Bin Laie und brauche Hilfe, werde von Spyware angegriffen

NicoleWestphal · 28.02.2005, 19:49

Hallo an alle,
bin neu hier und wurde von der ebay-hilfe hergeschickt. Ich bin in Sachen Computer ein totaler Laie, was die Problemlösung angeht. Und ich habe ein Problem. Ich komme nicht mehr auf der ebay-Seite in "Mein ebay" rein. Daraufhin habe ich mich an ebay gewand und die haben mich nach einigen e-mails hierher geschickt. Also mein PC schmeißt mich immer wenn ich auf "Mein ebay" gehe auf eine Internet Seite die "about:blank" heißt und er sagt mir das ich von einem Virus namens "Spyware" angegriffen werde. Ich habe auf meinem Rechner Norton AntiVirus und das konnte aber nichts finden. Ich habe auch schon alle cookies uns Catch Dateien gelöscht (hat ebay mir gesagt). Inzwischen passiert das nicht nur bei ebay. Kann mir jemand helfen????? Aber bitte die Erklärung nicht so kompliziert schreiben. Danke schon mal
Nicole

Haui45 · 28.02.2005, 19:50

Hallo,
poste zunächst ein HijackThis Logfile:
kurze Beschreibung
ausführliche Beschreibung

NicoleWestphal · 01.03.2005, 19:30

Hallo,
ok hab jetzt ein Logfile gemacht. Bitte um überpfüfung.

Logfile of HijackThis v1.99.1
Scan saved at 19:28:04, on 01.03.2005
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v5.50 (5.50.4134.0100)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\PROGRAMME\NORTON ANTIVIRUS\NAVAPW32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\WINDOWS\SYSTEM\ATITASK.EXE
C:\WINDOWS\SYSTEM\ATICWD32.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\REAL\UPDATE_OB\REALSCHED.EXE
C:\WINDOWS\RUNDLL32.EXE
C:\PROGRAMME\DATA BECKER\ZIPGENIE\ZTRAY.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\PLUS!\SPIDER\SPIDER.EXE
C:\WINDOWS\SYSTEM\WBEM\WINMGMT.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BASIS-SOFTWARE\BASIS2\KERNEL.EXE
C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BASIS-SOFTWARE\BASIS2\SC_WATCH.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BASIS-SOFTWARE\BASIS2\PROFILEMGR.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BASIS-SOFTWARE\BASIS2\UPDATE.EXE
C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BROWSER\BROWSER.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\DESKTOP\HIJACKTHIS\1_99_1.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\se.dll/sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\se.dll/sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://ewizard.cc/cn/?r=63ad1448a0a7c7c1&pin=234
O2 - BHO: (no name) - {76838182-68CA-4874-9BB0-2D33E179FE39} - C:\WINDOWS\SYSTEM\LIGI.DLL
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [Atikey] Atitask.exe
O4 - HKLM\..\Run: [AtiCwd32] Aticwd32.exe
O4 - HKLM\..\Run: [AtiQiPcl] AtiQiPcl.exe
O4 - HKLM\..\Run: [Norton Auto-Protect] C:\PROGRA~1\NORTON~1\NAVAPW32.EXE /LOADQUIET
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [sp] rundll32 C:\WINDOWS\TEMP\SE.DLL,DllInstall
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKCU\..\Run: [ZipEasyTray] C:\PROGRA~1\DATABE~1\ZIPGENIE\ZTray.exe /rt
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O12 - Plugin for .mid: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O18 - Filter: text/html - {0CB5C560-CACC-4E18-947D-A69596965A3B} - C:\WINDOWS\SYSTEM\LIGI.DLL
O18 - Filter: text/plain - {0CB5C560-CACC-4E18-947D-A69596965A3B} - C:\WINDOWS\SYSTEM\LIGI.DLL

Danke für die Mühe
Nicole Westphal

Dané · 01.03.2005, 19:39

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\se.dll/sp.html

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\se.dll/sp.html

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://ewizard.cc/cn/?r=63ad1448a0a7c7c1&pin=234

Die drei können weg,oder sollen weg.

Und scan mal den unteren Ordner mit einem Antiviren Programm.
z.B. Antivir oder mit Spybot,Trojan Remover etc.

C:\WINDOWS\RUNDLL32.EXE

Gigamail · 01.03.2005, 20:05

boote in den abgesicherten Modus und fixe mit HJT folgende Einträge:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\se.dll/sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\se.dll/sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://ewizard.cc/cn/?r=63ad1448a0a7c7c1&pin=234
O2 - BHO: (no name) - {76838182-68CA-4874-9BB0-2D33E179FE39} - C:\WINDOWS\SYSTEM\LIGI.DLL
O4 - HKLM\..\Run: [sp] rundll32 C:\WINDOWS\TEMP\SE.DLL,DllInstall
O18 - Filter: text/html - {0CB5C560-CACC-4E18-947D-A69596965A3B} - C:\WINDOWS\SYSTEM\LIGI.DLL
O18 - Filter: text/plain - {0CB5C560-CACC-4E18-947D-A69596965A3B} - C:\WINDOWS\SYSTEM\LIGI.DLL

lösche folgende Dateien von Hand:

C:\WINDOWS\TEMP\se.dll/sp.html
C:\WINDOWS\SYSTEM\LIGI.DLL

neu booten neu Startseite vergeben neues HJT posten

Wichtig:
lese unbedingt auch diesen Link und kontrolliere das nach,gegebenen Fall's nach Anweisung löschen

Yopie · 01.03.2005, 20:08

Und denk daran, Dein System upzudaten. http://www.windowsupdate.com/ solltest Du kennen!

"Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v5.50 (5.50.4134.0100)" ist ein Fall fürs Museum!

Gruß

Yopie

Gigamail · 01.03.2005, 20:14

@ Yopie

danke wollte ich jetzt gerade noch ergänzen

LG

01.03.2005, 20:08	#6
Yopie Moderator, a.D.	Bin Laie und brauche Hilfe, werde von Spyware angegriffen Und denk daran, Dein System upzudaten. http://www.windowsupdate.com/ solltest Du kennen! "Platform: Windows ME (Win9x 4.90.3000) MSIE: Internet Explorer v5.50 (5.50.4134.0100)" ist ein Fall fürs Museum! Gruß Yopie

Bin Laie und brauche Hilfe, werde von Spyware angegriffen

Plagegeister aller Art und deren Bekämpfung: Bin Laie und brauche Hilfe, werde von Spyware angegriffen