Home » Viren, Trojaner & Malware Forum » Entfernen von lkqvv.exe » Themenansicht

Entfernen von lkqvv.exe

Thema ist geschlossen!
Thema ist geschlossen!
#0
02.10.2006, 23:24
technorocker
...neu hier

Beiträge: 8
#1 Hallo Leute,
ich hoffe ihr könnt mir helfen. Ich habe mit hijack diese datei: '' lkqvv.exe '' gefunden. Sie schreibt sich in system32 und in die regestry ein. Laut hijack ist sie unbekannt und evt. bösartig. Ich würde sie sicherheitshalber löschen. Wie mache ich das ?
Ähnlich ist es mit der Datei : lkqvv.exe
und wie entferne ich solche Dinge: HKLM\System\CCS\Services\Tcpip\..\{08CB000A-7A75-4092-B062-158213F05C01}: NameServer = 85.255.116.148,85.255.112.226
Seitenanfang Seitenende
02.10.2006, 23:37
Terementor
Member

Beiträge: 130
#2 wenn ich mich nicht irre wird dein internet umgeleitet. führe das hier alles durch und poste die logs ;)

Wie bist du auf die Idee gekommen mal mit hijackthis zu scannen, besonderer anlass? Hat dein hoffentlich vorhandener Virenscanner nichts gemeldet?

0.
poste das log
http://virus-protect.org/artikel/tools/fixwareout.html

0.1.
poste dieses log
http://www.f-secure.com/blacklight/
starte die Datei, nimm die Lizenzbestimmung an und waehle scan, wenn es mit dem Scan fertig ist, druecke next und danach close. Nun befindet sich im selben Ordner von Blacklight eine FSB*.TXT Datei

1.
Erstellen eines Hijackthis-Logfiles
http://computercops.biz/zx/Merijn/hijackthis.zip
http://virus-protect.org/hjtkurz.html
Lade/entpacke HijackThis in einem Ordner
--> None of the above just start the program --> Save--> Savelog -->es öffnet sich der Editor
nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"

2.
Folgen den Anweisungen unter
http://virus-protect.org/cleanup.html
und stelle den CleanUp genauso ein, wie dort angegeben, dann den Rechner neustarten (so werden die temporaeren Dateien geloescht)

3.
combofix anwenden, auch die Datentraegerbereinigung durchfuehren lassen + den Scanreport abkopieren und im Beitrag posten
http://virus-protect.org/artikel/tools/combofix.html

4.
Logfiles mittels datfind.bat erstellen und posten (abkopieren)
Exakte Anleitung unter: http://virus-protect.org/datfindbat.html
Kopiere diese 4 erstellten Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere je Logfile nur die letzten 3 Monate ab !)
Dieser Beitrag wurde am 02.10.2006 um 23:40 Uhr von Terementor editiert.
Seitenanfang Seitenende
02.10.2006, 23:50
technorocker
...neu hier

Themenstarter

Beiträge: 8
#3 hört sich sehr kompliziert an, aber ich wer es natürlich versuchen...Vielen Dank für deine Hilfe...
Ich mache den test Einmal die Woche, meisten Sonntags....Virenscanner hab ich natürlich auch, aber ich mache den test zusätzlich...

Danke, gruß Matthias
Seitenanfang Seitenende
03.10.2006, 02:00
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 ich brauche alle diese logs, dann kann die reinigung beginnen ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
03.10.2006, 11:32
Terementor
Member

Beiträge: 130
#5 mit poste die logs war gemeint sie hier rein zu posten ;) tu ich das halt mal für dich^^

Hijack Logfile

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
c:\programme\gemeinsame dateien\logitech\lvmvfm\LVPrcSrv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Gemeinsame Dateien\TerraTec\Remote\TTTVRC.exe
C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0S2.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\System32\LVCOMSX.EXE
C:\Programme\Logitech\Video\CameraAssistant.exe
C:\WINDOWS\System32\ElkCtrl.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
E:\progordner\Common\bin\WinCinemaMgr.exe
E:\progordner\Ulead Systems\Ulead Photo Express 2 SE\CalCheck.exe
C:\WINDOWS\System32\wuauclt.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\Microsoft Office\Office\WINWORD.EXE
C:\WINDOWS\msagent\AgentSvr.exe
C:\Programme\systemprog\hijack2\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.de/0SEDEDE/SAOS01
R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programme\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.4000.1001\de\msntb.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [PE2CKFNT SE] e:\progordner\Ulead Systems\Ulead Photo Express 2 SE\ChkFont.exe
O4 - HKLM\..\Run: [Ptipbmf] rundll32.exe ptipbmf.dll,SetWriteCacheMode
O4 - HKLM\..\Run: [TerraTec Remote Control] "C:\Programme\Gemeinsame Dateien\TerraTec\Remote\TTTVRC.exe"
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [EPSON Stylus C66 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0S2.EXE /P23 "EPSON Stylus C66 Series" /O6 "USB001" /M "Stylus C66"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\System32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechCameraAssistant] C:\Programme\Logitech\Video\CameraAssistant.exe
O4 - HKLM\..\Run: [LogitechVideo[inspector]] C:\Programme\Logitech\Video\InstallHelper.exe /inspect
O4 - HKLM\..\Run: [LogitechCameraService(E)] C:\WINDOWS\System32\ElkCtrl.exe /automation
O4 - HKLM\..\Run: [lkqvv.exe] C:\WINDOWS\System32\lkqvv.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: ATI CATALYST System Tray.lnk = C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = E:\progordner\Common\bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Photo Express Calendar Checker SE.lnk = E:\progordner\Ulead Systems\Ulead Photo Express 2 SE\CalCheck.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{08CB000A-7A75-4092-B062-158213F05C01}: NameServer = 85.255.116.148,85.255.112.226
O17 - HKLM\System\CCS\Services\Tcpip\..\{1884EAE3-53DF-4A0A-9139-9C4A3C0F7314}: NameServer = 85.255.116.148,85.255.112.226
O17 - HKLM\System\CCS\Services\Tcpip\..\{544236D1-365C-4374-985F-9E74605D1899}: NameServer = 85.255.116.148,85.255.112.226
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.116.148 85.255.112.226
O17 - HKLM\System\CS1\Services\Tcpip\..\{08CB000A-7A75-4092-B062-158213F05C01}: NameServer = 85.255.116.148,85.255.112.226
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.116.148 85.255.112.226
O17 - HKLM\System\CS2\Services\Tcpip\..\{08CB000A-7A75-4092-B062-158213F05C01}: NameServer = 85.255.116.148,85.255.112.226
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.148 85.255.112.226
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\System32\drivers\CDAC11BA.EXE
O23 - Service: Logitech Process Monitor (LVPrcSrv) - Logitech Inc. - c:\programme\gemeinsame dateien\logitech\lvmvfm\LVPrcSrv.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe


ComboFix

06.09.28 - Running from: "C:\Dokumente und Einstellungen\Matthias\Desktop"

((((((((((((((((((((((((((((((( Files Created from 2006-09-03 to 2006-10-03 ))))))))))))))))))))))))))))))))))


2006-09-27 16:12 39,424 -ra------ C:\WINDOWS\system32\drivers\LVUSBSta.sys
2006-09-27 16:12 380,928 -ra------ C:\WINDOWS\system32\LVUI2RC.dll
2006-09-27 16:12 287,360 -ra------ C:\WINDOWS\system32\drivers\LV561AV.SYS
2006-09-27 16:12 217,088 -ra------ C:\WINDOWS\system32\LVUI2.dll
2006-09-27 16:12 204,800 -ra------ C:\WINDOWS\system32\lvcodec2.dll
2006-09-27 16:12 2,180,096 -ra------ C:\WINDOWS\system32\drivers\lvsvf2.sys
2006-09-27 16:12 2,112 -ra------ C:\WINDOWS\system32\Repository.reg
2006-09-27 16:12 110,592 -ra------ C:\WINDOWS\system32\lvcoinst.dll
2006-09-27 16:08 997,888 --a------ C:\WINDOWS\system32\wmvdmoe2.dll
2006-09-27 16:08 892,416 --a------ C:\WINDOWS\system32\wmspdmoe.dll
2006-09-27 16:08 82,432 --a------ C:\WINDOWS\system32\drmstor.dll
2006-09-27 16:08 816,264 --a------ C:\WINDOWS\system32\wmvdmod.dll
2006-09-27 16:08 81,408 --a------ C:\WINDOWS\system32\logagent.exe
2006-09-27 16:08 760,968 --a------ C:\WINDOWS\system32\wmsdmod.dll
2006-09-27 16:08 678,912 --a------ C:\WINDOWS\system32\drmv2clt.dll
2006-09-27 16:08 670,208 --a------ C:\WINDOWS\system32\wmadmoe.dll
2006-09-27 16:08 6,656 --a------ C:\WINDOWS\system32\laprxy.dll
2006-09-27 16:08 486,536 --a------ C:\WINDOWS\system32\wmspdmod.dll
2006-09-27 16:08 410,248 --a------ C:\WINDOWS\system32\wmadmod.dll
2006-09-27 16:08 384,512 --a------ C:\WINDOWS\system32\mp4sdmod.dll
2006-09-27 16:08 316,040 --a------ C:\WINDOWS\system32\mp43dmod.dll
2006-09-27 16:08 301,712 --a------ C:\WINDOWS\system32\drmclien.dll
2006-09-27 16:08 253,952 --a------ C:\WINDOWS\system32\msnetobj.dll
2006-09-27 16:08 241,664 --a------ C:\WINDOWS\system32\qasf.dll
2006-09-27 16:08 241,664 --a------ C:\WINDOWS\system32\mpg4dmod.dll
2006-09-27 16:08 232,960 --a------ C:\WINDOWS\system32\blackbox.dll
2006-09-27 16:08 143,360 --a------ C:\WINDOWS\system32\wmidx.dll
2006-09-27 16:08 1,111,040 --a------ C:\WINDOWS\system32\wmsdmoe2.dll
2006-09-27 16:07 245,824 -ra------ C:\WINDOWS\system32\InstExec.exe
2006-09-27 16:07 245,824 -ra------ C:\WINDOWS\Instexec.exe
2006-09-27 16:06 82,432 --a------ C:\WINDOWS\system32\msxml4r.dll
2006-09-27 16:06 65,536 --a------ C:\WINDOWS\system32\MFC71DEU.DLL
2006-09-27 16:06 57,344 --a------ C:\WINDOWS\system32\ElkCtlPS.dll
2006-09-27 16:06 44,544 --a------ C:\WINDOWS\system32\msxml4a.dll
2006-09-27 16:06 40,960 --a------ C:\WINDOWS\system32\VxLibRes.dll
2006-09-27 16:06 348,160 --a------ C:\WINDOWS\system32\msvcr71.dll
2006-09-27 16:06 323,584 --a------ C:\WINDOWS\system32\CamCplRes.dll
2006-09-27 16:06 262,144 --a------ C:\WINDOWS\system32\ElkCtrl.exe
2006-09-27 16:06 152,576 --a------ C:\WINDOWS\system32\VxLib.dll
2006-09-27 16:06 135,680 --a------ C:\WINDOWS\system32\VLib.dll
2006-09-27 16:06 1,645,320 --a------ C:\WINDOWS\system32\gdiplus.dll
2006-09-27 16:06 1,233,920 --a------ C:\WINDOWS\system32\msxml4.dll
2006-09-16 10:18 466,200 --a------ C:\WINDOWS\system32\wuapi.dll
2006-09-16 10:18 41,240 --a------ C:\WINDOWS\system32\wups.dll
2006-09-16 10:18 194,840 --a------ C:\WINDOWS\system32\wuaueng1.dll
2006-09-16 10:18 174,872 --a------ C:\WINDOWS\system32\wuauclt1.exe
2006-09-16 10:18 173,536 --a------ C:\WINDOWS\system32\wuweb.dll
2006-09-16 10:18 128,280 --a------ C:\WINDOWS\system32\wucltui.dll


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2006-10-02 23:54 -------- d-------- C:\Programme\systemprog
2006-10-02 23:54 -------- d-------- C:\Dokumente und Einstellungen\Matthias\Anwendungsdaten\Skype
2006-09-27 23:41 -------- d-------- C:\Dokumente und Einstellungen\Matthias\Anwendungsdaten\AdobeUM
2006-09-27 16:08 -------- d-------- C:\Programme\Windows Media Player
2006-09-27 16:07 -------- d-------- C:\Programme\Gemeinsame Dateien\Logitech
2006-09-27 16:06 -------- d--h----- C:\Programme\InstallShield Installation Information
2006-09-27 16:06 -------- d-------- C:\Programme\Logitech
2006-09-27 16:06 -------- d-------- C:\Programme\Gemeinsame Dateien
2006-09-27 03:15 -------- d-------- C:\Dokumente und Einstellungen\Matthias\Anwendungsdaten\LaCie
2006-09-27 03:14 -------- d-------- C:\Dokumente und Einstellungen\Matthias\Anwendungsdaten\ATI
2006-09-26 19:05 -------- d---s---- C:\Dokumente und Einstellungen\Matthias\Anwendungsdaten\Microsoft
2006-09-26 19:05 -------- d-------- C:\Programme\Mediafour
2006-09-26 19:05 -------- d-------- C:\Programme\LaCie
2006-09-26 19:03 -------- d-------- C:\Programme\Internet Explorer
2006-09-16 10:18 -------- d--h----- C:\Programme\WindowsUpdate
2006-09-07 12:54 57384 --a------ C:\WINDOWS\system32\avsda.dll


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\ctfmon.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
@=""
"ATICCC"="\"C:\\Programme\\ATI Technologies\\ATI.ACE\\cli.exe\" runtime"
"NeroCheck"="C:\\WINDOWS\\System32\\\\NeroCheck.exe"
"PE2CKFNT SE"="e:\\progordner\\Ulead Systems\\Ulead Photo Express 2 SE\\ChkFont.exe"
"Ptipbmf"="rundll32.exe ptipbmf.dll,SetWriteCacheMode"
"TerraTec Remote Control"="\"C:\\Programme\\Gemeinsame Dateien\\TerraTec\\Remote\\TTTVRC.exe\""
"Adobe Photo Downloader"="\"C:\\Programme\\Adobe\\Photoshop Album Starter Edition\\3.0\\Apps\\apdproxy.exe\""
"SunJavaUpdateSched"="C:\\Programme\\Java\\jre1.5.0_06\\bin\\jusched.exe"
"EPSON Stylus C66 Series"="C:\\WINDOWS\\System32\\spool\\DRIVERS\\W32X86\\3\\E_S4I0S2.EXE /P23 \"EPSON Stylus C66 Series\" /O6 \"USB001\" /M \"Stylus C66\""
"avgnt"="\"C:\\Programme\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min"
"LVCOMSX"="C:\\WINDOWS\\System32\\LVCOMSX.EXE"
"LogitechCameraAssistant"="C:\\Programme\\Logitech\\Video\\CameraAssistant.exe"
"LogitechVideo[inspector]"="C:\\Programme\\Logitech\\Video\\InstallHelper.exe /inspect"
"LogitechCameraService(E)"="C:\\WINDOWS\\System32\\ElkCtrl.exe /automation"
"lkqvv.exe"="C:\\WINDOWS\\System32\\lkqvv.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MAPI]
"NoChange"="1"
"Installed"="1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000001

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,00,01,00,00,00,00,00,00,00,04,00,00,e2,03,00,00,00,\
00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:04,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,ff,ff,00,00,ff,ff,00,00,ff,ff,ff,ff,ff,ff,\
ff,ff,04,00,00,00
"RestoredStateInfo"=hex:18,00,00,00,6a,02,00,00,23,00,00,00,a4,00,00,00,9a,00,\
00,00,01,00,00,00

[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"
@=""
"ATICCC"="\"C:\\Programme\\ATI Technologies\\ATI.ACE\\cli.exe\" runtime"

[HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"
@=""
"ATICCC"="\"C:\\Programme\\ATI Technologies\\ATI.ACE\\cli.exe\" runtime"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\Run]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001

[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"
"CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"


Hier meine Logfiles.

Verzeichnis von C:\WINDOWS\system32

01.10.2006 18:30 2.184 wpa.dbl
27.09.2006 16:13 1.719 lvcoinst.log
26.09.2006 19:05 52.764 perfc009.dat
26.09.2006 19:05 391.000 perfh007.dat
26.09.2006 19:05 380.350 perfh009.dat
26.09.2006 19:05 63.580 perfc007.dat
26.09.2006 19:05 897.954 PerfStringBackup.INI
07.09.2006 12:54 57.384 avsda.dll
05.01.2006 08:13 152.576 VxLib.dll
05.01.2006 08:07 135.680 VLib.dll
05.01.2006 08:04 40.960 VxLibRes.dll
05.01.2006 07:56 350.720 camcpl.cpl
05.01.2006 07:47 323.584 CamCplRes.dll
05.01.2006 07:32 1.645.320 gdiplus.dll


Verzeichnis von C:\DOKUME~1\Matthias\LOKALE~1\Temp

03.10.2006 00:09 16.384 ~DF8F91.tmp
03.10.2006 00:08 512 ~DF2A9.tmp
03.10.2006 00:08 512 ~DFFE64.tmp
03.10.2006 00:07 16.384 Perflib_Perfdata_82c.dat
03.10.2006 00:07 16.384 Perflib_Perfdata_3cc.dat
5 Datei(en) 50.176 Bytes
0 Verzeichnis(se), 8.328.884.224 Bytes frei


Verzeichnis von C:\WINDOWS

03.10.2006 00:07 649.192 WindowsUpdate.log
03.10.2006 00:07 629 ULEAD32.INI
03.10.2006 00:07 0 0.log
03.10.2006 00:06 159 wiadebug.log
03.10.2006 00:06 50 wiaservc.log
03.10.2006 00:06 2.048 bootstat.dat
03.10.2006 00:05 32.488 SchedLgU.Txt
02.10.2006 18:35 1.051 CDPlayer.INI
27.09.2006 16:13 84.080 setupapi.log
27.09.2006 16:08 25.025 wmsetup.log
27.09.2006 16:08 316.640 WMSysPr9.prx
27.09.2006 16:08 299.552 WMSysPrx.prx
26.09.2006 21:14 1.442 COM+.log
25.09.2006 15:27 9.662 EPISME00.SWB
25.01.2006 17:09 33.779 svcpack.log
21.01.2006 22:22 1.033.701 setupapi.log.0.old
19.01.2006 21:33 167.663 Directx.log
16.01.2006 17:36 8 ftk2.itd


Verzeichnis von C:\

03.10.2006 00:16 0 sys.txt
03.10.2006 00:16 5.588 system.txt
03.10.2006 00:16 516 systemtemp.txt
03.10.2006 00:15 95.922 system32.txt
03.10.2006 00:11 9.344 ComboFix.txt
03.10.2006 00:06 1.610.612.736 pagefile.sys
15.12.2005 13:36 822 DlubalProtocolConfig.cfg
Seitenanfang Seitenende
03.10.2006, 11:59
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 ««
poste das log
http://virus-protect.org/artikel/tools/fixwareout.html

««
poste dieses log
http://www.f-secure.com/blacklight/
starte die Datei, nimm die Lizenzbestimmung an und waehle scan, wenn es mit dem Scan fertig ist, druecke next und danach close. Nun befindet sich im selben Ordner von Blacklight eine FSB*.TXT Datei
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
03.10.2006, 12:33
technorocker
...neu hier

Themenstarter

Beiträge: 8
#7 erstes post:


Fixwareout ver 1.003
Last edited 8/11/2006
Post this report in the forums please

Reg Entries that were deleted
...

Random Runs removed from HKLM
...

PLEASE NOTE, There WILL be LEGITIMATE FILES LISTED. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE.

»»»»» Searching by size/names...

»»»»»
Search five digit cs, dm and jb files.
This WILL/CAN also list Legit Files, Submit them at Virustotal

Other suspects.
Directory of C:\WINDOWS\system32

»»»»» Misc files.

»»»»» Checking for older varients covered by the Rem3 tool.
Seitenanfang Seitenende
03.10.2006, 12:45
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 poste dieses log
http://www.f-secure.com/blacklight/
starte die Datei, nimm die Lizenzbestimmung an und waehle scan, wenn es mit dem Scan fertig ist, druecke next und danach close. Nun befindet sich im selben Ordner von Blacklight eine FSB*.TXT Datei
__________
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
03.10.2006, 12:48
technorocker
...neu hier

Themenstarter

Beiträge: 8
#9 post Nr.2

10/03/06 12:41:19 [Info]: BlackLight Engine 1.0.47 initialized
10/03/06 12:41:19 [Info]: OS: 5.1 build 2600 ()
10/03/06 12:41:19 [Note]: 7019 4
10/03/06 12:41:19 [Note]: 7005 0
10/03/06 12:41:21 [Note]: 7006 0
10/03/06 12:41:22 [Note]: 7011 1788
10/03/06 12:41:22 [Note]: 7026 0
10/03/06 12:41:22 [Note]: 7026 0
10/03/06 12:41:27 [Note]: FSRAW library version 1.7.1020
10/03/06 12:43:01 [Note]: 2000 1012
10/03/06 12:43:58 [Note]: 7007 0

entschuldige, ich wollte die andere mit postem, hier hab ich sie ;)

Danke @ Terminator fürs weiterleiten.
Mfg Matthias
Seitenanfang Seitenende
03.10.2006, 16:57
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#10 1.
gehe in die registry
Start - Ausfuehren - regedit

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"lkqvv.exe"=" --> loeschen

2.
avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein

Zitat

Files to delete:
C:\WINDOWS\System32\lkqvv.exe
Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

3.
öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

Zitat

R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)

O4 - HKLM\..\Run: [lkqvv.exe] C:\WINDOWS\System32\lkqvv.exe

O17 - HKLM\System\CCS\Services\Tcpip\..\{08CB000A-7A75-4092-B062-158213F05C01}: NameServer = 85.255.116.148,85.255.112.226
O17 - HKLM\System\CCS\Services\Tcpip\..\{1884EAE3-53DF-4A0A-9139-9C4A3C0F7314}: NameServer = 85.255.116.148,85.255.112.226
O17 - HKLM\System\CCS\Services\Tcpip\..\{544236D1-365C-4374-985F-9E74605D1899}: NameServer = 85.255.116.148,85.255.112.226
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.116.148 85.255.112.226
O17 - HKLM\System\CS1\Services\Tcpip\..\{08CB000A-7A75-4092-B062-158213F05C01}: NameServer = 85.255.116.148,85.255.112.226
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.116.148 85.255.112.226
O17 - HKLM\System\CS2\Services\Tcpip\..\{08CB000A-7A75-4092-B062-158213F05C01}: NameServer = 85.255.116.148,85.255.112.226
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.148 85.255.112.226
Bei Netzwerk/Eigenschaften des Internetprotokolls steht denn auch IP und DNS automatisch beziehen - anhaken

85.255.116.148 85.255.112.226 - muss raus !

1. Click Start > Control Panel
2. Double-click Network Connections.

-----------

F-Secure Online Scanner Next Generation Beta
http://support.f-secure.com/enu/home/ols3.shtml

1. Klicke den Link: "F-Secure Online Scanner Next Generation Beta".
2. Du wirst aufgefordert werden, ein ActiveX-Control zu installieren
3. Installiere diese ActiveX-Komponente
4. Lies die Anleitung und klicke: "Accept"
5. Klicke "Full System Scan"
6. klicke "Show report" - kopiere den Scanreport
+
poste das neue Log vom HijackThis
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
03.10.2006, 18:55
technorocker
...neu hier

Themenstarter

Beiträge: 8
#11 Hallo

F-Secure Report:

Result: 5 malware found
Tracking Cookie (spyware)

* System (Disinfected)
* System
* System
* System
* System

Statistics
Scanned:

* Files: 21551
* System: 3845
* Not scanned: 3

Actions:

* Disinfected: 1
* Renamed: 0
* Deleted: 0
* None: 4
* Submitted: 0

Files not scanned:

* C:\PAGEFILE.SYS
* C:\WINDOWS\SYSTEM32\CONFIG\DEFAULT
* C:\WINDOWS\SOFTWAREDISTRIBUTION\EVENTCACHE\{9A486202-A605-4D76-8663-6F55EA9EA659}.BIN

Options
Scanning engines:

* F-Secure AVP: 6.0.171, 2006-10-03
* F-Secure Libra: 2.4.1, 2006-09-29
* F-Secure Orion: 1.2.37, 2006-10-03
* F-Secure Blacklight: 1.0.31, 0000-00-00
* F-Secure Pegasus: 1.19.0, 2006-08-29
* F-Secure Draco: 1.0.35, 0259-24-212

Scanning options:

* Scan defined files: COM EXE SYS OV? BIN SCR DLL SHS HTM HTML HTT VBS JS INF VXD DO? XL? RTF CPL WIZ HTA PP? PWZ P?T MSO PIF . ACM ASP AX CNV CSC DRV INI MDB MPD MPP MPT OBD OBT OCX PCI TLB TSP WBK WBT WPC WSH VWP WML BOO HLP TD0 TT6 MSG ASD JSE VBE WSC CHM EML PRC SHB LNK WSF {* PDF ZL? XML ZIP XXX
* Use Advanced heuristics

Hijackthis-Logfile:

Logfile of HijackThis v1.99.1
Scan saved at 18:43:23, on 03.10.2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
c:\programme\gemeinsame dateien\logitech\lvmvfm\LVPrcSrv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Gemeinsame Dateien\TerraTec\Remote\TTTVRC.exe
C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0S2.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\System32\LVCOMSX.EXE
C:\Programme\Logitech\Video\CameraAssistant.exe
C:\WINDOWS\System32\ElkCtrl.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
E:\progordner\Common\bin\WinCinemaMgr.exe
E:\progordner\Ulead Systems\Ulead Photo Express 2 SE\CalCheck.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\systemprog\hijack2\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.de/0SEDEDE/SAOS01
R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programme\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\de\msntb.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\de\msntb.dll
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [PE2CKFNT SE] e:\progordner\Ulead Systems\Ulead Photo Express 2 SE\ChkFont.exe
O4 - HKLM\..\Run: [Ptipbmf] rundll32.exe ptipbmf.dll,SetWriteCacheMode
O4 - HKLM\..\Run: [TerraTec Remote Control] "C:\Programme\Gemeinsame Dateien\TerraTec\Remote\TTTVRC.exe"
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [EPSON Stylus C66 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0S2.EXE /P23 "EPSON Stylus C66 Series" /O6 "USB001" /M "Stylus C66"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\System32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechCameraAssistant] C:\Programme\Logitech\Video\CameraAssistant.exe
O4 - HKLM\..\Run: [LogitechVideo[inspector]] C:\Programme\Logitech\Video\InstallHelper.exe /inspect
O4 - HKLM\..\Run: [LogitechCameraService(E)] C:\WINDOWS\System32\ElkCtrl.exe /automation
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: ATI CATALYST System Tray.lnk = C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = E:\progordner\Common\bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Photo Express Calendar Checker SE.lnk = E:\progordner\Ulead Systems\Ulead Photo Express 2 SE\CalCheck.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {9D190AE6-C81E-4039-8061-978EBAD10073} (F-Secure Online Scanner 3.0) - http://support.f-secure.com/ols3/fscax.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\System32\drivers\CDAC11BA.EXE
O23 - Service: Logitech Process Monitor (LVPrcSrv) - Logitech Inc. - c:\programme\gemeinsame dateien\logitech\lvmvfm\LVPrcSrv.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

Ich denke das sieht ganz gut aus, oder was meinst du ? Ich hab nur die Datei lkvv.exe nicht finden können, als sie mit dem Programm '' avenger '' gelöscht werden sollte. So konnte sie auch nicht mit dem Programm gelöscht werden. In der regestry hab ich sie gelöscht. Bevor ich die Instruktionen bekommen habe, hatte ich versucht '' lkvv.exe '' im system32-ordner zu löschen, dies wurde mir aber verweigert und die datei war danach auch noch vorhanden.

Die Netzwerkeinstellungen waren schon so, wie du sie mir angegeben hast. Und die IP: 85.255.116.148 85.255.112.226 hab ich nirgens sehen können.

Gruß Matthias
Seitenanfang Seitenende
04.10.2006, 01:09
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#12 1.
fixe mit dem HijackThis

R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)

-------------------

2.
Start > Ausfuehren --> reinschreiben --> cmd.exe
und ok. kopiere rein und poste alles, was im Texteditor erscheint

dir /s /a "c:\lkqvv*.*" > c:\find.txt & start notepad c:\find.txt



«
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
04.10.2006, 15:36
technorocker
...neu hier

Themenstarter

Beiträge: 8
#13 Hallo,

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 6489-C49D

Mfg Matthias
Seitenanfang Seitenende
04.10.2006, 15:41
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#14 die exe scheint nicht vorhanden zu sein...findest du sie noch unter windows ???
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
04.10.2006, 20:19
technorocker
...neu hier

Themenstarter

Beiträge: 8
#15 Hallo,

nein ich kann sie nicht finden

Mfg Matthias
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
Seite(n): 12