Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: PUM.Disabled.SecurityCenter // PC infiziert?

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 22.02.2011, 14:40   #1
Tormentor
 
PUM.Disabled.SecurityCenter // PC infiziert? - Standard

PUM.Disabled.SecurityCenter // PC infiziert?



Hallo zusammen,
ich hoffe hier Hilfe zu finden. Ich habe begründeten Verdacht, dass mein PC infiziert ist. Es kann sein, dass man mir was "untergejubel" hat.

Was ich bisher gemacht habe:
Spybot: findet nichts
AntiVir: findet nichts
HiJack This: LogFile online ausgewertet, alles ok (ich poste den Log nicht, da es scheinbar nicht mehr erwünscht ist)

RootAlyzer: findet nichts
AviraAntiRootKit: Startet nicht // Fehler: "The integrity check of one component cannot be checked. The application will exit."
Gmer: hierzu ein LogFile

*************
GMER Logfile:
Code:
ATTFilter
GMER 1.0.15.15530 - hxxp://www.gmer.net
Rootkit scan 2011-02-22 12:47:26
Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3 SAMSUNG_HD400LD rev.WQ100-15
Running: gmer.exe; Driver: C:\Temp\fgtdqpog.sys


---- System - GMER 1.0.15 ----

SSDT   B9B773E6                                                                                         ZwCreateKey
SSDT   B9B773DC                                                                                         ZwCreateThread
SSDT   B9B773EB                                                                                         ZwDeleteKey
SSDT   B9B773F5                                                                                         ZwDeleteValueKey
SSDT   B9B773FA                                                                                         ZwLoadKey
SSDT   B9B773C8                                                                                         ZwOpenProcess
SSDT   B9B773CD                                                                                         ZwOpenThread
SSDT   B9B77404                                                                                         ZwReplaceKey
SSDT   B9B773FF                                                                                         ZwRestoreKey
SSDT   B9B773F0                                                                                         ZwSetValueKey

---- User code sections - GMER 1.0.15 ----

.text  C:\Programme\Real\RealPlayer\update\realsched.exe[200] kernel32.dll!SetUnhandledExceptionFilter  7C84495D 5 Bytes  [33, C0, C2, 04, 00] {XOR EAX, EAX; RET 0x4}
.text  C:\Programme\Mozilla Firefox\firefox.exe[2196] ntdll.dll!LdrLoadDll                              7C9263C3 5 Bytes  JMP 004013F0 C:\Programme\Mozilla Firefox\firefox.exe (Firefox/Mozilla Corporation)

---- EOF - GMER 1.0.15 ----
         
--- --- ---
*************




Letztlich habe ich, wie hier gewünscht, Malwarebytes laufen lassen. Hier wurde etwas gefunden. Hier der Log, bitteschön:

*************

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 5838

Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.13

22.02.2011 13:54:55
mbam-log-2011-02-22 (13-54-55).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 147688
Laufzeit: 3 Minute(n), 38 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

******************


Desweiteren frage ich mich, was folgende Datei ist: dberr.txt
Sie findet sich im System32/CatRoot2 Ordner und hat am laufenden Meter folgende (u.a.) Einträge:
CatalogDB: 00:29:16 22.02.2011: WAITSVC: Calling StartService(): CryptSvc
CatalogDB: 00:29:42 22.02.2011: WAITSVC: Service is running: CryptSvc

Ich habe diese Datei angehängt, da sie sehr lang ist.


Was hat Malwarebytes da gefunden, was muss ich befürchten und was ist zu tun?

Lieben Dank und viele Grüsse
Alex
Angehängte Dateien
Dateityp: txt dberr.txt (51,9 KB, 230x aufgerufen)

Alt 23.02.2011, 11:12   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
PUM.Disabled.SecurityCenter // PC infiziert? - Standard

PUM.Disabled.SecurityCenter // PC infiziert?



Zitat:
Art des Suchlaufs: Quick-Scan
Hallo und

Bitte routinemäßig einen Vollscan mit Malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!
__________________

__________________

Alt 23.02.2011, 20:11   #3
Tormentor
 
PUM.Disabled.SecurityCenter // PC infiziert? - Standard

PUM.Disabled.SecurityCenter // PC infiziert?



Ok, einmal Vollscan mit malwarebytes:

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 5854

Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.13

23.02.2011 20:04:50
mbam-log-2011-02-23 (20-04-50).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|F:\|)
Durchsuchte Objekte: 256923
Laufzeit: 1 Stunde(n), 1 Minute(n), 26 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
__________________

Alt 23.02.2011, 22:21   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
PUM.Disabled.SecurityCenter // PC infiziert? - Standard

PUM.Disabled.SecurityCenter // PC infiziert?



Gibt es noch weitere Logs von Malwarebytes? Wenn ja bitte alle davon posten. Du findest diese im Reiter Logdateien in Malwarebytes.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 23.02.2011, 23:55   #5
Tormentor
 
PUM.Disabled.SecurityCenter // PC infiziert? - Standard

PUM.Disabled.SecurityCenter // PC infiziert?



hallo Cosinus.
Hier ein paar wichtige Infos.
Der Malwarebyte Quickscan im ersten Post, war der allererste Scan, den ich mit dieser Software gemacht habe.
Nachdem ersten Post wurde ich ungeduldig und ich habe heute Nachmittag kurzerhand ein Backup von "c" zurückgespielt. Da der PC gerade mal 2Monate alt ist, habe ich somit das allererste(!) Backup zurückgespielt welches sauber sein MUSS.

Danach habe ich den vollständigen Scan laufen lassen.

War die Entscheidung richtig, dass Backup zurückzujubeln?
Die Platte besteht aus den Partitionen:
c System
d Recovery
e Daten
f externe Platte

Ich mache mir Gedanken ob ggf sich etwas auf den Partitionen oder der Externen versteckt und somit wieder aktiv wird.

Wie gehts weiter?

Grüsse Alex


Alt 24.02.2011, 10:27   #6
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
PUM.Disabled.SecurityCenter // PC infiziert? - Standard

PUM.Disabled.SecurityCenter // PC infiziert?



Zitat:
War die Entscheidung richtig, dass Backup zurückzujubeln?
Ja, ist im Grunde besser als zu bereinigen.

Zitat:
Wie gehts weiter?
Wir sind durch, weil du das Backup zurückgespielt hast. Da gibt es nichts mehr zu analysieren, wenn man davon ausgeht, dass das System zum Zeitpunkt dieses Backups sauber war.
Melde dich hier einfach nochmal falls es noch Probleme gibt.
__________________
--> PUM.Disabled.SecurityCenter // PC infiziert?

Alt 24.02.2011, 15:24   #7
Tormentor
 
PUM.Disabled.SecurityCenter // PC infiziert? - Standard

PUM.Disabled.SecurityCenter // PC infiziert?



Ja, dieses allererste Backup muss sauber sein.

Aber nochmal die Frage: Kann grundsätzlich ein "Schläfer" auf meiner externen Platte (oder den anderen Partitionen) sein. Oder kann ich mit an Sicherheit grenzender Wahrscheinlichkeit davon ausgehen, dass wenn ich alles mit unterschiedlichen Tools (siehe erstes Posting) gescannt habe, sich da auch nix versteckt.

Denn ich habe guten Grund zur Annahme, dass jemand auf meinem PC "Party gefeiert" hat... und zwar richtig.

Ansonsten vielen Dank für die Hilfe... auch wenn ich es mit dem Backup dann abgekürzt habe.

Antwort

Themen zu PUM.Disabled.SecurityCenter // PC infiziert?
.dll, check, dateien, explorer, fehler, firefox, frage, harddisk, infiziert, infiziert?, logfile, malwarebytes, microsoft, mozilla, ntdll.dll, online, ordner, pc infiziert, programme, realplayer, scan, security, software, system, system32, temp, update



Ähnliche Themen: PUM.Disabled.SecurityCenter // PC infiziert?


  1. PUM.Disabled.SecurityCenter
    Log-Analyse und Auswertung - 19.07.2015 (5)
  2. PUM.Disabled.Securitycenter & Trojan BHO
    Plagegeister aller Art und deren Bekämpfung - 23.07.2013 (12)
  3. PUM.Disabled.SecurityCenter
    Log-Analyse und Auswertung - 13.01.2013 (10)
  4. PUM.Disabled.SecurityCenter
    Plagegeister aller Art und deren Bekämpfung - 05.12.2012 (1)
  5. PUM.Disabled.SecurityCenter
    Plagegeister aller Art und deren Bekämpfung - 23.11.2012 (4)
  6. PUM.Disabled.SecurityCenter gefunden
    Plagegeister aller Art und deren Bekämpfung - 08.11.2012 (17)
  7. Trojaner PUM.Disabled.SecurityCenter
    Log-Analyse und Auswertung - 17.10.2012 (35)
  8. Mein Rechner ist infiziert mit PUM.Disabled.SecurityCenter, brauche Hilfe
    Plagegeister aller Art und deren Bekämpfung - 23.09.2012 (51)
  9. PUM.Disabled.SecurityCenter entdeckt
    Log-Analyse und Auswertung - 11.09.2012 (1)
  10. Pum.disabled.SecurityCenter: Norton AV wird deaktiviert
    Log-Analyse und Auswertung - 02.08.2012 (8)
  11. Malwarebytes PUM.Disabled.SecurityCenter + Avir SoftwareDistribution
    Log-Analyse und Auswertung - 20.03.2012 (12)
  12. PUM.Disabled.SecurityCenter
    Plagegeister aller Art und deren Bekämpfung - 11.07.2011 (2)
  13. "PUM.Disabled.SecurityCenter" Registry infiziert
    Log-Analyse und Auswertung - 08.06.2011 (17)
  14. mit "PUM.Disabled.SecurityCenter" infiziert!
    Plagegeister aller Art und deren Bekämpfung - 20.03.2011 (1)
  15. Disabled.SecurityCenter und root.Trojaner
    Plagegeister aller Art und deren Bekämpfung - 09.10.2010 (11)
  16. mein PC ist mit paar Trojanern infiziert - Disabled.SecurityCenter
    Plagegeister aller Art und deren Bekämpfung - 06.07.2010 (1)
  17. Disabled.securityCenter
    Plagegeister aller Art und deren Bekämpfung - 09.06.2009 (1)

Zum Thema PUM.Disabled.SecurityCenter // PC infiziert? - Hallo zusammen, ich hoffe hier Hilfe zu finden. Ich habe begründeten Verdacht, dass mein PC infiziert ist. Es kann sein, dass man mir was "untergejubel" hat. Was ich bisher gemacht - PUM.Disabled.SecurityCenter // PC infiziert?...
Archiv
Du betrachtest: PUM.Disabled.SecurityCenter // PC infiziert? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.