Hallo...


waere schoen, wenn sich jemand mein log angucken könnte.

Ich habe mir eine trial version von Visio 2003 runtergeladen und irgendwann kam eine Frage nach Indexdienst. Da habe ich auf ja geklickt und seitdem habe ich Cidaemon laufen. Allerdings nicht nur ein Mal, sondern gleich zwei Mal und meine CPU Auslastung ist sauhoch.

Ich habe gegoogelt und auf einer Seite gelesen, dass es auch einen Virus gibt, der Cidaemon heisst?! Weiss da jemand was drueber??

Es waere sehr cool, wenn Ihr mir eine gaanz simple Anleitung geben koenntet, wie ich das wieder weg kriege. (Bin keine Computerexpertin und habe das Wort registry heute zum ersten Mal gehört, also bitte so einfach wie moeglich erklaeren)

So...hier mein Log: (ist von gerade eben, bin in einer anderen Zeitzone)

Logfile of HijackThis v1.98.2
Scan saved at 13:46:15, on 21.11.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\Network Associates\Common Framework\FrameworkService.exe
C:\Programme\Network Associates\VirusScan\mcshield.exe
C:\Programme\Network Associates\VirusScan\vstskmgr.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\hkcmd.exe
C:\Programme\Network Associates\VirusScan\SHSTAT.EXE
C:\Programme\Network Associates\Common Framework\UpdaterUI.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\PROGRA~1\ICQ\ICQ.exe
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Programme\Perfigo\SmartEnforcer\SmartEnforcer.exe
C:\PROGRA~1\MICROS~3\Office10\OUTLOOK.EXE
C:\Programme\Microsoft Office\Office10\WINWORD.EXE
C:\Programme\Opera\opera.exe
C:\Programme\Filzip\Filzip.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\cisvc.exe
C:\WINDOWS\system32\cidaemon.exe
C:\WINDOWS\system32\cidaemon.exe
C:\DOKUME~1\Laptop\LOKALE~1\Temp\HijackThis.exe
C:\WINDOWS\system32\NOTEPAD.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.brigitte.de/forum/categories.php?Cat=
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.gmx.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [ShStatEXE] "C:\Programme\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Programme\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CheckForWindowsUpdates] RegEdit /S DEL-LastWaitTimeout.txt
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: SmartEnforcer.lnk = C:\Programme\Perfigo\SmartEnforcer\SmartEnforcer.exe
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/...eInstaller.exe

Danke fuer Eure Hilfe!!

Thx USC

Hallo USC,

bitte überprüfe mit virusscan.jotti.dhs.org:

C:\Programme\Perfigo\SmartEnforcer\SmartEnforcer.exe
C:\Programme\Filzip\Filzip.exe
C:\Programme\Perfigo\SmartEnforcer\SmartEnforcer.exe

teile uns das Ergebnis der Überprüfung mit.

Scanne Deinen Rechner bitte mit dem eScan - laut Anleitung. Teile uns das Ergebnis folgendermassen mit: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Zitat Cidre)

SD

Hi Shadowdance!

Vielen Dank fuer Deine schnelle Antwort.

Habe die Dateien ueberpruefen lassen, sind ok. Mit smart enforcer gehe ich hier ins Uni-Netzwerk.

Ich habe mir gerade die Anleitung fuer escan durchgelesen. Eine Frage vorweg: Wie komme ich denn in den abgesicherten Modus??

USC

-> abgesicherter Modus
-> http://www.trojaner-board.de/64507-i...aemon-exe.html

Hier ist das Ergebnis von eScan:

C:\DOKUME~1\Laptop\LOKALE~1\Temp\remove.exe infected by "TrojanDownloader.Win32.Keenval.f" Virus. Action Taken: No Action Taken.

Einstellungen\Laptop\Lokale Einstellungen\Temp\remove.exe infected by "TrojanDownloader.Win32.Keenval.f" Virus. Action Taken: No Action Taken.

Was bedeutet das denn?

USC

Zitat:

C:\DOKUME~1\Laptop\LOKALE~1\Temp\remove.exe

Lösche diese Datei im abgesicherten Modus.

Zitat:

dass es auch einen Virus gibt, der Cidaemon heisst?

In deinem Fall ist es der Indexdienst, der sich wie folgt deaktivieren lässt: Start -> Ausführen -> services.msc -> Indexdienst -> Eigenschaften -> Starttyp auf deaktiviert -> Beenden -> Übernehmen