Your personally data succesfully tracked!
 

Hallo,


seit ich gestern im Internet gesurft bin, taucht ständig die Meldung auf "Your personally data succesfully tracked!"

Das Hintergrundbild hat sich auch in genannte Meldung verwandelt, jedoch konnte ich das mit Spybot entfernen.

Ich hab hier mal ein HikackThisLogFile:

Logfile of HijackThis v1.99.1
Scan saved at 18:26:15, on 25.04.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
d:\Programme\AVPersonal\AVGUARD.EXE
d:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\SYSTEM32\ZoneLabs\vsmon.exe
C:\WINDOWS\SOUNDMAN.EXE
D:\Programme\AVPersonal\AVGNT.EXE
D:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\System32\ctfmon.exe
D:\Programme\Spybot - Search & Destroy\TeaTimer.exe
D:\Programme\Microsoft Office\Office\FINDFAST.EXE
D:\Programme\Microsoft Office\Office\OSA.EXE
C:\Programme\frnkdz3\frnkdz3.exe
C:\Programme\Internet Explorer\iexplore.exe
D:\Programme\Spybot - Search & Destroy\SpybotSD.exe
C:\Dokumente und Einstellungen\Odin\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://w*w.de.msn.com/access/allinone.htm
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.msn.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://w*w.msn.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von freenet.de
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=surfproxy.freenet.de:8080
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Microsoft Network Services Controller] C:\WINDOWS\System32\mmsvc32.exe
O4 - HKLM\..\Run: [Spools Service Controller] C:\WINDOWS\System32\spools.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [GameXL] "D:\Programme\Game Accelerator Standard\gamexl.exe"
O4 - HKLM\..\Run: [AVGCtrl] "d:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [Zone Labs Client] D:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [1b7507f3b9b] C:\WINDOWS\System32\1b7507f3b9b.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [1b7507f3b9b] C:\WINDOWS\System32\1b7507f3b9b.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: Microsoft-Indexerstellung.lnk = D:\Programme\Microsoft Office\Office\FINDFAST.EXE
O4 - Startup: Office-Start.lnk = D:\Programme\Microsoft Office\Office\OSA.EXE
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = D:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.freenet.de
O17 - HKLM\System\CCS\Services\Tcpip\..\{0E22AEBB-3479-4CA9-A115-094B57551D75}: NameServer = 62.104.191.241 62.104.196.134
O23 - Service: WindowInstallSystem (1b7507f3b9bsvr) - Unknown owner - C:\WINDOWS\1b7507f3b9b.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - d:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - d:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\SYSTEM32\ZoneLabs\vsmon.exe




Bitte schaut ob damit alles in Ordnung ist, denn die ganzen Pop-Up-Fenster machen das surfen unerträglich :heulen:

jeden Tag das selbe Theater! SP2=Service Pack2 !

Dein System ist mit folgendem Trojaner kompromittiert:
W32/Rbot-LD

Leider kann ich dir nur den Rat geben dein System neu aufzuspielen.

Gruß
Daniel

Du hast dir (nicht nur!) diesen kleinen Freund eingefangen.

Damit ist dein System kompromittiert.

Die einzig vernünftige Lösung ist Neufausetzen.

mfg,
Markus

Edit: Ohh da war jemand schneller :P
Beim Rbot-LD war ich mir nicht sicher, aber den Nanspy.c hat er auch drauf ...

Ok, danke für eure Hilfe! Dann bleibt mir wohl nix anderes übrig :-(

Hab allerdings noch 2 Fragen:

1. Soll ich alle Festplatten formatieren, oder nur die wo Windows drauf ist?

2. Wie kann ich mich beim nächstenmal besser vor solchen Angriffen schützen?

1.) Nicht zwingend

2.) Wenn du Cidres Anleitung zum Neuaufsetzen punktgenau durchgehst, wirst du keine derartigen Probleme mehr haben.

Der wichtigste Aspekt ist und bleibt den Rechner vom Netz zu nehmen bis das SP2 installiert ist - anschließend sofort das Windows-Update durchführen.

Danach kannst du eine Antivirenlösung installieren (z.b. avast) und deine anderen Partitionen/Festplatten scannen.

mfg,
Markus