![]() |
Bitte log angucken! 2*Cidaemon Hallo... waere schoen, wenn sich jemand mein log angucken könnte. Ich habe mir eine trial version von Visio 2003 runtergeladen und irgendwann kam eine Frage nach Indexdienst. Da habe ich auf ja geklickt und seitdem habe ich Cidaemon laufen. Allerdings nicht nur ein Mal, sondern gleich zwei Mal und meine CPU Auslastung ist sauhoch. Ich habe gegoogelt und auf einer Seite gelesen, dass es auch einen Virus gibt, der Cidaemon heisst?! Weiss da jemand was drueber?? Es waere sehr cool, wenn Ihr mir eine gaanz simple Anleitung geben koenntet, wie ich das wieder weg kriege. (Bin keine Computerexpertin und habe das Wort registry heute zum ersten Mal gehört, also bitte so einfach wie moeglich erklaeren) So...hier mein Log: (ist von gerade eben, bin in einer anderen Zeitzone) Logfile of HijackThis v1.98.2 Scan saved at 13:46:15, on 21.11.2004 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\LEXPPS.EXE C:\Programme\Network Associates\Common Framework\FrameworkService.exe C:\Programme\Network Associates\VirusScan\mcshield.exe C:\Programme\Network Associates\VirusScan\vstskmgr.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\hkcmd.exe C:\Programme\Network Associates\VirusScan\SHSTAT.EXE C:\Programme\Network Associates\Common Framework\UpdaterUI.exe C:\Programme\QuickTime\qttask.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\PROGRA~1\ICQ\ICQ.exe C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe C:\Programme\Perfigo\SmartEnforcer\SmartEnforcer.exe C:\PROGRA~1\MICROS~3\Office10\OUTLOOK.EXE C:\Programme\Microsoft Office\Office10\WINWORD.EXE C:\Programme\Opera\opera.exe C:\Programme\Filzip\Filzip.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\cisvc.exe C:\WINDOWS\system32\cidaemon.exe C:\WINDOWS\system32\cidaemon.exe C:\DOKUME~1\Laptop\LOKALE~1\Temp\HijackThis.exe C:\WINDOWS\system32\NOTEPAD.EXE R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.brigitte.de/forum/categories.php?Cat= R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.gmx.de/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe O4 - HKLM\..\Run: [ShStatEXE] "C:\Programme\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Programme\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKCU\..\Run: [CheckForWindowsUpdates] RegEdit /S DEL-LastWaitTimeout.txt O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe O4 - Global Startup: SmartEnforcer.lnk = C:\Programme\Perfigo\SmartEnforcer\SmartEnforcer.exe O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/...eInstaller.exe Danke fuer Eure Hilfe!! Thx USC |
Hallo USC, bitte überprüfe mit virusscan.jotti.dhs.org: C:\Programme\Perfigo\SmartEnforcer\SmartEnforcer.exe C:\Programme\Filzip\Filzip.exe C:\Programme\Perfigo\SmartEnforcer\SmartEnforcer.exe teile uns das Ergebnis der Überprüfung mit. Scanne Deinen Rechner bitte mit dem eScan - laut Anleitung. Teile uns das Ergebnis folgendermassen mit: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Zitat Cidre) SD |
Hi Shadowdance! Vielen Dank fuer Deine schnelle Antwort. Habe die Dateien ueberpruefen lassen, sind ok. Mit smart enforcer gehe ich hier ins Uni-Netzwerk. Ich habe mir gerade die Anleitung fuer escan durchgelesen. Eine Frage vorweg: Wie komme ich denn in den abgesicherten Modus?? USC |
|
Hier ist das Ergebnis von eScan: C:\DOKUME~1\Laptop\LOKALE~1\Temp\remove.exe infected by "TrojanDownloader.Win32.Keenval.f" Virus. Action Taken: No Action Taken. Einstellungen\Laptop\Lokale Einstellungen\Temp\remove.exe infected by "TrojanDownloader.Win32.Keenval.f" Virus. Action Taken: No Action Taken. Was bedeutet das denn? USC |
Zitat:
Zitat:
|
Vielen Dank! Der Indexdienst ist weg und die Datei habe ich im abgesicherten Modus geloescht. Ist jetzt alles ok oder gibt es noch etwas, was ich machen sollte? USC |
Hallo USC, wir müssen noch Dein Hijack This Logfile säubern. Bitte erstelle es nochmal neu und poste es. SD |
Hier mein neuestes Log-File: Logfile of HijackThis v1.98.2 Scan saved at 20:19:25, on 21.11.2004 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\LEXPPS.EXE C:\Programme\Network Associates\Common Framework\FrameworkService.exe C:\Programme\Network Associates\VirusScan\mcshield.exe C:\Programme\Network Associates\VirusScan\vstskmgr.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\hkcmd.exe C:\Programme\Network Associates\VirusScan\SHSTAT.EXE C:\Programme\Network Associates\Common Framework\UpdaterUI.exe C:\Programme\QuickTime\qttask.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe C:\Programme\Perfigo\SmartEnforcer\SmartEnforcer.exe C:\PROGRA~1\ICQ\ICQ.exe C:\Programme\Microsoft Office\Office10\POWERPNT.EXE C:\Programme\Microsoft Office\Office10\WINWORD.EXE C:\Programme\Opera\opera.exe C:\Programme\Filzip\Filzip.exe C:\DOKUME~1\Laptop\LOKALE~1\Temp\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = ht tp://www.brigitte.de/forum/categories.php?Cat= R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h ttp://www.gmx.de/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe O4 - HKLM\..\Run: [ShStatEXE] "C:\Programme\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Programme\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKCU\..\Run: [CheckForWindowsUpdates] RegEdit /S DEL-LastWaitTimeout.txt O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe O4 - Global Startup: SmartEnforcer.lnk = C:\Programme\Perfigo\SmartEnforcer\SmartEnforcer.exe O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/...eInstaller.exe |
@ USC boote dann in den abgesicherten Modus, deaktiviere die Systemwiederherstellung, und fixe dann mit Hijack This (Häk'chen setzen und auf Fix Checked klicken): O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - h**p://a1540.g.akamai.net/7/1540/52...meInstaller.exe bitte fixen, wenn Du diese Einträge nicht kennst/brauchst: R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.brigitte.de/forum/categories.php?Cat= R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://w*w.gmx.de/ Was ist das? --> unbekannt: O4 - HKCU\..\Run: [CheckForWindowsUpdates] RegEdit /S DEL-LastWaitTimeout.txt boote in den normalen Modus. Aktiviere die Systemwiederherstellung. Erstelle ein weiteres Hijack This Logfile und poste es. SD |
Hier mein neues Logfile: Logfile of HijackThis v1.98.2 Scan saved at 00:46:49, on 22.11.2004 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\LEXPPS.EXE C:\Programme\Network Associates\Common Framework\FrameworkService.exe C:\Programme\Network Associates\VirusScan\mcshield.exe C:\Programme\Network Associates\VirusScan\vstskmgr.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\hkcmd.exe C:\Programme\Network Associates\VirusScan\SHSTAT.EXE C:\Programme\Network Associates\Common Framework\UpdaterUI.exe C:\Programme\QuickTime\qttask.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe C:\Programme\Perfigo\SmartEnforcer\SmartEnforcer.exe C:\PROGRA~1\ICQ\ICQ.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\Opera\opera.exe C:\Programme\Filzip\Filzip.exe C:\DOKUME~1\Laptop\LOKALE~1\Temp\HijackThis.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe O4 - HKLM\..\Run: [ShStatEXE] "C:\Programme\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Programme\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKCU\..\Run: [CheckForWindowsUpdates] RegEdit /S DEL-LastWaitTimeout.txt O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe O4 - Global Startup: SmartEnforcer.lnk = C:\Programme\Perfigo\SmartEnforcer\SmartEnforcer.exe O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe "Was ist das? --> unbekannt: O4 - HKCU\..\Run: [CheckForWindowsUpdates] RegEdit /S DEL-LastWaitTimeout.txt" Ich kann nur mutmassen... Ich gehe mit Smart Enforcer ins Internet (Uni-Netzwerk). Beim ersten Anmelden wird man auf eine Seite weitergeleitet und laedt das Programm runter. Dann wird man zu McAfee weitergeleitet und anschliessend zu Windows Updates. Bei den Windows Updates hat es bei mir immer gehakt, obwohl ich damit vorher nie Probleme hatte. Ich kann mich dunkel daran erinnern, dass der Computerservice mir was ueber automatische updates erzaehlt hat. Dann hat er mir gesagt, ich soll bei Ausfuehren etwas eintippen, es oeffnete sich ein kleines schwarzes Fenster und ich habe irgendetwas eingetippt. Kann mich leider nicht mehr daran erinnern, was das war. Anschliessend wurde ich dann auf die Update Seite weitergeleitet und konnte problemslos ins Internet. Koennte es damit zusammen haengen? USC |
Das scheint eine Vorrichtung zu sein um die Uni Netzwerk User nochmals auf die wichtigen windowsupdates hinzuweisen, um das Uni Netz Malwarefrei zu halten, interesante Idee. |
Hey! Kann ich das: O4 - HKCU\..\Run: [CheckForWindowsUpdates] RegEdit /S DEL-LastWaitTimeout.txt ...also einfach ignorieren oder sollte ich etwas machen? McAfee und die Windows Updates wurden dieses Semester neu eingefuehrt, nachdem das Uninetzwerk ein paar Mal lahmgelegt wurde. Und bei 30000 Studenten (davon 10000 in Wohnheimen on campus) ist das eher weniger lustig. Gruss nach Bremen :) USC |
@ USC, sende bitte diese Datei O4 - HKCU\..\Run: [CheckForWindowsUpdates] RegEdit /S DEL-LastWaitTimeout.txt passwortgeschützt an partytime-germany.ice@web.de und virus@hijackthis.de, mit Hinweis auf diesen Thread - zu Forschungszwecken - und warte das Ergebnis ab. SD |
@ Shadowdance habe die Datei an die beiden Adressen geschickt. @ all Vielen Dank fuer Eure Hilfe!! |
Alle Zeitangaben in WEZ +1. Es ist jetzt 07:49 Uhr. |
Copyright ©2000-2025, Trojaner-Board