Trojaner-Board - tuvts.dll

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - tuvts.dll (https://www.trojaner-board.de/32611-tuvts-dll.html)

Was macht die Datei tuvts.dll im System32-Ordner
Antivir meldet immer, es sei ein Virus, sobald ich es mit "KillBox" löschen möchte, meldet diese, es kann nicht gelöscht werden und es beendet den Prozess "explorer.exe"

übrigens: der Virus heißt lt. AntiVir TR/Vundo.Gen

mOIn auch

erstelle mal ein HijackThis Log
editiere alle Links (z.B. http -> hxxp) und personlichen Einträge

MFG

Logfile of HijackThis v1.99.1
Scan saved at 10:05:17, on 03.10.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Acer\eManager\anbmServ.exe
C:\WINDOWS\Explorer.EXE
D:\Programme\Sicherheit\AntiVir PersonalEdition Classic\sched.exe
D:\Programme\Sicherheit\AntiVir PersonalEdition Classic\avguard.exe
D:\Programme\Brennprogs\Daemon Tools\daemon.exe
D:\Programme\Sicherheit\AntiVir PersonalEdition Classic\avgnt.exe
D:\Programme\Musikprogramme\Winamp\winampa.exe
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
D:\Programme\Microsoft\Firewall Client 2004\FwcMgmt.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\WINDOWS\system32\svchost.exe
D:\Programme\Internet\Browser\Mozilla Firefox\firefox.exe
G:\Freeware\Sicherheit\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.254.1:8080
O4 - HKLM\..\Run: [DAEMON Tools] "D:\Programme\Brennprogs\Daemon Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [avgnt] "D:\Programme\Sicherheit\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [WinampAgent] D:\Programme\Musikprogramme\Winamp\winampa.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - Startup: Winamp.lnk = D:\Programme\Musikprogramme\Winamp\winamp.exe
O4 - Global Startup: Microsoft-Firewallclientverwaltung.lnk = D:\Programme\Microsoft\Firewall Client 2004\FwcMgmt.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: d:\programme\microsoft\firewall client 2004\fwcwsp.dll
O10 - Unknown file in Winsock LSP: d:\programme\microsoft\firewall client 2004\fwcwsp.dll
O10 - Unknown file in Winsock LSP: d:\programme\microsoft\firewall client 2004\fwcwsp.dll
O10 - Unknown file in Winsock LSP: d:\programme\microsoft\firewall client 2004\fwcwsp.dll
O10 - Unknown file in Winsock LSP: d:\programme\microsoft\firewall client 2004\fwcwsp.dll
O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - D:\Programme\Sicherheit\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - D:\Programme\Sicherheit\AntiVir PersonalEdition Classic\avguard.exe

mOIn nochmal

lade dir Blacklight lass es laufen (während des scans nichts am Rechner machen)
und poste anschließend das Log (findest du im selben Ordner wie Blacklight).

MFG

10/03/06 17:27:13 [Info]: BlackLight Engine 1.0.47 initialized
10/03/06 17:27:13 [Info]: OS: 5.1 build 2600 (Service Pack 2)
10/03/06 17:27:13 [Note]: 7019 4
10/03/06 17:27:13 [Note]: 7005 0
10/03/06 17:27:16 [Note]: 7006 0
10/03/06 17:27:16 [Note]: 7011 548
10/03/06 17:27:16 [Note]: 7026 0
10/03/06 17:27:16 [Note]: 7026 0
10/03/06 17:27:18 [Note]: FSRAW library version 1.7.1020
10/03/06 17:29:04 [Note]: 2000 1012
10/03/06 17:29:04 [Note]: 2000 1012
10/03/06 17:29:04 [Note]: 2000 1012
10/03/06 17:29:04 [Note]: 2000 1012
10/03/06 17:29:04 [Note]: 2000 1012
10/03/06 17:29:04 [Note]: 2000 1012
10/03/06 17:29:04 [Note]: 2000 1012
10/03/06 17:29:04 [Note]: 2000 1012
10/03/06 17:29:28 [Note]: 7007 0

mOIn auch

gut, dann lade dir Ccleaner und lasse ihn
alles löschen was er findet, dann lädst du dir hier Vundofix und gehst nach Anleitung vor.
Berichte anschließend ob Vundo noch gefunden wird.

MFG

Habe jetzt mit CCleaner mehrmals alle Probleme beseitigt und Dateien gelöscht
Dann VundoFix suchen lassen, dieser hat aber nichts gefunden
AntiVir meldet das Problem aber weiterhin, und auch im Internet Explorer kommt immer wieder die Startseite www.uptodateprotection.com
http://patrasz.lima-city.de/site.jpg

mit folgender PopUp-Warnung:
http://patrasz.lima-city.de/warnung.jpg

Hier nochmal die Logdatei von Blacklight:
10/03/06 20:45:29 [Info]: BlackLight Engine 1.0.47 initialized
10/03/06 20:45:29 [Info]: OS: 5.1 build 2600 (Service Pack 2)
10/03/06 20:45:29 [Note]: 7019 4
10/03/06 20:45:29 [Note]: 7005 0
10/03/06 20:45:31 [Note]: 7006 0
10/03/06 20:45:31 [Note]: 7011 752
10/03/06 20:45:31 [Note]: 7026 0
10/03/06 20:45:31 [Note]: 7026 0
10/03/06 20:45:33 [Note]: FSRAW library version 1.7.1020
10/03/06 20:45:50 [Note]: 4013 10695
10/03/06 20:45:50 [Note]: 4020 29 65536
10/03/06 20:45:50 [Note]: 4018 29 65536
10/03/06 20:45:50 [Note]: 4013 10695
10/03/06 20:45:50 [Note]: 4020 29 65536
10/03/06 20:45:50 [Note]: 4018 29 65536
10/03/06 20:50:38 [Note]: 7007 0

Ich habe auch schon auf der Windows-CD (auch sämtliche CAB-Dateien) nach der Datei tuvts.dll gesucht, um sie evtl. im abgesicherten Modus zu ersetzen, aber nichts gefunden.

Gibt es noch bekannte Möglichkeiten den Schädling zu beseitigen.

Für was ist die Datei tuvts.dll eigentlich zuständig? Ist es möglich sie im Abgesicherten Modus zu löschen?

mOIn auch

(bitte korrigiert mich jemand, wenn ich daneben liege)
die tuvts.dll ist m.M. nach bestandteil von Vundo und ich denke hier immernoch an die Rootkitvariante, da bei dir im HijackThis Log die typischen
O2 und O20 Einträge fehlen.

Mache bitte mal alle Dateien sichtbar, wenn noch nicht geschehen (Start --> Einstellungen --> Systemsteuerung --> Ordneroptionen --> Ansicht -->
häkchen raus bei Inhalte von Systemordner anzeigen und häkchen raus bei
Versteckte Datein und Ordner --> makiere - alle Dateien und Ordner anzeigen lassen --> Übernehmen).

Lade dir, da Blacklight nichts findet, mal Rootkitrevealer lasse es laufen (bitte während des scans nichts am Rechner machen weder mit der Maus noch mit der Tastatur auch kein I-Net oder offene Programme laufen lassen) und poste die Funde.

MFG

hi

ja denke auch das es ne rootkit variante ist
der trojaner hat sich bei dir in die explorer.exe injeckted wie es viele machen(beispiel CIA) is auch ne art fw bypass

mit regedit,msconfig wirst du wahrscheinlich zu keiner lösung kommen

jedoch kannst du mal start-->ausführen--->netstat -n
oder: http://download.sysinternals.com/Files/TcpView.zip
versuchen, alle dir bekannten inetdienste beenden und schauen ob dir irgendwelche komische ips begegnen
die "komischen ips" kannste mal versuchen hier: http://www.geobytes.com/IpLocator.htm
zu localisieren, wenn da was in den philipinen usw dabei ist, weist ja was los ist

ansonsten
was du versuchen kannst ist mit highjackthis: delete file on reboot
und anschliesend mal im abgesicherten modus mit: (http://download.sysinternals.com/Files/Autoruns.zip)
nach verdächtigen registry und startup einträgen zu suchen

Poste bitte ein Rootkitrevealer-Log.

Der RootkitRevealer findet nur diesen Eintrag:
HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg 28.09.2006 17:48 0 bytes Access is denied.

mit netstat -n bekomme ich nur die (localhost glaub ich nennt sie sie) ip-adresse 127.0.0.1 und meine ip

hijackthis (delete file on reboot) und nach verdächtigen registry-einträgen werd ich heute nachmittag mal suchen (bin gerade in der schule)

wie funktioniert "delete file on reboot" eigentlich, wenn ich draufklicke beendet sich hijack this, sonst tut sich nichts.

Zitat:

Zitat von Patrasz

wie funktioniert "delete file on reboot" eigentlich, wenn ich draufklicke beendet sich hijack this, sonst tut sich nichts.

Was erwartest du denn was sich da "tuen" soll?

delete file on reboot (english) = lösche Datei nach Neustart (deutsch)

Zusätzlich nochmals als kleine Anmerkung schrieb "MightyMarc" & "nochdigger" folgendes:

Zitat:

Poste bitte ein Rootkitrevealer-Log.

Hole dies bitte nochmal nach, sonst "tappen" hier alle im Dunkeln. :D

Gruß
Sunny

Zum RootkitRevealer-Log folgendes:

Zitat:

Zitat von Patrasz

Der RootkitRevealer findet nur diesen Eintrag:
HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg 28.09.2006 17:48 0 bytes Access is denied.

mehr steht da nicht...

mit "was sich da tun soll" hab ich mich etwas blöd ausgedrückt, bei klick auf diesen button kommt ja weder direkt danach noch nach dem neustart eine meldung

und noch was:
"delete file on reboot" ist ja nur ein button, welche datei sollte dadurch gelöscht werden bzw. wird gelöscht??

Hallo,
ob es wohl einen Grund gibt, warum hier drei Leute nach dem kompletten Log des Revaelers fragen ?:zzwhip:
Was ist so schwer daran ,das vollständige Log hier zu posten ?:koch:
Irrlicht