Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Bitte log angucken! 2*Cidaemon (https://www.trojaner-board.de/9909-bitte-log-angucken-2-cidaemon.html)

USC 21.11.2004 19:54
Bitte log angucken! 2*Cidaemon
 
Hallo...


waere schoen, wenn sich jemand mein log angucken könnte.

Ich habe mir eine trial version von Visio 2003 runtergeladen und irgendwann kam eine Frage nach Indexdienst. Da habe ich auf ja geklickt und seitdem habe ich Cidaemon laufen. Allerdings nicht nur ein Mal, sondern gleich zwei Mal und meine CPU Auslastung ist sauhoch.

Ich habe gegoogelt und auf einer Seite gelesen, dass es auch einen Virus gibt, der Cidaemon heisst?! Weiss da jemand was drueber??

Es waere sehr cool, wenn Ihr mir eine gaanz simple Anleitung geben koenntet, wie ich das wieder weg kriege. (Bin keine Computerexpertin und habe das Wort registry heute zum ersten Mal gehört, also bitte so einfach wie moeglich erklaeren)

So...hier mein Log: (ist von gerade eben, bin in einer anderen Zeitzone)

Logfile of HijackThis v1.98.2
Scan saved at 13:46:15, on 21.11.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\Network Associates\Common Framework\FrameworkService.exe
C:\Programme\Network Associates\VirusScan\mcshield.exe
C:\Programme\Network Associates\VirusScan\vstskmgr.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\hkcmd.exe
C:\Programme\Network Associates\VirusScan\SHSTAT.EXE
C:\Programme\Network Associates\Common Framework\UpdaterUI.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\PROGRA~1\ICQ\ICQ.exe
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Programme\Perfigo\SmartEnforcer\SmartEnforcer.exe
C:\PROGRA~1\MICROS~3\Office10\OUTLOOK.EXE
C:\Programme\Microsoft Office\Office10\WINWORD.EXE
C:\Programme\Opera\opera.exe
C:\Programme\Filzip\Filzip.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\cisvc.exe
C:\WINDOWS\system32\cidaemon.exe
C:\WINDOWS\system32\cidaemon.exe
C:\DOKUME~1\Laptop\LOKALE~1\Temp\HijackThis.exe
C:\WINDOWS\system32\NOTEPAD.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.brigitte.de/forum/categories.php?Cat=
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.gmx.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [ShStatEXE] "C:\Programme\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Programme\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CheckForWindowsUpdates] RegEdit /S DEL-LastWaitTimeout.txt
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: SmartEnforcer.lnk = C:\Programme\Perfigo\SmartEnforcer\SmartEnforcer.exe
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/...eInstaller.exe

Danke fuer Eure Hilfe!!

Thx USC

Shadowdance 21.11.2004 20:03
Hallo USC,

bitte überprüfe mit virusscan.jotti.dhs.org:

C:\Programme\Perfigo\SmartEnforcer\SmartEnforcer.exe
C:\Programme\Filzip\Filzip.exe
C:\Programme\Perfigo\SmartEnforcer\SmartEnforcer.exe

teile uns das Ergebnis der Überprüfung mit.

Scanne Deinen Rechner bitte mit dem eScan - laut Anleitung. Teile uns das Ergebnis folgendermassen mit: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Zitat Cidre)

SD

USC 21.11.2004 20:18
Hi Shadowdance!

Vielen Dank fuer Deine schnelle Antwort.

Habe die Dateien ueberpruefen lassen, sind ok. Mit smart enforcer gehe ich hier ins Uni-Netzwerk.

Ich habe mir gerade die Anleitung fuer escan durchgelesen. Eine Frage vorweg: Wie komme ich denn in den abgesicherten Modus??

USC

Haui45 21.11.2004 20:21
-> abgesicherter Modus
-> http://www.trojaner-board.de/64507-i...aemon-exe.html

USC 21.11.2004 22:20
Hier ist das Ergebnis von eScan:

C:\DOKUME~1\Laptop\LOKALE~1\Temp\remove.exe infected by "TrojanDownloader.Win32.Keenval.f" Virus. Action Taken: No Action Taken.

Einstellungen\Laptop\Lokale Einstellungen\Temp\remove.exe infected by "TrojanDownloader.Win32.Keenval.f" Virus. Action Taken: No Action Taken.

Was bedeutet das denn?

USC

Cidre 21.11.2004 23:12
Zitat:
C:\DOKUME~1\Laptop\LOKALE~1\Temp\remove.exe
Lösche diese Datei im abgesicherten Modus.

Zitat:
dass es auch einen Virus gibt, der Cidaemon heisst?
In deinem Fall ist es der Indexdienst, der sich wie folgt deaktivieren lässt: Start -> Ausführen -> services.msc -> Indexdienst -> Eigenschaften -> Starttyp auf deaktiviert -> Beenden -> Übernehmen

USC 22.11.2004 00:39
Vielen Dank!

Der Indexdienst ist weg und die Datei habe ich im abgesicherten Modus geloescht.

Ist jetzt alles ok oder gibt es noch etwas, was ich machen sollte?

USC

Shadowdance 22.11.2004 00:56
Hallo USC,

wir müssen noch Dein Hijack This Logfile säubern. Bitte erstelle es nochmal neu und poste es.

SD

USC 22.11.2004 02:20
Hier mein neuestes Log-File:

Logfile of HijackThis v1.98.2
Scan saved at 20:19:25, on 21.11.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\Network Associates\Common Framework\FrameworkService.exe
C:\Programme\Network Associates\VirusScan\mcshield.exe
C:\Programme\Network Associates\VirusScan\vstskmgr.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\hkcmd.exe
C:\Programme\Network Associates\VirusScan\SHSTAT.EXE
C:\Programme\Network Associates\Common Framework\UpdaterUI.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Programme\Perfigo\SmartEnforcer\SmartEnforcer.exe
C:\PROGRA~1\ICQ\ICQ.exe
C:\Programme\Microsoft Office\Office10\POWERPNT.EXE
C:\Programme\Microsoft Office\Office10\WINWORD.EXE
C:\Programme\Opera\opera.exe
C:\Programme\Filzip\Filzip.exe
C:\DOKUME~1\Laptop\LOKALE~1\Temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = ht tp://www.brigitte.de/forum/categories.php?Cat=
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h ttp://www.gmx.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [ShStatEXE] "C:\Programme\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Programme\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CheckForWindowsUpdates] RegEdit /S DEL-LastWaitTimeout.txt
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: SmartEnforcer.lnk = C:\Programme\Perfigo\SmartEnforcer\SmartEnforcer.exe
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/...eInstaller.exe

Shadowdance 22.11.2004 03:22
@ USC

boote dann in den abgesicherten Modus, deaktiviere die Systemwiederherstellung, und fixe dann mit Hijack This (Häk'chen setzen und auf Fix Checked klicken):

O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - h**p://a1540.g.akamai.net/7/1540/52...meInstaller.exe

bitte fixen, wenn Du diese Einträge nicht kennst/brauchst:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.brigitte.de/forum/categories.php?Cat=
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://w*w.gmx.de/

Was ist das? --> unbekannt: O4 - HKCU\..\Run: [CheckForWindowsUpdates] RegEdit /S DEL-LastWaitTimeout.txt

boote in den normalen Modus.
Aktiviere die Systemwiederherstellung.

Erstelle ein weiteres Hijack This Logfile und poste es.

SD

USC 22.11.2004 06:57
Hier mein neues Logfile:

Logfile of HijackThis v1.98.2
Scan saved at 00:46:49, on 22.11.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\Network Associates\Common Framework\FrameworkService.exe
C:\Programme\Network Associates\VirusScan\mcshield.exe
C:\Programme\Network Associates\VirusScan\vstskmgr.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\hkcmd.exe
C:\Programme\Network Associates\VirusScan\SHSTAT.EXE
C:\Programme\Network Associates\Common Framework\UpdaterUI.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Programme\Perfigo\SmartEnforcer\SmartEnforcer.exe
C:\PROGRA~1\ICQ\ICQ.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Opera\opera.exe
C:\Programme\Filzip\Filzip.exe
C:\DOKUME~1\Laptop\LOKALE~1\Temp\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [ShStatEXE] "C:\Programme\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Programme\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CheckForWindowsUpdates] RegEdit /S DEL-LastWaitTimeout.txt
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: SmartEnforcer.lnk = C:\Programme\Perfigo\SmartEnforcer\SmartEnforcer.exe
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe



"Was ist das? --> unbekannt: O4 - HKCU\..\Run: [CheckForWindowsUpdates] RegEdit /S DEL-LastWaitTimeout.txt"

Ich kann nur mutmassen... Ich gehe mit Smart Enforcer ins Internet (Uni-Netzwerk). Beim ersten Anmelden wird man auf eine Seite weitergeleitet und laedt das Programm runter. Dann wird man zu McAfee weitergeleitet und anschliessend zu Windows Updates. Bei den Windows Updates hat es bei mir immer gehakt, obwohl ich damit vorher nie Probleme hatte. Ich kann mich dunkel daran erinnern, dass der Computerservice mir was ueber automatische updates erzaehlt hat. Dann hat er mir gesagt, ich soll bei Ausfuehren etwas eintippen, es oeffnete sich ein kleines schwarzes Fenster und ich habe irgendetwas eingetippt. Kann mich leider nicht mehr daran erinnern, was das war. Anschliessend wurde ich dann auf die Update Seite weitergeleitet und konnte problemslos ins Internet. Koennte es damit zusammen haengen?

USC

Lidius 22.11.2004 07:45
Das scheint eine Vorrichtung zu sein um die Uni Netzwerk User nochmals auf die wichtigen windowsupdates hinzuweisen, um das Uni Netz Malwarefrei zu halten, interesante Idee.

USC 22.11.2004 08:54
Hey!

Kann ich das:

O4 - HKCU\..\Run: [CheckForWindowsUpdates] RegEdit /S DEL-LastWaitTimeout.txt

...also einfach ignorieren oder sollte ich etwas machen?

McAfee und die Windows Updates wurden dieses Semester neu eingefuehrt, nachdem das Uninetzwerk ein paar Mal lahmgelegt wurde. Und bei 30000 Studenten (davon 10000 in Wohnheimen on campus) ist das eher weniger lustig.

Gruss nach Bremen :)

USC

Shadowdance 22.11.2004 15:05
@ USC,

sende bitte diese Datei

O4 - HKCU\..\Run: [CheckForWindowsUpdates] RegEdit /S DEL-LastWaitTimeout.txt

passwortgeschützt an partytime-germany.ice@web.de und virus@hijackthis.de, mit Hinweis auf diesen Thread - zu Forschungszwecken - und warte das Ergebnis ab.

SD

USC 22.11.2004 18:38
@ Shadowdance

habe die Datei an die beiden Adressen geschickt.

@ all

Vielen Dank fuer Eure Hilfe!!


Alle Zeitangaben in WEZ +1. Es ist jetzt 00:56 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131