkenntlich machen.

Also ich hab XP. Zu OS kann ich nix sagen. Ich weiß, dass mein Palm auch sowas hat, aber sagt mir sonst nix! :headbang:

Mittlerweile kann ich ihn schon im "gesicherten Modus" hochfahren, dauert nur ziemlich lange...!

Soll ich jetzt so verfahren, wie weiter oben bereits beschrieben? Oder gibt es mittlerweile ein Tool, das die Hermes-Seuche alleine beseitigen kann?! Denn wie man mir sicher anmerkt, weiß ich gerade mal einigermaßen sicher, was und wo der Power-Schalter ist...! :crazy:

OS steht für Operating System = Betriebssystem ;)

Erstelle zuerst ein Log-File und danach eScan anwenden.

Okay, werde das morgen mal versuchen! Danke! ;)

Hallo alle miteinander, als da wären:

@ Limerickboy
@ JackDawsen
@ FakeShemp

ich darf mal wiederholen .. bzw. zitieren:

Bis dann,
Shadowdance

mwXface.log:

[0x000009f0] 22/09/2004 22:11:02:046 :[msvLclnt.dll]ModuleName = C:\BASES\MWAV\MWAVSCAN.COM
[0x000009f0] 22/09/2004 22:11:02:056 :[msvLclnt.dll]Registry Key Deleted Properly!!!
[0x000009f0] 22/09/2004 22:11:03:258 :[msvLclnt.dll]Options Set by External applications MWAVSCAN.COM are 9896960 (0x970400):
[0x000009f0] 22/09/2004 22:11:03:258 :[msvLclnt.dll]Mode :PACKED,ARCHIVED,CA,WARNINGS,MAILPLAIN
[0x000009f0] 22/09/2004 22:11:03:258 :[msvLclnt.dll]TimeOut : ffffffff
[0x000009f0] 22/09/2004 22:11:03:268 :[msvLclnt.dll]Priority : NORMAL
[0x000009f0] 22/09/2004 22:11:03:689 :[msvLclnt.dll]VirusCount = 103474 Latest Date = 2004/09/08
[0x00000fc8] 22/09/2004 22:16:29:908 :[msvLclnt.dll]VirusCount = 103474 Latest Date = 2004/09/08
[0x000009f0] 22/09/2004 22:16:41:865 :[msvLclnt.dll]VirusCount = 103474 Latest Date = 2004/09/08
[0x00000cd8] 23/09/2004 00:21:53:258 :[msvLclnt.dll]ModuleName = C:\BASES\MWAV\MWAVSCAN.COM
[0x00000cd8] 23/09/2004 00:21:53:258 :[msvLclnt.dll]Registry Key Deleted Properly!!!
[0x00000cd8] 23/09/2004 00:21:54:981 :[msvLclnt.dll]Options Set by External applications MWAVSCAN.COM are 9896960 (0x970400):
[0x00000cd8] 23/09/2004 00:21:54:981 :[msvLclnt.dll]Mode :PACKED,ARCHIVED,CA,WARNINGS,MAILPLAIN
[0x00000cd8] 23/09/2004 00:21:54:981 :[msvLclnt.dll]TimeOut : ffffffff
[0x00000cd8] 23/09/2004 00:21:54:981 :[msvLclnt.dll]Priority : NORMAL
[0x00000cd8] 23/09/2004 00:21:55:852 :[msvLclnt.dll]VirusCount = 103474 Latest Date = 2004/09/08



Logfile of HijackThis v1.98.2
Scan saved at 00:14:53, on 23.09.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS2\System32\smss.exe
C:\WINDOWS2\system32\winlogon.exe
C:\WINDOWS2\system32\services.exe
C:\WINDOWS2\system32\lsass.exe
C:\WINDOWS2\system32\svchost.exe
C:\WINDOWS2\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\WINDOWS2\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS2\system32\spoolsv.exe
C:\WINDOWS2\system32\drivers\KodakCCS.exe
D:\Programme\navapsvc.exe
D:\Programme\Tiny Personal Firewall\persfw.exe
C:\WINDOWS2\System32\ScsiAccess.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS2\Mixer.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\QuickTime\qttask.exe
E:\Programme\iTunesHelper.exe
C:\WINDOWS2\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
D:\Programme\Phonostar\phonostar\ps_agent.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Kodak\Kodak EasyShare software\bin\EasyShare.exe
C:\Programme\Kodak\KODAK Software Updater\7288971\Program\Kodak Software Updater.exe
D:\PALM ZIRE 31\HOTSYNC.EXE
D:\Programme\Folding_Home\winFAH.exe
D:\Programme\Folding_Home\FahCore_78.exe
D:\Programme\SAVScan.exe
C:\Programme\Internet Explorer\iexplore.exe
D:\Programme\hijackthis\hijackthis1982\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\Spybot\SPYBOT~1\SDHelper.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - D:\PROGRA~1\FLASHGET\FLASHGET\jccatch.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\Programme\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS2\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\Programme\NavShExt.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - D:\PROGRA~1\FLASHGET\FLASHGET\fgiebar.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [NAV CfgWiz] C:\Programme\Gemeinsame Dateien\Symantec Shared\CfgWiz.exe /GUID NAV /CMDLINE "REBOOT"
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS2\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] E:\Programme\iTunesHelper.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS2\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [YAW starten] "D:\Programme\YAW 3.5\yawguard.exe"
O4 - HKCU\..\Run: [PhonostarAgent] D:\Programme\Phonostar\phonostar\ps_agent.exe
O4 - Startup: HotSync Manager.lnk = D:\PALM ZIRE 31\HOTSYNC.EXE
O4 - Startup: Folding@Home 5.02.lnk = ?
O4 - Global Startup: Kodak EasyShare Software.lnk = C:\Programme\Kodak\Kodak EasyShare software\bin\EasyShare.exe
O4 - Global Startup: Kodak software updater.lnk = C:\Programme\Kodak\KODAK Software Updater\7288971\Program\Kodak Software Updater.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Alles mit FlashGet laden - D:\Programme\Flashget\FlashGet\jc_all.htm
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Mit FlashGet laden - D:\Programme\Flashget\FlashGet\jc_link.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: pdaConverter - D:\PALM ZIRE 31\pdaConverter\pdaConverter 1.3\convert_url.htm
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQ\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQ\ICQLite\ICQLite.exe
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\PROGRA~1\FLASHGET\FLASHGET\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\PROGRA~1\FLASHGET\FLASHGET\flashget.exe
O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {11010101-1001-1111-1000-110111001123} - ms-its:mhtml:file://c:\nosuch.mht!http://online.e-open.net/pop/chm/sext.chm::/d_sext.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1092955635631
O16 - DPF: {CC05BC12-2AA2-4AC7-AC81-0E40F83B1ADF} (Live365Player Class) - http://www.live365.com/players/play365.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{8DB1BF7D-0173-4C4F-9FB2-C495B8D6B399}: NameServer = 212.114.152.1 212.114.153.1

Diese Einträge solltest du noch fixen:
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O16 - DPF: {11010101-1001-1111-1000-110111001123} - ms-its:mhtml:file://c:\nosuch.mht!http://online.e-open.net/pop/chm/sext.chm::/d_sext.exe
O16 - DPF: {CC05BC12-2AA2-4AC7-AC81-0E40F83B1ADF} (Live365Player Class) - http://www.live365.com/players/play365.cab

Was mir allerdings noch mehr Sorgen bereitet, daß dein System nicht gepatcht ist.

btw: Ist die mwXface.log vollständig?

Lesenwerte Lektüre für die Zukunft:
http://www.mathematik.uni-marburg.de...ompromise.html

Was heißt denn "fixen"...???

mwXface müsste vollständig sein, weil ich habs via "alles markieren" kopiert.

Wie "patche" ich denn???

Und was ist jetzt überhaupt mit meinem "hermes.exe"-Wurm??? Ist der weg?!

Haken setzen und auf Fix Checked klicken
Dann durchsuche bitte die mwav.log und poste die infizierten Dateien + was gefunden wurde.
Mit dem IE diese Seite besuchen und die Updates installieren http://v5.windowsupdate.microsoft.co...r/default.aspx
Vermutlich gelöscht. Erhältst du noch eine Meldung von NAV.

Lustiger Text! :D

Okay danke! Das mit dem Durchsuchen der 10MB macht mir allerdings Angst, schon weil ich kaum verstehe, was da alles steht.

Ein Update machen, alles klar! ;)

Mal sehen, ob Norton noch muckt...

:daumenhoc

Wenn du dich an die Ratschläge hältst bzw. umsetzt, dann bist du weitgehendst geschützt. Dann obliegt es dir, ob nochmal ein Malware Befall stattfindet. ;)

*EDIT*

Mein Fehler!!!

Hallo zusammen. Habe auf meinem vor kurzem erst neu installierten System mit Antivir ebenfalls die Hermes.exe entdeckt. Kann gar nicht verstehen, wie das Ding auf meinen Rechner kommt. WIN XP Pro mit aktuellen Sicherheitspatches, ZoneAlarm, Antivir, Adaware und Spybot sollten meinen Rechner frei halten, nachdem ich mich entschlossen hatte wegen ständiger neuer Viren meinen Rechner neu zu installieren.
Nun habe ich beim Googeln Eure Seite entdeckt.

Antivir erkennt beim Scannen den Virus zweimal. Einmal löscht er ihn, beim andern mal befindet sich der Virus in einem Archiv namens "adapi" (oder so ähnlich). Habe Euren Rat befolgt und mir escan besorgt und im abgesicherten Modus laufen lassen. Das Programm hat den Virus aber nicht erkannt. Ich habe dann wie ihr vorgeschlagen habt auch mit HiJackThis ein Log-File erstellt (im "normalen" Modus!).

Hier das File:

Logfile of HijackThis v1.98.2
Scan saved at 12:44:22, on 24.09.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\GEARSec.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\PowerQuest\Drive Image 7.0\Agent\PQV2iSvc.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\FreePDF_XP\fpassist.exe
C:\Programme\Winamp\Winampa.exe
C:\WINDOWS\System32\ctfmon.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Dokumente und Einstellungen\Robs\Lokale Einstellungen\Temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.fuschtereuls.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [mwavscan] "C:\bases\mwavscan.com" /s
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Quicken 2005 Zahlungserinnerung.lnk = C:\Programme\Quicken2005\billmind.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

Einen anderen Trojaner namens "explorer.exe.vir" bzw. TR/Dldr.small.or habe ich mit Antivir wegbekommen.

Was muss ich tun, um diesen Hermes wegzukriegen?

Gott sei Dank habe ich mit Drive Image meine Festplatte nach der Installation der gängisgsten Programme gesichert. Zur Not kann ich also damit eine komplette Neuinstallation verhindern. Allerdings muss ich da noch einige Programme nachinstallieren.

Wie kommt dieser Hermes überhaupt auf mein System? Und was kann ich zukünftig tun, um mich noch besser abzusichern?

Danke, Robert

Hallo onkelbobby,

- vorbeugende Maßnahmen gegen Virenbefall sind u.a. regelmäßiges Patchen und Updaten des BS und des Browsers. Deine Version des IE ist veraltet. Besuche bitte www.windowsupdate.com.

Wenn Du folgende Einträge nicht kennst/brauchst, fixe sie bitte im abgesicherten Modus mit Hijack This:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.fuschtereuls.de/
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

Weiter sehe ich keine Unregelmäßigkeiten auf Deinem System.

- Hier erfährst Du, wie Du den IE sicher konfigurieren kannst, um ihn nur noch für windows-updates zu verwenden: www.datenschutzzentrum.de.

- Auf den Seiten der www.trojaner-info.de kannst Du Dich in weitere vorbeugende Maßnahmen einlesen, beachte bitte alle weiterführenden Links.

- Wie Du ein einschränktes Benutzerkonto erstellen kannst, erfährst Du hier: www.ntsvcfg.de.

- Weitere Pflichtlektüre:

www.mathematik.uni-marburg.de
faq.underflow.de

Gruss
Shadowdance

[edit] ... mit Dank an Cidre und MountainKing, deren Tipps ich hiermit weitergebe ... [/edit]

@onkelbobby
Scanne auch mal hiermit im abgesicherten Modus: http://www.trojaner-board.de/showthread.php?t=6083

Hallo Christian,

das Programm "escan" hab ich doch wie erwähnt laufen lassen. Außer ein paar "Joke"-Programmen hat der Scanner nichts erkannt. Ich habe auch keine auffälligen Änderungen (z. B. sich öffnende Webseiten, Verlangsamung oder Abstürze) wie es vor der Neuinstallation der Fall war. Heisst das, wenn escan nichts erkennt und auch das logfile von HiJackThis in Ordnung ist, daß Antivir mir vielleicht den Hermes anzeigt, obwohl der gar nich da ist???

Hab mich jedenfalls mal in den empfohlenen Seiten von Shadowdance umgeschaut. Ist ja alles wirklich bedenklich. Muss da wohl noch einige Änderungen an meinem System vornehmen. Vielleicht installiere ich wirklich noch mal neu bzw. sichere mit Drive Image den Anfangszustand zurück und nehme dann die jeweiligen Einstellungen an Explorer (vielleicht nehme ich doch nur noch den Firefox) und Outlook (möchte ich eigentlich nicht ändern - ich schaue mir vor dem Herunterladen sowieso erst die Emails mit Poptray an und lösche alles, was nicht sicher ist) vor. Sollte ich wirklich auch auf ZoneAlarm verzichten?

Also im Log sehe ich nichts mehr und wenn auch eScan nichts mehr findet, dann wird wohl der Trojaner nicht mehr vorhanden sein.

Auf Zonelalarm würde ich verzichten.
Schau dir lieber das an: www.dingens.org