guten tag, seit einiger zeit versuche ich den pc meiner großeltern am laufen zu halten. ich hab antivir drüberlaufen lassen und bestimmt 130meldungen gehabt. leider läuft der pc immer noch nicht richtig und vor allem eine datei efedb.dll ist immer wieder da kaum ist sie gelöscht. immer auf winnt\system32\efedb.dll!
also wenn ihr mir sagen könntet wie ich diesen plagegeist entfernen kann wäre ich sehr dankbar...

Servus!
Poste doch einmal vom betroffenen PC ein HJT-Logfile nach Cidres Anleitung http://www.trojaner-board.de/showthread.php?t=17493 hier!
stupormundi

hi!
heisser tip: http://www.trojaner-board.de/showthread.php?t=23940
mach dich aber auf was gefasst, is sehr mühsam...
auf die pfade achten! windows, oder winnt, je nach os!

so ich habe jetzt das hijack mal durchlaufen lassen...

Logfile of HijackThis v1.99.1
Scan saved at 15:02:34, on 15.12.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP4 (5.00.2920.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\LEXBCES.EXE
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\csrss.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Programme\MediaGateway\MediaGateway.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINNT\system32\internat.exe
C:\WINNT\system32\cmd.exe
C:\Programme\Windows NT\Zubehör\wordpad.exe
C:\Dokumente und Einstellungen\***\Desktop\hijack\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://**w.aaawebfinder.com/sp2.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://**w.aaawebfinder.com/sp2.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://**w.aaawebfinder.com/sp2.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://**w.web.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://**w.msn.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://**w.aaawebfinder.com/sp2.php
O2 - BHO: (no name) - {00DBDAC8-4691-4797-8E6A-7C6AB89BC441} - C:\WINNT\system32\efedb.dll
O2 - BHO: CControl Object - {3643ABC2-21BF-46B9-B230-F247DB0C6FD6} - (no file)
O2 - BHO: MSEvents Object - {B313D637-F405-4052-AC37-E2119AB3C8F8} - C:\WINNT\System32\rqopm.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: Zango Toolbar - {EA0D26BD-9029-431A-86E0-83152D67828A} - C:\Program Files\Zango Programs\Zango Toolbar\ZangoTB.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [PFEUb] C:\WINNT\iuwrxb.exe
O4 - HKLM\..\Run: [SurfAccuracy] C:\Programme\SurfAccuracy\SAcc.exe
O4 - HKLM\..\Run: [MediaGateway] C:\Programme\MediaGateway\MediaGateway.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [Wind Security] mswi32.pif
O4 - HKLM\..\Run: [System service79] C:\WINNT\etb\pokapoka79.exe
O4 - HKLM\..\Run: [Services] c:\sxe3C.tmp
O4 - HKLM\..\Run: [winsync] C:\WINNT\system32\pwipiy.exe reg_run
O4 - HKLM\..\RunServices: [Wind Security] mswi32.pif
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [winmpa] C:\WINNT\system32\winmpa.exe
O4 - HKCU\..\Run: [Wind Security] mswi32.pif
O4 - HKCU\..\RunServices: [Wind Security] mswi32.pif
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
O16 - DPF: v3cab - http://searchmiracle.com/cab/v3cab.cab
O16 - DPF: {0D62A517-E7C6-4E1F-A577-07D4AC549A48} (Progetto1.int_ver32) - http://advnt01.com/dialer/int_ver32b.CAB
O16 - DPF: {42F2C9BA-614F-47C0-B3E3-ECFD34EED658} - http://promo.dollarrevenue.com/webma...rtload114a.exe
O16 - DPF: {7149E79C-DC19-4C5E-A53C-A54DDF75EEE9} (IObjSafety.DemoCtl) - http://cabs.media-motor.net/cabs/joysaver.cab
O16 - DPF: {7C559105-9ECF-42B8-B3F7-832E75EDD959} (Installer Class) - http://**w.xxxtoolbar.com/ist/softwa...06_regular.cab
O16 - DPF: {8FCDF9D9-A28B-480F-8C3D-581F119A8AB8} - http://static.zangocash.com/cab/180s...ridge-c420.cab
O20 - Winlogon Notify: efedb - C:\WINNT\SYSTEM32\efedb.dll
O20 - Winlogon Notify: rqopm - C:\WINNT\System32\rqopm.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINNT\system32\LEXBCES.EXE
O23 - Service: netconf32 - Unknown owner - C:\WINNT\netconf32.exe (file missing)
O23 - Service: NetDDE Server (NetDDEsrv) - Unknown owner - C:\WINNT\System32\netddesrv.exe (file missing)
O23 - Service: Windows Time Sync (wservtime) - Unknown owner - C:\WINNT\csrss.exe



war auch recht anstrengend weil andauernd meldungen auftauchen etc. ..

und ehhmm entschuldigung.. in der action hab ich das mit den persönlichen infos... vergessen
...ok got it

Servus!
Das Log ist leider total durchseucht. Unter anderem mit dem hier - ein Backdoor, dann gibt es noch einen aus der Familie - auch kein guter nicht!
Und so weiter und so fort!
Hier hilft nur eines plattmachen nach Cidres Anleitung
Warum das die einzig sinnvolle Lösung bei derartiger Malware ist, hat Cidre auch erschöpfend erläutert/verlinkt!
~~edit~~

Zitat:

und ehhmm entschuldigung.. in der action hab ich das mit den persönlichen infos... vergessen

Kannst Du mit der editier-Funktion rechts unten nachholen!~~/Edit~~
Sorry, stupormundi