Kaspersky
Solved

hermestarget.cmd/hermesgoal4.cmd

  • 2 August 2019
  • 8 replies
  • 341 views

Hallo,

ich benutze die lizensierte Version von Kaspersky.
Kaspersky teilte mir gerade mit, dass 2 Prozesse 'beschränkt' vertrauenswürdig sind.
Diese sind hermestarget.cmd und hermesgoal1.cmd.
Was ich nun direkt komisch fand war, dass sich unter den vertrauenswürdigen Prozessen/Programmen noch 3 Programme mit ähnlichem Namen finden ließen: hermesgoal2.cmd, hermesgoal3.cmd und hermesgoal4.cmd.
Daraufhin hab ich ein bisschen gegooglet und bin immer wieder auf dieses Hermes Ransomware gestoßen. Außerdem ist mir in den letzten Tagen aufgefallen, dass die Rootkit-Suche immer 1 Sekunde nachdem sie gestartet ist, wieder abgebrochen wird. Bisher dachte ich mir dabei eigentlich nichts.
Muss ich mir jetzt sorgen machen oder gar Windows neu aufsetzen, oder passt alles?
Mein aktueller Rechner ist eine Woche alt, ich verwende derzeit nur ein Offline-Konto, keine E-Mails oder dergleichen, weshalb ich wirklich nicht weiß, woher diese Schadsoftware kommen sollte...

Danke für eure Hilfe!
Paloju
icon

Best answer by Schulte 15 September 2019, 20:41

Hi @Paloju,

kannst Du die beiden .cmd-Dateien in ein ZIP-Archiv packen und mir per "Persönliche Nachricht" zusenden?
Bitte nenne auch den kompletten Verzeichnispfad, in dem die Dateien gefunden wurden.

An einen Trojaner denke ich zunächst mal nicht...
View original

8 replies

Userlevel 7
Badge +4
Hi @Paloju,

kannst Du die beiden .cmd-Dateien in ein ZIP-Archiv packen und mir per "Persönliche Nachricht" zusenden?
Bitte nenne auch den kompletten Verzeichnispfad, in dem die Dateien gefunden wurden.

An einen Trojaner denke ich zunächst mal nicht...
Hallo,

danke für das Ansehen.

das wird wohl nicht mehr möglich sein, da ich in einem Anflug von „Panik“ (neuer Rechner :D) alle ersichtlichen Spuren davon aus der Registry gelöscht habe. Seitdem ist das auch nie wieder aufgetaucht. Dennoch wollte ich gerne wissen, ob das jemandem bekannt vorkommt.

MfG

edit: Ich benutze Kaspersky jetzt schon seit Jahren, finde jedoch, dass sich seit einigen Monaten die Fehler häufen. Das mit der Rootkit-Suche ist mir grade auch wieder eingefallen, als ich meinen Post gelesen hab. Ich verstehe auch nicht warum man keine Schwachstellensuche manuell starten kann. Also zumindest nicht auf „normalen“ Wege.
Userlevel 7
Badge +4
Du hast richtig reagiert.

Lieber übervorsichtig als unüberlegt.
Es könnte schon zur Ransomware passen, aber Deine KTS hat die beiden Dateien wohl in "Schwach beschränkt" eingeordnet. Damit wurde ein ungefragter Internetzugriff verhindert.

Wäre trotzdem schön gewesen, wenn Du die Dateien noch hättest. Dann könnten wir die Herkunft vielleicht noch nachvollziehen.
Aber so ist es auch gut.

Läuft der Rootkitscan wieder? Den könntest Du ebenfalls "von Hand" starten und kontrollieren:
code:
"c:\Program Files (x86)\Kaspersky Lab\Kaspersky Total Security 19.0.0\avp.com" start Scan_Qscan


EDIT: da hat sich wohl Dein Nachtrag mit meiner Antwort überschnitten...

EDIT2: handelt es sich um einen ACER-Rechner mit vorinstalliertem Windows?
Nur leider weiß ich halt nicht, ob ich alles erwischt habe, Da ich mich jetzt nicht unglaublich gut mit dem ganzen IT-Kram auskenne. Ich halte mich eben, nur soweit es geht, an alle Vorgaben, um Viren zu verhindern. Keine unbekannten Links öffnen, nur gesicherter Verbindungen wählen, Emails öffne ich sowieso nur auf meinem iPhone, usw...

Mal eine allgemeine Frage: Was muss ich denn machen um alles (wirklich alles) mal platt zu machen? Reicht Rechner „auf Werkszustand“ zurücksetzen (also über die normalen Einstellungen bei Windows) oder muss da Windows komplett neu drauf, sprich übers BIOS?

Die Rootkitsuche läuft wieder normal, ja.

MfG

edit: ja, es handelt sich um einen ACER. Woher weißt du das jetzt? 😃
Userlevel 7
Badge +4
Hast Du unter "C:\Program Files (x86)\Acer\Acer Jumpstart" eine "hermes.exe"?

Die gehört wohl zur vorinstallierten Bloatware. Diese kannst Du über die Systemsteuerung deinstallieren.

Wenn Du aber noch nicht allzuviele Programme auf dem Rechner installiert hast, würde ich ihn komplett mit einem "unbelasteten" Windows direkt von Microsoft neu installieren. Du musst nur darauf achten, die richtige Version zu installieren. Der Aktivierungscode sollte im BIOS hinterlegt sein und automatisch erkannt werden.
Ein kleines Problem könnten dann spezielle Treiber wie z. B. für die Grafik darstellen, aber die lassen sich nachinstallieren.
Alle vorinstallierten Apps löschen, war das erste was ich gemacht hab. Außer die Lüftersteuerung, welche sich doch als nützlich erwies.

Naja, als Gaming-Rechner wird ein Terrabyte schon voll... Das würde ich nicht nochmal downloaden wollen. Hilft zurücksetzen in Sachen Sicherheit gar nicht? Und weiß das BIOS immer (!) automatisch, dass ich im Besitz einer offiziellen Windowslizenz bin? Denn ich hab keine Ahnung wo der Code sonst stehen sollte. 😃
Userlevel 7
Badge +4
Wenn Du keine grösseren Hardwareänderungen seit der letzten Aktivierung gemacht hast, klappt das in der Regel. Aber keine Regel ohne Ausnahme...

An Deiner Stelle würde ich jetzt mal den Rechner so weiterbetreiben, wie er ist. Der Aufwand einer Neuinstallation dürfte nicht gerechtfertigt sein.

Achte auf Unregelmässigkeiten (sollte jeder tun) und hab' Spass.

PS: den Code kann man auslesen. Da tummeln sich aber auch Programme, die es nicht gut meinen...
Alles klar. Vielen Dank für deine Hilfe!

Reply / Ответить