Router-Angriff
 

Hallo Leut`s,

gestern hatte ich einen Vorfall, den ich fast nicht glaube.
So gegen 22 uhr wurde mein router attackiert. Zunächst dachte ich es währe
mal wieder ein fehler von t-online, aber dem war nicht so. Anschließend habe ich die konfiguration von dem router aufgerufen und dieser teilte mir mit, das er von Hackern attackiert wurde und ich solle die voreinstellungen wieder installieren.
Alles das brachte allerdings nichts. Sämtliche reboots brachten kein erfolg und die einstellungen waren korrekt und immer wieder die selben Fehlermeldungen.
Ich habe mich darauf hin entschlossen, die software neu aufzuspielen, was, wie ihr seht zum erfolg folgte.
Router: SMC7404BRB
Firewall eingeschaltet
Antivir: BitDefender und Adaware
Betriebssystem: XP

Trotz aller vorkehrungen werde ich in letzter Zeit dermaßen bomberdiert, das ich meine Rechner im letzten 1/4 Jahr bestimmt schon 10 mal installiert habe.
Trotz aller vorsichtsmaßnahmen die es gibt.

Ich weiss im moment keinen rat mehr. Leider muss ich mit den dingern geld verdienen, nur mit installationen am laufendem band geht das nicht.

gruss ralf

Hallo,

zuerst einmal solltest du ein Logfile von Hijackthis posten ggf. hast du einen Wurm auf deinem System,was dies schonmal erklären würde.

Andererseits springen auch Firewalls schonmal bei einem harmlosen Ping an,und vermuten einen "bösen Hacker"

Des weiteren hat die Telekom bundesweit zur Zeit erhebliche Probleme,dazu auch http://www.heise.de/newsticker/meldung/54928

Download von HijackThis http://hijackthis.de/downloads/hijackthis_199.zip

Das Log dann bitte hier posten!

Gruss

Logfile of HijackThis v1.99.0
Scan saved at 15:06:58, on 10.01.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\Programme\Softwin\BitDefender Professional Edition\vsserv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\htpatch.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Softwin\BitDefender Professional Edition\bdmcon.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Mozilla Firefox\firefox.exe
E:\Downloads\antivir\hijackthis_199\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [BDMCon] C:\PROGRA~1\Softwin\BITDEF~1\bdmcon.exe
O4 - HKLM\..\Run: [BDNewsAgent] C:\Programme\Softwin\BitDefender Professional Edition\bdnagent.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O23 - Service: Ati HotKey Poller - Unknown - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: BitDefender Scan Server - Unknown - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
O23 - Service: InCD Helper - Ahead Software AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: InCD Helper (read only) - Ahead Software AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: BitDefender Virus Shield - Unknown - C:\Programme\Softwin\BitDefender Professional Edition\vsserv.exe
O23 - Service: BitDefender Communicator - Softwin - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe

Also in deinem Log seh ich nichts auffälliges!

Du solltest zur Sicherheit noch einen escan im abegsicherten Modus machen,geh dazu genau nach Anleitung vor,und poste dann ggf. die Funde

http://www.trojaner-board.de/42731-escan-anleitung.html

Die Router-Firmware?
"Angriffe" auf den Router sind 'normal', war es sowas:
Monday, January 10, 2005 18:12:18 Unrecognized attempt blocked from 80.xxx.xxx.xxx:yyyy to TCP port YYYY

oder war es von "innen"

hab mit escan im abgesicherten modus gescannt und 17 viren gefunden.
Wie krieg ich die dinger jetzt für alle lebzeiten weg?
Was soll ich vom log hier reinstellen?

gruss ralf

@andromedar
überprüfe Deinen Rechner zunächst mit dem eScan: lade den eScan runter, erstelle dafür einen Ordner (=Verzeichnis) c:\bases, update den eScan online und führe ihn offline im abgesicherten Modus aus. Beachte, dass der eScan ab Version 4.5.1 gefundene Malware nicht löscht. Das wird von Hand auf Anweisung durch uns gemacht.

Teile uns dann das Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Zitat Cidre)
chaosman

ich hab version 4.1.9, wo bekomme ich das aktuelle File?
Er findet nur 1 file von 17!? im Log.

@ andromedar Die Version, die Du hast, ist ok. Du brauchst sie nur updaten, vorausgesetzt Du hast den eScan in einen eigenen Ordner "bases" unter C: entpackt. Doppelklick auf die Datei 'kavupd.exe", dann sollte ein DOS-Fenster aufgehen. Wenn Du online bist, kannst Du den eScan nun updaten und dann so verfahren, wie es in dieser Anleitung beschrieben ist.

ich hab alles nach anleitung getan. Update erfolgreich.
Allerdings irretiert es mich, das er nur 1 virus von 17 findet und dieser sei nicht kritisch.
Ich Scanne nochmals, mal sehen was dabei rauskommt?

vergiss nicht im abgesicherten Modus offline zu scannen.

alle als viren gekennzeichneten files haben die endung:

No Action Taken

Frage an euch:

Welche Software sollte ich am besten einsetzen, um am "besten" geschützt zu sein.
Ich glaube, ich bekomme so langsam die "Viromanie"

gruss

@ andromedar -> sprichst Du englisch? Das heisst nämlich, dass der eScan nichts damit gemacht hat "keine Handlung ausgeführt". Das liegt daran, dass diese Version des eScan nicht löscht. Das macht man von Hand. Wir können Dir auch sagen, wie man das macht. Aber soweit sind wir noch nicht.

Die Viren haben andere Endungen und vorallen Dingen haben sie Namen, und die möchten wir bitte wissen. Das geht folgendermaßen: "öffne die mwav.log (oder die mwXface.log) -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Cidre zitiert) ... *Brille rüber reicht* ...

Bevor Du uns nicht die Namen nennst, können wir Dir keine weiteren Tipps geben. Wir können alle nicht hellsehen, leider. Wir wissen nicht, was Du auf Deinem System hast. Viren scheinst Du ja zu haben, Deinen Worten zu entnehmen .. aber welche?