You are not logged in.

Wednesday, April 23rd 2014, 1:59pm

Dear visitor, welcome to Avira Support Forum. If this is your first visit here, please read the Help. It explains in detail how this page works. To use all features of this page, you should consider registering. Please use the registration form, to register here or read more information about the registration process. If you are already registered, please login here.

  • "Klicker" started this thread

Date of registration:
Sep 16th 2011

Operating System:
Windows XP Home Service Pack 3

  • Send private message

1

Friday, September 16th 2011, 12:13pm

Antirootkit Tool - seltsamer Taskmanager Prozess

Hi :)

bin neu hier und stell zum Einstand gleich mal ne Frage :)

Wenn ich das Antirootkit Tool starte,startet im Taskmanger ein seltsamer Prozess.
z.b.kjjphmna.exe oder ihgyyxer.exe oder oxbmkihw.exe.
Es sind immer 8 Buchstaben die neben dem Prozess
starten.Beende ich diesen,schließt sich auch das Antirootkit Tool.
Scans mit Antimalware und Avira Personal Free haben keine Ergebnisse gebracht.
Ebenso wenig Spybot Search & Destroy oder HiJackThis.

Soll das so sein oder kann ich meinen PC wegwerfen? :D


Danke für eure bemühungen :)

Rajo

Moderator

Date of registration:
Jun 12th 2006

Operating System:
Mac - Linux - Windows XP Pro SP3 - PUPPY 4.12 AUFM STICK

  • Send private message

2

Friday, September 16th 2011, 12:52pm

Anleitung MALWAREBYTES -

Programmdownload:
http://download.bleepingcomputer.com/mal…/mbam-setup.exe



Installiere und Starte das Programm - Vista Windows 7 user bitte als Administrator >> Mausrechtsklick !
mache ein online update
Das Programm holt aktuellsten Virendefinitionen automatisch
schliesse ALLE Anwendungen - Auch deinen Browser !
auch Avira

Rechtsklick in den schirm > bei avira guard aktivieren den haken raus
und ruhe is ...... =)
............................

Druecke Starte SCAN >> QUICKSCAN
Warte bis der Scan durchgelaufen ist


GANZ WICHTIG !

Nun alles entfernen (die Funde) - und das log
bitte hier ins Forum posten






Rajo


Mach das bitte mal gleich - dann weiss man in 15 min. mehr ...........

  • "Klicker" started this thread

Date of registration:
Sep 16th 2011

Operating System:
Windows XP Home Service Pack 3

  • Send private message

3

Friday, September 16th 2011, 2:19pm

Hi Rajo :)

Danke :)


Malwarebytes' Anti-Malware 1.51.1.1800
www.malwarebytes.org

Datenbank Version: 7726

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

16.09.2011 13:54:42
mbam-log-2011-09-16 (13-54-42).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 148808
Laufzeit: 5 Minute(n), 51 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)


Ich habe nichts entfernt da er nichts gefunden hat.

Rajo

Moderator

Date of registration:
Jun 12th 2006

Operating System:
Mac - Linux - Windows XP Pro SP3 - PUPPY 4.12 AUFM STICK

  • Send private message

4

Friday, September 16th 2011, 6:40pm

Wenn ich das Antirootkit Tool starte,startet im Taskmanger ein seltsamer Prozess.
z.b.kjjphmna.exe oder ihgyyxer.exe oder oxbmkihw.exe.


Das stammt dann ziemlich eindeutig vom Tool - ich kann das hier auf windwos 64 nicht nachvollziehen -
weil es hier nicht läuft

ansonsten sieht alles o.K- aus Malware bytes als 2 te Meinung sollte auf dem Rechner bleiben - alle
10 Tage mal damit checken :thumbup:

Rajo :)

  • "Klicker" started this thread

Date of registration:
Sep 16th 2011

Operating System:
Windows XP Home Service Pack 3

  • Send private message

5

Friday, September 16th 2011, 6:54pm

OK,alles klar :)

Vielen Dank dir :D

MS67

Community member

  • Send private message

6

Monday, September 19th 2011, 5:32pm

Das stammt dann ziemlich eindeutig vom Tool - ich kann das hier auf windwos 64 nicht nachvollziehen -
weil es hier nicht läuft


Hallo Klicker
Ich muss Rajo Recht geben
Habe es auf ein windows Xp pro 32 bit getestet
und die Prozesse mal angeschaut als das tool lief
was ich mal fragen wollte
du hast drei exe angegeben was für eine lief auf
dein system

Harald.L

Community member

Date of registration:
Jan 31st 2006

Operating System:
Windows 7 Ultimate x64 SP1

  • Send private message

7

Monday, September 19th 2011, 7:16pm

Das mit dem "seltsamen Namen" ist normal und beabsichtigt. Dieser Task taucht auf sobald man einen Scan startet. Der Grund für den zufälligen Namen ist, daß manche Schädlinge gezielt Erkennungsprogramme mit bestimmten Namen blockieren. Darum muß man auf manchen befallenen Rechner auch Tools wie Hijackthis, MBAM, Combofix usw. umbenennen um sie starten zu können. Das Rootkit-Tool macht dies automatisch um Behinderungen aufgrund des EXE-Namens zu umgehen.

Im Taskmanager unter Prozesse steht hinter dem Prozess mit dem Zufallsnamen in der Spalte Beschreibung auch "Avira AntiRootkit Tool".

@MS67: Ich habe es gerade eben hier unter Win7 64bit laufen lassen, läuft ohne Probleme.
In der Firma: AntiVir Professional Security 2014 Mehrfachlizenzen unter WinXP+Win7 mit AMC Avira Management Console im Einsatz
Zuhause: Avira Free Antivirus MSE unter Win7 x64 (jedenfalls solange bei Avira Free Komponenten der Ask-Toolbar dabei sind und diese Slideups rechts unten so unsäglich nerven)

This post has been edited 2 times, last edit by "Harald.L" (Sep 19th 2011, 7:18pm)


MS67

Community member

  • Send private message

8

Friday, September 23rd 2011, 4:53pm

Vielen Dank



Bitte
aber mal ne frage
war kein report dabei
hier mein report
Files: 1/23025
Registry items: 2/144733
Processes: 0/35
Scan time: 00:01:30
--------------------------------------------------------------------------------------------------------
Active processes:
- System (PID 4)
- svchost.exe (PID 1308)
- avguard.exe (PID 1756)
- csrss.exe (PID 928)
- services.exe (PID 996)
- avwebgrd.exe (PID 1684)
- avshadow.exe (PID 2040)
- winlogon.exe (PID 952)
- avmailc.exe (PID 1424)
- svchost.exe (PID 1168)
- svchost.exe (PID 1496)
- explorer.exe (PID 416)
- avfwsvc.exe (PID 1744)
- smss.exe (PID 564)
- smax4pnp.exe (PID 624)
- hkcmd.exe (PID 648)
- igfxpers.exe (PID 656)
- avgnt.exe (PID 664)
- ctfmon.exe (PID 672)
- svchost.exe (PID 1264)
- lsass.exe (PID 1008)
- svchost.exe (PID 1376)
- alg.exe (PID 1400)
- spoolsv.exe (PID 1596)
- sched.exe (PID 1644)
- wuauclt.exe (PID 2204)
- wscntfy.exe (PID 2368)
- taskmgr.exe (PID 2604)
- avirarkd.exe (PID 2668)
- iveypajt.exe (PID 2680) (Avira AntiRootkit Tool)
- vssvc.exe (PID 2744)
- dllhost.exe (PID 2780)
- dllhost.exe (PID 2856)
- msdtc.exe (PID 2972)
- rsmsink.exe (PID 3388)
========================================================================================================
- Scan finished Montag, 19. September 2011 - 17:03:32
========================================================================================================
Avira AntiRootkit Tool (1.3.0.1)

========================================================================================================
- Scan started Montag, 19. September 2011 - 17:05:01
========================================================================================================

--------------------------------------------------------------------------------------------------------
Configuration:
--------------------------------------------------------------------------------------------------------
- [X] Scan files
- [X] Scan registry
- [X] Scan processes
- [X] Fast scan
- Working disk total size : 37.24 GB
- Working disk free size : 31.80 GB (85 %)
--------------------------------------------------------------------------------------------------------

Scan task finished. No hidden objects detected!

--------------------------------------------------------------------------------------------------------
Files: 0/21181
Registry items: 0/6950
Processes: 0/35
Scan time: 00:00:30
--------------------------------------------------------------------------------------------------------
Active processes:
- System (PID 4)
- svchost.exe (PID 1308)
- avguard.exe (PID 1756)
- csrss.exe (PID 928)
- services.exe (PID 996)
- avwebgrd.exe (PID 1684)
- avshadow.exe (PID 2040)
- winlogon.exe (PID 952)
- avmailc.exe (PID 1424)
- svchost.exe (PID 1168)
- svchost.exe (PID 1496)
- explorer.exe (PID 416)
- avfwsvc.exe (PID 1744)
- smss.exe (PID 564)
- smax4pnp.exe (PID 624)
- hkcmd.exe (PID 648)
- igfxpers.exe (PID 656)
- avgnt.exe (PID 664)
- ctfmon.exe (PID 672)
- svchost.exe (PID 1264)
- lsass.exe (PID 1008)
- svchost.exe (PID 1376)
- alg.exe (PID 1400)
- spoolsv.exe (PID 1596)
- sched.exe (PID 1644)
- wuauclt.exe (PID 2204)
- wscntfy.exe (PID 2368)
- taskmgr.exe (PID 2604)
- avirarkd.exe (PID 2668)
- iveypajt.exe (PID 2680) (Avira AntiRootkit Tool)
- vssvc.exe (PID 2744)
- dllhost.exe (PID 2780)
- dllhost.exe (PID 2856)
- msdtc.exe (PID 2972)
- rsmsink.exe (PID 3744)
========================================================================================================
- Scan finished Montag, 19. September 2011 - 17:05:31
========================================================================================================

MS67

Community member

  • Send private message

9

Saturday, January 21st 2012, 2:58pm

Hallo
Habe heute mal das avira rootkit laufen
lassen
und was schrechkliches gesehn

Der report
Avira AntiRootkit Tool (1.3.0.1)

========================================================================================================
- Scan started Samstag, 21. Januar 2012 - 14:45:49
========================================================================================================

--------------------------------------------------------------------------------------------------------
Configuration:
--------------------------------------------------------------------------------------------------------
- [X] Scan files
- [X] Scan registry
- [X] Scan processes
- [ ] Fast scan
- Working disk total size : 74.53 GB
- Working disk free size : 39.51 GB (53 %)
--------------------------------------------------------------------------------------------------------

Results:
Hidden file : c:\windows\system32\ntmsdata\ntmsjrnl
Embedded nulls : HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32
Hidden value : HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32 -> threadingmodel
Hidden value : HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32 -> cd042efbbd7f7af1647644e76e06692b
Embedded nulls : HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32
Hidden value : HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32 -> threadingmodel
Hidden value : HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32 -> bca643cdc5c2726b20d2ecedcc62c59b
Embedded nulls : HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32
Hidden value : HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32 -> threadingmodel
Hidden value : HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32 -> 2c81e34222e8052573023a60d06dd016
Embedded nulls : HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32
Hidden value : HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32 -> threadingmodel
Hidden value : HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32 -> 2582ae41fb52324423be06337561aa48
Embedded nulls : HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32
Hidden value : HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32 -> threadingmodel
Hidden value : HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32 -> caaeda5fd7a9ed7697d9686d4b818472
Embedded nulls : HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32
Hidden value : HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32 -> threadingmodel
Hidden value : HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32 -> a4a1bcf2cc2b8bc3716b74b2b4522f5d
Embedded nulls : HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32
Hidden value : HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32 -> threadingmodel
Hidden value : HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32 -> 4d370831d2c43cd13623e232fed27b7b
Embedded nulls : HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32
Hidden value : HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32 -> threadingmodel
Hidden value : HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32 -> 1d68fe701cdea33e477eb204b76f993d
Embedded nulls : HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32
Hidden value : HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32 -> threadingmodel
Hidden value : HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32 -> 1fac81b91d8e3c5aa4b0a51804d844a3
Embedded nulls : HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32
Hidden value : HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32 -> threadingmodel
Hidden value : HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32 -> f5f62a6129303efb32fbe080bb27835b
Embedded nulls : HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32
Hidden value : HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32 -> threadingmodel
Hidden value : HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32 -> fd4e2e1a3940b94dceb5a6a021f2e3c6
Embedded nulls : HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32
Hidden value : HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32 -> threadingmodel
Hidden value : HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32 -> 8a8aec57dd6508a385616fbc86791ec2
Embedded nulls : HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\System
Hidden value : HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\System -> oosafeerase02.00.00.01mswindows
Hidden value : HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\System -> oodefrag11.00.00.01workstation
Hidden value : HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\System -> oosafeerase04.00.00.01mswindows
Hidden value : HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\System -> oodefrag12.00.00.01professional
Files: 1/51723
Registry items: 41/248592
Processes: 0/57
Scan time: 00:05:03
--------------------------------------------------------------------------------------------------------
Active processes:
- SYSTEM (PID 4)
- lsass.exe (PID 1444)
- services.exe (PID 1432)
- msdtc.exe (PID 3448)
- vssvc.exe (PID 3184)
- explorer.exe (PID 2604)
- svchost.exe (PID 2000)
- svchost.exe (PID 1732)
- svchost.exe (PID 1776)
- svchost.exe (PID 1636)
- wmplayer.exe (PID 2256)
- rsmsink.exe (PID 2544)
- plugin-container.exe (PID 3908)
- winlogon.exe (PID 1388)
- avguard.exe (PID 1068)
- igfxpers.exe (PID 3016)
- avirarkd.exe (PID 2844)
- avshadow.exe (PID 1252)
- firefox.exe (PID 2324)
- TuneUpUtilitiesApp32.exe (PID 964)
- ACDaemon.exe (PID 3232)
- dllhost.exe (PID 1000)
- avmailc.exe (PID 584)
- avwebgrd.exe (PID 608)
- spoolsv.exe (PID 756)
- sched.exe (PID 804)
- dllhost.exe (PID 1860)
- TPHKSVC.exe (PID 916)
- avgnt.exe (PID 3208)
- jzvesafp.exe (PID 3424) (Avira AntiRootkit Tool)
- avfwsvc.exe (PID 1044)
- ACService.exe (PID 1028)
- csrss.exe (PID 1356)
- FsUsbExService.Exe (PID 1152)
- svchost.exe (PID 1220)
- smss.exe (PID 1236)
- svchost.exe (PID 1276)
- alg.exe (PID 1196)
- TMMonitor.exe (PID 2432)
- SMAgent.exe (PID 716)
- hkcmd.exe (PID 3172)
- TuneUpUtilitiesService32.exe (PID 124)
- SynTPEnh.exe (PID 2960)
- ibmpmsvc.exe (PID 1604)
- wdfmgr.exe (PID 1676)
- svchost.exe (PID 1868)
- avira_antivir_antirootkit_en.exe (PID 2828)
- TPOSDSVC.exe (PID 1496)
- NPSAgent.exe (PID 1512)
- SMax4PNP.exe (PID 2980)
- SynTPLpr.exe (PID 2896)
- tpfnf6r.exe (PID 3056)
- igfxtray.exe (PID 3108)
- TPONSCR.exe (PID 1760)
- ctfmon.exe (PID 3128)
- TpScrex.exe (PID 3088)
- Watch.exe (PID 3568)
========================================================================================================
- Scan finished Samstag, 21. Januar 2012 - 14:50:53


Muss ich jetzt angst haben das ein rootkit auf mein system ist :( ;(