Nein so als Text ist es hervorragend! mach nun den Durchlauf mit Combofix.

mach ich sofort, muss sichere nur eben mal ein paar daten

die von der it-beratung in der uni haben diese combofix schon mal durchlaufen lassen. aber nicht indem sie vorher die datei umbenannt haben. ich glaube die habe es von nem usb stick gestartet. kann ich das jetzt problemlos noch mal laufen lassen?

Mach lieber vorher eine Deinstallation über Start, Ausführen, combofix /U eintippen => ok

Dann Combofix erneut über "meine" Anleitung ausführen.

wurde nicht gefunden, deshalb nehme ich mal an dass es nicht installiert ist

Ja genau. Dann lass es so bleiben und mach Dich an der neuen Anleitung zu CF ran.

ok mach ich, ich mache erst das mit dem cleaner und dann combofix, dass aber am besten offline und mit ausgeschalteten mcaffee richtig ?

Ja genau! So ist's richtig!

danke arne!! du bist mir wirklich eine extrem große hilfe!!! ich weiß gar nicht wie ich mich da noch weiter bedanken kann!

hier das logfile von combofix:

http://www.file-upload.net/download-1919622/combofix-log.txt.html

Zitat:

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\Ø•€|ÿÿÿÿ•€|ù•6~*]
"7040710900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
"7040110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"

Dieser Eintrag ist irgendwie
Werte mal die Datei c:\windows\system32\fm20enu.dll auch bei Virustotal aus, auch wenn die Datei von namen her eigentlich legitim sein müsste.

bin grad dabei, kommt sofort

hier ist der scan:

Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.5.0.24 2009.09.30 -
AhnLab-V3 5.0.0.2 2009.09.30 -
AntiVir 7.9.1.27 2009.09.30 -
Antiy-AVL 2.0.3.7 2009.09.30 -
Authentium 5.1.2.4 2009.09.30 -
Avast 4.8.1351.0 2009.09.29 -
AVG 8.5.0.412 2009.09.30 -
BitDefender 7.2 2009.09.30 -
CAT-QuickHeal 10.00 2009.09.30 -
ClamAV 0.94.1 2009.09.30 -
Comodo 2474 2009.09.30 -
DrWeb 5.0.0.12182 2009.09.30 -
eSafe 7.0.17.0 2009.09.30 -
eTrust-Vet None 2009.09.30 -
F-Prot 4.5.1.85 2009.09.30 -
F-Secure 8.0.14470.0 2009.09.30 -
Fortinet 3.120.0.0 2009.09.30 -
GData 19 2009.09.30 -
Ikarus T3.1.1.72.0 2009.09.30 -
Jiangmin 11.0.800 2009.09.27 -
K7AntiVirus 7.10.857 2009.09.30 -
Kaspersky 7.0.0.125 2009.09.30 -
McAfee 5757 2009.09.30 -
McAfee+Artemis 5757 2009.09.30 -
McAfee-GW-Edition 6.8.5 2009.09.30 -
Microsoft 1.5005 2009.09.23 -
NOD32 4471 2009.09.30 -
Norman 6.01.09 2009.09.30 -
nProtect 2009.1.8.0 2009.09.30 -
Panda 10.0.2.2 2009.09.30 -
PCTools 4.4.2.0 2009.09.30 -
Prevx 3.0 2009.09.30 -
Rising 21.49.22.00 2009.09.30 -
Sophos 4.45.0 2009.09.30 -
Sunbelt 3.2.1858.2 2009.09.30 -
Symantec 1.4.4.12 2009.09.30 -
TheHacker 6.5.0.2.023 2009.09.30 -
TrendMicro 8.950.0.1094 2009.09.30 -
VBA32 3.12.10.11 2009.09.30 -
ViRobot 2009.9.30.1965 2009.09.30 -
VirusBuster 4.6.5.0 2009.09.30 -
weitere Informationen
File size: 35440 bytes
MD5...: 35c4aee0b4742b1ee00a68d9743b818f
SHA1..: d7b2aec3cccb089fb0b1befe2f371255d18137bd
SHA256: 6b207e59186f061232a7adbdc8dfe66d09c05d3f820c2d679943a1cfc7fd9593
ssdeep: 384:veOWJ8Y6WhyYSwyuRjhuFNczJCoWOKguEznhu1jRaeWTFP:WXFyPwyuRjTCo
WOKE1u1jRaeqP
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x0
timedatestamp.....: 0x460082ac (Wed Mar 21 00:56:12 2007)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.rdata 0x1000 0x70 0x200 0.40 4ffbc0f3f4f1845d3947234e806199ee
.rsrc 0x2000 0x5b18 0x5c00 3.75 4f68301bf8ca5566376f0243aace9a32
.reloc 0x8000 0xc 0x200 0.02 2c38765194d27b75f56d0565088a53ee

( 0 imports )

( 0 exports )
RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: Win16/32 Executable Delphi generic (33.9%)
Generic Win/DOS Executable (32.7%)
DOS Executable Generic (32.7%)
VXD Driver (0.5%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.1%)
sigcheck:
publisher....: Microsoft Corporation
copyright....: Copyright(c) Microsoft Corp. 1993-2003
product......: Microsoft_ Forms
description..: Microsoft_ Forms International DLL
original name: fm20enu.DLL
internal name: fm20enu
file version.: 11.0.8161
comments.....: n/a
signers......: Microsoft Corporation
Microsoft Code Signing PCA
Microsoft Root Authority
signing date.: 4:17 AM 3/23/2007
verified.....: -

Die Datei ist okay, warum da aber so ein Zweichenbrei drinsteht, weiß ich noch nicht.

Wir müssen Scripten:

Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein. (Deine XXX mit dem richtigen Namen wieder ersetzen!!)

Code: Alles auswählenAufklappen

ATTFilter

KILLALL::

Registry::
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\Ø•€|ÿÿÿÿ•€|ù•6~*]
"7040710900063D11C8EF10054038389C"=-
"7040110900063D11C8EF10054038389C"=-

Suspect::
c:\windows\system32\fm20enu.dll
         

3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die ComboFix.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.



6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

sorry, aber welche XXX meinst du? kannst Du mir vielleicht sagen was wir mit dem scripen bewirken?