Zitat:

Zitat von Cidre

Haken setzen und auf Fix Checked klicken

Dann durchsuche bitte die mwav.log und poste die infizierten Dateien + was gefunden wurde.

Mit dem IE diese Seite besuchen und die Updates installieren http://v5.windowsupdate.microsoft.co...r/default.aspx

Vermutlich gelöscht. Erhältst du noch eine Meldung von NAV.

Okay danke! Das mit dem Durchsuchen der 10MB macht mir allerdings Angst, schon weil ich kaum verstehe, was da alles steht.

Ein Update machen, alles klar!

Mal sehen, ob Norton noch muckt...

Wenn du dich an die Ratschläge hältst bzw. umsetzt, dann bist du weitgehendst geschützt. Dann obliegt es dir, ob nochmal ein Malware Befall stattfindet.

*EDIT*

Mein Fehler!!!

Hallo zusammen. Habe auf meinem vor kurzem erst neu installierten System mit Antivir ebenfalls die Hermes.exe entdeckt. Kann gar nicht verstehen, wie das Ding auf meinen Rechner kommt. WIN XP Pro mit aktuellen Sicherheitspatches, ZoneAlarm, Antivir, Adaware und Spybot sollten meinen Rechner frei halten, nachdem ich mich entschlossen hatte wegen ständiger neuer Viren meinen Rechner neu zu installieren.
Nun habe ich beim Googeln Eure Seite entdeckt.

Antivir erkennt beim Scannen den Virus zweimal. Einmal löscht er ihn, beim andern mal befindet sich der Virus in einem Archiv namens "adapi" (oder so ähnlich). Habe Euren Rat befolgt und mir escan besorgt und im abgesicherten Modus laufen lassen. Das Programm hat den Virus aber nicht erkannt. Ich habe dann wie ihr vorgeschlagen habt auch mit HijackThis ein Log-File erstellt (im "normalen" Modus!).

Hier das File:

Logfile of HijackThis v1.98.2
Scan saved at 12:44:22, on 24.09.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\GEARSec.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\PowerQuest\Drive Image 7.0\Agent\PQV2iSvc.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\FreePDF_XP\fpassist.exe
C:\Programme\Winamp\Winampa.exe
C:\WINDOWS\System32\ctfmon.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Dokumente und Einstellungen\Robs\Lokale Einstellungen\Temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.fuschtereuls.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [mwavscan] "C:\bases\mwavscan.com" /s
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Quicken 2005 Zahlungserinnerung.lnk = C:\Programme\Quicken2005\billmind.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

Einen anderen Trojaner namens "explorer.exe.vir" bzw. TR/Dldr.small.or habe ich mit Antivir wegbekommen.

Was muss ich tun, um diesen Hermes wegzukriegen?

Gott sei Dank habe ich mit Drive Image meine Festplatte nach der Installation der gängisgsten Programme gesichert. Zur Not kann ich also damit eine komplette Neuinstallation verhindern. Allerdings muss ich da noch einige Programme nachinstallieren.

Wie kommt dieser Hermes überhaupt auf mein System? Und was kann ich zukünftig tun, um mich noch besser abzusichern?

Danke, Robert

Hallo onkelbobby,

- vorbeugende Maßnahmen gegen Virenbefall sind u.a. regelmäßiges Patchen und Updaten des BS und des Browsers. Deine Version des IE ist veraltet. Besuche bitte www.windowsupdate.com.

Wenn Du folgende Einträge nicht kennst/brauchst, fixe sie bitte im abgesicherten Modus mit Hijack This:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.fuschtereuls.de/
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

Weiter sehe ich keine Unregelmäßigkeiten auf Deinem System.

- Hier erfährst Du, wie Du den IE sicher konfigurieren kannst, um ihn nur noch für windows-updates zu verwenden: www.datenschutzzentrum.de.

- Auf den Seiten der www.trojaner-info.de kannst Du Dich in weitere vorbeugende Maßnahmen einlesen, beachte bitte alle weiterführenden Links.

- Wie Du ein einschränktes Benutzerkonto erstellen kannst, erfährst Du hier: www.ntsvcfg.de.

- Weitere Pflichtlektüre:

www.mathematik.uni-marburg.de
faq.underflow.de

Gruss
Shadowdance

[edit] ... mit Dank an Cidre und MountainKing, deren Tipps ich hiermit weitergebe ... [/edit]

@onkelbobby
Scanne auch mal hiermit im abgesicherten Modus: http://www.trojaner-board.de/showthread.php?t=6083

Hallo Christian,

das Programm "escan" hab ich doch wie erwähnt laufen lassen. Außer ein paar "Joke"-Programmen hat der Scanner nichts erkannt. Ich habe auch keine auffälligen Änderungen (z. B. sich öffnende Webseiten, Verlangsamung oder Abstürze) wie es vor der Neuinstallation der Fall war. Heisst das, wenn escan nichts erkennt und auch das logfile von HijackThis in Ordnung ist, daß Antivir mir vielleicht den Hermes anzeigt, obwohl der gar nich da ist???

Hab mich jedenfalls mal in den empfohlenen Seiten von Shadowdance umgeschaut. Ist ja alles wirklich bedenklich. Muss da wohl noch einige Änderungen an meinem System vornehmen. Vielleicht installiere ich wirklich noch mal neu bzw. sichere mit Drive Image den Anfangszustand zurück und nehme dann die jeweiligen Einstellungen an Explorer (vielleicht nehme ich doch nur noch den Firefox) und Outlook (möchte ich eigentlich nicht ändern - ich schaue mir vor dem Herunterladen sowieso erst die Emails mit Poptray an und lösche alles, was nicht sicher ist) vor. Sollte ich wirklich auch auf ZoneAlarm verzichten?

Also im Log sehe ich nichts mehr und wenn auch eScan nichts mehr findet, dann wird wohl der Trojaner nicht mehr vorhanden sein.

Auf Zonelalarm würde ich verzichten.
Schau dir lieber das an: www.dingens.org