tuvts.dll
 

Was macht die Datei tuvts.dll im System32-Ordner
Antivir meldet immer, es sei ein Virus, sobald ich es mit "KillBox" löschen möchte, meldet diese, es kann nicht gelöscht werden und es beendet den Prozess "explorer.exe"

übrigens: der Virus heißt lt. AntiVir TR/Vundo.Gen

mOIn auch

erstelle mal ein HijackThis Log
editiere alle Links (z.B. http -> hxxp) und personlichen Einträge

MFG

Logfile of HijackThis v1.99.1
Scan saved at 10:05:17, on 03.10.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Acer\eManager\anbmServ.exe
C:\WINDOWS\Explorer.EXE
D:\Programme\Sicherheit\AntiVir PersonalEdition Classic\sched.exe
D:\Programme\Sicherheit\AntiVir PersonalEdition Classic\avguard.exe
D:\Programme\Brennprogs\Daemon Tools\daemon.exe
D:\Programme\Sicherheit\AntiVir PersonalEdition Classic\avgnt.exe
D:\Programme\Musikprogramme\Winamp\winampa.exe
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
D:\Programme\Microsoft\Firewall Client 2004\FwcMgmt.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\WINDOWS\system32\svchost.exe
D:\Programme\Internet\Browser\Mozilla Firefox\firefox.exe
G:\Freeware\Sicherheit\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.254.1:8080
O4 - HKLM\..\Run: [DAEMON Tools] "D:\Programme\Brennprogs\Daemon Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [avgnt] "D:\Programme\Sicherheit\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [WinampAgent] D:\Programme\Musikprogramme\Winamp\winampa.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - Startup: Winamp.lnk = D:\Programme\Musikprogramme\Winamp\winamp.exe
O4 - Global Startup: Microsoft-Firewallclientverwaltung.lnk = D:\Programme\Microsoft\Firewall Client 2004\FwcMgmt.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: d:\programme\microsoft\firewall client 2004\fwcwsp.dll
O10 - Unknown file in Winsock LSP: d:\programme\microsoft\firewall client 2004\fwcwsp.dll
O10 - Unknown file in Winsock LSP: d:\programme\microsoft\firewall client 2004\fwcwsp.dll
O10 - Unknown file in Winsock LSP: d:\programme\microsoft\firewall client 2004\fwcwsp.dll
O10 - Unknown file in Winsock LSP: d:\programme\microsoft\firewall client 2004\fwcwsp.dll
O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - D:\Programme\Sicherheit\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - D:\Programme\Sicherheit\AntiVir PersonalEdition Classic\avguard.exe

mOIn nochmal

lade dir Blacklight lass es laufen (während des scans nichts am Rechner machen)
und poste anschließend das Log (findest du im selben Ordner wie Blacklight).

MFG

10/03/06 17:27:13 [Info]: BlackLight Engine 1.0.47 initialized
10/03/06 17:27:13 [Info]: OS: 5.1 build 2600 (Service Pack 2)
10/03/06 17:27:13 [Note]: 7019 4
10/03/06 17:27:13 [Note]: 7005 0
10/03/06 17:27:16 [Note]: 7006 0
10/03/06 17:27:16 [Note]: 7011 548
10/03/06 17:27:16 [Note]: 7026 0
10/03/06 17:27:16 [Note]: 7026 0
10/03/06 17:27:18 [Note]: FSRAW library version 1.7.1020
10/03/06 17:29:04 [Note]: 2000 1012
10/03/06 17:29:04 [Note]: 2000 1012
10/03/06 17:29:04 [Note]: 2000 1012
10/03/06 17:29:04 [Note]: 2000 1012
10/03/06 17:29:04 [Note]: 2000 1012
10/03/06 17:29:04 [Note]: 2000 1012
10/03/06 17:29:04 [Note]: 2000 1012
10/03/06 17:29:04 [Note]: 2000 1012
10/03/06 17:29:28 [Note]: 7007 0

mOIn auch

gut, dann lade dir Ccleaner und lasse ihn
alles löschen was er findet, dann lädst du dir hier Vundofix und gehst nach Anleitung vor.
Berichte anschließend ob Vundo noch gefunden wird.

MFG

Habe jetzt mit CCleaner mehrmals alle Probleme beseitigt und Dateien gelöscht
Dann VundoFix suchen lassen, dieser hat aber nichts gefunden
AntiVir meldet das Problem aber weiterhin, und auch im Internet Explorer kommt immer wieder die Startseite www.uptodateprotection.com
http://patrasz.lima-city.de/site.jpg

mit folgender PopUp-Warnung:
http://patrasz.lima-city.de/warnung.jpg

Hier nochmal die Logdatei von Blacklight:
10/03/06 20:45:29 [Info]: BlackLight Engine 1.0.47 initialized
10/03/06 20:45:29 [Info]: OS: 5.1 build 2600 (Service Pack 2)
10/03/06 20:45:29 [Note]: 7019 4
10/03/06 20:45:29 [Note]: 7005 0
10/03/06 20:45:31 [Note]: 7006 0
10/03/06 20:45:31 [Note]: 7011 752
10/03/06 20:45:31 [Note]: 7026 0
10/03/06 20:45:31 [Note]: 7026 0
10/03/06 20:45:33 [Note]: FSRAW library version 1.7.1020
10/03/06 20:45:50 [Note]: 4013 10695
10/03/06 20:45:50 [Note]: 4020 29 65536
10/03/06 20:45:50 [Note]: 4018 29 65536
10/03/06 20:45:50 [Note]: 4013 10695
10/03/06 20:45:50 [Note]: 4020 29 65536
10/03/06 20:45:50 [Note]: 4018 29 65536
10/03/06 20:50:38 [Note]: 7007 0

Ich habe auch schon auf der Windows-CD (auch sämtliche CAB-Dateien) nach der Datei tuvts.dll gesucht, um sie evtl. im abgesicherten Modus zu ersetzen, aber nichts gefunden.

Gibt es noch bekannte Möglichkeiten den Schädling zu beseitigen.

Für was ist die Datei tuvts.dll eigentlich zuständig? Ist es möglich sie im Abgesicherten Modus zu löschen?

mOIn auch

(bitte korrigiert mich jemand, wenn ich daneben liege)
die tuvts.dll ist m.M. nach bestandteil von Vundo und ich denke hier immernoch an die Rootkitvariante, da bei dir im HijackThis Log die typischen
O2 und O20 Einträge fehlen.

Mache bitte mal alle Dateien sichtbar, wenn noch nicht geschehen (Start --> Einstellungen --> Systemsteuerung --> Ordneroptionen --> Ansicht -->
häkchen raus bei Inhalte von Systemordner anzeigen und häkchen raus bei
Versteckte Datein und Ordner --> makiere - alle Dateien und Ordner anzeigen lassen --> Übernehmen).

Lade dir, da Blacklight nichts findet, mal Rootkitrevealer lasse es laufen (bitte während des scans nichts am Rechner machen weder mit der Maus noch mit der Tastatur auch kein I-Net oder offene Programme laufen lassen) und poste die Funde.

MFG

hi

ja denke auch das es ne rootkit variante ist
der trojaner hat sich bei dir in die explorer.exe injeckted wie es viele machen(beispiel CIA) is auch ne art fw bypass

mit regedit,msconfig wirst du wahrscheinlich zu keiner lösung kommen

jedoch kannst du mal start-->ausführen--->netstat -n
oder: http://download.sysinternals.com/Files/TcpView.zip
versuchen, alle dir bekannten inetdienste beenden und schauen ob dir irgendwelche komische ips begegnen
die "komischen ips" kannste mal versuchen hier: http://www.geobytes.com/IpLocator.htm
zu localisieren, wenn da was in den philipinen usw dabei ist, weist ja was los ist

ansonsten
was du versuchen kannst ist mit highjackthis: delete file on reboot
und anschliesend mal im abgesicherten modus mit: (http://download.sysinternals.com/Files/Autoruns.zip)
nach verdächtigen registry und startup einträgen zu suchen

Poste bitte ein Rootkitrevealer-Log.

Der RootkitRevealer findet nur diesen Eintrag:
HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg 28.09.2006 17:48 0 bytes Access is denied.

mit netstat -n bekomme ich nur die (localhost glaub ich nennt sie sie) ip-adresse 127.0.0.1 und meine ip

hijackthis (delete file on reboot) und nach verdächtigen registry-einträgen werd ich heute nachmittag mal suchen (bin gerade in der schule)

wie funktioniert "delete file on reboot" eigentlich, wenn ich draufklicke beendet sich hijack this, sonst tut sich nichts.

Was erwartest du denn was sich da "tuen" soll?

delete file on reboot (english) = lösche Datei nach Neustart (deutsch)

Zusätzlich nochmals als kleine Anmerkung schrieb "MightyMarc" & "nochdigger" folgendes:

Hole dies bitte nochmal nach, sonst "tappen" hier alle im Dunkeln. :D

Gruß
Sunny

Zum RootkitRevealer-Log folgendes:
mehr steht da nicht...

mit "was sich da tun soll" hab ich mich etwas blöd ausgedrückt, bei klick auf diesen button kommt ja weder direkt danach noch nach dem neustart eine meldung

und noch was:
"delete file on reboot" ist ja nur ein button, welche datei sollte dadurch gelöscht werden bzw. wird gelöscht??

Hallo,
ob es wohl einen Grund gibt, warum hier drei Leute nach dem kompletten Log des Revaelers fragen ?:zzwhip:
Was ist so schwer daran ,das vollständige Log hier zu posten ?:koch:
Irrlicht

Tut mir leid, aber das ist die gesamte Log. Oder wenn du's nicht glaubst, sag mir bitte wo eine komplette Log finde.

Nach dem Scan-Vorgang steht auch im RootkitRevealer "Scan complete: 1 discrepancy found", also dürfte er sonst nichts gefunden haben.

Da muss ich wohl mal *Tschuldigung* sagen, auch im Namen von ´irrlicht´!
Wir haben da wohl etwas verwechselt, haben das wohl mit einem anderen Programm (Silentrunners) verwechselt! :crazy:

Bei dem tool welches du eingesetzt hast gibt es kein "weiteres" Logfile.

Abgesehen davon muss ich nochmal nachfragen welches Problem bzw. Probleme nun noch besteht/-en?

Poste bitte nochmal ein neues Hijacklog, es wurde jetzt schon soviel unternommen, sodass sich da schon einiges verändert hat.

Gruß
Sunny

Hallo,
Asche auf mein Haupt....:o
Das erste Proggi von dem ich höre,das kein Log erstellen soll....:o
Da kannst du alt werden wie ein Baum und lernst immer wieder was neues....:aplaus:
Irrlicht

jaja, man lernt nie aus:rolleyes:
naja, schwamm drüber...

Dann nochmal das Hijack-Log:
Logfile of HijackThis v1.99.1
Scan saved at 23:38:43, on 10.10.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Acer\eManager\anbmServ.exe
C:\WINDOWS\Explorer.EXE
D:\Programme\Sicherheit\AntiVir PersonalEdition Classic\sched.exe
D:\Programme\Sicherheit\AntiVir PersonalEdition Classic\avguard.exe
D:\Programme\Brennprogs\Daemon Tools\daemon.exe
D:\Programme\Sicherheit\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\ATI Technologies\ATI.ACE\CLI.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
D:\Programme\Microsoft\Firewall Client 2004\FwcMgmt.exe
D:\Programme\Musikprogramme\Winamp\winamp.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
D:\Programme\Internet\Browser\Mozilla Firefox\firefox.exe
D:\Freeware\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.254.1:8080
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O4 - HKLM\..\Run: [DAEMON Tools] "D:\Programme\Brennprogs\Daemon Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [avgnt] "D:\Programme\Sicherheit\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [HijackThis startup scan] I:\Freeware\Sicherheit\HijackThis.exe /startupscan
O4 - Startup: Winamp.lnk = D:\Programme\Musikprogramme\Winamp\winamp.exe
O4 - Global Startup: Microsoft-Firewallclientverwaltung.lnk = D:\Programme\Microsoft\Firewall Client 2004\FwcMgmt.exe
O10 - Unknown file in Winsock LSP: d:\programme\microsoft\firewall client 2004\fwcwsp.dll
O10 - Unknown file in Winsock LSP: d:\programme\microsoft\firewall client 2004\fwcwsp.dll
O10 - Unknown file in Winsock LSP: d:\programme\microsoft\firewall client 2004\fwcwsp.dll
O10 - Unknown file in Winsock LSP: d:\programme\microsoft\firewall client 2004\fwcwsp.dll
O10 - Unknown file in Winsock LSP: d:\programme\microsoft\firewall client 2004\fwcwsp.dll
O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - D:\Programme\Sicherheit\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - D:\Programme\Sicherheit\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe

Das Problem, das noch besteht ist eigentlich nur, dass der AntiVir Guard dauernd meldet, das tuvts.dll mit dem Trojaner infiziert ist.

In der MSConfig ist mir noch der Prozess mit Namen "XDPJXUJHFESYNZ" aufgefallen, den ich aber sofort deaktiviert habe, und der sich auch nicht selbstständig nicht reaktiviert

Ansonsten ist mir nichts mehr aufgefallen, auch die Internet-Explorer-Startseite ändert sich nicht mehr.

Ist tuvts.dll eigentlich eine Systemdatei von Windows?

Ich habe schon versucht, über Knoppix (habe zufällig eine Live-DVD gefunden) die infizierte Datei zu löschen, was aber ebenfalls nicht funktionierte, ebenso wenig wie mit KillBox.

Nein, definitiv nicht! Diese Datei gehört zu VUNDO, und wenn ich ehrlich bin, ich denke das VUNDO immer noch irgendwo aktiv ist.

Versuch folgende Tools nacheinander auszuführen:
(auch wenn du einiges schon gemacht hast!)

1.) Trojan.Vundo-Entfernungsprogramm

2.) 2.tes Tool

Versuche dann nochmals die Datei tuvts.dll mit Hilfe der Killbox zu löschen. (Option "delete on reboot" anklicken!) Danach den Rechner neu starten lassen.

Gruß
Sunny

Könnte auch vom Rootkit Revealer stammen, denn das ist sinnvoll, das er für seinen eigenen Prozess zufällige Dateinamen gibt. So kann sich ein Schädlingsautor nicht auf einen Prozessnamen einstellen und beipsielsweise die RootkitRevealer.exe bei aktiver Malware abschießen.
Mit Knoppix hast Du immer schlechte Karten wenn's um NTFS geht, denn darauf kann es nur lesend drauf zugreifen. Wenn Du mit Killbox diese Datei gelöscht hast, sollte sie sich in c:\!killbox\ befinden (Sicherheitskopie von Killbox angelegt). Diese kannste Du online bei Jotti auswerten und die Ergebnisse posten.

Was so nicht ganz richtig ist. Mit Captive-NTFS funktioniert das schon. Ob man allerdings damit seine Systempartition beackern will ist eine andere Frage.

Gruß

Marc

Einfacher sollte es damit gehen:
http://www.pcwelt.de/know-how/softwa...798/index.html

Klar, prinzipiell funktioniert es schon, aber wiklrich sicher und schön ist das ganze nicht. Für Schreibzugriff auf NTFS wäre BartPE angebrachter. ;)