Virus/Trojaner im Router?
 

Hallo,

ich habe folgendes problem:
- Einen Wurm/Virus/Trojaner/Was auch immer, eingefangen
- C: formatiert, und neu aufgesetzt
- ca. 24 stunden alles gut
- der Wurm/Virus... ist wieder da
- nochmal das ganze von vorne
- und nochmal...

ich bekomm das Ding einfach nicht mehr weg. Ich benutz noch nichtmal die backups auf den CDs, denn die koennten ja verseucht sein. Alle Programme, die ich verwende lad ich von den original Seiten neu runter. Eigenartigerweise taucht es immer dann wieder auf, wenn ich mich auf meinem Router (Netgear RP614) einlogge. Ich kann die Uhr danach stellen: Einloggen und 10 sec später gehts ab im Taskmanager, da tauchen plötzlich 5-12 neue Prozesse auf (ich nehm mal an, das sind die Virus Prozesse *dummstell*). Kann das denn sein, dass sich da irgendwas im Router festgesetzt hat?

Hier noch das HJT log:

Logfile of HijackThis v1.99.1
Scan saved at 19:03:45, on 06.05.2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\UG9ybmk\command.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\System32\spooIsv.exe
C:\WINDOWS\system32\cmd.exe
C:\Dokumente und Einstellungen\Animan\Anwendungsdaten\F?nts\j?vaw.exe
C:\Programme\badm\tlca.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\System32\winIogon.exe
C:\WINDOWS\System32\scvhost.exe
C:\WINDOWS\System32\csrs.exe
C:\Programme\Network Monitor\wnetmon.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Dokumente und Einstellungen\Animan\Desktop\hijackthis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchbar.findthewebsiteyouneed.com
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
R3 - URLSearchHook: (no name) - {BAFA9B7A-00B0-7730-B359-5F17546A72C4} - C:\WINDOWS\System32\dbbd.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Toolbar888 - {77FBF9B8-1D37-4FF2-9CED-192D8E3ABA6F} - C:\Programme\Toolbar888\ToolBar888.dll
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Spooler SubSystem App] C:\WINDOWS\System32\spooIsv.exe
O4 - HKLM\..\Run: [keyboard] C:\windows\keyboard17.exe
O4 - HKLM\..\Run: [pop06ap] C:\WINDOWS\pop06ap2.exe
O4 - HKLM\..\Run: [mousepad] C:\\mousepad17.exe
O4 - HKLM\..\Run: [newname] C:\\newname17.exe
O4 - HKLM\..\Run: [Internet Optimizer] "C:\Dokumente und Einstellungen\Animan\Internet Optimizer\optimize.exe"
O4 - HKLM\..\Run: [Windows Logon Application] C:\WINDOWS\System32\winIogon.exe
O4 - HKLM\..\Run: [Configuration Loader] scvhost.exe
O4 - HKLM\..\Run: [Client Server Runtime Process] C:\WINDOWS\System32\csrs.exe
O4 - HKLM\..\RunServices: [Configuration Loader] scvhost.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Tecc] "C:\Programme\badm\tlca.exe" -vt tzt
O4 - HKCU\..\Run: [Sfv] C:\Dokumente und Einstellungen\Animan\Anwendungsdaten\F?nts\j?vaw.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O15 - Trusted Zone: *.media-motor.net
O15 - Trusted Zone: *.mmohsix.com
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: SMDEn - C:\WINDOWS\system32\msdrv.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\UG9ybmk\command.exe
O23 - Service: Network Monitor - Unknown owner - C:\Programme\Network Monitor\netmon.exe


Vielen dank schon mal im Voraus

Beim nächsten Neu-Aufsetzen erst dann mit dem Router/Internet verbinden, wenn
- alle Updates (inkl. SP2) offline eingespielt wurden oder
- die Internetverbindungsfirewall aktiviert wurde.

Im zweiten Fall natürlich dann auch asap die Updates einspielen.

Siehe auch die Hinweise in meiner Signatur zum Neuaufsetzen.

Ach so: Du hast Backdoors auf dem Rechner, eben aufgrund des ungepatchten Systems, und wirst daher noch einmal neu aufsetzen müssen. Mit deinem Router hat das nichts zu tun.

Gruß :daumenhoc
Yopie