virus blockiert internetseiten

#31 schick mir bitte das backup vom avenger
markusg@paules-pc-forum.de
du kommst ja an nen rechner mit brenner, brenne dir folgende Programme sonst kommen wir ja net weiter.
http://virus-protect.org/rootkitscanner.html
blacklight catchme gmer
http://virus-protect.org/cureit.html
wenn du die programme hast, und die mail an mich raus ist, melde dich bitte.

#32 Hallo,

unglaublich, die letzte Aktion scheint irgendwie geholfen zu haben. Alle Internetseiten scheinen nun wieder frei zu sein. Mein bitdefender ist sofort ins Netz und hat sich aktualisiert, Microsoft-Update offensichtlich ebenso. Ich kan mir also die oben genannten Programme direkt holen.

Aber ob alles wieder ok ist? Bin sehr skeptisch!

#33 die datei auf deinem system ist noch recht unbekannt deswegen sende sie mir zu, ja wir werden prüfen ob alles oki ist ,-) also fang an mit den rootkitscans.
Die verbindung zum internet muss getrennt werden also netzwerkkabel raus bzw. wlan aus, alle programme, auch antivir müssen abgeschaltet werden. Bitte die scans ohne neustart ausfüren.
Wenn du die logs postest, vergiss nicht, deine antivirensoftware einzuschalten.

#34 Hallo,
das automatische Microsoft update (23 Brocken) haben erst mal den Rechner beansprucht.
Die Datei avenger backup.zip datei ist 24 MB groß. Läßt sie sich momentan nicht verschicken. Ich probiere es später noch einmal.
Werde jetzt mal die heruntergeladenen Dateien blacklight catchme gmer und cureit der Reihe nach ausführen.
"Bitte die scans ohne Neustart ausführen" -- das Microsoft update hat leider schon für einen Rechnerneustart gesorgt.

#35 ja aber zwischen den rootkitscans keine neustarts. ja 24 mb müsste gehen....

#36 Hallo,

backlight und catchme haben nix gefunden.
Dr.Web sagt c:\avenger\utkukpxo.dll wäre infiziert mit win32.hllw.shadow.based

Bin weiterhin sehr skeptisch...

#37 c:\avenger\utkukpxo.dll
das wollte ich hhaben, warum hst du dr web gelöscht mit avenger...? und hör auf mir dauernd das selbe zu schicken wir sind schon bei über 200 mb.
schick mir lieber das
c:\avenger\utkukpxo.dll
wo ist das gmer log?

#38 Hallo,

sein Unwesen trieb folgender Wurm:
W32/Downadup.AL bzw. Net-Worm.Win32.Kido bzw. Conficker

Er blockiert die Internetseiten der gängigsten Virensoftehersteller sowie Microsoftseiten, unter anderem:

• microsoft
• symantec
• norton
• mcafee
• trendmicro
• sophos
• panda
• etrust
• networkassociates
• computerassociates
• f-secure
• kaspersky
• Jotti
• f-prot
• nod32
• eset
• grisoft
• drweb
• centralcommand
• ahnlab
• esafe
• avast
• avira
• quickheal
• comodo
• clamav
• ewido
• fortinet
• gdata
• hacksoft
• hauri
• ikarus
• k7computing
• norman
• pctools
• prevx
• rising
• securecomputing
• sunbelt
• emsisoft
• arcabit
• cpsecure

Er kopiert sich sich in
• %System%\[Random].dll
• %Program Files%\Internet Explorer\[Random].dll
• %Program Files%\Movie Maker\[Random].dll
• %All Users Application Data%\[Random].dll
• %Temp%\[Random].dll
• %System%\[Random].tmp
• %Temp%\[Random].tmp

Ansonsten verhielt er sich auf meinem System absolut unauffällig, weshalb er gut unentdeckt bleiben konnte.

Mein PC lies sich auch nicht mehr im abgesicherten Windows-Modus hochfahren. Er kann auch USB-Sticks und andere Datenträger befallen und sich evtl. dadurch verbreiten. Außerdem versucht er durch brute force Attacken das Administrator-Passwort zu knacken.

Inzwischen gibt es von Kaspersky, BitDefender und anderen Programme um den Wurm zu killen.

Also, solltet ihr die oben genannten Seiten nicht mehr aufrufen können, ist das meiner Meinung ein starker Hinweis auf den kido-Wurm.

#39 nein eigendlich nciht, das machen eine menge anderer schadprogramme auch, die datei die ich haben wollte hast du bestimmt auch nciht mehr? hast du den pc neu gemacht oder die reinigungstools verwendet?

#40 Nein, den PC habe ich nicht neu gemacht. gmer.log hatte ich per mail geschickt. OK, ich stell's unten als Anhang rein.

#41 gmer log wollte ich nicht, ich wollte die datei die wir mit dem avenger gelöscht haben. gibt es denn noch probleme mit deinem pc?

#42 Zwei Probleme gibt es noch, bzw. wieder: 1. bitdefender kann kein update durchführen und 2. Windows läßt sich wieder nicht im abgesicherten Modus starten.

#43 hmm update malwareBytes und scanne. auch ein neues hjt-log

#44 Ok, malwarebytes --> siehe Anhang

#45 ... und hjt-log. Kann man eigentlich irgendwie zwei Dateien in den Anhang stellen?