HEROVAN.EXE wird von hijackthis nicht gefunden

#0
14.09.2004, 22:58
...neu hier

Beiträge: 8
#1 Hallo,

ich habe nun schon einige offensichtlich schädliche Datein durch hijackthis gelöscht. Allerdings ist unter den Datein nicht HEROVAN.EXE, die auf meinem Desktop liegt und nicht zu löschen ist und gar nichts... Kann es sein, dass hijackthis diese Datei unter einem anderen Namen führt?

Ich verstehe es einfach nicht....
Seitenanfang Seitenende
15.09.2004, 00:13
Member

Beiträge: 48
#2 Poste doch mal das Log von HJT. Womit ist diese exe denn verknüft bzw, verweist sie auf einen Ordner, ein Programm? Wahrscheinlich läuft sie als prozess im Hintergrund daher kannst du sie nicht löschen, evtl. mal den Prozess per Taskmanager beenden und dann löschen oder es im abgesicherten Modus probieren. Hast du denn eine Ahnung, wo die herkommt?
Seitenanfang Seitenende
15.09.2004, 11:02
...neu hier

Themenstarter

Beiträge: 8
#3 Hallo,

Herovan ist in C: Dokumente/Einstellungen und wenn ich es versuche zu löschen, sagt der Copmuter, dass noch jemand anderes das Programm verwendet und es deshalb nicht gelöscht werden darf.

Hier das Log von hijackthis. Ich hab die einschlägigen Sachen (searchmiracle etc.), schon gelöscht. Diese werden aber binnen Minuten erneuert:

2Logfile of HijackThis v1.98.2
Scan saved at 16:14:41, on 14.09.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Launch Manager\LaunchAp.exe
C:\Programme\Launch Manager\HotkeyApp.exe
C:\Programme\Launch Manager\OSD.exe
C:\Programme\Launch Manager\Wbutton.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\virusguard.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe
C:\WINDOWS\System32\RUNDLL32.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\WINDOWS\System32\windows\services.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Outlook Express\msimn.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\rope\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis_198.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://searchmiracle.com/sp.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchmiracle.com/sp.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchmiracle.com/sp.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.coolsearch.biz/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.coolsearch.biz/
R3 - URLSearchHook: StartBHO Class - {30192F8D-0958-44E6-B54D-331FD39AC959} - C:\WINDOWS\Downloaded Program Files\CONFLICT.1\rundlg32.dll
O2 - BHO: &EliteBar - {28CAEFF3-0F18-4036-B504-51D73BD81C3A} - C:\WINDOWS\EliteBar\EliteBar version 50.dll
O3 - Toolbar: &EliteBar - {825CF5BD-8862-4430-B771-0C15C5CA880F} - C:\WINDOWS\EliteBar\EliteBar version 50.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [LaunchAp] C:\Programme\Launch Manager\LaunchAp.exe
O4 - HKLM\..\Run: [HotkeyApp] C:\Programme\Launch Manager\HotkeyApp.exe
O4 - HKLM\..\Run: [LMgrOSD] C:\Programme\Launch Manager\OSD.exe
O4 - HKLM\..\Run: [Wbutton] "C:\Programme\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [CtrlVol] C:\Programme\Launch Manager\CtrlVol.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Virus Guard] virusguard.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe
O4 - HKLM\..\Run: [WildTangent CDA] RUNDLL32.exe "C:\Programme\WildTangent\Apps\CDA\cdaEngine0400.dll",cdaEngineMain
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [Windows] C:\WINDOWS\System32\windows\services.exe
O4 - HKLM\..\Run: [ControlPanel] C:\WINDOWS\System32\twink64.exe internat.dll,LoadKeyboardProfile
O4 - HKLM\..\Run: [Sys29] C:\windows\system32\winvlv32.exe
O4 - HKLM\..\RunServices: [Virus Guard] virusguard.exe
O4 - HKCU\..\Run: [AOLMIcon] C:\Programme\Gemeinsame Dateien\AOLSHARE\AOLMIcon.exe
O4 - HKCU\..\Run: [Virus Guard] virusguard.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra button: MedionShop - {E8BCDF2F-B247-42F6-8BA3-30C12142FE41} - http://www.medionshop.de/ (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.searchmiracle.com
O15 - Trusted Zone: *.skoobidoo.com
O15 - Trusted Zone: *.windupdates.com
O16 - DPF: v2cab - http://install.searchmiracle.com/cab/v2cab.cab
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file.php?bt=ie&p=230270dab455d0e176941480ba0fc85f2978d245429f93809c10f10b815c8a96c9ba5c54063f7603d4945ab86ee97ff22322f046:375a82d108ec2e9d584f880889783bc3
O16 - DPF: {70BA88C8-DAE8-4CE9-92BB-979C4A75F53B} (GSDACtl Class) - https://www.gamespyid.com/alaunch.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {AB29A544-D6B4-4E36-A1F8-D3E34FC7B00A} (WTHoster Class) - http://install.wildtangent.com/bgn/partners/nike/nikefz4/install.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{81DD0FE3-2CF8-4404-8F77-B3A3077E1D40}: NameServer = 213.191.74.18 213.191.92.87
Seitenanfang Seitenende
15.09.2004, 11:17
Moderator

Beiträge: 7805
#4 Dein Rechner ist auch ziemlich "durchseucht":

Schicke bitte mal folgende Dateien an virus@protecus.de:

C:\WINDOWS\System32\virusguard.exe
C:\WINDOWS\System32\windows\services.exe
C:\windows\system32\winvlv32.exe (sofern noch da)

und nutze dann bitte Escan nach dieser Anleitung:
http://www.trojaner-info.de/hijacker/escan.shtml und poste danach ein neues aktuelles Log. Die Windowsfirewall zu aktivieren waere auch nicht schlecht, als erste Massnahme.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
15.09.2004, 13:56
Member
Avatar Ajax

Beiträge: 890
#5 @aelfric2

Zitat

Poste doch mal das Log von HJT.
Bitte nicht gleich die Leute dazu animieren einen Log von HJT zu posten.
Es gibt eigens dafür eine Anleitung was man in solche Fälle tun soll.
Erst nachdem diese Anleitung abgearbeitet wurde,ist ein HJT-Log sinnvoll.
Ansonsten droht das Forum in endlose Logs zu versinken ;)

Gruß
Ajax
Seitenanfang Seitenende
15.09.2004, 19:02
Member

Beiträge: 48
#6 @ Ajax

Er hat aber explizit von Hijackthis gesprochen und sich darauf bezogen. Was das Log betrifft, bin ich anderer Meinung, ich halte es für sinnvoller, das Log VOR der Anwendung diverser Programme zu erstellen und anzusehen, wenn sich nämlich beispielsweise auf dem Rechner Dialer befinden, sollten diese gesichert werden und das wird schon schwierig, wenn der Betreffende E-Scan verwendet oder in den anderen Programmen panisch alle Spuren von gefundenen Sachen gelöscht hat. Alles schon erlebt. ;) Anderer Grund: ist das Log voller Backdoor-Programme und der System hat noch keinen einzigen Patch gesehen, kann man sich die Tools ebenso sparen, denn eine Neuinstallation ist der bessere und nicht selten schnellere Weg.
IMO sollte das Log den Ausgangspunkt darstellen und dann wieder die Endkontrolle.
Seitenanfang Seitenende
29.12.2004, 16:08
...neu hier

Beiträge: 2
#7 @all

herovan.exe & co

Hallo zusammen und eine Bitte!

Habe mir die Datei herovan.exe ebenfalls eingefangen (schon am 9.12.04) und erst heute entdeckt.
Antivir (http://www.antivir.de) und Kasperski (http://www.kaspersky.com/de/scanforvirus) haben die Datei noch heute 'durchgehen' lassen. Wahrscheinlich kannten Sie das Ding noch nicht.

Ich bitte also jeden/jede, verdächtige Dateien dorthin zu posten, damit deren Virenscanner scheller aktualisiert werden können.

Danke
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: