Trojaner-Board - PUM.Disabled.SecurityCenter // PC infiziert?

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - PUM.Disabled.SecurityCenter // PC infiziert? (https://www.trojaner-board.de/95932-pum-disabled-securitycenter-pc-infiziert.html)

PUM.Disabled.SecurityCenter // PC infiziert?

Hallo zusammen,
ich hoffe hier Hilfe zu finden. Ich habe begründeten Verdacht, dass mein PC infiziert ist. Es kann sein, dass man mir was "untergejubel" hat.

Was ich bisher gemacht habe:
Spybot: findet nichts
AntiVir: findet nichts
HiJack This: LogFile online ausgewertet, alles ok (ich poste den Log nicht, da es scheinbar nicht mehr erwünscht ist)

RootAlyzer: findet nichts
AviraAntiRootKit: Startet nicht // Fehler: "The integrity check of one component cannot be checked. The application will exit."
Gmer: hierzu ein LogFile

*************
GMER Logfile:

Code:

GMER 1.0.15.15530 - hxxp://www.gmer.net

Rootkit scan 2011-02-22 12:47:26

Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3 SAMSUNG_HD400LD rev.WQ100-15

Running: gmer.exe; Driver: C:\Temp\fgtdqpog.sys
 
 

---- System - GMER 1.0.15 ----
 

SSDT   B9B773E6                                                                                         ZwCreateKey

SSDT   B9B773DC                                                                                         ZwCreateThread

SSDT   B9B773EB                                                                                         ZwDeleteKey

SSDT   B9B773F5                                                                                         ZwDeleteValueKey

SSDT   B9B773FA                                                                                         ZwLoadKey

SSDT   B9B773C8                                                                                         ZwOpenProcess

SSDT   B9B773CD                                                                                         ZwOpenThread

SSDT   B9B77404                                                                                         ZwReplaceKey

SSDT   B9B773FF                                                                                         ZwRestoreKey

SSDT   B9B773F0                                                                                         ZwSetValueKey
 

---- User code sections - GMER 1.0.15 ----
 

.text  C:\Programme\Real\RealPlayer\update\realsched.exe[200] kernel32.dll!SetUnhandledExceptionFilter  7C84495D 5 Bytes  [33, C0, C2, 04, 00] {XOR EAX, EAX; RET 0x4}

.text  C:\Programme\Mozilla Firefox\firefox.exe[2196] ntdll.dll!LdrLoadDll                              7C9263C3 5 Bytes  JMP 004013F0 C:\Programme\Mozilla Firefox\firefox.exe (Firefox/Mozilla Corporation)
 

---- EOF - GMER 1.0.15 ----

--- --- ---
*************

Letztlich habe ich, wie hier gewünscht, Malwarebytes laufen lassen. Hier wurde etwas gefunden. Hier der Log, bitteschön:

*************

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 5838

Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.13

22.02.2011 13:54:55
mbam-log-2011-02-22 (13-54-55).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 147688
Laufzeit: 3 Minute(n), 38 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

******************

Desweiteren frage ich mich, was folgende Datei ist: dberr.txt
Sie findet sich im System32/CatRoot2 Ordner und hat am laufenden Meter folgende (u.a.) Einträge:
CatalogDB: 00:29:16 22.02.2011: WAITSVC: Calling StartService(): CryptSvc
CatalogDB: 00:29:42 22.02.2011: WAITSVC: Service is running: CryptSvc

Ich habe diese Datei angehängt, da sie sehr lang ist.

Was hat MalwareBytes da gefunden, was muss ich befürchten und was ist zu tun?

Lieben Dank und viele Grüsse
Alex

Zitat:

Art des Suchlaufs: Quick-Scan

Hallo und :hallo:

Bitte routinemäßig einen Vollscan mit malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!

Ok, einmal Vollscan mit malwarebytes:

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 5854

Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.13

23.02.2011 20:04:50
mbam-log-2011-02-23 (20-04-50).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|F:\|)
Durchsuchte Objekte: 256923
Laufzeit: 1 Stunde(n), 1 Minute(n), 26 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Gibt es noch weitere Logs von Malwarebytes? Wenn ja bitte alle davon posten. Du findest diese im Reiter Logdateien in Malwarebytes.

hallo Cosinus.
Hier ein paar wichtige Infos.
Der Malwarebyte Quickscan im ersten Post, war der allererste Scan, den ich mit dieser Software gemacht habe.
Nachdem ersten Post wurde ich ungeduldig und ich habe heute Nachmittag kurzerhand ein Backup von "c" zurückgespielt. Da der PC gerade mal 2Monate alt ist, habe ich somit das allererste(!) Backup zurückgespielt welches sauber sein MUSS.

Danach habe ich den vollständigen Scan laufen lassen.

War die Entscheidung richtig, dass Backup zurückzujubeln?
Die Platte besteht aus den Partitionen:
c System
d Recovery
e Daten
f externe Platte

Ich mache mir Gedanken ob ggf sich etwas auf den Partitionen oder der Externen versteckt und somit wieder aktiv wird.

Wie gehts weiter?

Grüsse Alex

Zitat:

War die Entscheidung richtig, dass Backup zurückzujubeln?

Ja, ist im Grunde besser als zu bereinigen.

Zitat:

Wie gehts weiter?

Wir sind durch, weil du das Backup zurückgespielt hast. Da gibt es nichts mehr zu analysieren, wenn man davon ausgeht, dass das System zum Zeitpunkt dieses Backups sauber war.
Melde dich hier einfach nochmal falls es noch Probleme gibt.

Ja, dieses allererste Backup muss sauber sein.

Aber nochmal die Frage: Kann grundsätzlich ein "Schläfer" auf meiner externen Platte (oder den anderen Partitionen) sein. Oder kann ich mit an Sicherheit grenzender Wahrscheinlichkeit davon ausgehen, dass wenn ich alles mit unterschiedlichen Tools (siehe erstes Posting) gescannt habe, sich da auch nix versteckt.

Denn ich habe guten Grund zur Annahme, dass jemand auf meinem PC "Party gefeiert" hat... und zwar richtig. :(

Ansonsten vielen Dank für die Hilfe... auch wenn ich es mit dem Backup dann abgekürzt habe.