![]() |
unlöschbares efedb.dll guten tag, seit einiger zeit versuche ich den pc meiner großeltern am laufen zu halten. ich hab antivir drüberlaufen lassen und bestimmt 130meldungen gehabt. leider läuft der pc immer noch nicht richtig und vor allem eine datei efedb.dll ist immer wieder da kaum ist sie gelöscht. immer auf winnt\system32\efedb.dll! also wenn ihr mir sagen könntet wie ich diesen plagegeist entfernen kann wäre ich sehr dankbar... |
Servus! Poste doch einmal vom betroffenen PC ein HJT-Logfile nach Cidres Anleitung http://www.trojaner-board.de/showthread.php?t=17493 hier! stupormundi |
hi! heisser tip: http://www.trojaner-board.de/showthread.php?t=23940 mach dich aber auf was gefasst, is sehr mühsam... auf die pfade achten! windows, oder winnt, je nach os! |
so ich habe jetzt das hijack mal durchlaufen lassen... Logfile of HijackThis v1.99.1 Scan saved at 15:02:34, on 15.12.2005 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v5.00 SP4 (5.00.2920.0000) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\LEXBCES.EXE C:\WINNT\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINNT\System32\svchost.exe C:\WINNT\system32\MSTask.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\csrss.exe C:\WINNT\system32\svchost.exe C:\WINNT\Explorer.EXE C:\Programme\MediaGateway\MediaGateway.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINNT\system32\internat.exe C:\WINNT\system32\cmd.exe C:\Programme\Windows NT\Zubehör\wordpad.exe C:\Dokumente und Einstellungen\***\Desktop\hijack\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://**w.aaawebfinder.com/sp2.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://**w.aaawebfinder.com/sp2.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://**w.aaawebfinder.com/sp2.php R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://**w.web.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://**w.msn.de R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://**w.aaawebfinder.com/sp2.php O2 - BHO: (no name) - {00DBDAC8-4691-4797-8E6A-7C6AB89BC441} - C:\WINNT\system32\efedb.dll O2 - BHO: CControl Object - {3643ABC2-21BF-46B9-B230-F247DB0C6FD6} - (no file) O2 - BHO: MSEvents Object - {B313D637-F405-4052-AC37-E2119AB3C8F8} - C:\WINNT\System32\rqopm.dll O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx O3 - Toolbar: Zango Toolbar - {EA0D26BD-9029-431A-86E0-83152D67828A} - C:\Program Files\Zango Programs\Zango Toolbar\ZangoTB.dll O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [PFEUb] C:\WINNT\iuwrxb.exe O4 - HKLM\..\Run: [SurfAccuracy] C:\Programme\SurfAccuracy\SAcc.exe O4 - HKLM\..\Run: [MediaGateway] C:\Programme\MediaGateway\MediaGateway.exe O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [Wind Security] mswi32.pif O4 - HKLM\..\Run: [System service79] C:\WINNT\etb\pokapoka79.exe O4 - HKLM\..\Run: [Services] c:\sxe3C.tmp O4 - HKLM\..\Run: [winsync] C:\WINNT\system32\pwipiy.exe reg_run O4 - HKLM\..\RunServices: [Wind Security] mswi32.pif O4 - HKCU\..\Run: [internat.exe] internat.exe O4 - HKCU\..\Run: [winmpa] C:\WINNT\system32\winmpa.exe O4 - HKCU\..\Run: [Wind Security] mswi32.pif O4 - HKCU\..\RunServices: [Wind Security] mswi32.pif O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O14 - IERESET.INF: SEARCH_PAGE_URL= O14 - IERESET.INF: START_PAGE_URL= O16 - DPF: v3cab - http://searchmiracle.com/cab/v3cab.cab O16 - DPF: {0D62A517-E7C6-4E1F-A577-07D4AC549A48} (Progetto1.int_ver32) - http://advnt01.com/dialer/int_ver32b.CAB O16 - DPF: {42F2C9BA-614F-47C0-B3E3-ECFD34EED658} - http://promo.dollarrevenue.com/webma...rtload114a.exe O16 - DPF: {7149E79C-DC19-4C5E-A53C-A54DDF75EEE9} (IObjSafety.DemoCtl) - http://cabs.media-motor.net/cabs/joysaver.cab O16 - DPF: {7C559105-9ECF-42B8-B3F7-832E75EDD959} (Installer Class) - http://**w.xxxtoolbar.com/ist/softwa...06_regular.cab O16 - DPF: {8FCDF9D9-A28B-480F-8C3D-581F119A8AB8} - http://static.zangocash.com/cab/180s...ridge-c420.cab O20 - Winlogon Notify: efedb - C:\WINNT\SYSTEM32\efedb.dll O20 - Winlogon Notify: rqopm - C:\WINNT\System32\rqopm.dll O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINNT\system32\LEXBCES.EXE O23 - Service: netconf32 - Unknown owner - C:\WINNT\netconf32.exe (file missing) O23 - Service: NetDDE Server (NetDDEsrv) - Unknown owner - C:\WINNT\System32\netddesrv.exe (file missing) O23 - Service: Windows Time Sync (wservtime) - Unknown owner - C:\WINNT\csrss.exe war auch recht anstrengend weil andauernd meldungen auftauchen etc. .. |
und ehhmm entschuldigung.. in der action hab ich das mit den persönlichen infos... vergessen ...ok got it |
Servus! Das Log ist leider total durchseucht. Unter anderem mit dem hier - ein Backdoor, dann gibt es noch einen aus der Familie - auch kein guter nicht! Und so weiter und so fort! Hier hilft nur eines plattmachen nach Cidres Anleitung Warum das die einzig sinnvolle Lösung bei derartiger Malware ist, hat Cidre auch erschöpfend erläutert/verlinkt! ~~edit~~ Zitat:
Sorry, stupormundi |
Alle Zeitangaben in WEZ +1. Es ist jetzt 01:08 Uhr. |
Copyright ©2000-2025, Trojaner-Board