HEROVAN.EXE wird von hijackthis nicht gefunden |
||
---|---|---|
#0
| ||
14.09.2004, 22:58
...neu hier
Beiträge: 8 |
||
|
||
15.09.2004, 00:13
Member
Beiträge: 48 |
#2
Poste doch mal das Log von HJT. Womit ist diese exe denn verknüft bzw, verweist sie auf einen Ordner, ein Programm? Wahrscheinlich läuft sie als prozess im Hintergrund daher kannst du sie nicht löschen, evtl. mal den Prozess per Taskmanager beenden und dann löschen oder es im abgesicherten Modus probieren. Hast du denn eine Ahnung, wo die herkommt?
|
|
|
||
15.09.2004, 11:02
...neu hier
Themenstarter Beiträge: 8 |
#3
Hallo,
Herovan ist in C: Dokumente/Einstellungen und wenn ich es versuche zu löschen, sagt der Copmuter, dass noch jemand anderes das Programm verwendet und es deshalb nicht gelöscht werden darf. Hier das Log von hijackthis. Ich hab die einschlägigen Sachen (searchmiracle etc.), schon gelöscht. Diese werden aber binnen Minuten erneuert: 2Logfile of HijackThis v1.98.2 Scan saved at 16:14:41, on 14.09.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\Launch Manager\LaunchAp.exe C:\Programme\Launch Manager\HotkeyApp.exe C:\Programme\Launch Manager\OSD.exe C:\Programme\Launch Manager\Wbutton.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\Synaptics\SynTP\SynTPLpr.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\WINDOWS\System32\virusguard.exe C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe C:\WINDOWS\System32\RUNDLL32.exe C:\Programme\QuickTime\qttask.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe C:\WINDOWS\System32\windows\services.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\Outlook Express\msimn.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Dokumente und Einstellungen\rope\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis_198.zip\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://searchmiracle.com/sp.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchmiracle.com/sp.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchmiracle.com/sp.php R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.coolsearch.biz/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.coolsearch.biz/ R3 - URLSearchHook: StartBHO Class - {30192F8D-0958-44E6-B54D-331FD39AC959} - C:\WINDOWS\Downloaded Program Files\CONFLICT.1\rundlg32.dll O2 - BHO: &EliteBar - {28CAEFF3-0F18-4036-B504-51D73BD81C3A} - C:\WINDOWS\EliteBar\EliteBar version 50.dll O3 - Toolbar: &EliteBar - {825CF5BD-8862-4430-B771-0C15C5CA880F} - C:\WINDOWS\EliteBar\EliteBar version 50.dll O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [LaunchAp] C:\Programme\Launch Manager\LaunchAp.exe O4 - HKLM\..\Run: [HotkeyApp] C:\Programme\Launch Manager\HotkeyApp.exe O4 - HKLM\..\Run: [LMgrOSD] C:\Programme\Launch Manager\OSD.exe O4 - HKLM\..\Run: [Wbutton] "C:\Programme\Launch Manager\Wbutton.exe" O4 - HKLM\..\Run: [CtrlVol] C:\Programme\Launch Manager\CtrlVol.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [Virus Guard] virusguard.exe O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe O4 - HKLM\..\Run: [WildTangent CDA] RUNDLL32.exe "C:\Programme\WildTangent\Apps\CDA\cdaEngine0400.dll",cdaEngineMain O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe O4 - HKLM\..\Run: [Windows] C:\WINDOWS\System32\windows\services.exe O4 - HKLM\..\Run: [ControlPanel] C:\WINDOWS\System32\twink64.exe internat.dll,LoadKeyboardProfile O4 - HKLM\..\Run: [Sys29] C:\windows\system32\winvlv32.exe O4 - HKLM\..\RunServices: [Virus Guard] virusguard.exe O4 - HKCU\..\Run: [AOLMIcon] C:\Programme\Gemeinsame Dateien\AOLSHARE\AOLMIcon.exe O4 - HKCU\..\Run: [Virus Guard] virusguard.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra button: MedionShop - {E8BCDF2F-B247-42F6-8BA3-30C12142FE41} - http://www.medionshop.de/ (file missing) (HKCU) O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com O15 - Trusted Zone: *.mt-download.com O15 - Trusted Zone: *.my-internet.info O15 - Trusted Zone: *.searchmiracle.com O15 - Trusted Zone: *.skoobidoo.com O15 - Trusted Zone: *.windupdates.com O16 - DPF: v2cab - http://install.searchmiracle.com/cab/v2cab.cab O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file.php?bt=ie&p=230270dab455d0e176941480ba0fc85f2978d245429f93809c10f10b815c8a96c9ba5c54063f7603d4945ab86ee97ff22322f046:375a82d108ec2e9d584f880889783bc3 O16 - DPF: {70BA88C8-DAE8-4CE9-92BB-979C4A75F53B} (GSDACtl Class) - https://www.gamespyid.com/alaunch.cab O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab O16 - DPF: {AB29A544-D6B4-4E36-A1F8-D3E34FC7B00A} (WTHoster Class) - http://install.wildtangent.com/bgn/partners/nike/nikefz4/install.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{81DD0FE3-2CF8-4404-8F77-B3A3077E1D40}: NameServer = 213.191.74.18 213.191.92.87 |
|
|
||
15.09.2004, 11:17
Moderator
Beiträge: 7805 |
#4
Dein Rechner ist auch ziemlich "durchseucht":
Schicke bitte mal folgende Dateien an virus@protecus.de: C:\WINDOWS\System32\virusguard.exe C:\WINDOWS\System32\windows\services.exe C:\windows\system32\winvlv32.exe (sofern noch da) und nutze dann bitte Escan nach dieser Anleitung: http://www.trojaner-info.de/hijacker/escan.shtml und poste danach ein neues aktuelles Log. Die Windowsfirewall zu aktivieren waere auch nicht schlecht, als erste Massnahme. __________ MfG Ralf SEO-Spam Hunter |
|
|
||
15.09.2004, 13:56
Member
Beiträge: 890 |
#5
@aelfric2
Zitat Poste doch mal das Log von HJT.Bitte nicht gleich die Leute dazu animieren einen Log von HJT zu posten. Es gibt eigens dafür eine Anleitung was man in solche Fälle tun soll. Erst nachdem diese Anleitung abgearbeitet wurde,ist ein HJT-Log sinnvoll. Ansonsten droht das Forum in endlose Logs zu versinken Gruß Ajax |
|
|
||
15.09.2004, 19:02
Member
Beiträge: 48 |
#6
@ Ajax
Er hat aber explizit von Hijackthis gesprochen und sich darauf bezogen. Was das Log betrifft, bin ich anderer Meinung, ich halte es für sinnvoller, das Log VOR der Anwendung diverser Programme zu erstellen und anzusehen, wenn sich nämlich beispielsweise auf dem Rechner Dialer befinden, sollten diese gesichert werden und das wird schon schwierig, wenn der Betreffende E-Scan verwendet oder in den anderen Programmen panisch alle Spuren von gefundenen Sachen gelöscht hat. Alles schon erlebt. Anderer Grund: ist das Log voller Backdoor-Programme und der System hat noch keinen einzigen Patch gesehen, kann man sich die Tools ebenso sparen, denn eine Neuinstallation ist der bessere und nicht selten schnellere Weg. IMO sollte das Log den Ausgangspunkt darstellen und dann wieder die Endkontrolle. |
|
|
||
29.12.2004, 16:08
...neu hier
Beiträge: 2 |
#7
@all
herovan.exe & co Hallo zusammen und eine Bitte! Habe mir die Datei herovan.exe ebenfalls eingefangen (schon am 9.12.04) und erst heute entdeckt. Antivir (http://www.antivir.de) und Kasperski (http://www.kaspersky.com/de/scanforvirus) haben die Datei noch heute 'durchgehen' lassen. Wahrscheinlich kannten Sie das Ding noch nicht. Ich bitte also jeden/jede, verdächtige Dateien dorthin zu posten, damit deren Virenscanner scheller aktualisiert werden können. Danke |
|
|
||
ich habe nun schon einige offensichtlich schädliche Datein durch hijackthis gelöscht. Allerdings ist unter den Datein nicht HEROVAN.EXE, die auf meinem Desktop liegt und nicht zu löschen ist und gar nichts... Kann es sein, dass hijackthis diese Datei unter einem anderen Namen führt?
Ich verstehe es einfach nicht....