Hi
Ich weiss das ich mir Gestern einen Virus durch eine Seite eingefangen habe.
Ich habe ihn mit Escan + Killbox aber soweit eintfernt.
Das einzige was geblieben ist , ist der Leerlaufprozess.
Der weist folgende Daten auf:

Cpu: 98-99% , CPUzeit:0:26:21 (foortlaufend) speicher : 16kb
Manche sagen jetzt das es doch gut ist weil er anzeigt wieviel Speicher das nicht genutzt wird.Nur hat er das zuvor noch nie gezeigt.

Die CPU und die CPU zeit waren immer auf 0 und der PC lief gut, aber seit dem virus gestern zeigt er die aktuellen werte an und mein PC ist lahm wie ne Schnecke.

ausserdem machen mir die cidaemon.exe + cisvc.exe Sorgen weil ich die zuvor auch nie hatte.
Diese beiden exe Dateien kann ich auch nicht mit Killbox entfernen, wenn ich es mache tauchen die Dateien nach einem Reboot wieder auf.

Hier mal das Hijacklog:







Logfile of HijackThis v1.99.1
Scan saved at 21:03:57, on 23.10.2007
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\System32\Ati2evxx.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINNT\ATKKBService.exe
C:\WINNT\System32\cisvc.exe
C:\WINNT\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE
C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWAgent.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\WINNT\System32\cidaemon.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\DOKUME~1\Marc\LOKALE~1\Temp\Rar$EX00.094\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.ch/
O2 - BHO: GetRight IE Download Helper - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - C:\Programme\GetRight\xx2gr.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_12\bin\ssv.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [BLUEWIN_McciTrayApp] C:\Programme\BLUEWIN\WLAN Assistant\McciTrayApp.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_12\bin\jusched.exe"
O4 - HKLM\..\RunOnce: [SpybotDeletingA5780] command /c del "C:\Dokumente und Einstellungen\Marc\Lokale Einstellungen\Temp\laf4.exe_old"
O4 - HKLM\..\RunOnce: [SpybotDeletingC7692] cmd /c del "C:\Dokumente und Einstellungen\Marc\Lokale Einstellungen\Temp\laf4.exe_old"
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - HKCU\..\RunOnce: [SpybotDeletingB5629] command /c del "C:\Dokumente und Einstellungen\Marc\Lokale Einstellungen\Temp\laf4.exe_old"
O4 - HKCU\..\RunOnce: [SpybotDeletingD4605] cmd /c del "C:\Dokumente und Einstellungen\Marc\Lokale Einstellungen\Temp\laf4.exe_old"
O4 - Global Startup: GetRight - Tray Icon.lnk = C:\Programme\GetRight\getright.exe
O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_12\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_12\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O16 - DPF: {4BFD075D-C36E-4F28-BB0A-5D472795197A} (PowerLoader Class) - h**p://www.powerchallenge.com/applet/PowerLoader.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**p://fpdownload.adobe.com/pub/shockwave/cabs/flash/swflash.cab
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINNT\System32\Ati2evxx.exe
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINNT\ATKKBService.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: MWAgent - MicroWorld Technologies Inc. - C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE

Hallo, dann versuche die beiden fraglichen Dateien einmal bei Virustotal prüfen zu lassen und poste das ergebnis anschließend hier

Hallo,

ciscv.exe -> Content Index service
cidaemon.exe -> Indexierungsdienst

Mit deinem Spybot hast du den Schädling versucht zu löschen,
trotzdem tauchen Einträge in der Registry auf, die versuchen
diesen Schädling zu starten:

1)* HijackThis - Fix Cecked
- Wechsel in den abgesicherten Modus (beim Booten F8 drücken)
- Führe deine Hijackthis.exe - Datei aus
(bestätige die eventuelle Warnung mit "ok")
- Wähle die Option "Do only a System Scan"
- Setze bei folgenden Einträgen links im Kästchen einen Haken

Zitat:

O4 - HKLM\..\RunOnce: [SpybotDeletingA5780] command /c del "C:\Dokumente und Einstellungen\Marc\Lokale Einstellungen\Temp\laf4.exe_old"
O4 - HKLM\..\RunOnce: [SpybotDeletingC7692] cmd /c del "C:\Dokumente und Einstellungen\Marc\Lokale Einstellungen\Temp\laf4.exe_old"
O4 - HKCU\..\RunOnce: [SpybotDeletingB5629] command /c del "C:\Dokumente und Einstellungen\Marc\Lokale Einstellungen\Temp\laf4.exe_old"
O4 - HKCU\..\RunOnce: [SpybotDeletingD4605] cmd /c del "C:\Dokumente und Einstellungen\Marc\Lokale Einstellungen\Temp\laf4.exe_old"

- Scrolle nach unten und klicke auf "Fix checked"
- Neustart in den Normalmodus

2) * CCleaner
- Lade dir den CCleaner runter
- Setze bei der Ausführung die Häkchen mindestens Cookies und Internet Files
- Kopiere bitte den Cleaning-Report ab und poste ihn

3) * MWAV (eScan) - Free Antivirus
1. Lies dir folgende Anleitung genau durch und arbeite sie ab
-> Anleitung eScan
2. Poste im Anschluss das Ergebnis mit Hilfe der *find.bat'.
(rechte Maustaste auf den LINK 'find.bat' , dann "Ziel Speichern unter" -> Desktop)

mfg Cleriker

Hi, hab noch ein paar Fragen:


2) * CCleaner
- Lade dir den CCleaner runter
- Setze bei der Ausführung die Häkchen mindestens Cookies und Internet Files
- Kopiere bitte den Cleaning-Report ab und poste ihn

mit CCleaner hab ich schon die Platte zuvor gesäubert,konnte jedoch kein Log davon finden,bringt es dennoch was wenn ich es nochmal mache + Log?



3) * MWAV (eScan) - Free Antivirus
1. Lies dir folgende Anleitung genau durch und arbeite sie ab
-> Anleitung eScan
2. Poste im Anschluss das Ergebnis mit Hilfe der *find.bat'.
(rechte Maustaste auf den LINK 'find.bat' , dann "Ziel Speichern unter" -> Desktop)

Ich hab das Problem das ich MWAV nicht updaten kann, gibs die updates auch manuell zum runterladen?