Diese Einträge solltest du noch fixen:
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O16 - DPF: {11010101-1001-1111-1000-110111001123} - ms-its:mhtml:file://c:\nosuch.mht!http://online.e-open.net/pop/chm/sext.chm::/d_sext.exe
O16 - DPF: {CC05BC12-2AA2-4AC7-AC81-0E40F83B1ADF} (Live365Player Class) - http://www.live365.com/players/play365.cab

Was mir allerdings noch mehr Sorgen bereitet, daß dein System nicht gepatcht ist.

btw: Ist die mwXface.log vollständig?

Lesenwerte Lektüre für die Zukunft:
http://www.mathematik.uni-marburg.de...ompromise.html

Was heißt denn "fixen"...???

mwXface müsste vollständig sein, weil ich habs via "alles markieren" kopiert.

Wie "patche" ich denn???

Und was ist jetzt überhaupt mit meinem "hermes.exe"-Wurm??? Ist der weg?!

Zitat:

Was heißt denn "fixen"...???

Haken setzen und auf Fix Checked klicken

Zitat:

mwXface müsste vollständig sein, weil ich habs via "alles markieren" kopiert.

Dann durchsuche bitte die mwav.log und poste die infizierten Dateien + was gefunden wurde.

Zitat:

Wie "patche" ich denn???

Mit dem IE diese Seite besuchen und die Updates installieren http://v5.windowsupdate.microsoft.co...r/default.aspx

Zitat:

Und was ist jetzt überhaupt mit meinem "hermes.exe"-Wurm??? Ist der weg?!

Vermutlich gelöscht. Erhältst du noch eine Meldung von NAV.

Zitat:

Zitat von Cidre

Haken setzen und auf Fix Checked klicken

Dann durchsuche bitte die mwav.log und poste die infizierten Dateien + was gefunden wurde.

Mit dem IE diese Seite besuchen und die Updates installieren http://v5.windowsupdate.microsoft.co...r/default.aspx

Vermutlich gelöscht. Erhältst du noch eine Meldung von NAV.

Okay danke! Das mit dem Durchsuchen der 10MB macht mir allerdings Angst, schon weil ich kaum verstehe, was da alles steht.

Ein Update machen, alles klar!

Mal sehen, ob Norton noch muckt...

*EDIT*

Mein Fehler!!!

Hallo zusammen. Habe auf meinem vor kurzem erst neu installierten System mit Antivir ebenfalls die Hermes.exe entdeckt. Kann gar nicht verstehen, wie das Ding auf meinen Rechner kommt. WIN XP Pro mit aktuellen Sicherheitspatches, ZoneAlarm, Antivir, Adaware und Spybot sollten meinen Rechner frei halten, nachdem ich mich entschlossen hatte wegen ständiger neuer Viren meinen Rechner neu zu installieren.
Nun habe ich beim Googeln Eure Seite entdeckt.

Antivir erkennt beim Scannen den Virus zweimal. Einmal löscht er ihn, beim andern mal befindet sich der Virus in einem Archiv namens "adapi" (oder so ähnlich). Habe Euren Rat befolgt und mir escan besorgt und im abgesicherten Modus laufen lassen. Das Programm hat den Virus aber nicht erkannt. Ich habe dann wie ihr vorgeschlagen habt auch mit HijackThis ein Log-File erstellt (im "normalen" Modus!).

Hier das File:

Logfile of HijackThis v1.98.2
Scan saved at 12:44:22, on 24.09.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\GEARSec.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\PowerQuest\Drive Image 7.0\Agent\PQV2iSvc.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\FreePDF_XP\fpassist.exe
C:\Programme\Winamp\Winampa.exe
C:\WINDOWS\System32\ctfmon.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Dokumente und Einstellungen\Robs\Lokale Einstellungen\Temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.fuschtereuls.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [mwavscan] "C:\bases\mwavscan.com" /s
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Quicken 2005 Zahlungserinnerung.lnk = C:\Programme\Quicken2005\billmind.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

Einen anderen Trojaner namens "explorer.exe.vir" bzw. TR/Dldr.small.or habe ich mit Antivir wegbekommen.

Was muss ich tun, um diesen Hermes wegzukriegen?

Gott sei Dank habe ich mit Drive Image meine Festplatte nach der Installation der gängisgsten Programme gesichert. Zur Not kann ich also damit eine komplette Neuinstallation verhindern. Allerdings muss ich da noch einige Programme nachinstallieren.

Wie kommt dieser Hermes überhaupt auf mein System? Und was kann ich zukünftig tun, um mich noch besser abzusichern?

Danke, Robert

Hallo onkelbobby,

- vorbeugende Maßnahmen gegen Virenbefall sind u.a. regelmäßiges Patchen und Updaten des BS und des Browsers. Deine Version des IE ist veraltet. Besuche bitte www.windowsupdate.com.

Wenn Du folgende Einträge nicht kennst/brauchst, fixe sie bitte im abgesicherten Modus mit Hijack This:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.fuschtereuls.de/
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

Weiter sehe ich keine Unregelmäßigkeiten auf Deinem System.

- Hier erfährst Du, wie Du den IE sicher konfigurieren kannst, um ihn nur noch für windows-updates zu verwenden: www.datenschutzzentrum.de.

- Auf den Seiten der www.trojaner-info.de kannst Du Dich in weitere vorbeugende Maßnahmen einlesen, beachte bitte alle weiterführenden Links.

- Wie Du ein einschränktes Benutzerkonto erstellen kannst, erfährst Du hier: www.ntsvcfg.de.

- Weitere Pflichtlektüre:

www.mathematik.uni-marburg.de
faq.underflow.de

Gruss
Shadowdance

[edit] ... mit Dank an Cidre und MountainKing, deren Tipps ich hiermit weitergebe ... [/edit]

@onkelbobby
Scanne auch mal hiermit im abgesicherten Modus: http://www.trojaner-board.de/showthread.php?t=6083

Zitat:

Zitat von Cidre

Lesenwerte Lektüre für die Zukunft:
http://www.mathematik.uni-marburg.de...ompromise.html

Lustiger Text!

Wenn du dich an die Ratschläge hältst bzw. umsetzt, dann bist du weitgehendst geschützt. Dann obliegt es dir, ob nochmal ein Malware Befall stattfindet.