Desktop Hintergrund unveränderbar (popupper.exe und psguard)

#1 Also ic bin ein eigtl. PC noob dennoch habe ich es geschafft die intel32.exe und die psguard.exe zu entfernen sodass ich im moment eigtl. pop up frei bin das einzige was noch schlecht ist ist der Desktophintergrund der nur schwarz ist und auf dem steht das der PC infected ist und ich mir was loaden muss.


Logfile of HijackThis v1.99.1
Scan saved at 10:42:22, on 25.07.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
d:\Norman\Bin\Zanda.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\pctspk.exe
D:\Norman\bin\ZLH.EXE
C:\Programme\Microsoft AntiSpyware\gcasServ.exe
C:\Programme\ICQLite\ICQLite.exe
d:\Norman\bin\NJEEVES.EXE
d:\Norman\Nvc\bin\nvcoas.exe
C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe
d:\Norman\Nvc\BIN\NVCSCHED.EXE
d:\Norman\Nvc\BIN\nipsvc.exe
d:\Norman\Nvc\BIN\NIP.EXE
d:\Norman\Nvc\bin\cclaw.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\mIRC\mirc.exe
C:\Dokumente und Einstellungen\Besitzer\Desktop\hjackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://news.google.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://news.google.de/
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [Norman ZANDA] d:\Norman\bin\ZLH.EXE /LOAD /SPLASH
O4 - HKLM\..\Run: [gcasServ] "C:\Programme\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKCU\..\Run: [eMuleAutoStart] C:\Programme\eMule\emule.exe -AutoStart
O4 - HKCU\..\Run: [Microsoft Works Update Detection] C:\Programme\Microsoft Works\WkDetect.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{194612DB-39B3-4952-86C7-35B1895A3C98}: NameServer = 192.168.110.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{AFD8CE3E-172B-4DEF-804A-AE00F836AC6C}: NameServer = 192.168.110.1
O23 - Service: Norman API-hooking helper (NipSvc) - Unknown owner - d:\Norman\Nvc\BIN\nipsvc.exe
O23 - Service: Norman NJeeves - Unknown owner - d:\Norman\bin\NJEEVES.EXE
O23 - Service: Norman ZANDA - Unknown owner - d:\Norman\Bin\Zanda.exe
O23 - Service: Norman Virus Control on-access component (nvcoas) - Norman ASA - d:\Norman\Nvc\bin\nvcoas.exe
O23 - Service: Norman Virus Control Scheduler (NVCScheduler) - Norman Data Defense Systems - d:\Norman\Nvc\BIN\NVCSCHED.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: PCTEL Speaker Phone (Pctspk) - PCtel, Inc. - C:\WINDOWS\system32\pctspk.exe




Die selbst auswertung ergab: Nichts Böses; mus sich den scan zu pc strat ausführen?


spybot und adaware sind schon drübergelaufen

#2 http://www.virustotal.com

prüfe dort
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

Die Datei befindet sich, ich glaube, im Windows\System32-Verzeichnis und könnte auch ein Virus sein - muss aber nicht zwangsweise. Deshalb sollst Du es mal durchchecken.

Das Hintergrundbild kannst Du über die Eigenschaften von Anzeige (rechte Maustaste auf Desktop -> Eigenschaften) nicht ändern?
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser

#3 sagen wir es so bei Eigenschaften ersceint nur noch das menue für Bildschirmschoner und wie iel farben ich möchte wenn ich ein Bild hole und klicke als Hintergrund so ändert der Hintergrund sich automatisch in ca.4 sekunden^^

#4 Lade folgende Programme herunter und update sie:

CWShredder:
http://cwshredder.net/bin/CWShredder.exe
AdAware
http://www.lavasoft.de/support/download/
Spybot S&D
http://www.safer-networking.org/de/download/index.html
eScan
http://www.mwti.net/antivirus/free_utilities.asp


Erster Schritt:

Deaktiviere die Systemwiederherstellung (Arbeitsplatz => Rechtsklick => Eigenschaften). Nach erfolgter Reinigung des Systems nicht vergessen, wieder zu aktivieren!


Diagnose und Vorbereinigung:

Deaktiviere den Virenwächter, falls vorhanden, und führe mit AdAware und Spybot S&D im abgesicherten Modus (Rechner neu starten und F8 drücken beim Booten) einen vollständigen Systemscan durch. Markiere (Häkchen setzen) und lösche alle gefundenen kritischen Objekte (AdAware: "Next", Spybot S&D: "markierte Probleme beheben" drücken)

Lese dir aufmerksam die Informationen auf folgender Seite zu eScan durch:
http://www.trojaner-info.de/hijacker/escan.shtml
Update und scanne mit eScan entsprechend der Beschreibung für die Version 4.5.1 oder jünger von trojaner-info.

Setze im eScan alle Häkchen, außer bei "Folder" und wähle bei "Drives" "All Local Drives" aus und ein paar Zeilen darunter "Scan All Files" anstelle von "Program Files". Drücke dann den Scan-Button um den Vorgang zu starten (das kann je nach Größe deiner Festplatten ziemlich lange dauern, aber unbedingt zu Ende scannen lassen und nicht abbrechen!).

Lass dir danach das eScan-Log anzeigen und speichere es ab. Öffne es mit dem Editor und suche per Suchfunktion nach "infected". Kopiere alle betroffenen Zeilen vollständig und poste sie hier im Forum (kompletter Pfad + Datei, sowie Art der Infektion!)
Virenwächter danach wieder aktivieren!


Desktop-Hintergrund:

Den folgenden Text (in dem "Zitat"-Fenster) in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop ablegen. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.

Zitat

REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"NoDispAppearancePage"=-
"Wallpaper"=-
"WallpaperStyle"=-
"NoDispBackgroundPage"=-

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoActiveDesktopChanges"=-

[HKEY_CURRENT_USER\Control Panel\Desktop]
"Wallpaper"=-
"WallpaperStyle"=-

[HKEY_CURRENT_USER\Control Panel\Colors]
"Background"="0 78 152"

Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken).
Die Datei "fixme.reg" auf dem Desktop doppelklicken.


RegCleaner

hier gibt's das Tool zum Download
Installiere den RegCleaner wie jedes andere Programm und starte ihn danach, akzeptiere die Lizenzbedingungen und du solltest dich auf der Programmoberfläche befinden. Wähle nun zuerst:
Options >> Language >> Select Language >> und wähle die "deutsch.rlg" aus um das Tool auf Deutsch umzustellen.
Danach gehe auf:
Tools >> Registry säubern >> verwaiste Einträge finden
Das Programm fängt an deine Registry zu durchsuchen, im Anschluss an die Suche erhälst du eine Übersicht der gefundenen Einträge. Markiere sie und entferne sie mit dem Button [markierte entfernen] (unten rechts im Fenster des Tools). Keine Sorge, der RegCleaner erstellt ein Backup.


Erstelle danach ein neues HijackThis-Log und poste es zusammen mit den anderen angeforderten Informationen (eScan-Ergebnisse) und berichte bitte wie es jetzt aussieht.
__________
"life's a bitch, turn around and she'll backstab you for a buck."

#5 also erstmal vielen dank für die Hilfe hier der escan:

Mon Jul 25 11:56:01 2005 => File C:\Dokumente und
Einstellungen\Besitzer\Anwendungsdaten\Sun\Java\Deployment\cache
\javapi\v1.0\jar\ar.jar-42120e89-3c67cbe3.zip infected by
"Exploit.Java.Bytverify" Virus! Action Taken: No Action Taken.

Mon Jul 25 11:56:01 2005 => File C:\Dokumente und
Einstellungen\Besitzer\Anwendungsdaten\Sun\Java\Deployment\cache
\javapi\v1.0\jar\classload.jar-1f8050ce-10a9d0ff.zip infected by
"Trojan.Java.ClassLoader.c" Virus! Action Taken: No Action
Taken.

Mon Jul 25 11:56:01 2005 => File C:\Dokumente und
Einstellungen\Besitzer\Anwendungsdaten\Sun\Java\Deployment\cache
\javapi\v1.0\jar\classload.jar-25c143f6-2b882ea2.zip infected by
"Trojan.Java.ClassLoader.c" Virus! Action Taken: No Action
Taken.

Mon Jul 25 11:56:01 2005 => File C:\Dokumente und
Einstellungen\Besitzer\Anwendungsdaten\Sun\Java\Deployment\cache
\javapi\v1.0\jar\classload.jar-7eb4d059-6d52e554.zip infected by
"Trojan.Java.ClassLoader.c" Virus! Action Taken: No Action
Taken.

Mon Jul 25 11:56:01 2005 => File C:\Dokumente und
Einstellungen\Besitzer\Anwendungsdaten\Sun\Java\Deployment\cache
\javapi\v1.0\jar\count.jar-5980bc51-7529baed.zip infected by
"Exploit.Java.ByteVerify" Virus!

on Jul 25 11:56:02 2005 => File C:\Dokumente und
Einstellungen\Besitzer\Anwendungsdaten\Sun\Java\Deployment\cache
\javapi\v1.0\jar\count.jar-5980ca7e-5a408017.zip infected by
"Exploit.Java.ByteVerify" Virus


I:\p2p\eMule.de\Incoming\2_Half-Life 2 Unlocker -- HL2 Steam
keyg*hier nicht* Seri*hier nicht!* CD Key Access Crack Hack Retailshared for
[www.torrent.to].rar infected by "Backdoor.Win32.SubSeven.215"
Virus!


Habe noch nichts daran verändert wie bekomme ich was weg?

Die reg datei wurde zwar eingefügt geändert hat sich aber nichts.

Die neue Hjack werde ich gleich reinstellen


Hier ist sie:
Logfile of HijackThis v1.99.1
Scan saved at 13:12:24, on 25.07.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
d:\Norman\Bin\Zanda.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\pctspk.exe
D:\Norman\bin\ZLH.EXE
C:\Programme\Microsoft AntiSpyware\gcasServ.exe
C:\Programme\ICQLite\ICQLite.exe
C:\WINDOWS\System32\alg.exe
d:\Norman\Nvc\bin\nvcoas.exe
C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe
d:\Norman\bin\NJEEVES.EXE
d:\Norman\Nvc\BIN\NVCSCHED.EXE
d:\Norman\Nvc\BIN\nipsvc.exe
d:\Norman\Nvc\BIN\NIP.EXE
d:\Norman\Nvc\bin\cclaw.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\Besitzer\Desktop\hjackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://news.google.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://news.google.de/
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [Norman ZANDA] d:\Norman\bin\ZLH.EXE /LOAD /SPLASH
O4 - HKLM\..\Run: [gcasServ] "C:\Programme\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKCU\..\Run: [Microsoft Works Update Detection] C:\Programme\Microsoft Works\WkDetect.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{194612DB-39B3-4952-86C7-35B1895A3C98}: NameServer = 192.168.110.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{AFD8CE3E-172B-4DEF-804A-AE00F836AC6C}: NameServer = 192.168.110.1
O23 - Service: Norman API-hooking helper (NipSvc) - Unknown owner - d:\Norman\Nvc\BIN\nipsvc.exe
O23 - Service: Norman NJeeves - Unknown owner - d:\Norman\bin\NJEEVES.EXE
O23 - Service: Norman ZANDA - Unknown owner - d:\Norman\Bin\Zanda.exe
O23 - Service: Norman Virus Control on-access component (nvcoas) - Norman ASA - d:\Norman\Nvc\bin\nvcoas.exe
O23 - Service: Norman Virus Control Scheduler (NVCScheduler) - Norman Data Defense Systems - d:\Norman\Nvc\BIN\NVCSCHED.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: PCTEL Speaker Phone (Pctspk) - PCtel, Inc. - C:\WINDOWS\system32\pctspk.exe


keine bösartigen dateien gefunden^^

#6 Zuerst einmal lösche bitte die Virenfunde ... und dann noch ein Wort zu deinem Internet-Verhalten, da hier gerade wohl klar wird wo du dir das alles eingefangen hast:

C:\Programme\eMule\Incoming\farmscript galaxywars.rar infected
by "Backdoor.Win32.Delf.ki" Virus!
C:\Programme\eMule\Incoming\galaxywars farmbot.rar infected by
"Backdoor.Win32.Optix.f" Virus! Action Taken: No Action Taken.
I:\p2p\eMule.de\Incoming\2_Half-Life 2 Unlocker -- HL2 Steam
keyg*hier nicht* Seri*hier nicht!* CD Key Access Crack Hack Retailshared for
[www.torrent.to].rar infected by "Backdoor.Win32.SubSeven.215"
Virus!

Nur so als kleiner Denkanstoss


Führe bitte auch mal noch den Panda-Scan durch und berichte von diesem ebenfalls:
http://www.pandasoftware.com/products/activescan/com/activescan_principal.htm
__________
"life's a bitch, turn around and she'll backstab you for a buck."

#7 J ich weiß habe die p2p letzten Monat runtergeschmissen allerdings die older noch drinne^^

so sind gelöscht da Huptproblem Desktop abe rnicht behoben^^

#8 Nachdem du alles was oben aufgeführt wurde ausgeführt hast (also alle Scans etc) kannst du einmal noch folgendes versuchen:

Zitat

Sabina postete:

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.
http://www.bleepingcomputer.com/files/reg/smitfraud.reg

Zitat

REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Desktop\General]
"WallpaperFileTime"=-
"WallpaperLocalFileTime"=-

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"NoDispAppearancePage"=-
"Wallpaper"=-
"WallpaperStyle"=-
"NoDispBackgroundPage"=-

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoActiveDesktopChanges"=-
"ForceActiveDesktopOn"=-

[HKEY_CURRENT_USER\Control Panel\Desktop]
"Wallpaper"=-
"WallpaperStyle"=-

[HKEY_CURRENT_USER\Control Panel\Colors]
"Background"="0 78 152"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
"notepad.exe"=-
"notepad2.exe"=-
"winlogon.exe"=-
"paint.exe"=-

[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Explorer\Browser Helper Objects\{FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFF}]

[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Explorer\Browser Helper Objects\{FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFA}]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Search]
"SearchAssistant"="http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm"
"CustomizeSearch"="http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchcust.htm"
"Default_Search_URL"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
"Default_Search_URL"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
"Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"

[HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Main]
"Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
"Search Bar"="Search Bar"="http://search.msn.com/intl/searchpane/en-au/prov2.htm"

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchUrl]
""="http://home.microsoft.com/access/autosearch.asp?p=%s"

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\main]
"Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
"Search Bar"="http://search.msn.com/spbasic.htm"
"Use Custom Search URL"= dword:00000000
"Use Search Asst"=-

[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFF}]
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFA}]
[-HKEY_CLASSES_ROOT\CLSID\{FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFF}]
[-HKEY_CLASSES_ROOT\CLSID\{FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFA}]
[-HKEY_CLASSES_ROOT\CLSID\{357A87ED-3E5D-437d-B334-DEB7EB4982A3}]
[-HKEY_CLASSES_ROOT\CLSID\VMHomepage]
[-HKEY_CLASSES_ROOT\CLSID\VMHomepage.1]
[-HKEY_CLASSES_ROOT\Interface\{1E1B2878-88FF-11D2-8D96-D7ACAC95951F}]
[-HKEY_CLASSES_ROOT\TypeLib\{1E1B286C-88FF-11D2-8D96-D7ACAC95951F}]
[-HKEY_CLASSES_ROOT\VMHomepage]
[-HKEY_CLASSES_ROOT\VMHomepage.1]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objecta]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\HTTP\Parameters\S]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\HTTP\Parameters\S]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\SharedAccess\Parameters\r]
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\1]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"Intel system tool"=-
"WindowsFZ"=-
[-HKEY_LOCAL_MACHINE\SOFTWARE\AntivirusGold]

Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken).
http://www.tu-berlin.de/www/software/virus/savemode.shtml
Die Datei "fixme.reg" auf dem Desktop doppelklicken.




1. Öffne Notepad (editor)Start/Ausführen den Befehl notepad eingeben,bestätigen,dann erscheit ein notepad editor.
Oder unter Start/Programme/Zubehör/Editor

2. kopiere den Code rein:

3. Speichere die Datei als Rem.bat auf dem Desktop

4. Doppel klick auf diese Datei Rem.bat

Zitat

@ECHO OFF
attrib -s -r -h C:\WINDOWS\sites.ini
attrib -s -r -h C:\WINDOWS\desktop.html
attrib -s -r -h C:\WINDOWS\screen.html
attrib -s -r -h C:\WINDOWS\zloader3.exe
attrib -s -r -h C:\WINDOWS\popuper.exe
attrib -s -r -h C:\WINDOWS\System32\msmsgs.exe
attrib -s -r -h C:\WINDOWS\System32\msole32.exe
attrib -s -r -h C:\WINDOWS\System32\shnlog.exe
attrib -s -r -h C:\WINDOWS\System32\intmon.exe
attrib -s -r -h C:\WINDOWS\System32\intmonp.exe
attrib -s -r -h C:\WINDOWS\System32\svcnet.exe
attrib -s -r -h c:\windows\system32\wldr.dll
attrib -s -r -h C:\WINDOWS\system32\ole32vbs.exe
attrib -s -r -h C:\WINDOWS\system32\hhk.dll
attrib -s -r -h C:\WINDOWS\System32\helper.exe
attrib -s -r -h C:\WINDOWS\system32\hpA362.tmp
attrib -s -r -h C:\WINDOWS\System32\winnook.exe
attrib -s -r -h C:\WINDOWS\system32\oleadm.dll
attrib -s -r -h C:\WINDOWS\system32\oleadm32.dll
attrib -s -r -h c:\wp.exe
attrib -s -r -h c:\bsw.exe
attrib -s -r -h c:\bsw.bmp
attrib -s -r -h c:\wp.bm
del C:\WINDOWS\sites.ini
del C:\WINDOWS\desktop.html
del C:\WINDOWS\screen.html
del C:\WINDOWS\zloader3.exe
del C:\WINDOWS\popuper.exe
del C:\WINDOWS\System32\msmsgs.exe
del C:\WINDOWS\System32\msole32.exe
del C:\WINDOWS\System32\shnlog.exe
del C:\WINDOWS\System32\intmon.exe
del C:\WINDOWS\System32\intmonp.exe
del C:\WINDOWS\System32\svcnet.exe
del c:\windows\system32\wldr.dll
del C:\WINDOWS\system32\ole32vbs.exe
del C:\WINDOWS\system32\hhk.dll
del C:\WINDOWS\System32\helper.exe
del C:\WINDOWS\system32\hpA362.tmp
del C:\WINDOWS\System32\winnook.exe
del C:\WINDOWS\system32\oleadm.dll
del C:\WINDOWS\system32\oleadm32.dll
del c:\wp.exe
del c:\bsw.exe
del c:\bsw.bmp
del c:\wp.bm
exit

Berichte danach bitte ausführlich was du alles gemacht hast und poste alle auch oben angefragten Logs.
__________
"life's a bitch, turn around and she'll backstab you for a buck."

#9 Na dann wollen wir mal:

hier der escan:

Mon Jul 25 11:56:01 2005 => File C:\Dokumente und
Einstellungen\Besitzer\Anwendungsdaten\Sun\Java\Deployment\cache
\javapi\v1.0\jar\ar.jar-42120e89-3c67cbe3.zip infected by
"Exploit.Java.Bytverify" Virus! Action Taken: No Action Taken.

Mon Jul 25 11:56:01 2005 => File C:\Dokumente und
Einstellungen\Besitzer\Anwendungsdaten\Sun\Java\Deployment\cache
\javapi\v1.0\jar\classload.jar-1f8050ce-10a9d0ff.zip infected by
"Trojan.Java.ClassLoader.c" Virus! Action Taken: No Action
Taken.

Mon Jul 25 11:56:01 2005 => File C:\Dokumente und
Einstellungen\Besitzer\Anwendungsdaten\Sun\Java\Deployment\cache
\javapi\v1.0\jar\classload.jar-25c143f6-2b882ea2.zip infected by
"Trojan.Java.ClassLoader.c" Virus! Action Taken: No Action
Taken.

Mon Jul 25 11:56:01 2005 => File C:\Dokumente und
Einstellungen\Besitzer\Anwendungsdaten\Sun\Java\Deployment\cache
\javapi\v1.0\jar\classload.jar-7eb4d059-6d52e554.zip infected by
"Trojan.Java.ClassLoader.c" Virus! Action Taken: No Action
Taken.

Mon Jul 25 11:56:01 2005 => File C:\Dokumente und
Einstellungen\Besitzer\Anwendungsdaten\Sun\Java\Deployment\cache
\javapi\v1.0\jar\count.jar-5980bc51-7529baed.zip infected by
"Exploit.Java.ByteVerify" Virus!

on Jul 25 11:56:02 2005 => File C:\Dokumente und
Einstellungen\Besitzer\Anwendungsdaten\Sun\Java\Deployment\cache
\javapi\v1.0\jar\count.jar-5980ca7e-5a408017.zip infected by
"Exploit.Java.ByteVerify" Virus

C:\Programme\eMule\Incoming\farmscript galaxywars.rar infected
by "Backdoor.Win32.Delf.ki" Virus!


wie bekomme ich was weg?

Die reg und bat datein wurden zwar eingefügt geändert hat sich aber nichts.

Hier ist der hjack:
Logfile of HijackThis v1.99.1
Scan saved at 13:12:24, on 25.07.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
d:\Norman\Bin\Zanda.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\pctspk.exe
D:\Norman\bin\ZLH.EXE
C:\Programme\Microsoft AntiSpyware\gcasServ.exe
C:\Programme\ICQLite\ICQLite.exe
C:\WINDOWS\System32\alg.exe
d:\Norman\Nvc\bin\nvcoas.exe
C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe
d:\Norman\bin\NJEEVES.EXE
d:\Norman\Nvc\BIN\NVCSCHED.EXE
d:\Norman\Nvc\BIN\nipsvc.exe
d:\Norman\Nvc\BIN\NIP.EXE
d:\Norman\Nvc\bin\cclaw.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\Besitzer\Desktop\hjackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://news.google.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://news.google.de/
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [Norman ZANDA] d:\Norman\bin\ZLH.EXE /LOAD /SPLASH
O4 - HKLM\..\Run: [gcasServ] "C:\Programme\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKCU\..\Run: [Microsoft Works Update Detection] C:\Programme\Microsoft Works\WkDetect.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{194612DB-39B3-4952-86C7-35B1895A3C98}: NameServer = 192.168.110.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{AFD8CE3E-172B-4DEF-804A-AE00F836AC6C}: NameServer = 192.168.110.1
O23 - Service: Norman API-hooking helper (NipSvc) - Unknown owner - d:\Norman\Nvc\BIN\nipsvc.exe
O23 - Service: Norman NJeeves - Unknown owner - d:\Norman\bin\NJEEVES.EXE
O23 - Service: Norman ZANDA - Unknown owner - d:\Norman\Bin\Zanda.exe
O23 - Service: Norman Virus Control on-access component (nvcoas) - Norman ASA - d:\Norman\Nvc\bin\nvcoas.exe
O23 - Service: Norman Virus Control Scheduler (NVCScheduler) - Norman Data Defense Systems - d:\Norman\Nvc\BIN\NVCSCHED.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: PCTEL Speaker Phone (Pctspk) - PCtel, Inc. - C:\WINDOWS\system32\pctspk.exe


keine bösartigen dateien gefunden^^



Bei de r.bat datei wurde keine der zu löschenden Dateien gefunden also meiner meinung nach sind sie alle schon weg^^

Was ich gemacht hab bevor ich hie her kam war nur: Im Win32 Ordner die dateien intell32.exe , und die poppuper.exe zu öschen

Dann habe ich die anderen ateien die normalerweise durch die bat gelöscht wprden wären auch manuell entfernt bzw mit Hilfe der Antispy software.

muss ich mich Neu infizieren oder was?

Naja es geht ALLE sbis auf den Desktop

pandascan kommt in ein paar minuten

ich denke ich hab die Übeltäter aber wie Lösche ich sie?


Adware:adware/popuper No disinfected C:\WINDOWS\SYSTEM32\hhk.dll
Adware:adware/cws No disinfected C:\DOKUMENTE UND EINSTELLUNGEN\BESITZER\FAVORITEN\ONLINE GAMBLING\Online Gambling.url
Adware:adware/virmaid No disinfected C:\WINDOWS\popuper.exe
Adware:adware/psguard No disinfected C:\PROGRAMME\PSGuard
Adware:adware/savenow No disinfected HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES\MAGNET
Adware:Adware/Hotoffers No disinfected C:\WINDOWS\system32\hhk.dll

#10 Noch einmal:
Die Virenfunde von eScan löschen!

Zitat

Mon Jul 25 11:56:01 2005 => File C:\Dokumente und
Einstellungen\Besitzer\Anwendungsdaten\Sun\Java\Deployment\cache
\javapi\v1.0\jar\ar.jar-42120e89-3c67cbe3.zip infected by
"Exploit.Java.Bytverify" Virus! Action Taken: No Action Taken.

Mon Jul 25 11:56:01 2005 => File C:\Dokumente und
Einstellungen\Besitzer\Anwendungsdaten\Sun\Java\Deployment\cache
\javapi\v1.0\jar\classload.jar-1f8050ce-10a9d0ff.zip infected by
"Trojan.Java.ClassLoader.c" Virus! Action Taken: No Action
Taken.

Mon Jul 25 11:56:01 2005 => File C:\Dokumente und
Einstellungen\Besitzer\Anwendungsdaten\Sun\Java\Deployment\cache
\javapi\v1.0\jar\classload.jar-25c143f6-2b882ea2.zip infected by
"Trojan.Java.ClassLoader.c" Virus! Action Taken: No Action
Taken.

Mon Jul 25 11:56:01 2005 => File C:\Dokumente und
Einstellungen\Besitzer\Anwendungsdaten\Sun\Java\Deployment\cache
\javapi\v1.0\jar\classload.jar-7eb4d059-6d52e554.zip infected by
"Trojan.Java.ClassLoader.c" Virus! Action Taken: No Action
Taken.

Mon Jul 25 11:56:01 2005 => File C:\Dokumente und
Einstellungen\Besitzer\Anwendungsdaten\Sun\Java\Deployment\cache
\javapi\v1.0\jar\count.jar-5980bc51-7529baed.zip infected by
"Exploit.Java.ByteVerify" Virus!

on Jul 25 11:56:02 2005 => File C:\Dokumente und
Einstellungen\Besitzer\Anwendungsdaten\Sun\Java\Deployment\cache
\javapi\v1.0\jar\count.jar-5980ca7e-5a408017.zip infected by
"Exploit.Java.ByteVerify" Virus

C:\Programme\eMule\Incoming\farmscript galaxywars.rar infected
by "Backdoor.Win32.Delf.ki" Virus!

Gehe wieder in den abgesicherten Modus!

Dann versuchen wir's mal so, besorge dir das folgende kleine Tool:
http://forum.hijackthis.de/attachment.php?attachmentid=108
und lasse es (im abgesicherten Modus) drüber laufen.

Danach prüfe bitte einmal im Explorer manuell welche der folgenden Dateien bei dir vorhanden sind (bitte vergewissere dich, dass der Windows Explorer alle Dateien anzeigt, also auch versteckte und Systemdateien etc):
C:\wp.exe
C:\wp.bmp
C:\bsw.exe
C:\Windows\sites.ini
C:\Windows\popuper.exe
C:\Windows\system32\hhk.dll
C:\Windows\System32\wldr.dll
C:\Windows\System32\helper.exe
C:\Windows\System32\intmon.exe
C:\Windows\System32\shnlog.exe
C:\Windows\System32\intmonp.exe
C:\Windows\System32\msmsgs.exe
C:\Windows\system32\msole32.exe
C:\Windows\System32\ole32vbs.exe
C:\WINDOWS\system32\oleadm.dll
C:\WINDOWS\system32\perfcii.ini
C:\WINDOWS\System32\mocih.exe
C:\WINDOWS\smdat32m.sys
C:\WINDOWS\sys522.exe
C:\WINDOWS\cdmxtras
(alle vorhandenen bitte löschen, sollte dies nicht gehen benutze die Killbox, wie weiter unten beschrieben!)


Killbox:
http://www.bleepingcomputer.com/files/killbox.php

Öffne die Killbox => Delete File on Reboot => und kopiere nacheinander die zu löschenden Dateien mit kompletter Pfadangabe hinein, drücke das rote Kreuz und wenn angefragt wird, ob der Rechner neu gestartet werden soll, dann antworte mit "no" usw. bis zur letzten Datei, dann mit "yes" antworten


edit:
Gerade noch was nettes gefunden:
http://forum.hijackthis.de/showpost.php?p=23683&postcount=17
Das könntest du mal durchlesen und abarbeiten, denn mit dem dort geschilderten kleinen Quälgeist hast du es zu tun
__________
"life's a bitch, turn around and she'll backstab you for a buck."

#11 Sry abe rkannst du mir saen wie ich den remover starte ich kann at nur installieren^^

#12 Bei dem Remover handelt es sich zunächst um eine .zip-Datei, welche du entpacken musst, darin befindet sich eine popuper_remover.exe welche du ausführen musst.
Folge der Installationsanleitung, das ist so schon korrekt. Beim Abschluss der Installation drücke den "Finish" Button und DIREKT im Anschluss daran, starte den Rechner neu. Das war's dann auch schon.
__________
"life's a bitch, turn around and she'll backstab you for a buck."

#13 SCHEI?E ich hab alles Fixen könen abe rjetzt geht nichts mehr!

Ich schrieb evon nem anderen COMP also folgendes:
Im abgesichrten Modus Startet er sich selbst immer wieder neu ich kann dort nichts machen.

Im normalen modus komm ich reiin und explorer.exe öffnet nicht beim versuch dies selbst zu tun schließt eine anwendung den explorer sofort!

EDIT:
Ich komme jetzt über umwege hier ger übe rdas ausführenmenue abe rich brauche DRINGENDST HILFE!

es ist mir sogar ein HiJack zu erstllen

Logfile of HijackThis v1.99.1
Scan saved at 17:21:55, on 25.07.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
D:\Norman\bin\ZLH.EXE
C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe
C:\WINDOWS\system32\taskmgr.exe
d:\Norman\Bin\Zanda.exe
C:\WINDOWS\system32\pctspk.exe
d:\Norman\Nvc\BIN\NVCSCHED.EXE
d:\Norman\bin\NJEEVES.EXE
d:\Norman\Nvc\BIN\nipsvc.exe
d:\Norman\Nvc\bin\nvcoas.exe
d:\Norman\Nvc\BIN\NIP.EXE
d:\Norman\Nvc\bin\cclaw.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Dokumente und Einstellungen\Besitzer\Desktop\hjackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://news.google.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://news.google.de/
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [Norman ZANDA] d:\Norman\bin\ZLH.EXE /LOAD /SPLASH
O4 - HKLM\..\Run: [gcasServ] "C:\Programme\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKCU\..\Run: [Microsoft Works Update Detection] C:\Programme\Microsoft Works\WkDetect.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{194612DB-39B3-4952-86C7-35B1895A3C98}: NameServer = 192.168.110.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{AFD8CE3E-172B-4DEF-804A-AE00F836AC6C}: NameServer = 192.168.110.1
O23 - Service: Norman API-hooking helper (NipSvc) - Unknown owner - d:\Norman\Nvc\BIN\nipsvc.exe
O23 - Service: Norman NJeeves - Unknown owner - d:\Norman\bin\NJEEVES.EXE
O23 - Service: Norman ZANDA - Unknown owner - d:\Norman\Bin\Zanda.exe
O23 - Service: Norman Virus Control on-access component (nvcoas) - Norman ASA - d:\Norman\Nvc\bin\nvcoas.exe
O23 - Service: Norman Virus Control Scheduler (NVCScheduler) - Norman Data Defense Systems - d:\Norman\Nvc\BIN\NVCSCHED.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: PCTEL Speaker Phone (Pctspk) - PCtel, Inc. - C:\WINDOWS\system32\pctspk.exe

#14 Was hast du "gefixt" ?
Du kannst einmal in die HijackThis-Backups schauen und diese wieder herstellen (wenn du da scheinbar irgendwas gefixt hast was nicht gefixt werden sollte):
HijackThis starten -> "View a list of backups" auswählen -> dort siehst du dann alle Einträge die du gefixt hast und kannst sie wieder herstellen

edit: "fixen" bezieht sich eigentlich immer auf HijackThis, solltest du etwas anderes gemeint haben versuche bitte genau zu erklären was du gemacht hast
__________
"life's a bitch, turn around and she'll backstab you for a buck."

#15 aso sry ich meinete reparieren durch den Link mit der anleitung^^

wie es aussiht ist meine ganze regestry verseucht