rlvknlg.exe: Gefährlich oder nicht?

german_freaky

Lieutenant
Registriert
Okt. 2006
Beiträge
1.002
Tach zusammen!
Ich habe gerade skype gestartet und meldete sich so eine Art Sicherheitssystem von Skype und sagte, dass das Programm "rlvknlg.exe" versucht auf Skype zuzugreifen.
In der folgenden Auswahl wählte ich "Programm nicht zulassen und blocken" (oder so ähnlich) aus (sicher ist sicher!).
Daraufhin habe ich ein wenig gegoogelt und schon ein paar Beiträge in anderen Foren gefunden, jedoch konnte ich nirgends klar herauslesen, ob es sich bei dieser Datei nun um einen Virus etc. handelt oder nicht.
Ich habe meine Prozesse mit Avira Antivir checken lassen und der fand nichts (allerdings habe ich momentan probleme mit Updates, sprich es könnte sein, dass meinem Antivirpogramm diese Virendefinitionsdatei noch fehlt...).
Ich habe den Prozess im Taskmanager beendet, worauf mein Firefox nicht mehr reagierte und beendet werden musste.
Meines Erachtens nach ist das Programm nun "ruhig gestellt", zumindest sehe ich nicht mehr davon, aber in den Beiträgen die ich gefunden hatte, wurde beschrieben, dass sich das Programm wieder von alleine starten kann.

Deswegen meine Frage: Kennst ihr diesen Prozess? Und weiß jemand ob es sich dabei um einen Virus handelt und wie man ihn ggf. sicher entfernen kann?

edit: Wenn ich den Prozess beende, dann spinnt mein Firefox völlig: ich kann nichts mehr in die Adresszeile eingeben, alle Links die ich anklicke werden automatisch gedownloadet ohne zu fragen,... Deswegen habe ich notgedrungen den prozess wieder ausgeführt und jetzt funktioniert wieder mein Firefox... seltsam


MfG german_freaky
 
Zuletzt bearbeitet:
Schau dir mal diese Seite an. Da sollte dir schon geholfen werden: Klick mich
 
Geh in den abgesichterden Modus mit Netzwerk und suche die Datei (Normalerweise unter C:/Windows, benutz die Windows-Suche.

Kopiere sie auf den Desktop und uploade sie dann auf www.virustotal.com.

Teile uns das vollständige Scan-Ergebnis von Virustotal.com mit (alles).

Sollte das wirklich ein Schädling sein, so ist das Entfernen sinnfrei. Über diverse Sicherheitsforen kann man erfahren, dass dieser Schädling evtl. eine Backdoor-Routine beinhaltete. Einzige Bereinigungsform -> Neuinstallation von Windows.

mfg,
Markus
 
@ markus1234: Danke für den Tipp! Habe die Datei gefunden und lade sie gerade hoch (Warteschlange).
ich poste dann das Ergebniss, sobald ich es habe.


MfG german_freaky
 
Also das Eregniss ist nun da:

http://www.onlinestuffs.com/pictureupload/picview21.php?pic=z8ywj14h2ev3eqlq4dr1.jpg

Das sieht ja nicht gerade gut aus, oder? :(

/edit: Habe das selbe Bild nochmal bei einem anderen Hoster hochgeladen, da der Server vom ersten Hoster wohl ziemlich lahm ist: http://www.abload.de/image.php?img=screenshotfti.jpg

/edit2: Ups, ich habe das ganze ja jetzt ohne den abgesicherten Modus gemacht, ist das schlimm? *sichschäm*

/edit3: @ markus1234: Muss ich jetzt WinXP neuinstallieren?


MfG german_freaky
 
Zuletzt bearbeitet:
Ich würde meine, auf das Netzwerk/ Internet zugreifenden Prozesse, mittels einer Auswertung eines HiJackThis Logs überprüfen. Ggf. schadhafte Einträge im Log, der Registry und/ oder befallene Dateien löschen. Rebooten und prüfen ob sich Schädlinge wiederherstellen.
http://www.hijackthis.de/
http://www.trojaner-info.de/anleitungen/hijackthis/htlogtutorial.html

Eine Neuinstallation ist bei einem Trojaner/ Backdoorinfektion bei sicherheitsrelevanten Systemen (Onlinebanking/ Onlineshopping) sinnvoll. Ich würde zudem anschließend alle gespeicherten/ benutzten Passwörter ändern.
 
Ich benutze den PC nicht zum Onlinebanking, shopping, etc....
Sprich viel interessante Daten wird die Spyware nicht finden, trotzdem will ich nicht, dass die passwörter meiner e-mail-accounts, etc. für andere leute öffentlich werden... :(

Zu diesen HiJackThis Logs: Ich finde das hört sich recht kompliziert an und auch die Anleitung verstehe ich nicht ganz, trotz deutscher version... :freak:

Und das mit den passwörtern: Ach du sch*****, da kommt aber eine Menge arbeit auf mich zu :o
Also an den Passwörtern führt wohl kein Weg vorbei aber an den anderen Maßnahmen...
Geht das nicht ein wenig zeitsparender? :D

edit: habe mal ein Logfile angefertigt und in die Logfileauswertung kopiert: Da wird noch einiges mehr als gefährlich eingestuft :o
Was soll ich jetzt machen? Einfach alles fixen was die Logfileauswertung mit diesem roten Kreuz markiert hat? Oder muss ich da auf etwas achten?
Kann sich dieses Tool auch evtl. täuschen und zeigt mir einen normalen Win-Vorgang als Virus an?


MfG german_freaky
 
Zuletzt bearbeitet:
german_freaky schrieb:
Was soll ich jetzt machen?

Hmm, am Besten das Log hier posten. Dann kann der Eine oder Andere noch drüberschauen, bevor du zu Löschaktionen schreitest. Die Auswertung auf HiJackThis.de beruht auf Userbewertungen und muss nicht immer richtig sein. Die Anleitung von Trojaner-info ist imo nicht nur einen ersten Blick wert. Je nach Auswertung kann doch noch eine Neuinstallation sinnvoll/ nötig sein/ werden.

Ja, die Passwörter werden gerne vergessen. Spreche da aus leidlicher Erfahrung...
 
Also ich habe mir jetzt ein wenig selbst geholfen und habe zumindest mal das auch von hijackthis als spyware angezeigte programm rlvknlg.exe gefixt und neugestartet.
Also ich glaube das war die richtige entscheidung denn mein pc bootet immer noch ;) aber diese spyware taucht jetzt im taskmanager und in hijackthis nicht mehr auf. *besserfühl*
Allerdings tauchen immernoch 4 andere programme in hijackauf, die als gefährlich eingestuft werden, hier mal das Logfile (nachdem ich nun rlvknlg.exe entfernt habe):

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\AccSys\AccWLSvc.exe
E:\Programme\AntiVir PersonalEdition Classic\sched.exe
E:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
E:\Programme\Alcohol 120%\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\PROGRA~1\WLANMO~1\wlconfig.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
E:\programme\quicktime player\qttask.exe
E:\Programme\nhc\Notebook Hardware Control\nhc.exe
E:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
E:\Programme\Adobe Reader\3.0\Apps\apdproxy.exe
C:\Programme\Razer\razerhid.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\TGTSoft\StyleXP\StyleXP.exe
C:\Programme\Save\Save.exe
C:\Programme\Razer\razertra.exe
E:\Programme\HP\Digital Imaging\bin\hpohmr08.exe
C:\Programme\Razer\razerofa.exe
E:\Programme\HP\Digital Imaging\bin\hpotdd01.exe
E:\Programme\HP\Digital Imaging\bin\hpoevm08.exe
C:\WINDOWS\system32\wuauclt.exe
E:\Programme\HP\Digital Imaging\Bin\hpoSTS08.exe
C:\WINDOWS\system32\wuauclt.exe
E:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\NOTEPAD.EXE
E:\Programme\AntiVir PersonalEdition Classic\avcenter.exe
E:\Programme\AntiVir PersonalEdition Classic\update.exe
E:\Downloads\hijackthis_199\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.arcor.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: IeCatch5 Class - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - E:\PROGRA~1\FLASHGET\jccatch.dll
O2 - BHO: URLLink - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Programme\NewDotNet\newdotnet7_48.dll
O2 - BHO: gFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - E:\PROGRA~1\FLASHGET\getflash.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - E:\PROGRA~1\FLASHGET\fgiebar.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [wlconfig] C:\PROGRA~1\WLANMO~1\wlconfig.exe -autostart
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "E:\programme\quicktime player\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NotebookHardwareControl] "E:\Programme\nhc\Notebook Hardware Control\nhc.exe" -quiet
O4 - HKLM\..\Run: [avgnt] "E:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Adobe Photo Downloader] "E:\Programme\Adobe Reader\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [razer] C:\Programme\Razer\razerhid.exe
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,ClientStartup -s
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [StartCCC] C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [WhenUSave] "C:\Programme\Save\Save.exe"
O4 - Global Startup: Adobe Reader Speed Launch.lnk = E:\Programme\Adobe Reader\Reader\reader_sl.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = E:\Programme\Adobe Reader\Reader\AdobeCollabSync.exe
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O8 - Extra context menu item: Alles mit FlashGet laden - E:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: Mit FlashGet laden - E:\Programme\FlashGet\jc_link.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - E:\PROGRA~1\FLASHGET\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - E:\PROGRA~1\FLASHGET\flashget.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AccSys WiFi Server (AccWLSvc) - AccSys GmbH - C:\Programme\Gemeinsame Dateien\AccSys\AccWLSvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - E:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - E:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - E:\Programme\Alcohol 120%\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe

Und hier nun ein Screenshot von der Logfileauswertung: http://www.abload.de/image.php?img=screenshot2o9q.jpg

Welche programme soll ich jetzt davon löschen?
Und ist eine WinNeuinstallation wirklich nötig? :(


MfG german_freaky
 
> C:\Programme\Save\Save.exe

Bazille - weg damit. Vorher Befund überprüfen und scannen auf http://virusscan.jotti.org/de/. Die Datei und den Ordner löschen oder falls möglich über die Systemsteuerung deinstallieren. Den Eintrag im Log löschen (fixen).

> C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe

veraltetes Java - bitte aktuallisieren.

> E:\Programme\Adobe Reader\3.0\Apps\apdproxy.exe

Was ist das? Acrobat Reader3? Oder Teil von Acrobat? Photoshop? Derzeit ist Acrobat Reader 8 bzw. 7 aktuell.

> O2 - BHO: URLLink - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Programme\NewDotNet\newdotnet7_48.dll
> O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,ClientStartup -s


Spyware - weg damit. Falls vorhanden, neben dem Eintrag auch den Ordner und die Datei.

> O4 - HKCU\..\Run: [WhenUSave] "C:\Programme\Save\Save.exe"

Bazille - Weg damit.

> O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
> O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe


Google/ Wikipedia sagt das ist Bestandteil einer KDE? Was ist das?

Hoffe ich hab nichts übersehen.

So wie ich das sehe ist es nur Spyware. Kann mich aber auch täuschen. Habe kein Spybot und kein AdAware auf deiner Kiste gefunden. Ein Scan mit neusten Signaturen kann nicht schaden. DL hier auf CB. Spybot bitte stets Benutzerdefiniert und ohne Tea Timer installieren.

Ebenso ein Virenscan mit neusten Signaturen. Ggf. nach der Desinfektion den Virenscanner de-/ reinstallieren und aktuallisieren. Bei Problemen beim Neuinstallieren oder Aktuallisieren in jedem Fall: Neuaufsetzen, denn dann bist du nicht mehr Herr über deine Kiste.

Abschließend ein neues HiJackThis Log erstellen und analysieren.

Ein Entmüllen des Autostart wäre der Performance des Systems wahrscheinlich nicht abträglich.

Nettes Brennprogramm hast du :)
 
Spielkind schrieb:
> O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
> O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe


Google/ Wikipedia sagt das ist Bestandteil einer KDE? Was ist das?

ist vom notebook das touchpad, würde ich lassen ;)
 
Deswegen die Frage: Was ist das? Ich hab keinen Schleppi und kann nicht alles wissen. Google sagt, das wäre Bestandteil einer KDE und ich hatte Fragezeichen in den Augen... Der TO kennt seinen Rechner am Besten. Er sollte jeden Ratschlag vorher überdenken, statt sich auf "blinde" Löschaktionen einzulassen...
 
> ganz einfach per GOOGLE zu finden !

rlvknlg.exe Process Information
rlvknlg.exe - rlvknlg - Process Information

Process File: rlvknlg.exe or rlvknlg
Process Name: RelevantKnowledge Adware

Description:
rlvknlg.exe is a process belonging to RelevantKnowledge Adware. This process should be removed to ensure your personal privacy.


Click Here to Scan Your PC including rlvknlg.exe to Detect any Security Threat

Recommendation for rlvknlg.exe:
DISABLE AND REMOVE rlvknlg.exe IMMEDIATELY. This process is most likely an adware or spyware.


Author: RelevantKnowledge
Part Of: RelevantKnowledge Adware
 
@ Spielkind: Danke für die Hilfe! Werde die restlichen Sachen auch gleich entfernen.
Mein Virenscanner hat in der Zwischenzeit wieder seinen Dienst aufgenommen, sprich er kann wieder updaten (vlt. war daran ja dieses rlvknlg.exe schuld...). Und das werde ich auch nutzen, um mal wieder einen Komplettcheck durchführen zu lassen.
Autostart entleeren sollte eigentlich noch nicht nötig sein, habe meine Festplatte erst vor ca. 4 Wochen formatiert und WinXP neuinstalliert... Aber ich werde trotzdem nochmal drüberschauen, man verliert ja so leicht den Überblick. :(
Und WinXP neuinstallieren oder nicht? Werde es in absehbarer Zeit eh machen oder ist es dringend?
edit: Achso und die pws zu ändern darf ich nicht vergessen ...


@ Insanic: Stimmt, das ist das touchpad :)

@ testeron: ...diese sProblem ist ja (hoffentlich) schon behoben, falls du meinen letzten Beitrag gelesen hast, wüsstest du das ;)


MfG german_freaky
 
Zuletzt bearbeitet:
german_freaky schrieb:
Autostart entleeren sollte eigentlich noch nicht nötig sein, habe meine Festplatte erst vor ca. 4 Wochen formatiert und WinXP neuinstalliert...

Eben gerade nach einer Neuinstallation räume ich den Autostart auf. Viele Programme moggeln sich da hinein und der PC braucht ewig zum Starten. Man braucht z.B. ein Brennprogramm nur zum Brennen. Warum es also beim Start des PCs bereits starten? Nebenbei wird das Log übersichtlicher.

Und WinXP neuinstallieren oder nicht?

Mir ist nur Spyware aufgefallen. Deswegen die Empfehlung neben dem Virenscan mit AdAware und Spybot zu scannen. Ich kann aber auch falsch liegen! Ich würde in jeden Fall mehrfach mit einem HiJackThis Log prüfen, ob sich Schadsoftware nach einem Reboot wiederherstellt und auf das Netzwerk zugreift.

Bei einem reinen Spywarebefall ist es imo unwahrscheinlich das Passwörter ausspioniert wurden.
 
Hallo german_freaky.

Es reicht wenn du die genannten Einträge (mit Ausnahme der Touchpadsoftware) bereinigst (Mit Hijackthis scannen, Einträge mit Haken bestätigen und auf "Fix Checked" klicken).

Da es sich hier um Spyware handelt, iset das System selbst nicht kompromittiert (zzt. gibt es für jede Spyware stichfeste Entfernungsroutinen). Anders hätte es bei Backdoor-Funktionalität des Prozesses ausgesehen, worauf die unerwünschte, dauerhafte Aktivität hingewiesen hat.

mfg,
Markus
 
Also ich habe nun alles mit Hijackthis gefixt, was ihr mir gesagt habt.
Ich werde das Log weiterhin beobachten ob sich was tut und ich werde noch alternative Antivir-Systeme heranziehen... Passwörter ändern und fertig, oder habe ich etwas vergessen?

...Wow vielen Dank vorallem an euch Spielkind und markus1234! :daumen:
Hätte das ohne euch nie hinbekommen!


MfG german_freaky
 
Zurück
Oben