Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Trojaner "Hermes" (https://www.trojaner-board.de/7710-trojaner-hermes.html)

Steffi25 20.09.2004 18:22
Trojaner "Hermes"
 
Hallo,

ich habe mir heute beim surfen einen Trojaner eingefangen. Mein Virenkiller hat auch gleich Alarm geschlagen. Entfernent konnte er "Hermes" aber nicht. Ich habe dann "Win32_API.CAB" manuell gelöscht. Mein Virenkiller hat dann auch keinen Virus mehr gefunden. War das jetzt alles oder muss ich noch etwas machen? Ich kenne mich da leider nicht aus. Bisher bin ich von Viren glücklicherweise verschont geblieben. Aber irgendwann erwischt es wohl jeden einmal.

Ach ja noch was. Beim hochfahren bringt mein PC jetzt immer eine Fehlermeldung, dass er die Trojanerdatei, die ich gelöscht habe nicht findet. Wie bekomme ich die denn weg???

1000 Dank schon im voraus für eure Hilfe!

Liebe Grüße
Steffi

Cidre 20.09.2004 19:02
Hallo,

Info zum I-Worm.Hermes.a findest du hier:
http://www.pestpatrol.com/pestinfo/i/i-worm_hermes.asp

Erstelle mit HiJackThis ein Log-File und poste es hier rein.
Persönliche Informationen, wie Benutzername und dergleichen, bitte unkenntlich machen.

Mittels diesem Tool löscht du dann den Autostartaufruf aus der Registry unter O4, der auf diese Datei verweist.

Zur Sicherheit den eScan ausführen und die Virus Log Information posten:
Das eScan AV Toolkit (mwav.exe) herunterladen, die Datei in den Ordner "c:\Bases" (wichtig !) entpacken und danach die "kavupd.exe" (Update) ausführen.
Abgesicherter Modus und den Scanner mit der "mwavscan.com" starten. Alle Häkchen setzen und "Scan clean" klicken.
http://www.mwti.net/antivirus/free_utilities.asp

Steffi25 21.09.2004 06:58
Hallo,
vielen Dank für deine Hilfe! Hier das Log-File:

...
Running processes:
D:\WIN\System32\smss.exe
D:\WIN\system32\winlogon.exe
D:\WIN\system32\services.exe
D:\WIN\system32\lsass.exe
D:\WIN\system32\spoolss.exe
D:\Programme\VirusScan\avsynmgr.exe
D:\WIN\system32\PAgent\naimas32.exe
D:\WIN\System32\ndagnt.exe
D:\Ora\bin\agntsrvc.exe
D:\Programme\VirusScan\VsStat.exe
D:\WIN\Explorer.EXE
D:\Programme\VirusScan\Vshwin32.exe
D:\WIN\system32\RpcSs.exe
D:\WIN\system32\CMD.exe
d:\programme\unispool\uspserv.exe
D:\Ora\bin\dbsnmp.exe
D:\Programme\dmi\win32\bin\win32sl.exe
D:\WIN\System32\NMSSvc.exe
D:\Programme\VirusScan\Avconsol.exe
d:\WIN\system32\pstores.exe
D:\WIN\system32\MSTask.exe
D:\WIN\System32\SysTray.Exe
D:\WIN\System32\atiptaxx.exe
D:\Programme\dmi\win32\bin\hptrayicon.exe
D:\WIN\System32\loadwc.exe
D:\Programme\Microsoft Hardware\Mouse\point32.exe
D:\WIN\system32\ePOAgent\naimag32.exe
D:\Programme\dmi\win32\bin\HPCompC.exe
D:\Programme\Microsoft Office\Office\START.EXE
D:\Programme\dmi\win32\bin\HPLaunch.exe
D:\Programme\dmi\win32\bin\cliip32.exe
D:\Programme\dmi\win32\bin\dmiwdog.exe
D:\Programme\dmi\win32\bin\HPAlert.exe
D:\Programme\Eigene Dateien\Shield\mcshield.exe
D:\Programme\Microsoft Office\Office\MSOFFICE.EXE
D:\WIN\System32\ddhelp.exe
D:\TEMP\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.fireball.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.de.msn.com/access/allinone.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.fireball.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.fireball.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = XXX
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = XXX<local>
F2 - REG:system.ini: UserInit=XXX,agnt.exe
O1 - Hosts: XXX chathost2.spin.de
O2 - BHO: AcroIEHlprObj Class - {XXX} - D:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {XXX} - D:\WIN\System32\msdxm.ocx
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [HP Tray Icon] "D:\Programme\dmi\win32\bin\hptrayicon.exe"
O4 - HKLM\..\Run: [BrowserWebCheck] loadwc.exe
O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKLM\..\Run: [SchedulingAgent] mstinit.exe /logon
O4 - HKLM\..\Run: [NaimAgent_UI] D:\WIN\system32\ePOAgent\naimag32.exe
O4 - HKLM\..\Run: [mdac_runonce] D:\WIN\System32\runonce.exe
O4 - HKLM\..\Run: [W32_ADAPI] D:\WIN\adapi.exe
O4 - Startup: KZM.xls
O4 - Startup: Microsoft Office Shortcut-Leiste.lnk = D:\Programme\Microsoft Office\Office\MSOFFICE.EXE
O4 - Startup: Microsoft Outlook.lnk = D:\Programme\Microsoft Office\Office\OUTLOOK.EXE
O4 - Global Startup: Office-Start.lnk = D:\Programme\Microsoft Office\Office\START.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O8 - Extra context menu item: Validate XML - D:\WIN\web\msxmlval.htm
O8 - Extra context menu item: View XSL Output - D:\WIN\web\msxmlvw.htm
O9 - Extra button: (no name) - {XXX} - D:\WIN\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {XXX} - D:\WIN\System32\msjava.dll
O9 - Extra button: Related - {XXX} - D:\WIN\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {XXX} - D:\WIN\web\related.htm
O13 - WWW. Prefix: http://
O14 - IERESET.INF: START_PAGE_URL=http://www.fireball.de


Liebe Grüße
Steffi

Steffi25 21.09.2004 10:19
Und hier das eScan-Log-File:

Tue Sep 21 11:18:51 2004 => ***** Scanning complete. *****
Tue Sep 21 11:18:51 2004 => Total Number of Files Scanned: 91655
Tue Sep 21 11:18:51 2004 => Total Number of Virus(es) Found: 6
Tue Sep 21 11:18:51 2004 => Total Number of Disinfected Files: 0
Tue Sep 21 11:18:51 2004 => Total Number of Files Renamed: 0
Tue Sep 21 11:18:51 2004 => Total Number of Deleted Files: 0
Tue Sep 21 11:18:51 2004 => Total Number of Errors: 4
Tue Sep 21 11:18:51 2004 => Time Elapsed: 03:06:40
Tue Sep 21 11:18:52 2004 => Virus Database Date: 2004/09/21
Tue Sep 21 11:18:52 2004 => Virus Database Count: 104337

Tue Sep 21 11:18:52 2004 => Scan Completed.

File D:\java-programme\J-Developer\jdk\demo\applets\BarChart\Chart.class tagged as not-a-virus:JavaClass.Chart. No Action Taken.
File D:\java-programme\j2sdk1.4.1_03\demo\applets\BarChart\BarChart.class tagged as not-a-virus:JavaClass.Chart. No Action Taken.
File D:\java-programme\j2sdk1.4.1_03\demo\plugin\applets\BarChart\BarChart.class tagged as not-a-virus:JavaClass.Chart. No Action Taken.
File D:\Programme\ORL\VNC\VNCHooks.dll tagged as not-a-virus:RiskWare.RemoteAdmin.WinVNC.333. No Action Taken.
File D:\Programme\ORL\VNC\vncviewer.exe tagged as not-a-virus:RiskWare.RemoteAdmin.WinVNC.333. No Action Taken.
File D:\Programme\ORL\VNC\WinVNC.exe tagged as not-a-virus:RiskWare.RemoteAdmin.WinVNC.333. No Action Taken.

Schlimm???

Steffi25 21.09.2004 10:33
Ich habe gerade gesehen, dass ich einen Fehler gemacht habe. Ich hätte ja bevor ich eScan ausführe den Autostartaufruf aus der Registry löschen sollen. Das hatte ich vergessen. Jetzt nachdem ich gescannt habe, traucht der Eintrag beim erneuten Start von HiJackThis nicht mehr auf. Hilllfffeee!!! Krieg ich das jetzt noch irgendwie weg, oder ist der Eintrag durch das Scannen gelöscht worden? Beim Neu Starten kommt jetzt auch keine Fehlermeldung mehr, dass er die Trojanerdatei nicht findet.

Bitte helft mir!

Viele Grüße
Steffi

Cidre 21.09.2004 11:36
Ganz ruhig Steffi, ist doch alles in Ordnung. ;)
Der Eintrag wurde beim Scannen gelöscht und sonst sehe ich auch nichts verdächtiges in deinem Log-File.

Diese Einträge könntest du noch fixen:
O9 - Extra button: Related - {XXX} - D:\WIN\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {XXX} - D:\WIN\web\related.htm

Poste doch bitte mal den Kopf deines Log-Files, damit man erkennen kann, wie dein System gepatcht ist.

Steffi25 21.09.2004 19:37
Hallo Cidre,

ich hab' mich schon wieder beruhigt. Nur ist halt ein total ungutes Gefühl, wenn was am System nicht in Ordnung ist...

Hier die Kopfdaten:

Logfile of HijackThis v1.98.2
Scan saved at 15:31:43, on 21.09.2004
Platform: Windows NT 4 SP6 (WinNT 4.00.1381)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Wiso findet eScan eigentlich 6 Viren und mein vorher installierter Virenkiller findet nichts mehr? Dabei hat er den Trojaner doch auch erkannt. Oder ist in den u.s. Dateien gar kein Virus und eScan listet sie nur auf, weil er sie nicht genau zuordnen kann?

Nochmals Danke für eure Hilfe!

Liebe Grüße
Steffi

Cidre 21.09.2004 20:01
Der eScan verwendet die Kaspersky Suchengine und die aktuellen Kaspersky Signaturen.

Als Riskware wird bezeichnet:
Programme (jedoch keine Viren) die zur Fernüberwachung und zur Fernsteuerung des PC Opfers gedacht sind.
http://www.highsecurity.de/kav/pdf/KAVGER.pdf


Alle Zeitangaben in WEZ +1. Es ist jetzt 12:56 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131