ist das gefährlich

scann doch mal dein pc,dann wirste ja sehen was sich tut

hab ich schon ist unbekannt bei  HijackThis

ich hab grad gegoogle`tnichts gefunden! schau doch mal rein in dein windows

ich bin nicht so der experte^^  wie meinst du das

du gehst Arbeitsplatz rechtsklick/explorer/C/Windows/System32  suchst dir den Ordner und überprüfst diesen mit einem aktuellen vierenscanner wie z.B. Antivir der sich im explorer einbindet sprich,den ordner rechts anklicken mit Antivir überprüfen

Hi,

lade dir die kostenlose Software von Ewido herunter, scanne deinen PC damit.
ewido anti-malware, ca. 7,6 MB
http://www.ewido.net/de/download/
Bei der Installation bitte nicht den Hintergrundwächter aktivieren.
Nach der Installation der Software ist unbedingt noch das Update einzuspielen, gehe dazu auf
http://www.ewido.net/de/download/updates/

Um eine optimale Überprüfung mit dem Tool zu gewährleisten, sollte der PC ausschließlich mit der folgenden Anweisung gescannt werden.
1. PC vom Netzwerk und Internet trennen
2. Die Systemwiederherstellung deaktivieren  (Nur Windows XP und ME)
3. PC im abgesicherten Modus starten
(Für den Punkt 2 und 3 findet man unter http://www.bsi.de/av/texte/wiederher.htm eine Anleitung)
4. Die Antimalware-Software starten und eine komplette Überprüfung des Systems vornehmen. Bei einen erkannten Infektion sollte den Anweisungen der Software gefolgt werden.
5. PC wieder normal Starten und die Systemwiederherstellung aktivieren

Zur Kontrolle prüfe deinen PC im Anschluss mal mit dem Online-Scanner von Panda
http://www.pandasoftware.com/activescan/de/activescan_principal.htm
(Findet zwar auch Spyware und Adware, kann diese aber nicht bereinigen)

Wichtig!
Wenn die Malwarescanner was finden dann Poste bitte die Scan-Protokolle.

Auch der HijackThis-Log ist sehr nützlich.
Er liefert steht’s wertvolle Informationen über den Zustand deines System und kann das eine oder andere Problem auch lösen.
Bitte erstelle zum Schluss mal neues ein HijackThis-Log
und poste den Logfile hier.

so danke erstmal für die hilfe


ewido anti-malware - Scan Report
---------------------------------------------------------

 + Erstellt am:      19:39:35, 22.03.2006
 + Report-Checksumme:   9271ED7F

 + Scanergebnis:

   C:\Dokumente und Einstellungen\User\Cookies\[email protected][1].txt -> TrackingCookie.Falkag : Gesäubert mit Backup
   C:\WINDOWS\system32\taskdir.dll -> Proxy.Lager.aq : Gesäubert mit Backup


::Report Ende




und die logfiles



ogfile of HijackThis v1.99.1
Scan saved at 19:44:32, on 22.03.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
D:\Programme\Winamp\winampa.exe
D:\Programme\Acrobat Reader 7\Reader\reader_sl.exe
C:\Programme\Kodak\KODAK Software Updater\7288971\Program\Kodak Software Updater.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
D:\My Downloads\ewido anti-malware\ewidoctrl.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\UAService7.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~2\BASIS-~1\Basis2\PROFIL~1.EXE
C:\PROGRA~1\T-Online\T-ONLI~2\Notifier\Notifier.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\User\LOKALE~1\Temp\Rar$EX00.765\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ja-com.de/
R3 - URLSearchHook: ICQ  Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Acrobat Reader 7\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Zone Labs Client] D:\Programme\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [_AntiSpyware] c:\progra~1\mcafee\MCAFEE~1\masalert.exe
O4 - HKLM\..\Run: [MCAgentExe] c:\PROGRA~1\mcafee.com\agent\mcagent.exe
O4 - HKLM\..\Run: [MCUpdateExe] c:\PROGRA~1\mcafee.com\agent\mcupdate.exe
O4 - HKLM\..\Run: [McRegWiz] C:\PROGRA~1\mcafee.com\agent\mcregwiz.exe /autorun
O4 - HKLM\..\Run: [Cleanup] C:\DOKUME~1\User\LOKALE~1\Temp\2006216181047_mcappins.exe /v=3 /cleanup
O4 - HKLM\..\Run: [Network Associates Error Reporting Service] "C:\Programme\Gemeinsame Dateien\Network Associates\TalkBack\TBMon.exe"
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "D:\mcaffee\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [msci] C:\DOKUME~1\User\LOKALE~1\Temp\2006216181044_mcinfo.exe /insfin
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [expIorer] C:\WINDOWS\system32\expIorer.exe
O4 - HKLM\..\Run: [WinampAgent] D:\Programme\Winamp\winampa.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [InfoCockpit] C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\INFOCOCKPIT.EXE /nosplash
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [expIorer] C:\WINDOWS\system32\expIorer.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = D:\Programme\Acrobat Reader 7\Reader\reader_sl.exe
O4 - Global Startup: Kodak EasyShare Software.lnk = C:\Programme\Kodak\Kodak EasyShare software\bin\EasyShare.exe
O4 - Global Startup: Kodak software updater.lnk = C:\Programme\Kodak\KODAK Software Updater\7288971\Program\Kodak Software Updater.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{56A71B4F-99C9-4426-9876-C49095B76AD9}: NameServer = 192.168.0.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{94F63597-1DF2-4107-9BB5-F49CE92A7C5D}: NameServer = 217.237.151.225 217.237.150.225
O17 - HKLM\System\CS1\Services\Tcpip\..\{56A71B4F-99C9-4426-9876-C49095B76AD9}: NameServer = 192.168.0.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{56A71B4F-99C9-4426-9876-C49095B76AD9}: NameServer = 192.168.0.1
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ewido security suite control - ewido networks - D:\My Downloads\ewido anti-malware\ewidoctrl.exe
O23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman Kodak Company - C:\WINDOWS\system32\drivers\KodakCCS.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\system32\UAService7.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Hi,

ist das Protokoll von Ewido vollständig?
Hast du den Scan im abgesicherten Modus von Windows ausgeführt?

Deine gemeldete Datei ist wohl nicht mehr vorhanden, oder?
Im aktuellen HijackThis-Log ist sie nicht mehr zu finden!
C:\WINDOWS\system32\voblaizdupla.exe
Ich gehe davon aus, das es mit großer Wahrscheinlichkeit Malware gewesen ist.

Aber im HijackThis-Log fallen mir noch zwei Einträge auf.

O4 - HKCU\..\Run: [expIorer] C:\WINDOWS\system32\expIorer.exe
O4 - HKLM\..\Run: [expIorer] C:\WINDOWS\system32\expIorer.exe

Prüfe mal ob die Datei noch vorhanden ist, siehe unter
C:\WINDOWS\system32\expIorer.exe

Wenn ja,
teste die Datei einfach damit, dann weist du Bescheid.
http://www.virustotal.com/flash/index_en.html
oder
http://virusscan.jotti.org/de/

Wird dabei Malware gefunden, dann poste das Ergebnis hier.
Ich gehe aber davon aus, das nur Reste einer bereits gelöschten Malware sind.
Fixe die beiden Einträge auf jeden Fall mit HijackThis.

Zur Kontrolle scanne das komplette System mit dem Online-Scanner von
Panda.
http://www.pandasoftware.com/activescan/de/activescan_principal.htm
(Findet zwar auch Spyware und Adware, kann diese aber nicht bereinigen)

panda hat noch das hier gefunden  wie krieg ich das weg


reignis                                                                        Zustand                       Standort                                                                                                                                                                                                                                                       

Hacktool:hacktool/rootkit.d                                                     Nicht desinfiziert            C:\WINDOWS\SYSTEM32\taskdir.exe                                                                                                                                                                                                                                 
Adware:adware/savenow                                                           Nicht desinfiziert            Windows-Registry                                                                                                                                                                                                                                               
Spyware:Cookie/Falkag                                                           Nicht desinfiziert            C:\Dokumente und Einstellungen\User\Cookies\[email protected][1].txt                                                                                                                                                                                             
Spyware:Cookie/cs.sexcounter                                                    Nicht desinfiziert            C:\Dokumente und Einstellungen\User\Cookies\[email protected][2].txt                                                                                                                                                                                           
Spyware:Cookie/Falkag                                                           Nicht desinfiziert            C:\Dokumente und Einstellungen\User\Cookies\[email protected][1].txt                                                                                                                                                                                             
Spyware:Cookie/cs.sexcounter                                                    Nicht desinfiziert            C:\Dokumente und Einstellungen\User\Cookies\[email protected][2].txt                                                                                                                                                                                           

Um die Datei
C:\WINDOWS\SYSTEM32\taskdir.exe
zu löschen, lade dir bitte die Freeware Unlook herunter
 http://ccollomb.free.fr/unlocker/index.htm#download
(nur für Windows 2000 und XP)
und lösche sie damit.

Um die Reste der Adware /savenow  zu beseitigen, benützte den Online-Scanner von
Trend Micro Anti-Spyware, Free Online Spyware Removal Utility,
Nur in Englisch und für Windows XP und 2000
http://www.trendmicro.com/spyware-scan/
(Findet und bereinigt nur Spyware und Adware)

Die Meldungen von Panda unter
Spyware:Cookie
sind recht harmlos, sie stellen akut keine Gefahr dar.
Lösche zur Sicherheit bitte deinen Browser Cache und alle sonstigen Temporären Dateien,
Benutze dazu einfach die Freeware CCleaner,
http://www.ccleaner.com/ccdownload.asp
setze bei den Einstellungen unter dem Reiter von Windows und Anwendungen alle möglichen Häckchen und führe den Cleaner aus.

Hi!

Suche bitte zur Sicherheit nochmal folgende Dateien auf Deinem Rechner:
C:\Windows\System32\zlbw.dll
C:\Windows\System32\parad.raw.exe

Bei der Datei voblaizdupla.exe handelt es sich anscheinend um einen Trojan-Downloader mit Rootkitfunktionen, der die beiden oben genannten Dateien (nebst einer dll und einigem Müll) herunterlädt.

kann es sein das das vom azureus update komt weil immer wenn ich update habe ich win32downloadagents drauf dann lösch ich die mit adaware aber die kommen dann irgendwann wieder

Hi!

Wenn du P2P-Zeug nutzt, wundert mich das natürlich wiederum nicht wirklich. Filesharing-Netze sind - zumindest meiner bescheidenen Meinung nach - lediglich Schädlingsverteiler.

Hast du zwischenzeitlich die Datei
C:\WINDOWS\system32\expIorer.exe
mal testen lassen? Es könnte sich zwar um Reste von irgendwas anderem handeln, aber möglicherweise steckt auch Übleres dahinter.

Über die Datei voblaizdupla.exe findet sich leider nicht allzuviel Aussagekräftiges. Lediglich, daß es sich dabei wohl anscheinend wirklich um einen (relativ neuen) Trojaner handelt.
Allein aufgrund der Tatsache, daß bei Dir anscheinend regelmäßig Malware auftritt und dieser "Neue" noch nicht so genau bekannt zu sein scheint, empfehle ich Dir ein Neuaufsetzen der Kiste. Weiß der Geier, was das Ding alles verändern kann (verändert hat).
Auf jeden Fall solltest Du Dir das Herumdoktern an den Symptomen sparen.
Anschließend solltest Du bitte dringend Dein Sicherheitskonzept überdenken.

explorer.exe waren nur reste . und von denn 3 im win32 konnte ich zwei löschen außer  zlbw.dll das lässt sich nich löschen weil es im speicher ist