wird gemacht.

kann ich dann auch wieder die systemherstellungspunkt anklicken und gewisse daten wieder verstecken?

Bisher hat er nur das gefunden.

Die Datei 'C:\Dokumente und Einstellungen\corinna\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\651ail94.default\Cache\C2152591d01'
enthielt einen Virus oder unerwünschtes Programm 'APPL/PsExec.E' [program].
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4978ecff.qua' verschoben!

Aber er läuft noch.

Die Systemwiederherstellung kannst du wieder aktivieren. Du solltest nur wissen, dass sich Malware gerne dort versteckt. Sie kann bei misslungenen Treiber- oder Programminstallationen hilfreich sein, aber bei Malware ist sie eher kontraproduktiv.

Die Systemdateien kannst du wieder verstecken, dasgleiche gilt für Systemordner.

ciao, andreas

p.s.: Im Listing sehe ich gerade, dass ComboFix noch nicht deinstalliert ist.
Start => Ausführen => combofix /u => OK

p.p.s.: Lass CCleaner noch einmal laufen und lasse auch Firefox bereinigen.

Hab ich probiert, er sagt mir, dass er den namen nicht findet.

Avira "erkennt" ComboFix als Virus. Von diesen Meldungen nicht verunsichern lassen. Es werden noch mehr Meldungen kommen.

Gehört also diese APPL/PsExec.E Datei zu combofix?

Es kamen noch weitere Meldungen.

Code: Alles auswählenAufklappen

ATTFilter

Die Datei 'C:\RECYCLER\S-1-5-21-1060284298-1275210071-839522115-1003\Dc9.exe'
enthielt einen Virus oder unerwünschtes Programm 'APPL/PsExec.E' [program].
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4980f665.qua' verschoben!
         

Code: Alles auswählenAufklappen

ATTFilter

Die Datei 'C:\System Volume Information\_restore{C697E92A-EAC9-4B8E-967C-327C5866234B}\RP101\A0034313.exe'
enthielt einen Virus oder unerwünschtes Programm 'APPL/PsExec.E' [program].
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4977f6ce.qua' verschoben!
         

Code: Alles auswählenAufklappen

ATTFilter

Die Datei 'C:\System Volume Information\_restore{C697E92A-EAC9-4B8E-967C-327C5866234B}\RP99\A0030847.exe'
enthielt einen Virus oder unerwünschtes Programm 'SPR/Tool.Hide.A' [riskware].
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4977f6db.qua' verschoben!
         

Code: Alles auswählenAufklappen

ATTFilter

Die Datei 'C:\System Volume Information\_restore{C697E92A-EAC9-4B8E-967C-327C5866234B}\RP99\A0030854.com'
enthielt einen Virus oder unerwünschtes Programm 'APPL/NirCmd.E.2.B' [program].
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4977f6df.qua' verschoben!
         

Code: Alles auswählenAufklappen

ATTFilter

Die Datei 'C:\WINDOWS\NIRCMD.exe'
enthielt einen Virus oder unerwünschtes Programm 'APPL/NirCmd.E.2.B' [program].
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4999f6ff.qua' verschoben!
         

Zitat:

Gehört also diese APPL/PsExec.E Datei zu combofix?

Schau mal: avira and other scanners reports viruses in combofix.exe

Zitat:

Die Datei 'C:\RECYCLER\S-1-5-21-1060284298-1275210071-839522115-1003\Dc9.exe

Recycler ist der Papierkorb. Lasse CCleaner noch einmal laufen. Solltest du eigentlich schon getan haben, s. Anleitung ComboFix.

Zitat:

C:\System Volume Information\

Ist die Systemwiederherstellung. Die solltest du eigentlich abschalten, siehe 2. Post im Thread.

NirCmd gehört zu ComboFix.

Ich vermute, dass du combofix/u anstatt combofix /u eingegeben hast.

Das kann echt net wahr sein.
Der blöde Trojaner is schon wieder da. Wie gibts das denn? Ich bin auf der normalen google seite gewesen.
Woher kommt der?
Den haben ja jetzt schon einige sich eingefangen. Weiß man vielleicht von wo man sich das mistding holt?

Hallo Corinna,

Zitat:

Der blöde Trojaner is schon wieder da. Wie gibts das denn?

Wer? Wie? Wo? Was?

Bitte ein neues HJT-Log.

ciao, andreas

----------