ComputerBase Menü
Aktuelles

Unbekannter Dienst / Datei "JORWXADM"

Steltek

Steltek

Cadet 3rd Year
Registriert
Aug. 2004
Beiträge
48
Hallo.

Ich weiß nicht seit wann, aber ich habe eben einen mir unbekannten Dienst unter WindowsXP gefunden, und weiß nicht was das ist. Google findet auch noch nichts.
Der Dienst heißt "JORWXADM", hat keine Beschreibung, Abhängigkeiten oder sonst brauchbare Informationen. Die auszuführende Datei ist auch nicht mehr da:

"C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\JORWXADM.exe"
Sollte ausgeführt werden unter "Lokales System", manueller Start.

Ist jemand schon einmal dieser Datei/Dienst untergekommen?


Danke.


EDIT:

Folgende Programme (cthelper Zusammenstellung) haben alle keine Malware im Rechner gefunden, bzw. Einträge gefunden, die ich nicht kenne oder zuordnen konnte:

Avira Antivir
Blacklight_2.2.1092.0
Gmer_1.0.15.15641
HijackThis v2.0.2
MaliciousSoftwareRemoval_4.7
McAfeeStinger_2012-04-23
RootkitRevealer_1.71
SpybotSD_1.6.2
 
Zuletzt bearbeitet:
Beenden, raussuchen und löschen, Dienste aus den temporären Dateien sind immer Würmer/Viren/Trojaner, da würd ich nicht lang fackeln.
 
Warscheinlich ein Trojaner/Virus, etc... Der Name muss nichts aussagen; aber eine *.exe im Autostart oder als Dienst; die sich in einem Temp-Ordner befindet; ist schon mal verdächtig...

edit:
Beenden, raussuchen und löschen, Dienste aus den temporären Dateien sind immer Würmer/Viren/Trojaner, da würd ich nicht lang fackeln.
Zum Vergrößern anklicken....
*unterschreib*
 
Natürlich sehr verdächtig, nur die Datei ist nicht mehr zu finden. Alles was ich noch machen kann, ist mit z.B. "autoruns" den Dienst löschen und ein paar Malware-Suchprogramme laufen zu lassen...

Dass die Datei im temp-Ordner des Admins lag, finde ich merkwürdig. Mit meinem eingeschränkten Account kann die Datei dort nur schwer gelandet sein, deswegen hoffe ich, dass es von irgendeiner von mir angestoßenen Installation kommt.
 
Zuletzt bearbeitet:
Gehe in den abgesicherten Modus,beende den Dienst in der Verwaltung-Dienste und dann lösche den Inhalt vom Temp-Ordner

Diesen Tipp habe ich im Netz gefunden:

hier nach deinem Dienst suchem- Win+R Taste, regedit eingeben und zu diesem Schlüssel gehen

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services

dienst suchen und löschen

Nach einem Neustart ist der Dienst aus der Liste verschwunden.
 
Zuletzt bearbeitet: (hab was vergessen)
Folgendes habe ich noch in der Registry gefunden nachdem ich den Dienst selbst mit "autoruns" gelöscht habe:

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_JORWXADM
Class: LegacyDriver
ClassGUID: {8ECC055D-047F-11D1-A537-0000F8753ED1}
DeviceDesc: JORWXADM

Das konnte erst mit Änderungen an den Berechtigungen dieses keys gelöscht werden. Eine Liste welche Programme alle ein "OK" und grünes Licht nach ihren Scan gegeben haben, folgt noch...


EDIT:

Folgende Programme (cthelper Zusammenstellung) haben alle keine Malware im Rechner gefunden, bzw. Einträge gefunden, die ich nicht kenne oder zuordnen konnte:

Avira Antivir
Blacklight_2.2.1092.0
Gmer_1.0.15.15641
HijackThis v2.0.2
MaliciousSoftwareRemoval_4.7
McAfeeStinger_2012-04-23
RootkitRevealer_1.71
SpybotSD_1.6.2
 
Zuletzt bearbeitet:
hallo,
der eintrag stammt vom rootkitrevealer.
zum vergleich:
dds.scr schrieb:
D:\Dokumente und Einstellungen\***\Eigene Dateien\RootkitRevealer171\RootkitRevealer.exe
D:\DOKUME~1\***\LOKALE~1\Temp\NATMK.exe
R3 NATMK;NATMK;d:\dokume~1\***\lokale~1\temp\NATMK.exe
Zum Vergrößern anklicken....
 

Anhänge

  • rr.PNG
    rr.PNG
    5,3 KB · Aufrufe: 239
emlyn d. schrieb:
hallo,
der eintrag stammt vom rootkitrevealer.
Zum Vergrößern anklicken....

Ich sehe jetzt nicht, wieso der Rootkitrevealer namentlich etwas mit "JORWXADM" zu tun haben soll. Denn dann wäre die ganze Geschichte prima ausgegangen wenn man das dem Programm zuordnen könnte...
 
Zuletzt bearbeitet:
die geschichte geht prima aus;)

beim start des rootkitrevealers wird eine exe hier %temp% abgelegt.
der name dieser datei besteht wie der des dienstes aus "zufällig" zusammengewürfelten großbuchstaben.
das kannst du ganz einfach nachvollziehen:
rootkitrevealer ausführen, dann dds, dann beschreibung der exe anzeigen lassen.

weiteres beispiel:
dds.scr schrieb:
D:\Dokumente und Einstellungen\***\Eigene Dateien\RootkitRevealer171\RootkitRevealer.exe
D:\DOKUME~1\***\LOKALE~1\Temp\RAKS.exe
R3 RAKS;RAKS;d:\dokume~1\***\lokale~1\temp\RAKS.exe
Zum Vergrößern anklicken....
wie du sehen kannst, ist der name der exe mit dem des dienstes identisch.
 

Anhänge

  • rr2.PNG
    rr2.PNG
    4,4 KB · Aufrufe: 209
Mir ist diese Sache nicht geheuer, wenn ich sie so lese.

Ein Tool wie den RootKitRevealer installiert man bei Bedarf, und ich bin sicher, dass man so eine Maßnahme nicht vergessen wird.
Sicherlich kann ich nicht sagen wie oft du, Steltek, deine Dienste nachsiehst. Ich tue das meist dann wenn ein Tool das zu testen ist sich vermutlich im Autostart einnistet oder wenn ich routinemäßig (zugegeben, Betonung auf mäßig) MSConfig oder AutoRuns aufrufe.

Sollte ich also einen Grund haben ein Tool einzusetzen, das gegen RootKits gerichtet ist, habe ich schon ein mulmiges Gefühl. Denn liefert das einen Treffer ist der Zug längst abgefahren.

Daher stelle ich die Rückfrage in den Raum ob du, Steltek, tatsächlich das Tool installiert hast. Falls nämlich nicht braucht nur eine MalWare dasselbe Verhalten nach außen hin zu zeigen (Exe-Name und Dienst) und ist in bestimmter Weise getarnt.
Mangels bösartiger Software kenne ich auch die Abwehrtools nicht so gut, aber dass ein RootKitRevealer sich in Temp einsortiert kommt mir seltsam vor. Tut es das um MalWare zu täuschen wiederhole ich mein Fazit von oben: Es ist zu spät.

CN8
 
cumulonimbus8 schrieb:
Daher stelle ich die Rückfrage in den Raum ob du, Steltek, tatsächlich das Tool installiert hast.
Zum Vergrößern anklicken....
Steltek schrieb:
Folgende Programme (cthelper Zusammenstellung) haben alle keine Malware im Rechner gefunden, bzw. Einträge gefunden, die ich nicht kenne oder zuordnen konnte:
[...]
RootkitRevealer_1.71
Zum Vergrößern anklicken....
cumulonimbus8 schrieb:
dass ein RootKitRevealer sich in Temp einsortiert kommt mir seltsam vor.
Zum Vergrößern anklicken....
ob dir das seltsam vorkommt, ist irrelevant.
du kannst die geschichte gerne nachvollziehen(siehe meinen letzten beitrag).
 
emlyn d. schrieb:
beim start des rootkitrevealers wird eine exe hier %temp% abgelegt.
der name dieser datei besteht wie der des dienstes aus "zufällig" zusammengewürfelten großbuchstaben.
das kannst du ganz einfach nachvollziehen:
rootkitrevealer ausführen, dann dds, dann beschreibung der exe anzeigen lassen.
Zum Vergrößern anklicken....

Dass der Rootkitrevealer eine exe mit zufälligen Buchstaben als Programmnamen für seine Suche nutzt, wußte ich. Das Programm lasse ich zusammen mit "gmer" alle paar Monate mal laufen, ob noch alles in Ordnung ist...
Aber es wäre das allererste Mal, dass eines dieser Programme einen Hintergrunddienst anlegt. Das hat es noch nie gemacht und spricht sehr dagegen, dass dieser Dienst vom Rootkitrevealer kommt. Und bei dir gibt es sehr wahrscheinlich auch keinen solchen Dienst, der auf den zufälligen Programmnamen lautet. Da hätte man nach einem Jahr einige davon.

cumulonimbus8 schrieb:
Daher stelle ich die Rückfrage in den Raum ob du, Steltek, tatsächlich das Tool installiert hast. Falls nämlich nicht braucht nur eine MalWare dasselbe Verhalten nach außen hin zu zeigen (Exe-Name und Dienst) und ist in bestimmter Weise getarnt.
Zum Vergrößern anklicken....

"Habe ich Rootkitrevealer installiert?" Nein, das läuft aus einem Programmordner heraus wie alle genannten (bis auf "Antivir") ohne jemals installiert worden zu sein.

Natürlich ist die ganze Situation Mist. Mir ist dieser Dienst auch nur zufällig über den Weg gelaufen. Wie lange das schon da war, keine Ahnung.
Das Programm ist halt nicht mehr da um von mir z.B. auf "virustotal" geprüft zu werden. Das wäre sonst einfacher da eine Entscheidung zu treffen.
 
Zuletzt bearbeitet:
bu1137 schrieb:
http://technet.microsoft.com/en-us/sysinternals/bb897445
Zum Vergrößern anklicken....
Vielen Dank, dass du die Information rausgesucht hast! Das war mir während der Scans des Programms nie aufgefallen, dass es einen neuen Dienst für die Dauer des Scans gibt.
Daher muss ich das Programm wohl einmal im Taskmanager gekillt haben und der Dienst wurde nicht ordentlich entfernt.

Danke an alle, die mir hier geholfen haben!
 
Zuletzt bearbeitet:
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

E
Unbekannter Dienst im AMD Ordner
Antworten
5
Aufrufe
4.232
eyefinity87
E
D
Unbekannter Dienst "DPZPAHG.exe"
Antworten
6
Aufrufe
1.370
werkam
W
F
Unbekannter Benutzer am Computer
Antworten
0
Aufrufe
761
Fritz-Frodo
F
A
unbekannter Dienst
Antworten
3
Aufrufe
1.053
spiro
S
A
unbekannter Dienst
Antworten
5
Aufrufe
1.031
august_burg
A

Passend zum Thema

Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 170 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz