Permanent "Denial of Service" auf IP-Adr; Rechner gekapert?

Liebe Leute,

ich bin nicht in Rechner-Not! Dies vorweg.
Seit mehr als einem Jahr versuche ich mit einigem Testaufwand die dauernden DoS-Attacken auf meinen Rechner zu verstehen und nachzuvollziehen und wenn möglich zu verhindern.
Alle gängigen PC-Zeitschriften beschreiben Virus-Attacken, Spybot usw. übergeordnet und nicht konkret genug.
Mein Netgear-Router DG834B ist für ankommende Verbindungen gesperrt - ist also unsichtbar -; der Router erkennt DoS-Attacken und meldet diese mir per e-Mail als Logfile.
Ich arbeite mit 2 Betriebssystemen: Windows 2000 prof + IE6 und Windows XP-prof + IE7.
In beiden Systemen bekomme ich diese Attacken.
Ende des Jahres 2008 wurde das Mainboard ausgetauscht und die Betriebssysteme von Grund auf neu von mir installiert und konfiguriert.
Jedes meiner Betriebssysteme besitzt Antivirusprogramme mit Online-Virenwächter.
Ich habe mehre Versionen von Zone Alarm, darunter auch eine Professionelle. Sie helfen mir nicht weiter, die Info über die Freigabe der Internetverbindung zu allgemein ist.
Mein letzter Test, heute, hat folgende Eingrenzung der Attacke ergeben:

Router und Rechner werden eingeschaltet und Rechner hochgefahren.
Die DoS-Attacken werden dann initialisiert, wenn ich ins Internet gehe und auf bestimmte Server gehe.
Bei meinen 3 Bank-Servern (u.a. Sparkasse u. Postbank) passiert nichts. Bei http://www.chip.de passiert auch nichts, aber bei z.B. http://www.pc-praxis.de geht es nach kurzer Zeit los (Zeitverzögerung!).
Eine weitere Adresse ist: http://www.berlinien.de/kino/filme.html.

Die Quell-Adressen, die in den Attacken angegeben sind, sind im wesentlichen immer die gleichen aus dem Netzwerk der Panther Express Corp., das über die ganze Welt verteilt ist und einige andere:

z.B. 66.114.50.57 = lax-am6-n22.panthercdn.com

OrgName:    Panther Express Corp.
OrgID:      PEC-44
Address:    40 West 20th Street
Address:    6th Floor
City:       New York
StateProv:  NY
PostalCode: 10011
Country:    US

NetRange:   66.114.48.0 - 66.114.63.255
CIDR:       66.114.48.0/20
OriginAS:   AS36408
NetName:    PANTHER-EXPRESS
NetHandle:  NET-66-114-48-0-1
Parent:     NET-66-0-0-0-0
NetType:    Direct Assignment
NameServer: NS1.PANTHERCDN.COM
NameServer: NS2.PANTHERCDN.COM
Comment:    Seeing ICMP traffic originating from these IP
Comment:    addresses? Please see http://www.pantherexpress.net/cdn for details.
RegDate:    2007-07-05


Logfile des Routers:

Netgear DG834B-Router-Log-Protokoll
Aktuelle Zeit: 2009-04-22 12:11:59

Start des Routers:
Sun, 2002-09-08 14:00:17 - Initialize LCP.
Sun, 2002-09-08 14:00:24 - LCP is allowed to come up.
Sun, 2002-09-08 14:00:24 - CHAP authentication success
Sun, 2002-09-08 14:04:46 - Send out NTP request to time-g.netgear.com
Wed, 2009-04-22 07:52:47 - Receive NTP Reply from time-g.netgear.com
Wed, 2009-04-22 07:48:01 - Router start up



Nach Aufruf von www.pc-praxis.de gegen 11:50 Uhr

Wed, 2009-04-22 11:59:35 - ICMP Packet - Source:77.67.3.138 Destination:88.73.53.117 - [Denial of Service]
Wed, 2009-04-22 12:00:38 - ICMP Packet - Source:66.114.50.8 Destination:88.73.53.117 - [Denial of Service]
Wed, 2009-04-22 12:01:41 - ICMP Packet - Source:66.114.54.33 Destination:88.73.53.117 - [Denial of Service]
Wed, 2009-04-22 12:02:44 - ICMP Packet - Source:77.67.0.163 Destination:88.73.53.117 - [Denial of Service]
Wed, 2009-04-22 12:03:47 - ICMP Packet - Source:202.172.101.37 Destination:88.73.53.117 - [Denial of Service]
Wed, 2009-04-22 12:04:51 - ICMP Packet - Source:93.188.128.15 Destination:88.73.53.117 - [Denial of Service]
Wed, 2009-04-22 12:05:54 - ICMP Packet - Source:66.114.57.5 Destination:88.73.53.117 - [Denial of Service]
Wed, 2009-04-22 12:06:57 - ICMP Packet - Source:217.212.227.83 Destination:88.73.53.117 - [Denial of Service]
Wed, 2009-04-22 12:08:00 - ICMP Packet - Source:66.114.51.94 Destination:88.73.53.117 - [Denial of Service]
Wed, 2009-04-22 12:09:03 - ICMP Packet - Source:93.188.132.13 Destination:88.73.53.117 - [Denial of Service]
Wed, 2009-04-22 12:10:06 - ICMP Packet - Source:66.114.53.56 Destination:88.73.53.117 - [Denial of Service]
Wed, 2009-04-22 12:10:10 - ICMP Packet - Source:66.114.48.58 Destination:88.73.53.117 - [Denial of Service]
Wed, 2009-04-22 12:10:13 - ICMP Packet - Source:66.114.51.21 Destination:88.73.53.117 - [Denial of Service]
Wed, 2009-04-22 12:10:17 - ICMP Packet - Source:66.114.57.5 Destination:88.73.53.117 - [Denial of Service]
Wed, 2009-04-22 12:10:20 - ICMP Packet - Source:66.114.51.94 Destination:88.73.53.117 - [Denial of Service]
Wed, 2009-04-22 12:10:24 - ICMP Packet - Source:66.114.48.58 Destination:88.73.53.117 - [Denial of Service]
Wed, 2009-04-22 12:10:28 - ICMP Packet - Source:66.114.50.43 Destination:88.73.53.117 - [Denial of Service]
Wed, 2009-04-22 12:10:31 - ICMP Packet - Source:66.114.50.8 Destination:88.73.53.117 - [Denial of Service]
Wed, 2009-04-22 12:10:35 - ICMP Packet - Source:122.152.142.14 Destination:88.73.53.117 - [Denial of Service]
Wed, 2009-04-22 12:10:39 - ICMP Packet - Source:66.114.50.8 Destination:88.73.53.117 - [Denial of Service]
Wed, 2009-04-22 12:10:42 - Send E-mail Success!

Ich vermute, die DoS-Attacke findet mit all den Anfragen zur gleichen Zeit statt und nicht im 1 Minuten-Abstand - sonst hätte sie sicher keinen Sinn -. Der 1 Minuten-Abstand könnte die Verarbeitungszeit des Routers sein.

Was ist bei mir auf meinem Rechner los?

Ich wünsche mir hierzu nur etwas theoretischen Hintergrund, um selbst weiter zu forschen. IT-Intelligenz und Power sind vorhanden.

Falls es jemand genau weiss, um so besser; erwarten kann ich es nicht.

Seerius411
 

sorry vergessen.
..zwei Rechner die zusammenlaufen und die haben verschiedene Antiviren installiert?

ok jetzt habe ich es vieleicht begriffen, aber denke nicht das du sie ausschalten oder ihnen nachgehen kannst..(wenn du das meinst/New York)

OrgName:    Panther Express Corp.
OrgID:      PEC-44
Address:    40 West 20th Street
Address:    6th Floor
City:       New York
StateProv:  NY
PostalCode: 10011
Country:    US

bist du dem nachgegangen, was hast du davon herausgefunden?
Dann muß ich nicht.... 

http://tcpview.softonic.de/ <<< mal damit beobachten ??

HCK

Danke. Ist seit 2 Jahren installiert und wird mehrmals in der Woche aufgerufen. Auch bei Problemen natürlich.
Ist von Sysinternals (Mark Russinovich).

Seerius 

 
Sehen wir mal nach ob da was ma rechner ist was nicht sein sollte

Lade dir MalwareBytes herunter

• speichere die mbam setup.exe auf deinem Desktop
  
• Installiere es in den vorgegebenen Pfad
  
• Nun Update es online (Reiter Updates)
  
• Starte nun die mbam.exe
  
• Führe bitte einen vollständigen Scan durch
  
• nach dem der Scan beendet wurde klicke auf Zeige Resultate
  
• Bitte alle Funde markieren und auf Löschen klicken
  
• Poste das komplette Logfile (aus dem Textdokument)

Schritt 2

Systemdetails mit RSIT prüfen

• Lade Random's System Information Tool (RSIT) von random/random herunter,
• speichere es auf Deinem Desktop.
• Starte mit Doppelklick die RSIT.exe.
• Klicke auf Continue, um die Nutzungsbedingungen zu akzeptieren.
• Wenn Du HijackThis nicht installiert hast, wird RSIT das für Dich herunterladen und installieren.
• In dem Fall bitte auch die Nutzungsbedingungen von Trend Micro für HJT akzeptieren I accept.
• Wenn Deine Firewall fragt, bitte RSIT erlauben, ins Netz zu gehen.
• Der Scan startet automatisch, RSIT checkt nun einige wichtige System-Bereiche und produziert Logfiles als Analyse-Grundlage.
• Wenn der Scan beendet ist, werden zwei Logfiles erstellt und in Deinem Editor geöffnet.
• Bitte poste den Inhalt von C:\rsit\log.txt und C:\rsit\info.txt (<= minimiert in der Taskleiste zu finden) hier in den Thread.

• Bei nötigen Folgescans das Tool immer wie folgt starten:
• Start => ausführen => "%userprofile%\desktop\rsit.exe" /info (reinkopieren),
  damit die alten Logdateien überschrieben werden.

Solltest du wirklich Opfer geworden sein dann handelt es sich zu 100% um nen Backdoor den wir eventuell finden können aber nicht entfernen
Die Schritte dienen nur zur Einsicht
Bereinigen wird,vermute ich,nicht möglich sein    

@Larusso

Ich habe MalwareBytes heruntergeladen, installiert und für so gut befunden, dass ich dieses Prog auf meinem Rechner für sporadische Tests belassenen werde.
Danke für den Hinweis.
Aufgrund des Testergebnises gilt  mein Rechner als sauber:

“Malwarebytes' Anti-Malware 1.36
Datenbank Version: 2028
Windows 5.0.2195 Service Pack 4

22.04.09 23:14:43 22.04.09
mbam-log-2009-04-22 (23-14-43).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|F:\|G:\|H:\|I:\|J:\|K:\|L:\|M:\|O:\|P:\|Q:\|R:\|S:\|T:\|U:\|V:\|)
Durchsuchte Objekte: 385549
Laufzeit: 1 hour(s), 28 minute(s), 36 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)“

Das  Random's System Information Tool (RSIT) habe ich ebenfalls heruntergeladen und installiert.
Ich konnte alle Infos als berechtigt und gut einstufen, bis auf einen Treiber, der vielleicht temporärer Natur sein kann, weil er an diesem Ort nicht mehr aufzufinden war: ayzkvpma.sys.
RSIT hat sich nach dem Start etwas später aufgehangen; dies ist auch an der Zeile im Info.log zu erkennen (will ich noch untersuchen):

Logfile of random's system information tool 1.06 (written by random/random)
Run by Seer at 2009-04-23 10:07:34
Microsoft Windows 2000 Professional Service Pack 4
System drive C: has 8 GB (79%) free of 10 GB
Total RAM: 1919 MB (86% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:07:38   23.04.09, on 23.04.09
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal
.
.
(Ausriss).
S3 ayzkvpma;ayzkvpma; C:\WINNT\system32\drivers\ayzkvpma.sys []    <== war nicht mehr vorhanden
.
.
.

info.txt logfile of random's system information tool 1.06 2009-04-23 10:07:39

======Uninstall list======
.
.
.
(Ausriss)
High Definition Audio Driver Package - KB888111-->"C:\WINNT\$NtUninstallKB888111W2k$\spuninst\spuninst.exe"
HijackThis 2.0.2-->"C:\Programme\_Tools\AntiVir&FireWall\Trojaner\HijackThis\HijackThis.exe" /uninstall
HP USB Disk Storage Format Tool-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{0E0DF90C-D0BA-4C89-9262-AD78D1A3DE51}\Setup.exe" -l0x9  anything
J2SE Runtime Environment 5.0 Update 5-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0150050}
KELLER'S MUSIK-KATALOG 2001-->G:\ANTECW~1\NACHSC~1\KMK2001\UNWISE.EXE G:\ANTECW~1\NACHSC~1\KMK2001\INSTALL.LOG
klickTel Telefon- und Branchenbuch Herbst 2007-->C:\Pro    <== hier ist der Stillstand!

Seerius