Tut mir leid, aber das ist die gesamte Log. Oder wenn du's nicht glaubst, sag mir bitte wo eine komplette Log finde.

Nach dem Scan-Vorgang steht auch im RootkitRevealer "Scan complete: 1 discrepancy found", also dürfte er sonst nichts gefunden haben.

Da muss ich wohl mal *Tschuldigung* sagen, auch im Namen von ´irrlicht´!
Wir haben da wohl etwas verwechselt, haben das wohl mit einem anderen Programm (Silentrunners) verwechselt! :crazy:

Bei dem tool welches du eingesetzt hast gibt es kein "weiteres" Logfile.

Abgesehen davon muss ich nochmal nachfragen welches Problem bzw. Probleme nun noch besteht/-en?

Poste bitte nochmal ein neues Hijacklog, es wurde jetzt schon soviel unternommen, sodass sich da schon einiges verändert hat.

Gruß
Sunny

Hallo,
Asche auf mein Haupt....:o
Das erste Proggi von dem ich höre,das kein Log erstellen soll....:o
Da kannst du alt werden wie ein Baum und lernst immer wieder was neues....:aplaus:
Irrlicht

jaja, man lernt nie aus:rolleyes:
naja, schwamm drüber...

Dann nochmal das Hijack-Log:
Logfile of HijackThis v1.99.1
Scan saved at 23:38:43, on 10.10.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Acer\eManager\anbmServ.exe
C:\WINDOWS\Explorer.EXE
D:\Programme\Sicherheit\AntiVir PersonalEdition Classic\sched.exe
D:\Programme\Sicherheit\AntiVir PersonalEdition Classic\avguard.exe
D:\Programme\Brennprogs\Daemon Tools\daemon.exe
D:\Programme\Sicherheit\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\ATI Technologies\ATI.ACE\CLI.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
D:\Programme\Microsoft\Firewall Client 2004\FwcMgmt.exe
D:\Programme\Musikprogramme\Winamp\winamp.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
D:\Programme\Internet\Browser\Mozilla Firefox\firefox.exe
D:\Freeware\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.254.1:8080
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O4 - HKLM\..\Run: [DAEMON Tools] "D:\Programme\Brennprogs\Daemon Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [avgnt] "D:\Programme\Sicherheit\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [HijackThis startup scan] I:\Freeware\Sicherheit\HijackThis.exe /startupscan
O4 - Startup: Winamp.lnk = D:\Programme\Musikprogramme\Winamp\winamp.exe
O4 - Global Startup: Microsoft-Firewallclientverwaltung.lnk = D:\Programme\Microsoft\Firewall Client 2004\FwcMgmt.exe
O10 - Unknown file in Winsock LSP: d:\programme\microsoft\firewall client 2004\fwcwsp.dll
O10 - Unknown file in Winsock LSP: d:\programme\microsoft\firewall client 2004\fwcwsp.dll
O10 - Unknown file in Winsock LSP: d:\programme\microsoft\firewall client 2004\fwcwsp.dll
O10 - Unknown file in Winsock LSP: d:\programme\microsoft\firewall client 2004\fwcwsp.dll
O10 - Unknown file in Winsock LSP: d:\programme\microsoft\firewall client 2004\fwcwsp.dll
O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - D:\Programme\Sicherheit\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - D:\Programme\Sicherheit\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe

Das Problem, das noch besteht ist eigentlich nur, dass der AntiVir Guard dauernd meldet, das tuvts.dll mit dem Trojaner infiziert ist.

In der MSConfig ist mir noch der Prozess mit Namen "XDPJXUJHFESYNZ" aufgefallen, den ich aber sofort deaktiviert habe, und der sich auch nicht selbstständig nicht reaktiviert

Ansonsten ist mir nichts mehr aufgefallen, auch die Internet-Explorer-Startseite ändert sich nicht mehr.

Ist tuvts.dll eigentlich eine Systemdatei von Windows?

Ich habe schon versucht, über Knoppix (habe zufällig eine Live-DVD gefunden) die infizierte Datei zu löschen, was aber ebenfalls nicht funktionierte, ebenso wenig wie mit KillBox.

Nein, definitiv nicht! Diese Datei gehört zu VUNDO, und wenn ich ehrlich bin, ich denke das VUNDO immer noch irgendwo aktiv ist.

Versuch folgende Tools nacheinander auszuführen:
(auch wenn du einiges schon gemacht hast!)

1.) Trojan.Vundo-Entfernungsprogramm

2.) 2.tes Tool

Versuche dann nochmals die Datei tuvts.dll mit Hilfe der Killbox zu löschen. (Option "delete on reboot" anklicken!) Danach den Rechner neu starten lassen.

Gruß
Sunny

Könnte auch vom Rootkit Revealer stammen, denn das ist sinnvoll, das er für seinen eigenen Prozess zufällige Dateinamen gibt. So kann sich ein Schädlingsautor nicht auf einen Prozessnamen einstellen und beipsielsweise die RootkitRevealer.exe bei aktiver Malware abschießen.
Mit Knoppix hast Du immer schlechte Karten wenn's um NTFS geht, denn darauf kann es nur lesend drauf zugreifen. Wenn Du mit Killbox diese Datei gelöscht hast, sollte sie sich in c:\!killbox\ befinden (Sicherheitskopie von Killbox angelegt). Diese kannste Du online bei Jotti auswerten und die Ergebnisse posten.

Was so nicht ganz richtig ist. Mit Captive-NTFS funktioniert das schon. Ob man allerdings damit seine Systempartition beackern will ist eine andere Frage.

Gruß

Marc

Einfacher sollte es damit gehen:
http://www.pcwelt.de/know-how/softwa...798/index.html

Klar, prinzipiell funktioniert es schon, aber wiklrich sicher und schön ist das ganze nicht. Für Schreibzugriff auf NTFS wäre BartPE angebrachter. ;)