Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: tuvts.dll

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 03.10.2006, 07:53   #1
Patrasz
 
tuvts.dll - Standard

tuvts.dll



Was macht die Datei tuvts.dll im System32-Ordner
Antivir meldet immer, es sei ein Virus, sobald ich es mit "KillBox" löschen möchte, meldet diese, es kann nicht gelöscht werden und es beendet den Prozess "explorer.exe"

übrigens: der Virus heißt lt. AntiVir TR/Vundo.Gen

Alt 03.10.2006, 08:11   #2
nochdigger
 
tuvts.dll - Standard

tuvts.dll



mOIn auch

erstelle mal ein HijackThis Log
editiere alle Links (z.B. http -> hxxp) und personlichen Einträge

MFG
__________________


Alt 03.10.2006, 10:05   #3
Patrasz
 
tuvts.dll - Standard

tuvts.dll



Logfile of HijackThis v1.99.1
Scan saved at 10:05:17, on 03.10.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Acer\eManager\anbmServ.exe
C:\WINDOWS\Explorer.EXE
D:\Programme\Sicherheit\AntiVir PersonalEdition Classic\sched.exe
D:\Programme\Sicherheit\AntiVir PersonalEdition Classic\avguard.exe
D:\Programme\Brennprogs\Daemon Tools\daemon.exe
D:\Programme\Sicherheit\AntiVir PersonalEdition Classic\avgnt.exe
D:\Programme\Musikprogramme\Winamp\winampa.exe
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
D:\Programme\Microsoft\Firewall Client 2004\FwcMgmt.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\WINDOWS\system32\svchost.exe
D:\Programme\Internet\Browser\Mozilla Firefox\firefox.exe
G:\Freeware\Sicherheit\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.254.1:8080
O4 - HKLM\..\Run: [DAEMON Tools] "D:\Programme\Brennprogs\Daemon Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [avgnt] "D:\Programme\Sicherheit\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [WinampAgent] D:\Programme\Musikprogramme\Winamp\winampa.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - Startup: Winamp.lnk = D:\Programme\Musikprogramme\Winamp\winamp.exe
O4 - Global Startup: Microsoft-Firewallclientverwaltung.lnk = D:\Programme\Microsoft\Firewall Client 2004\FwcMgmt.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: d:\programme\microsoft\firewall client 2004\fwcwsp.dll
O10 - Unknown file in Winsock LSP: d:\programme\microsoft\firewall client 2004\fwcwsp.dll
O10 - Unknown file in Winsock LSP: d:\programme\microsoft\firewall client 2004\fwcwsp.dll
O10 - Unknown file in Winsock LSP: d:\programme\microsoft\firewall client 2004\fwcwsp.dll
O10 - Unknown file in Winsock LSP: d:\programme\microsoft\firewall client 2004\fwcwsp.dll
O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - D:\Programme\Sicherheit\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - D:\Programme\Sicherheit\AntiVir PersonalEdition Classic\avguard.exe
__________________

Alt 03.10.2006, 13:24   #4
nochdigger
 
tuvts.dll - Standard

tuvts.dll



mOIn nochmal

lade dir Blacklight lass es laufen (während des scans nichts am Rechner machen)
und poste anschließend das Log (findest du im selben Ordner wie Blacklight).

MFG

Alt 03.10.2006, 17:30   #5
Patrasz
 
tuvts.dll - Standard

tuvts.dll



10/03/06 17:27:13 [Info]: BlackLight Engine 1.0.47 initialized
10/03/06 17:27:13 [Info]: OS: 5.1 build 2600 (Service Pack 2)
10/03/06 17:27:13 [Note]: 7019 4
10/03/06 17:27:13 [Note]: 7005 0
10/03/06 17:27:16 [Note]: 7006 0
10/03/06 17:27:16 [Note]: 7011 548
10/03/06 17:27:16 [Note]: 7026 0
10/03/06 17:27:16 [Note]: 7026 0
10/03/06 17:27:18 [Note]: FSRAW library version 1.7.1020
10/03/06 17:29:04 [Note]: 2000 1012
10/03/06 17:29:04 [Note]: 2000 1012
10/03/06 17:29:04 [Note]: 2000 1012
10/03/06 17:29:04 [Note]: 2000 1012
10/03/06 17:29:04 [Note]: 2000 1012
10/03/06 17:29:04 [Note]: 2000 1012
10/03/06 17:29:04 [Note]: 2000 1012
10/03/06 17:29:04 [Note]: 2000 1012
10/03/06 17:29:28 [Note]: 7007 0


Alt 03.10.2006, 17:39   #6
nochdigger
 
tuvts.dll - Standard

tuvts.dll



mOIn auch

gut, dann lade dir Ccleaner und lasse ihn
alles löschen was er findet, dann lädst du dir hier Vundofix und gehst nach Anleitung vor.
Berichte anschließend ob Vundo noch gefunden wird.

MFG

Alt 03.10.2006, 21:03   #7
Patrasz
 
tuvts.dll - Standard

tuvts.dll



Habe jetzt mit CCleaner mehrmals alle Probleme beseitigt und Dateien gelöscht
Dann VundoFix suchen lassen, dieser hat aber nichts gefunden
AntiVir meldet das Problem aber weiterhin, und auch im Internet Explorer kommt immer wieder die Startseite www.uptodateprotection.com


mit folgender PopUp-Warnung:


Hier nochmal die Logdatei von Blacklight:
10/03/06 20:45:29 [Info]: BlackLight Engine 1.0.47 initialized
10/03/06 20:45:29 [Info]: OS: 5.1 build 2600 (Service Pack 2)
10/03/06 20:45:29 [Note]: 7019 4
10/03/06 20:45:29 [Note]: 7005 0
10/03/06 20:45:31 [Note]: 7006 0
10/03/06 20:45:31 [Note]: 7011 752
10/03/06 20:45:31 [Note]: 7026 0
10/03/06 20:45:31 [Note]: 7026 0
10/03/06 20:45:33 [Note]: FSRAW library version 1.7.1020
10/03/06 20:45:50 [Note]: 4013 10695
10/03/06 20:45:50 [Note]: 4020 29 65536
10/03/06 20:45:50 [Note]: 4018 29 65536
10/03/06 20:45:50 [Note]: 4013 10695
10/03/06 20:45:50 [Note]: 4020 29 65536
10/03/06 20:45:50 [Note]: 4018 29 65536
10/03/06 20:50:38 [Note]: 7007 0

Ich habe auch schon auf der Windows-CD (auch sämtliche CAB-Dateien) nach der Datei tuvts.dll gesucht, um sie evtl. im abgesicherten Modus zu ersetzen, aber nichts gefunden.

Gibt es noch bekannte Möglichkeiten den Schädling zu beseitigen.

Für was ist die Datei tuvts.dll eigentlich zuständig? Ist es möglich sie im Abgesicherten Modus zu löschen?

Geändert von Patrasz (03.10.2006 um 21:18 Uhr)

Alt 05.10.2006, 05:59   #8
nochdigger
 
tuvts.dll - Standard

tuvts.dll



mOIn auch

(bitte korrigiert mich jemand, wenn ich daneben liege)
die tuvts.dll ist m.M. nach bestandteil von Vundo und ich denke hier immernoch an die Rootkitvariante, da bei dir im HijackThis Log die typischen
O2 und O20 Einträge fehlen.

Mache bitte mal alle Dateien sichtbar, wenn noch nicht geschehen (Start --> Einstellungen --> Systemsteuerung --> Ordneroptionen --> Ansicht -->
häkchen raus bei Inhalte von Systemordner anzeigen und häkchen raus bei
Versteckte Datein und Ordner --> makiere - alle Dateien und Ordner anzeigen lassen --> Übernehmen).

Lade dir, da Blacklight nichts findet, mal Rootkitrevealer lasse es laufen (bitte während des scans nichts am Rechner machen weder mit der Maus noch mit der Tastatur auch kein I-Net oder offene Programme laufen lassen) und poste die Funde.

MFG

Alt 06.10.2006, 18:43   #9
loaderking
 
tuvts.dll - Standard

tuvts.dll



hi

ja denke auch das es ne rootkit variante ist
der trojaner hat sich bei dir in die explorer.exe injeckted wie es viele machen(beispiel CIA) is auch ne art fw bypass

mit regedit,msconfig wirst du wahrscheinlich zu keiner lösung kommen

jedoch kannst du mal start-->ausführen--->netstat -n
oder: http://download.sysinternals.com/Files/TcpView.zip
versuchen, alle dir bekannten inetdienste beenden und schauen ob dir irgendwelche komische ips begegnen
die "komischen ips" kannste mal versuchen hier: http://www.geobytes.com/IpLocator.htm
zu localisieren, wenn da was in den philipinen usw dabei ist, weist ja was los ist

ansonsten
was du versuchen kannst ist mit highjackthis: delete file on reboot
und anschliesend mal im abgesicherten modus mit: (http://download.sysinternals.com/Files/Autoruns.zip)
nach verdächtigen registry und startup einträgen zu suchen

Alt 06.10.2006, 18:46   #10
MightyMarc
 
tuvts.dll - Standard

tuvts.dll



Poste bitte ein Rootkitrevealer-Log.
__________________
When you contact tech support, a lot of people feel like they're either talking to an idiot or being treated like one.

Alt 10.10.2006, 08:02   #11
Patrasz
 
tuvts.dll - Standard

tuvts.dll



Der RootkitRevealer findet nur diesen Eintrag:
HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg 28.09.2006 17:48 0 bytes Access is denied.

mit netstat -n bekomme ich nur die (localhost glaub ich nennt sie sie) ip-adresse 127.0.0.1 und meine ip

hijackthis (delete file on reboot) und nach verdächtigen registry-einträgen werd ich heute nachmittag mal suchen (bin gerade in der schule)

Alt 10.10.2006, 10:16   #12
Patrasz
 
tuvts.dll - Standard

tuvts.dll



wie funktioniert "delete file on reboot" eigentlich, wenn ich draufklicke beendet sich hijack this, sonst tut sich nichts.

Alt 10.10.2006, 14:18   #13
Sunny
Administrator
> Competence Manager
 

tuvts.dll - Standard

tuvts.dll



Zitat:
Zitat von Patrasz
wie funktioniert "delete file on reboot" eigentlich, wenn ich draufklicke beendet sich hijack this, sonst tut sich nichts.
Was erwartest du denn was sich da "tuen" soll?

delete file on reboot (english) = lösche Datei nach Neustart (deutsch)

Zusätzlich nochmals als kleine Anmerkung schrieb "MightyMarc" & "nochdigger" folgendes:


Zitat:
Poste bitte ein Rootkitrevealer-Log.
Hole dies bitte nochmal nach, sonst "tappen" hier alle im Dunkeln.

Gruß
Sunny
__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Stulti est se ipsum sapientem putare.

Alt 10.10.2006, 18:01   #14
Patrasz
 
tuvts.dll - Standard

tuvts.dll



Zum RootkitRevealer-Log folgendes:
Zitat:
Zitat von Patrasz
Der RootkitRevealer findet nur diesen Eintrag:
HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg 28.09.2006 17:48 0 bytes Access is denied.
mehr steht da nicht...

mit "was sich da tun soll" hab ich mich etwas blöd ausgedrückt, bei klick auf diesen button kommt ja weder direkt danach noch nach dem neustart eine meldung

und noch was:
"delete file on reboot" ist ja nur ein button, welche datei sollte dadurch gelöscht werden bzw. wird gelöscht??

Alt 10.10.2006, 18:17   #15
irrlicht
 
tuvts.dll - Standard

tuvts.dll



Hallo,
ob es wohl einen Grund gibt, warum hier drei Leute nach dem kompletten Log des Revaelers fragen ?
Was ist so schwer daran ,das vollständige Log hier zu posten ?
Irrlicht

Antwort

Themen zu tuvts.dll
beendet, datei, explorer.exe, gelöscht, kann nicht gelöscht werden, killbox, löschen, melde, meldet, prozess, sobald, system, tr/vundo.gen, virus



Zum Thema tuvts.dll - Was macht die Datei tuvts.dll im System32-Ordner Antivir meldet immer, es sei ein Virus, sobald ich es mit "KillBox" löschen möchte, meldet diese, es kann nicht gelöscht werden und es - tuvts.dll...
Archiv
Du betrachtest: tuvts.dll auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.