Verbindung gesperrt nach knapp 10 Minuten

Hallo,
ich habe mein System komplett neu aufgespielt.
Nutze Windows XP mit SP2 und allen Windows Updates.
Dazu habe ich svc2kxp ausgeführt und nutze als Sicherheitsprogramme
- SpybotSD 1.3
- Microsoft Antispyware
- Agnitum Outpost pro
- G-Data Antivirus Kit 2006

Ich gehe per GMX Mangager mit DSL online.
Wenn ich jetzt online gehe funktioniert erst alles wunderbar. Aber nach knapp 10 Minuten sind Seiten nicht mehr erreichbar.

Es kommen nun immer verschiedene Fehlermeldungen u.a.:

1) Powered by Binford 6100
2) Error 404 Not Found (der jeweiligen Site)
3) URL nicht erreichbar etc.

Sind da vielleicht gewisse Ports gesperrt? Kann ja eigentlich nicht sein, sonst würde es die ganze zeit nicht gehen, und am Anfang klappt ja alles.

Hatte einen Verdacht auf Viren oder Ähnliches. Aktueller Viren- und Spywarescan hat nix angezeigt.
Stinger ebenfalls nicht.
Habe mal HiJackThis laufen lassen. Hier der Log:

http://www.hijackthis.de/logfiles/b9bd8290eb5e957c8e55c8e0f586a6f0.html

Ebenfalls neu für mich nach dem Update ist das Symbol der Netzwerkverbindung auf diesem Bild (roter Pfeil):


Der gelbe Punkt wandert von links nach rechts und zurück. War voher nie das, was ist das?

Es läuft per Taskmanager gerade (TeaTimer von Spybot SD gerade entfernt):


Kann mir da jemand einen Tipp geben oder weiß, woran das liegt?
Wenn ihr mehr Infos benötigt bitte bescheid sagen.

Grüße,
Michael

 

Hallo,
auf deinem system waren/sind mehrere Backdoors aktiv, somit ist das system als kompromittiert anzusehen und sollte neu aufgesetzt werden.
Bei dir aktive Backdoors:
http://www.sophos.de/virusinfo/analyses/w32codbotaa.html
http://www.sophos.de/virusinfo/analyses/w32codbotab.html
wahrscheinlich warst du online bevor du dich durch SP2 bzw (systeminterne) Firewall abgesichert hast. Also das ganze nochmal von vorne und diese mal darauf achten schon abgesichert zu sein bevor du online gehst (bist).
Hier noch eine Anleitung wie du genau vorgehen solltest.


Grüße Jasager

 

Hi und danke für die schnelle Antwort! Ich bin gleich online gegangen um sp2 zu laden.
Wüsste nicht, wo ich mir den eingefangen haben kann.
Gibt es nicht die Möglichkeit den jetzt noch nachhaltig zu entfernen??

Woran hast du erkannt, dass ich diesen Backdoor drauf habe?

Grüße,
Michael

 

Hallo,
diese beiden Einträge:
O23 - Service: Defragmentation Management Handler (FAT Defragmentation) - Unknown owner - C:\WINDOWS\System32\dfrgfat32.exe (file missing)
O23 - Service: Enables Java Support (Java) - Unknown owner - C:\WINDOWS\System32\winjava.exe (file missing)

Zitat Sophos:

Nein, bei Backdoors gibt es imo keine andere Möglichkeit als abermals neu aufzusetzen.
Und du scheinst mich nicht richtig verstanden zu haben, du mußt sicher sein bevor du online gehst um SP2 zu installieren, du scheinst die Funktionsweise von Netzwerkwürmern nicht zu kennen, es ist vollkommen egal auf welcher Seite du ungesichert bist, dein Drucker/Nachrichtendienst etc. ist derweil für das ganze Internet offen. Also, studiere die Anleitung und wähle einen der genannten Wege um dein System vor dem ersten Onlinegang abzusichern (SP2, firewall, Dienste abschalten).

@Thor
Nur weil so ein dahergelaufener Backdoor Binfordwerbung einspielt lass ich mir nochlange nicht eine meiner Lieblingsserien madig machen



Grüße Jasager

 

Okay, da hast du recht. Habe die Sache etwas unterschätzt und dachte allein das Update würde gehen. Dann lade ich mir das SP2 nun runter, brenne es und mache das system komplett neu (mit der anleitung von deinem link).


ich dank dir und melde mich sobald alles neu installiert ist.

grüße und danke,
Michael

 

@ MichaelMeinecke

Aktualisiere mal auf Version 1.4.

Gruß
Nevok

 

(unwichtige) Ergänzung zur Selbstdiagnose:

Bockdoors (und Konsorten) "telefonieren gerne nach Hause". Falls Du online bist UND kein Browserfenster offen hast, sollte also bei "NETSTAT -ano" [1] in der Spalte "Remote" keine öffentliche IP-Adr. auftauchen. - Sollten aber Backdoors im Spiel sein, gibt es üblicherweise eine längere Liste unbekannter IPs unter Remote.

-Ace- (nur so)
________________

[1] Prog.-> Zubehör-> Eingabeaufforderg. (vor her öffnen)