Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: TR/Rootkit.Gen8 plötzlich erschienen

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

 
Alt 20.04.2012, 21:44   #1
tracker
 
TR/Rootkit.Gen8 plötzlich erschienen - Standard

TR/Rootkit.Gen8 plötzlich erschienen



Hallo,
mein Avira ANtivir meldet seit heute den Fund: TR/Rootkit.Gen8 // C:\Windows\System32\ntqunry6.sys

Ich habe mich selbstverständlich im Internet schlau gemacht was dieser Trojaner genau bedeutet und bin da nicht sonderlich erfreut, weil in vielen Foren wurde meistens ein neuauflegen des Systems empfohlen. Das möchte ich aber wenn es möglich ist vermeiden und wende mich daher aus Empfehlung von diversen Foren hier an dieses Forum.

Ich würde mich freuen wenn ihr mir helfen könntet.

Übrigens hier ist mein ANtivir Scan:

Zitat:
Avira Free Antivirus
Erstellungsdatum der Reportdatei: Freitag, 20. April 2012 21:51

Es wird nach 3663566 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer : Avira AntiVir Personal - Free Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows 7
Windowsversion : (Service Pack 1) [6.1.7601]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : MS-PC

Versionsinformationen:
BUILD.DAT : 12.0.0.898 41963 Bytes 31.01.2012 13:51:00
AVSCAN.EXE : 12.1.0.20 492496 Bytes 15.02.2012 18:41:39
AVSCAN.DLL : 12.1.0.18 65744 Bytes 15.02.2012 18:41:38
LUKE.DLL : 12.1.0.19 68304 Bytes 15.02.2012 18:41:40
AVSCPLR.DLL : 12.1.0.22 100048 Bytes 15.02.2012 18:41:42
AVREG.DLL : 12.1.0.36 229128 Bytes 05.04.2012 16:08:55
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 19:18:34
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 10:07:39
VBASE002.VDF : 7.11.19.170 14374912 Bytes 20.12.2011 14:53:47
VBASE003.VDF : 7.11.21.238 4472832 Bytes 01.02.2012 14:44:03
VBASE004.VDF : 7.11.26.44 4329472 Bytes 28.03.2012 16:08:52
VBASE005.VDF : 7.11.26.45 2048 Bytes 28.03.2012 16:08:54
VBASE006.VDF : 7.11.26.46 2048 Bytes 28.03.2012 16:08:56
VBASE007.VDF : 7.11.26.47 2048 Bytes 28.03.2012 16:08:56
VBASE008.VDF : 7.11.26.48 2048 Bytes 28.03.2012 16:08:56
VBASE009.VDF : 7.11.26.49 2048 Bytes 28.03.2012 16:08:56
VBASE010.VDF : 7.11.26.50 2048 Bytes 28.03.2012 16:08:57
VBASE011.VDF : 7.11.26.51 2048 Bytes 28.03.2012 16:08:57
VBASE012.VDF : 7.11.26.52 2048 Bytes 28.03.2012 16:08:57
VBASE013.VDF : 7.11.26.53 2048 Bytes 28.03.2012 16:08:57
VBASE014.VDF : 7.11.26.107 221696 Bytes 30.03.2012 16:09:25
VBASE015.VDF : 7.11.26.179 224768 Bytes 02.04.2012 16:08:34
VBASE016.VDF : 7.11.26.241 142336 Bytes 04.04.2012 16:10:27
VBASE017.VDF : 7.11.27.41 247808 Bytes 08.04.2012 19:47:33
VBASE018.VDF : 7.11.27.107 161280 Bytes 12.04.2012 19:47:42
VBASE019.VDF : 7.11.27.159 148992 Bytes 13.04.2012 19:47:44
VBASE020.VDF : 7.11.27.201 207360 Bytes 17.04.2012 13:35:29
VBASE021.VDF : 7.11.28.3 237568 Bytes 19.04.2012 13:36:20
VBASE022.VDF : 7.11.28.4 2048 Bytes 19.04.2012 13:36:20
VBASE023.VDF : 7.11.28.5 2048 Bytes 19.04.2012 13:36:20
VBASE024.VDF : 7.11.28.6 2048 Bytes 19.04.2012 13:36:20
VBASE025.VDF : 7.11.28.7 2048 Bytes 19.04.2012 13:36:20
VBASE026.VDF : 7.11.28.8 2048 Bytes 19.04.2012 13:36:20
VBASE027.VDF : 7.11.28.9 2048 Bytes 19.04.2012 13:36:20
VBASE028.VDF : 7.11.28.10 2048 Bytes 19.04.2012 13:36:21
VBASE029.VDF : 7.11.28.11 2048 Bytes 19.04.2012 13:36:22
VBASE030.VDF : 7.11.28.12 2048 Bytes 19.04.2012 13:36:22
VBASE031.VDF : 7.11.28.44 124928 Bytes 20.04.2012 13:36:09
Engineversion : 8.2.10.52
AEVDF.DLL : 8.1.2.2 106868 Bytes 03.12.2011 19:31:57
AESCRIPT.DLL : 8.1.4.17 446842 Bytes 20.04.2012 13:37:16
AESCN.DLL : 8.1.8.2 131444 Bytes 27.01.2012 14:40:48
AESBX.DLL : 8.2.5.5 606579 Bytes 12.03.2012 14:58:41
AERDL.DLL : 8.1.9.15 639348 Bytes 08.09.2011 22:16:06
AEPACK.DLL : 8.2.16.9 807287 Bytes 30.03.2012 16:09:33
AEOFFICE.DLL : 8.1.2.27 201082 Bytes 04.04.2012 16:13:20
AEHEUR.DLL : 8.1.4.19 4673910 Bytes 20.04.2012 13:37:11
AEHELP.DLL : 8.1.19.1 254327 Bytes 02.04.2012 16:08:41
AEGEN.DLL : 8.1.5.27 422261 Bytes 20.04.2012 13:36:17
AEEXP.DLL : 8.1.0.29 82293 Bytes 12.04.2012 19:48:02
AEEMU.DLL : 8.1.3.0 393589 Bytes 01.09.2011 22:46:01
AECORE.DLL : 8.1.25.6 201078 Bytes 15.03.2012 14:56:39
AEBB.DLL : 8.1.1.0 53618 Bytes 01.09.2011 22:46:01
AVWINLL.DLL : 12.1.0.17 27344 Bytes 19.10.2011 15:55:51
AVPREF.DLL : 12.1.0.17 51920 Bytes 19.10.2011 15:55:48
AVREP.DLL : 12.1.0.17 179408 Bytes 19.10.2011 15:55:49
AVARKT.DLL : 12.1.0.23 209360 Bytes 15.02.2012 18:41:38
AVEVTLOG.DLL : 12.1.0.17 169168 Bytes 19.10.2011 15:55:47
SQLITE3.DLL : 3.7.0.0 398288 Bytes 19.10.2011 15:56:03
AVSMTP.DLL : 12.1.0.17 62928 Bytes 19.10.2011 15:55:50
NETNT.DLL : 12.1.0.17 17104 Bytes 19.10.2011 15:55:59
RCIMAGE.DLL : 12.1.0.17 4447952 Bytes 19.10.2011 15:56:14
RCTEXT.DLL : 12.1.0.16 98512 Bytes 19.10.2011 15:56:14

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: C:\ProgramData\Avira\AntiVir Desktop\PROFILES\AVSCAN-20120420-214515-3EC9978F.avp
Protokollierung.......................: standard
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:,
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: erweitert

Beginn des Suchlaufs: Freitag, 20. April 2012 21:51

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf nach versteckten Objekten wird begonnen.
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\SavedLegacySettings
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'plugin-container.exe' - '80' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'vssvc.exe' - '55' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '86' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '59' Modul(e) wurden durchsucht
Durchsuche Prozess 'plugin-container.exe' - '65' Modul(e) wurden durchsucht
Durchsuche Prozess 'sppsvc.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'daemonu.exe' - '44' Modul(e) wurden durchsucht
Durchsuche Prozess 'mscorsvw.exe' - '38' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '133' Modul(e) wurden durchsucht
Durchsuche Prozess 'ICQ.exe' - '146' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'AWSC.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'AWSC.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '45' Modul(e) wurden durchsucht
Durchsuche Prozess 'AAWTray.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchIndexer.exe' - '63' Modul(e) wurden durchsucht
Durchsuche Prozess 'conhost.exe' - '24' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '42' Modul(e) wurden durchsucht
Durchsuche Prozess 'unsecapp.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvtray.exe' - '61' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'ICQ Service.exe' - '38' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '75' Modul(e) wurden durchsucht
Durchsuche Prozess 'armsvc.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'pdf24.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'DivXUpdate.exe' - '65' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '75' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '68' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '47' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskhost.exe' - '48' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '87' Modul(e) wurden durchsucht
Durchsuche Prozess 'AAWService.exe' - '123' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '154' Modul(e) wurden durchsucht
Durchsuche Prozess 'Dwm.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '82' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvvsvc.exe' - '48' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvxdsync.exe' - '54' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '66' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '137' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '107' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '59' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvSCPAPISvr.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvvsvc.exe' - '43' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '44' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '55' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsm.exe' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '69' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '42' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '16' Modul(e) wurden durchsucht
Durchsuche Prozess 'wininit.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '18' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
C:\Windows\System32\ntqunry6.sys
[FUND] Ist das Trojanische Pferd TR/Rootkit.Gen8

Die Registry wurde durchsucht ( '506' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\Users\MS\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\16\6fd48510-55852e0d
[0] Archivtyp: ZIP
--> ya/ya.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/11-3544.DT
--> ya/yc.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/11-3544.CS.1
--> ya/yb.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/11-3544.FA
--> ya/M.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/11-3544.EZ
C:\Users\MS\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\18\60cf46d2-48944c00
[0] Archivtyp: ZIP
--> ta/tb.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/2011-3544.CZ.3
--> ta/ta.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/JAVA.Loader.Gen
--> ta/tc.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2012-0507
C:\Users\MS\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\27\6c80859b-1eba44cb
[0] Archivtyp: ZIP
--> a/a.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2012-0507.Q
C:\Users\MS\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\8\32467388-4d12d0f5
[0] Archivtyp: ZIP
--> ta/tb.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/2011-3544.CZ.3
--> ta/ta.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/JAVA.Loader.Gen
--> ta/tc.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2012-0507

Beginne mit der Desinfektion:
C:\Users\MS\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\8\32467388-4d12d0f5
[FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2012-0507
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a6868a7.qua' verschoben!
C:\Users\MS\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\27\6c80859b-1eba44cb
[FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2012-0507.Q
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '52f34731.qua' verschoben!
C:\Users\MS\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\18\60cf46d2-48944c00
[FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2012-0507
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '00911dee.qua' verschoben!
C:\Users\MS\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\16\6fd48510-55852e0d
[FUND] Enthält Erkennungsmuster des Exploits EXP/11-3544.EZ
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '66a751e6.qua' verschoben!
Der Registrierungseintrag <HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ntqunry6> wurde erfolgreich entfernt.
Der Registrierungseintrag <HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NTQUNRY6> wurde erfolgreich entfernt.
Der Registrierungseintrag <HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\ntqunry6> wurde erfolgreich entfernt.
C:\Windows\System32\ntqunry6.sys
[FUND] Ist das Trojanische Pferd TR/Rootkit.Gen8
[HINWEIS] Die Datei konnte nicht ins Quarantäneverzeichnis verschoben werden!
[HINWEIS] Die Datei existiert nicht!
[HINWEIS] Der Registrierungseintrag <HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ntqunry6\ImagePath> wurde erfolgreich repariert.
[HINWEIS] Der Registrierungseintrag <HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ntqunry6\ImagePath> wurde erfolgreich repariert.
[HINWEIS] Der Registrierungseintrag <HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\ntqunry6\ImagePath> wurde erfolgreich repariert.


Ende des Suchlaufs: Freitag, 20. April 2012 22:40
Benötigte Zeit: 48:04 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

22411 Verzeichnisse wurden überprüft
475521 Dateien wurden geprüft
12 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
4 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
475509 Dateien ohne Befall
3625 Archive wurden durchsucht
0 Warnungen
6 Hinweise
358926 Objekte wurden beim Rootkitscan durchsucht
1 Versteckte Objekte wurden gefunden

 

Themen zu TR/Rootkit.Gen8 plötzlich erschienen
.dll, antivir, avira, desktop, diverse, explorer.exe, foren, internet, lsass.exe, microsoft, modul, namen, nt.dll, pdf, programm, prozesse, registry, scan, services.exe, software, svchost.exe, system, taskhost.exe, tr/rootkit.gen, trojaner, verweise, windows, winlogon.exe




Ähnliche Themen: TR/Rootkit.Gen8 plötzlich erschienen


  1. Linux-Firwall IPFire 2.17, Core Update 93 erschienen
    Nachrichten - 18.08.2015 (0)
  2. Avira findet TR/Crypt.ZPACK.Gen8, TR/Vcaredrix.A.3 und Tr/Crpyt.EPACK.Gen8
    Plagegeister aller Art und deren Bekämpfung - 30.08.2012 (21)
  3. TR/ATRAPS.Gen + TR/Rootkit.Gen8
    Plagegeister aller Art und deren Bekämpfung - 25.04.2012 (20)
  4. TR/MediyesH.A.9 TR/Rootkit.Gen8 TR/ATRAPS.gen
    Log-Analyse und Auswertung - 08.04.2012 (16)
  5. Backtrack 5 erschienen
    Diskussionsforum - 13.05.2011 (1)
  6. Internet Explorer 9 erschienen
    Nachrichten - 16.03.2011 (4)
  7. Critical Fix 1 für Kaspersky 2011 erschienen
    Nachrichten - 15.07.2010 (0)
  8. NetBSD 5.0.2 erschienen
    Nachrichten - 15.02.2010 (0)
  9. PSP Sicherheitssoftware erschienen!!!
    Antiviren-, Firewall- und andere Schutzprogramme - 01.05.2009 (2)
  10. VLC 0.9.2 erschienen
    Alles rund um Windows - 16.09.2008 (1)
  11. Neue Version von Firefox erschienen
    Alles rund um Windows - 03.05.2006 (1)
  12. CWShredder in der Version 2.x erschienen
    Archiv - 09.08.2005 (4)
  13. Firefox 1.0 Final erschienen
    Netzwerk und Hardware - 09.11.2004 (3)
  14. Offizielle Ad-aware Sprachdatei erschienen
    Antiviren-, Firewall- und andere Schutzprogramme - 17.10.2004 (0)
  15. Inoffizielles deutsches Sprachpaket von Ad-aware erschienen
    Antiviren-, Firewall- und andere Schutzprogramme - 13.09.2004 (2)
  16. Neue Version von Ad-aware erschienen
    Antiviren-, Firewall- und andere Schutzprogramme - 13.08.2004 (19)

Zum Thema TR/Rootkit.Gen8 plötzlich erschienen - Hallo, mein Avira ANtivir meldet seit heute den Fund: TR/Rootkit.Gen8 // C:\Windows\System32\ntqunry6.sys Ich habe mich selbstverständlich im Internet schlau gemacht was dieser Trojaner genau bedeutet und bin da nicht sonderlich - TR/Rootkit.Gen8 plötzlich erschienen...
Archiv
Du betrachtest: TR/Rootkit.Gen8 plötzlich erschienen auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.