ja, der blaue Bildschirm kam paar mal mit anderem Text. Nach dem Neustart war immer alles wie vorher.

• Starte bitte die OTL.exe.
• Kopiere nun das Folgende in die Textbox.

:OTL
SRV - (HidServ) -- C:\WINDOWS\System32\hidserv.dll File not found
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - No CLSID value found.
O4 - HKLM..\Run: [NPSStartup] File not found
O4 - HKLM..\Run: [sniffer] C:\WINDOWS\Temp\_ex-08.exe ()
O4 - HKU\S-1-5-21-1935655697-1993962763-682003330-1003..\Run: [dfrgsnapnt.exe] C:\Dokumente und Einstellungen\Ousmane\Lokale Einstellungen\Temp\dfrgsnapnt.ex
O4 - HKU\S-1-5-21-1935655697-1993962763-682003330-1003..\Run: [Spijisefac] C:\WINDOWS\mspinam.DLL (Progressive Networks)
O4 - HKU\S-1-5-21-1935655697-1993962763-682003330-1003..\RunOnce: [281062] C:\Dokumente und Einstellungen\Ousmane\Lokale Einstellungen\Anwendungsdaten\281062.exe ()
[2002.04.18 18:21:22 | 000,021,180 | ---- | M] () -- C:\MSCDEX.EXE

:FILES
:Commands
[purity]
[EMPTYFLASH]
[emptytemp]
[Reboot]

• Schliesse bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument dieses posten


öffne arbeitsplatz, dann c: dann rechtsklick auf _OTL und zu _OTL.rar oder zip hinzufügen
archiv zu uns hochladen.
http://www.trojaner-board.de/54791-a...ner-board.html

All processes killed
Error: Unable to interpret <:OTL
SRV - (HidServ) -- C:\WINDOWS\System32\hidserv.dll File not found
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - No CLSID value found.
O4 - HKLM..\Run: [NPSStartup] File not found
O4 - HKLM..\Run: [sniffer] C:\WINDOWS\Temp\_ex-08.exe ()
O4 - HKU\S-1-5-21-1935655697-1993962763-682003330-1003..\Run: [dfrgsnapnt.exe] C:\Dokumente und Einstellungen\Ousmane\Lokale Einstellungen\Temp\dfrgsnapnt.ex
O4 - HKU\S-1-5-21-1935655697-1993962763-682003330-1003..\Run: [Spijisefac] C:\WINDOWS\mspinam.DLL (Progressive Networks)
O4 - HKU\S-1-5-21-1935655697-1993962763-682003330-1003..\RunOnce: [281062] C:\Dokumente und Einstellungen\Ousmane\Lokale Einstellungen\Anwendungsdaten\281062.exe ()
[2002.04.18 18:21:22 | 000,021,180 | ---- | M] () -- C:\MSCDEX.EXE

:FILES
:Commands
[purity]
[EMPTYFLASH]
[emptytemp]
[Reboot]
> in the current context!

OTL by OldTimer - Version 3.2.15.2 log created on 10132010_203429

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...

und jetzt?

du bist hier nicht der einzige also geduld
versuche das noch mal bitte mit dem script

:OTL
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - No CLSID value found.
O4 - HKLM..\Run: [NPSStartup] File not found
O4 - HKLM..\Run: [sniffer] C:\WINDOWS\Temp\_ex-08.exe ()
O4 - HKU\S-1-5-21-1935655697-1993962763-682003330-1003..\Run: [dfrgsnapnt.exe] C:\Dokumente und Einstellungen\Ousmane\Lokale Einstellungen\Temp\dfrgsnapnt.ex
O4 - HKU\S-1-5-21-1935655697-1993962763-682003330-1003..\Run: [Spijisefac] C:\WINDOWS\mspinam.DLL (Progressive Networks)
O4 - HKU\S-1-5-21-1935655697-1993962763-682003330-1003..\RunOnce: [281062] C:\Dokumente und Einstellungen\Ousmane\Lokale Einstellungen\Anwendungsdaten\281062.exe
()
[2002.04.18 18:21:22 | 000,021,180 | ---- | M] () -- C:\MSCDEX.EXE
:FILES
:Commands
[purity]
[EMPTYFLASH]
[emptytemp]
[Reboot]

wollte dich nicht stressen.
also z.Z. läuft es, der security tool ist nicht mehr aufgetaucht.

hier noch das neue:

All processes killed
========== OTL ==========
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{02478D38-C3F9-4efb-9B51-7695ECA05670}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{02478D38-C3F9-4efb-9B51-7695ECA05670}\ not found.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\NPSStartup deleted successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\sniffer deleted successfully.
File C:\WINDOWS\Temp\_ex-08.exe not found.
Registry value HKEY_USERS\S-1-5-21-1935655697-1993962763-682003330-1003\Software\Microsoft\Windows\CurrentVersion\Run\\dfrgsnapnt.exe deleted successfully.
File C:\Dokumente und Einstellungen\Ousmane\Lokale Einstellungen\Temp\dfrgsnapnt.ex not found.
Registry value HKEY_USERS\S-1-5-21-1935655697-1993962763-682003330-1003\Software\Microsoft\Windows\CurrentVersion\Run\\Spijisefac deleted successfully.
C:\WINDOWS\mspinam.dll moved successfully.
Registry value HKEY_USERS\S-1-5-21-1935655697-1993962763-682003330-1003\Software\Microsoft\Windows\CurrentVersion\RunOnce\\281062 not found.
C:\Dokumente und Einstellungen\Ousmane\Lokale Einstellungen\Anwendungsdaten\281062.exe moved successfully.
C:\MSCDEX.EXE moved successfully.
========== FILES ==========
========== COMMANDS ==========

[EMPTYFLASH]

User: Administrator
->Flash cache emptied: 25021 bytes

User: All Users

User: Default User

User: Gast
->Flash cache emptied: 3635 bytes

User: LocalService

User: NetworkService
->Flash cache emptied: 1697 bytes

User: Ousmane
->Flash cache emptied: 42376 bytes

Total Flash Files Cleaned = 0.00 mb


[EMPTYTEMP]

User: Administrator
->Temp folder emptied: 247502309 bytes
->Temporary Internet Files folder emptied: 2905158115 bytes
->Flash cache emptied: 0 bytes

User: All Users

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: Gast
->Temp folder emptied: 11895517 bytes
->Temporary Internet Files folder emptied: 156451710 bytes
->FireFox cache emptied: 21608023 bytes
->Flash cache emptied: 0 bytes

User: LocalService
->Temp folder emptied: 9189584 bytes
->Temporary Internet Files folder emptied: 37412 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 1745141 bytes
->Flash cache emptied: 0 bytes

User: Ousmane
->Temp folder emptied: 16882240 bytes
->Temporary Internet Files folder emptied: 85585068 bytes
->Java cache emptied: 66262080 bytes
->FireFox cache emptied: 47678993 bytes
->Flash cache emptied: 0 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 2134333 bytes
%systemroot%\System32 .tmp files removed: 2951 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 28320 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 3'407.00 mb


OTL by OldTimer - Version 3.2.15.2 log created on 10132010_205918

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...

jetzt öffnest du den arbeitsplatz c: dort rechtsklick auf _OTL und zu _OTL.rar oder zip hinzufügen, dann in unseren upload channel hochladen. und dann Malwarebytes komplett scan, nach update.

ok. mensch, die dinger machen ja arg viel arbeit!

ja aber morgen sind wir fertig. heute bin ich gleich raus

Und hier das nächste.
Nach dem ersten Scan bekam ich beim Neustart wieder den blauen Bildschirm. Hab dann noch mal ein Quick Scan gemacht, weil ich vorher das Internet nicht gekappt hatte. Hat aber nix mehr gefunden.

Zitat:

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4814

Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.13

13.10.2010 23:32:59
mbam-log-2010-10-13 (23-32-59).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|E:\|I:\|K:\|)
Durchsuchte Objekte: 301254
Laufzeit: 1 Stunde(n), 36 Minute(n), 15 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 3
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\forceclassiccontrolpanel (Hijack.ControlPanelStyle) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\24d1ca9a-a864-4f7b-86fe-495eb56529d8 (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\7bde84a2-f58f-46ec-9eac-f1f90fead080 (Malware.Trace) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr (Hijack.TaskManager) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\_OTL.zip\MovedFiles\10132010_205918\C_Dokumente und Einstellungen\Ousmane\Lokale Einstellungen\Anwendungsdaten\281062.exe (Rogue.SecurityTool) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Ousmane\Startmenü\Programme\Security Tool.LNK (Rogue.SecurityTool) -> Quarantined and deleted successfully.

so und jetzt sollte combofix auch laufen. und wo ist der upload im upload channel um den ich dich gebeten hab?

ups. kommt.
versuch gleich mal mit combofix

also, soll ich da den report von Malwarebytes auch hochladen?

nein ich hab doch deutlich geschrieben, den ordner _OTL der sich auf c: befindet packen und dann hochladen

OTL ist hochgeladen. versuch nun mal den combofix laufen zu lassen.