Avira Support Forum

Hi

bin neu hier und stell zum Einstand gleich mal ne Frage

Wenn ich das Antirootkit Tool starte,startet im Taskmanger ein seltsamer Prozess.
z.b.kjjphmna.exe oder ihgyyxer.exe oder oxbmkihw.exe.
Es sind immer 8 Buchstaben die neben dem Prozess
starten.Beende ich diesen,schließt sich auch das Antirootkit Tool.
Scans mit Antimalware und Avira Personal Free haben keine Ergebnisse gebracht.
Ebenso wenig Spybot Search & Destroy oder HiJackThis.

Soll das so sein oder kann ich meinen PC wegwerfen?


Danke für eure bemühungen

Anleitung MALWAREBYTES -

Programmdownload:
http://download.bleepingcomputer.com/mal…/mbam-setup.exe



Installiere und Starte das Programm - Vista Windows 7 user bitte als Administrator >> Mausrechtsklick !
mache ein online update
Das Programm holt aktuellsten Virendefinitionen automatisch
schliesse ALLE Anwendungen - Auch deinen Browser !
auch Avira
Rechtsklick in den schirm > bei avira guard aktivieren den haken raus
und ruhe is ...... =)
............................

Druecke Starte SCAN >> QUICKSCAN
Warte bis der Scan durchgelaufen ist


GANZ WICHTIG !

Nun alles entfernen (die Funde) - und das log
bitte hier ins Forum posten






Rajo


Mach das bitte mal gleich - dann weiss man in 15 min. mehr ...........

Hi Rajo

Danke


Malwarebytes' Anti-Malware 1.51.1.1800
www.malwarebytes.org

Datenbank Version: 7726

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

16.09.2011 13:54:42
mbam-log-2011-09-16 (13-54-42).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 148808
Laufzeit: 5 Minute(n), 51 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)


Ich habe nichts entfernt da er nichts gefunden hat.

Quoted from "Klicker"

Wenn ich das Antirootkit Tool starte,startet im Taskmanger ein seltsamer Prozess.
z.b.kjjphmna.exe oder ihgyyxer.exe oder oxbmkihw.exe.

Das stammt dann ziemlich eindeutig vom Tool - ich kann das hier auf windwos 64 nicht nachvollziehen -
weil es hier nicht läuft

ansonsten sieht alles o.K- aus Malware bytes als 2 te Meinung sollte auf dem Rechner bleiben - alle
10 Tage mal damit checken

Rajo

OK,alles klar

Vielen Dank dir

Quoted from "Rajo"

Das stammt dann ziemlich eindeutig vom Tool - ich kann das hier auf windwos 64 nicht nachvollziehen -
weil es hier nicht läuft

Hallo Klicker
Ich muss Rajo Recht geben
Habe es auf ein windows Xp pro 32 bit getestet
und die Prozesse mal angeschaut als das tool lief
was ich mal fragen wollte
du hast drei exe angegeben was für eine lief auf
dein system

Das mit dem "seltsamen Namen" ist normal und beabsichtigt. Dieser Task taucht auf sobald man einen Scan startet. Der Grund für den zufälligen Namen ist, daß manche Schädlinge gezielt Erkennungsprogramme mit bestimmten Namen blockieren. Darum muß man auf manchen befallenen Rechner auch Tools wie Hijackthis, MBAM, Combofix usw. umbenennen um sie starten zu können. Das Rootkit-Tool macht dies automatisch um Behinderungen aufgrund des EXE-Namens zu umgehen.

Im Taskmanager unter Prozesse steht hinter dem Prozess mit dem Zufallsnamen in der Spalte Beschreibung auch "Avira AntiRootkit Tool".

@MS67: Ich habe es gerade eben hier unter Win7 64bit laufen lassen, läuft ohne Probleme.

Quoted from "Klicker"

Vielen Dank

Bitte
aber mal ne frage
war kein report dabei
hier mein report
Files: 1/23025
Registry items: 2/144733
Processes: 0/35
Scan time: 00:01:30
--------------------------------------------------------------------------------------------------------
Active processes:
- System (PID 4)
- svchost.exe (PID 130
- avguard.exe (PID 1756)
- csrss.exe (PID 92
- services.exe (PID 996)
- avwebgrd.exe (PID 1684)
- avshadow.exe (PID 2040)
- winlogon.exe (PID 952)
- avmailc.exe (PID 1424)
- svchost.exe (PID 116
- svchost.exe (PID 1496)
- explorer.exe (PID 416)
- avfwsvc.exe (PID 1744)
- smss.exe (PID 564)
- smax4pnp.exe (PID 624)
- hkcmd.exe (PID 64
- igfxpers.exe (PID 656)
- avgnt.exe (PID 664)
- ctfmon.exe (PID 672)
- svchost.exe (PID 1264)
- lsass.exe (PID 100
- svchost.exe (PID 1376)
- alg.exe (PID 1400)
- spoolsv.exe (PID 1596)
- sched.exe (PID 1644)
- wuauclt.exe (PID 2204)
- wscntfy.exe (PID 236
- taskmgr.exe (PID 2604)
- avirarkd.exe (PID 266
- iveypajt.exe (PID 2680) (Avira AntiRootkit Tool)
- vssvc.exe (PID 2744)
- dllhost.exe (PID 2780)
- dllhost.exe (PID 2856)
- msdtc.exe (PID 2972)
- rsmsink.exe (PID 338
========================================================================================================
- Scan finished Montag, 19. September 2011 - 17:03:32
========================================================================================================
Avira AntiRootkit Tool (1.3.0.1)

========================================================================================================
- Scan started Montag, 19. September 2011 - 17:05:01
========================================================================================================

--------------------------------------------------------------------------------------------------------
Configuration:
--------------------------------------------------------------------------------------------------------
- [X] Scan files
- [X] Scan registry
- [X] Scan processes
- [X] Fast scan
- Working disk total size : 37.24 GB
- Working disk free size : 31.80 GB (85 %)
--------------------------------------------------------------------------------------------------------

Scan task finished. No hidden objects detected!

--------------------------------------------------------------------------------------------------------
Files: 0/21181
Registry items: 0/6950
Processes: 0/35
Scan time: 00:00:30
--------------------------------------------------------------------------------------------------------
Active processes:
- System (PID 4)
- svchost.exe (PID 130
- avguard.exe (PID 1756)
- csrss.exe (PID 92
- services.exe (PID 996)
- avwebgrd.exe (PID 1684)
- avshadow.exe (PID 2040)
- winlogon.exe (PID 952)
- avmailc.exe (PID 1424)
- svchost.exe (PID 116
- svchost.exe (PID 1496)
- explorer.exe (PID 416)
- avfwsvc.exe (PID 1744)
- smss.exe (PID 564)
- smax4pnp.exe (PID 624)
- hkcmd.exe (PID 64
- igfxpers.exe (PID 656)
- avgnt.exe (PID 664)
- ctfmon.exe (PID 672)
- svchost.exe (PID 1264)
- lsass.exe (PID 100
- svchost.exe (PID 1376)
- alg.exe (PID 1400)
- spoolsv.exe (PID 1596)
- sched.exe (PID 1644)
- wuauclt.exe (PID 2204)
- wscntfy.exe (PID 236
- taskmgr.exe (PID 2604)
- avirarkd.exe (PID 266
- iveypajt.exe (PID 2680) (Avira AntiRootkit Tool)
- vssvc.exe (PID 2744)
- dllhost.exe (PID 2780)
- dllhost.exe (PID 2856)
- msdtc.exe (PID 2972)
- rsmsink.exe (PID 3744)
========================================================================================================
- Scan finished Montag, 19. September 2011 - 17:05:31
========================================================================================================

Hallo
Habe heute mal das avira rootkit laufen
lassen
und was schrechkliches gesehn

Der report
Avira AntiRootkit Tool (1.3.0.1)

========================================================================================================
- Scan started Samstag, 21. Januar 2012 - 14:45:49
========================================================================================================

--------------------------------------------------------------------------------------------------------
Configuration:
--------------------------------------------------------------------------------------------------------
- [X] Scan files
- [X] Scan registry
- [X] Scan processes
- [ ] Fast scan
- Working disk total size : 74.53 GB
- Working disk free size : 39.51 GB (53 %)
--------------------------------------------------------------------------------------------------------

Results:
Hidden file : c:\windows\system32\ntmsdata\ntmsjrnl
Embedded nulls : HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32
Hidden value : HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32 -> threadingmodel
Hidden value : HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32 -> cd042efbbd7f7af1647644e76e06692b
Embedded nulls : HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32
Hidden value : HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32 -> threadingmodel
Hidden value : HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32 -> bca643cdc5c2726b20d2ecedcc62c59b
Embedded nulls : HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32
Hidden value : HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32 -> threadingmodel
Hidden value : HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32 -> 2c81e34222e8052573023a60d06dd016
Embedded nulls : HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32
Hidden value : HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32 -> threadingmodel
Hidden value : HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32 -> 2582ae41fb52324423be06337561aa48
Embedded nulls : HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32
Hidden value : HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32 -> threadingmodel
Hidden value : HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32 -> caaeda5fd7a9ed7697d9686d4b818472
Embedded nulls : HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32
Hidden value : HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32 -> threadingmodel
Hidden value : HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32 -> a4a1bcf2cc2b8bc3716b74b2b4522f5d
Embedded nulls : HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32
Hidden value : HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32 -> threadingmodel
Hidden value : HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32 -> 4d370831d2c43cd13623e232fed27b7b
Embedded nulls : HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32
Hidden value : HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32 -> threadingmodel
Hidden value : HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32 -> 1d68fe701cdea33e477eb204b76f993d
Embedded nulls : HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32
Hidden value : HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32 -> threadingmodel
Hidden value : HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32 -> 1fac81b91d8e3c5aa4b0a51804d844a3
Embedded nulls : HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32
Hidden value : HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32 -> threadingmodel
Hidden value : HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32 -> f5f62a6129303efb32fbe080bb27835b
Embedded nulls : HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32
Hidden value : HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32 -> threadingmodel
Hidden value : HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32 -> fd4e2e1a3940b94dceb5a6a021f2e3c6
Embedded nulls : HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32
Hidden value : HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32 -> threadingmodel
Hidden value : HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32 -> 8a8aec57dd6508a385616fbc86791ec2
Embedded nulls : HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\System
Hidden value : HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\System -> oosafeerase02.00.00.01mswindows
Hidden value : HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\System -> oodefrag11.00.00.01workstation
Hidden value : HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\System -> oosafeerase04.00.00.01mswindows
Hidden value : HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\System -> oodefrag12.00.00.01professional
Files: 1/51723
Registry items: 41/248592
Processes: 0/57
Scan time: 00:05:03
--------------------------------------------------------------------------------------------------------
Active processes:
- SYSTEM (PID 4)
- lsass.exe (PID 1444)
- services.exe (PID 1432)
- msdtc.exe (PID 344
- vssvc.exe (PID 3184)
- explorer.exe (PID 2604)
- svchost.exe (PID 2000)
- svchost.exe (PID 1732)
- svchost.exe (PID 1776)
- svchost.exe (PID 1636)
- wmplayer.exe (PID 2256)
- rsmsink.exe (PID 2544)
- plugin-container.exe (PID 390
- winlogon.exe (PID 138
- avguard.exe (PID 106
- igfxpers.exe (PID 3016)
- avirarkd.exe (PID 2844)
- avshadow.exe (PID 1252)
- firefox.exe (PID 2324)
- TuneUpUtilitiesApp32.exe (PID 964)
- ACDaemon.exe (PID 3232)
- dllhost.exe (PID 1000)
- avmailc.exe (PID 584)
- avwebgrd.exe (PID 60
- spoolsv.exe (PID 756)
- sched.exe (PID 804)
- dllhost.exe (PID 1860)
- TPHKSVC.exe (PID 916)
- avgnt.exe (PID 320
- jzvesafp.exe (PID 3424) (Avira AntiRootkit Tool)
- avfwsvc.exe (PID 1044)
- ACService.exe (PID 102
- csrss.exe (PID 1356)
- FsUsbExService.Exe (PID 1152)
- svchost.exe (PID 1220)
- smss.exe (PID 1236)
- svchost.exe (PID 1276)
- alg.exe (PID 1196)
- TMMonitor.exe (PID 2432)
- SMAgent.exe (PID 716)
- hkcmd.exe (PID 3172)
- TuneUpUtilitiesService32.exe (PID 124)
- SynTPEnh.exe (PID 2960)
- ibmpmsvc.exe (PID 1604)
- wdfmgr.exe (PID 1676)
- svchost.exe (PID 186
- avira_antivir_antirootkit_en.exe (PID 282
- TPOSDSVC.exe (PID 1496)
- NPSAgent.exe (PID 1512)
- SMax4PNP.exe (PID 2980)
- SynTPLpr.exe (PID 2896)
- tpfnf6r.exe (PID 3056)
- igfxtray.exe (PID 310
- TPONSCR.exe (PID 1760)
- ctfmon.exe (PID 312
- TpScrex.exe (PID 308
- Watch.exe (PID 356
========================================================================================================
- Scan finished Samstag, 21. Januar 2012 - 14:50:53


Muss ich jetzt angst haben das ein rootkit auf mein system ist