WVWTS.DLL

flinte · 26.12.2005

HELP - bekomme diesen blöden Trojaner nicht aus meinem System - habe schon mit versch. AV versucht, er wird auch gefunden, aber nicht vernichtet - BITTE um eure Hilfe und Tipps - Danke Andi :'(

PCDCharly · 26.12.2005

Den schon probiert? http://securityresponse.symantec.com/avcenter/venc/data/trojan.vundo.removal.tool.html

Gib hier http://www.wintotal.de/Spyware/index.php den Namen der Datei ein und du bekommst noch weitere Infos.

flinte · 26.12.2005

ja, beide quellen schon mehrfach getestet, aber ohne erfolg - zudem schlägt mein virenscanner immer an(AntiVir 6.32)...sollte ich evtl. meinen AV deinstallieren, damit der symantec vielleicht zuschlägt?

PCDpan_fee · 26.12.2005

flinte schrieb:
sollte ich evtl. meinen AV deinstallieren, damit der symantec vielleicht zuschlägt?

deaktivieren sollte reichen.

pan_fee

flinte · 26.12.2005

das habe ich auch schon gemacht(beenden) und trotzdem schlug der AV an?!

flinte · 27.12.2005

habe den symantec mehrfach eingesetzt, aber wvwts.dll ist nicht aus windows\system32 verschwunden....was nun?????????????????????

flinte · 27.12.2005

...zudem erkennt ihn der AVG Scanner und auch BitDefender nicht, nur der AntiVir schlägt an....

flinte · 27.12.2005

...kann ihn aber weder löschen, noch verschieben oder umbennen...strange

PCDpan_fee · 27.12.2005

im abgesicherten Modus versucht?

Evtl. läuft noch ein Prozess des Trojaners (msconfig) - zuerst den Prozess beenden.

pan_fee

flinte · 28.12.2005

hatte das schon vorher gemacht und nun nochmals wiederholt, aber im abges. modus kein löschen direkt, oder über antivir scanner möglich - auch in der msconfig konnte ich nichts aussergewöhnliches finden, was ich deaktivieren könnte, oder hast du direkt einen hinweis, welcher eintrag das sein könnte...das ding ist ziemlich zäh....und startet immer, wenn ich den ie öffne, oder die datei direkt anklicke

schau mal · 28.12.2005

DAnn poste doch bitte mal ein Logfile von hijackthis.

www.hijackthis.de

PCDpan_fee · 28.12.2005

kontrolliere die Reg-Einträge.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\[alle Unterschlüssel kontrollieren im Wertefenster bei] »DLLName« = WVWTS.DLL

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{44240BB5-BD7D-4D49-A1AA-8AB0F3D3CB44}

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{44240BB5-BD7D-4D49-A1AA-8AB0F3D3CB44}

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\
{00DBDAC8-4691-4797-8E6A-7C6AB89BC441}

HKEY_CLASSES_ROOT\CLSID\{00DBDAC8-4691-4797-8E6A-7C6AB89BC441}

falls vorhanden die fett markierten Einträge löschen. Vorher zur Sicherheit die Schlüssel exportieren.

pan_fee

flinte · 28.12.2005

hier der gewünschte logfile:

Logfile of HijackThis v1.99.1
Scan saved at 23:18:25, on 28.12.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Tools\Maus\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\Tools\Tastatur\iTouch\iTouch.exe
C:\WINDOWS\tppaldr.exe
E:\iRiver\iHPDetect.exe
D:\viren\avg\avgcc.exe
C:\WINDOWS\System32\alg.exe
E:\Tools\PowerDVD\PDVDServ.exe
C:\WINDOWS\System32\devldr32.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
E:\Programme\HP\hpcoretech\hpcmpmgr.exe
D:\viren\avg\avgamsvr.exe
C:\PROGRA~1\Softwin\BITDEF~1\bdmcon.exe
E:\Tools\PestPatrol\PPControl.exe
C:\Programme\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe
D:\viren\avg\avgupsvc.exe
C:\Programme\QuickTime\qttask.exe
E:\Tools\Spyware Doctor\sdhelp.exe
E:\Tools\AdobePhotoshopAlbum\3.0\Apps\apdproxy.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\System32\ctfmon.exe
C:\multimedia\PocketPC\WCESCOMM.EXE
C:\Programme\Hewlett-Packard\Toolbox2.0\Javasoft\JRE\1.3.1\bin\javaw.exe
C:\Tools\Eraser\eraser.exe
C:\WINDOWS\System32\SLEE503.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\Programme\Internet Explorer\iexplore.exe
E:\Office\Acrobat7.0\Reader\AcroRd32.exe
E:\Tools\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.lycos.de/search/msie40.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.bluemail.ch/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.lycos.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von Lycos Europe
O2 - BHO: (no name) - {00DBDAC8-4691-4797-8E6A-7C6AB89BC441} - C:\WINDOWS\system32\wvwts.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Office\Acrobat7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - E:\Tools\SPYWAR~1\tools\iesdsg.dll
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - E:\Tools\SPYWAR~1\tools\iesdpb.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [EM_EXEC] C:\Tools\Maus\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Tools\Tastatur\iTouch\iTouch.exe
O4 - HKLM\..\Run: [TPP Auto Loader] C:\WINDOWS\tppaldr.exe
O4 - HKLM\..\Run: [iHP-100] E:\iRiver\iHPDetect.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] C:\MultiMedia\Brenner\CloneCD\ElbyCheck.exe /L ElbyCDFL
O4 - HKLM\..\Run: [AVG7_CC] D:\viren\avg\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] E:\Tools\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [HP Component Manager] E:\Programme\HP\hpcoretech\hpcmpmgr.exe
O4 - HKLM\..\Run: [BDMCon] C:\PROGRA~1\Softwin\BITDEF~1\bdmcon.exe
O4 - HKLM\..\Run: [BDNewsAgent] C:\Programme\Softwin\BitDefender Free Edition\bdnagent.exe
O4 - HKLM\..\Run: [PestPatrol Control Center] E:\Tools\PestPatrol\PPControl.exe
O4 - HKLM\..\Run: [StatusClient] C:\Programme\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe /auto
O4 - HKLM\..\Run: [TomcatStartup] C:\Programme\Hewlett-Packard\Toolbox2.0\hpbpsttp.exe
O4 - HKLM\..\Run: [HPLJ Config] C:\Programme\Hewlett-Packard\hp LaserJet 1010 Series\SetConfig.exe -c Direct -p DOT4_001 -pn hp LaserJet 1010 Series Driver -n 0 -l 1031 -sl 120000
O4 - HKLM\..\Run: [QuickTime Task] C:\Programme\QuickTime\qttask.exe -atboottime
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Programme\LogitechQuickcam\LogiTray.exe
O4 - HKLM\..\Run: [LogitechVideoRepair] E:\Programme\LogitechWebCam\ISStart.exe
O4 - HKLM\..\Run: [Adobe Photo Downloader] E:\Tools\AdobePhotoshopAlbum\3.0\Apps\apdproxy.exe
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [avgnt] C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Pop-Up-Blocker] C:\Tools\TweakXP\popup.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] C:\multimedia\PocketPC\WCESCOMM.EXE
O4 - HKCU\..\Run: [Eraser] C:\Tools\Eraser\eraser.exe -hide
O4 - HKCU\..\Run: [LDM] C:\Programme\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O4 - HKCU\..\Run: [Yahoo! Pager] REM D:\Programme\Yahoo!\Messenger\ypager.exe -quiet
O4 - HKCU\..\Run: [msnmsgr] REM C:\Programme\MSN Messenger\msnmsgr.exe /background
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = E:\Office\Acrobat7.0\Reader\reader_sl.exe
O4 - Global Startup: Exif Launcher.lnk = C:\MultiMedia\Digifoto\FineExifLauncher\QuickDCF.exe
O4 - Global Startup: Microsoft Office.lnk = E:\Office\MSOfficeXP\Office10\OSA.EXE
O8 - Extra context menu item: E&xport to Microsoft Excel - res://E:\Office\MSOFFI~1\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra->Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - E:\Tools\SPYWAR~1\tools\iesdpb.dll
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - c:\MULTIM~1\PocketPC\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - c:\MULTIM~1\PocketPC\INetRepl.dll
O9 - Extra->Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - c:\MULTIM~1\PocketPC\INetRepl.dll
O9 - Extra button: Artikel überwachen - {711E941A-59B6-45E0-8F3B-3DA9738242D2} - E:\Tools\Etope2004\global\vbs\sendtowatch.vbs (file missing)
O9 - Extra->Tools' menuitem: Artikel überwachen - {711E941A-59B6-45E0-8F3B-3DA9738242D2} - E:\Tools\Etope2004\global\vbs\sendtowatch.vbs (file missing)
O14 - IERESET.INF: START_PAGE_URL=http://www.lycos.de/
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - E:\Tools\yahoo\Common\yinsthelper.dll
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52....apple.com/saba/de/win/QuickTimeInstaller.exe
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {6F1AF9D5-68BB-4A81-93F1-481CB8AB0D0B} (PhotocolorUploader Control) - http://web1.photocolor.net/ActiveX/PhotocolorUploader.cab
O16 - DPF: {9C134253-E8A3-4759-9F98-302B7981922E} (MaxViewer Class) - http://support.scansoft.com/pp/files/np_max_de.cab
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (ASquaredScanForm Element) - http://www.windowsecurity.com/trojanscan/axscan.cab
O20 - Winlogon Notify: wvwts - C:\WINDOWS\SYSTEM32\wvwts.dll
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - D:\viren\avg\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - D:\viren\avg\avgupsvc.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools - E:\Tools\Spyware Doctor\sdhelp.exe
O23 - Service: Steganos Live Encryption Engine (Version 503) [Service] (SLEE_503_SERVICE) - Unknown owner - C:\WINDOWS\System32\SLEE503.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: BitDefender Communicator (XCOMM) - Softwin - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
O23 - Service: YK - Unknown owner - C:\DOKUME~1\Andule\LOKALE~1\Temp\YK.exe (file missing)

flinte · 28.12.2005

ich sehe die einträge:

O2 - BHO: (no name) - {00DBDAC8-4691-4797-8E6A-7C6AB89BC441} - C:\WINDOWS\system32\wvwts.dll

O20 - Winlogon Notify: wvwts - C:\WINDOWS\SYSTEM32\wvwts.dll

was nun?

flinte · 28.12.2005

PCDpan_fee schrieb:
kontrolliere die Reg-Einträge.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\[alle Unterschlüssel kontrollieren im Wertefenster bei] »DLLName« = WVWTS.DLL

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{44240BB5-BD7D-4D49-A1AA-8AB0F3D3CB44}

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{44240BB5-BD7D-4D49-A1AA-8AB0F3D3CB44}

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\
{00DBDAC8-4691-4797-8E6A-7C6AB89BC441}

HKEY_CLASSES_ROOT\CLSID\{00DBDAC8-4691-4797-8E6A-7C6AB89BC441}

falls vorhanden die fett markierten Einträge löschen. Vorher zur Sicherheit die Schlüssel exportieren.

pan_fee

den ersten eintrag habe ich schon mehrfach gelöscht, aber er erneuert sich schnell wieder
der zweite\dritte eintrag ist nicht da
den vierten\fünften habe ich jetzt gelöscht....
mal sehen

flinte · 28.12.2005

trojaner immer noch da, auch der eintrag in win\system32\wvwts.dll und die antivir meldung kommt beim start ie

flinte · 28.12.2005

was killt diesen idiotischen
wvwts.dll alias TR/Dldr.ConHook.Q.2?????????????????????????????????????????????????????????????????????????????????????????????????????????????????????

flinte · 28.12.2005

zudem sind alle registry einträge wieder da...

schau mal · 29.12.2005

Starte im abgesicherten Modus.

Entferne die Einträge die Panfee beschrieben hat.
Versuche die WVWTS.DLL zu deregistrieren.

Code:

C:\Windows\System\Regsvr32.exe /u WVWTS.DLL

Lösche die DLL

Entferne (fixe) auch den folgenden Eintrag aus der Registry
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net [...] /QuickTimeInstaller.exe

PCDpan_fee · 29.12.2005

schau schrieb:
Entferne (fixe) auch den folgenden Eintrag aus der Registry
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net [...] /QuickTimeInstaller.exe

ähm.... das ist noch nur der QuickTime Player 6 ???

pan_fee

WVWTS.DLL

flinte

PCDCharly

flinte

PCDpan_fee

flinte

flinte

flinte

flinte

PCDpan_fee

flinte

schau mal

PCDpan_fee

flinte

flinte

flinte

flinte

flinte

flinte

schau mal

PCDpan_fee

WVWTS.DLL

ANGEBOTE & SPONSOREN

Neueste Themen

Statistik des Forums