DDoS Attacken und ein ratloser Gamer

aVo

Hallo miteinander, ich bin grad durch google hier gelandet und froh darüber da ich hier anscheinend kompetente Hilfe bekommen kann

Um mein Problem darzustellen muss ich leider etwas ausholen damit die Situation nachvollziehbar ist und damit die Hilfestellung hoffentlich vereinfacht wird ... folgendes ist seit gestern passiert:
Ich spiele oft und gerne Counter-Strike 2d (ist das wonach es klingt und macht einen heidenspaß)
Ich war (seit 4 monaten) bis heute auf einem der beliebtesten Server Moderator (ich konnte spieler kicken/bannen und diverse kleine spielereien verantstalten, bin immer fair verantwortungsvoll damit umgegangen)
Der Server hatte schon seit Wochen Probleme (dauernd mussten alle spieler reconnecten weil aus irgendeinem Grund der Server down ging, das aber nur für sekunden)

Es stellte sich ziemlich schnell heraus das dahinter eine Hacker Truppe steckte die den Server immer wieder mit einem Programm angriff und der daraufhin dicht machte.

Doch nicht genug damit, diese spinner haben das ganze auf ihrer seite per youtube video öffentlich dargeboten: hxxp://cs2d.clangroups.com/Guild.aspx?GuildID=490714&TabID=4225937

Ich kannte nun die Verursacher des ganzen und als Mod konnte ich sogar was unternehmen, also habe ich das ganze auf der offiziellen seite des Servers publik gemacht.
Das hat dort einen riesen Aufstand gegeben, das video war der perfekte Beweis.

Nachdem das also bekannt war ist mir auch aufgefallen das betreffende nicknamen der Hacker immer wieder auf dem Server zu sehen waren.
Ich hab mich halb gefreut und gleich mal banns verteilt, jedoch ohne Erfolg da keine 5 min später (vll dank dynamischer ip) derselbe wieder da war und 2 min später war der Server wieder lahmgelegt.
Das hat mich nicht davon abgehalten wieder und wieder zu bannen in der Hoffnung das die irgendwann keine Lust mehr haben... Fehlanzeige

Da war ich echt am ende mit meinem Latein und hab mir im Forum mit den anderen Mods und Admins über das Problem den Kopf zermatert.

Auf einmal tauchte im Forum einer der Hacker auf und beschwerte sich über mich, da ich ihn ja grundlos vom server bannen würde und forderte das ich vom Forum und Server entfernt werde (wtf).
Da bin ich richtig sauer geworden und hab klargestellt das ich niemals aufhören werde ihn und sein zugehöriges Gesindel vom Server fernzuhalten und das aus gutem Grund.

Ein paar Minuten später war ich mal wieder auf dem Server und da schreibt mich einer der Hacker an "hör auf zu bannen sonst wirds dir leidtun"
Ich dachte mir: jaja red du nur, und hab ihn (zum 100000000. mal) gebannt

Am nächten Tag (heute) finde ich ein neues Thema vom Admin das folgendes beinhaltet:
Der User *** (ich) wird hiermit vom server gebannt (ip und usgn)
Sein Moderator Status wird gelöscht.
Grund: DDoS Attacken

Ich dachte mich tritt ein Pferd!!!!

Was zum Henker geht hier ab??

Da hab ich erstmal per google geguckt was DDoS Attacken überhaupt sind.
Ne Stunde später war mir klar das ich hier auf ganz üble Art ausgebootet werde.

Leider bekomme ich keine Antwort auf eine PM an den Admin in der ich versuchte die Sache aus meiner Sicht darzustellen und ihm klarzumachen das er genau das Gegenteil macht von dem was er glaubt zu tun.

Antivir-Scan hat folgendes ergeben



Avira Free Antivirus
Erstellungsdatum der Reportdatei: Freitag, 20. Dezember 2013 19:03


Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer : Avira Free Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Microsoft Windows XP
Windowsversion : (Service Pack 3, v.3311) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : FEILER-HOME

Versionsinformationen:
BUILD.DAT : 14.0.2.286 55547 Bytes 09.12.2013 11:37:00
AVSCAN.EXE : 14.0.2.254 1032760 Bytes 09.12.2013 10:37:19
AVSCANRC.DLL : 14.0.2.180 62008 Bytes 09.12.2013 10:37:19
LUKE.DLL : 14.0.2.234 65592 Bytes 09.12.2013 10:37:20
AVSCPLR.DLL : 14.0.2.254 124472 Bytes 09.12.2013 10:37:19
AVREG.DLL : 14.0.2.212 250424 Bytes 09.12.2013 10:37:19
avlode.dll : 14.0.2.254 540216 Bytes 09.12.2013 10:37:19
avlode.rdf : 13.0.1.62 56973 Bytes 09.12.2013 10:37:19
VBASE000.VDF : 7.11.70.0 66736640 Bytes 04.04.2013 10:37:22
VBASE001.VDF : 7.11.74.226 2201600 Bytes 30.04.2013 10:37:22
VBASE002.VDF : 7.11.80.60 2751488 Bytes 28.05.2013 10:37:22
VBASE003.VDF : 7.11.85.214 2162688 Bytes 21.06.2013 10:37:22
VBASE004.VDF : 7.11.91.176 3903488 Bytes 23.07.2013 10:37:22
VBASE005.VDF : 7.11.98.186 6822912 Bytes 29.08.2013 10:37:22
VBASE006.VDF : 7.11.103.230 2293248 Bytes 24.09.2013 10:37:22
VBASE007.VDF : 7.11.116.38 5485568 Bytes 28.11.2013 10:37:22
VBASE008.VDF : 7.11.120.140 1154560 Bytes 19.12.2013 18:00:30
VBASE009.VDF : 7.11.120.141 2048 Bytes 19.12.2013 18:00:30
VBASE010.VDF : 7.11.120.142 2048 Bytes 19.12.2013 18:00:30
VBASE011.VDF : 7.11.120.143 2048 Bytes 19.12.2013 18:00:30
VBASE012.VDF : 7.11.120.144 2048 Bytes 19.12.2013 18:00:30
VBASE013.VDF : 7.11.120.145 2048 Bytes 19.12.2013 18:00:30
VBASE014.VDF : 7.11.120.146 2048 Bytes 19.12.2013 18:00:30
VBASE015.VDF : 7.11.120.147 2048 Bytes 19.12.2013 18:00:30
VBASE016.VDF : 7.11.120.148 2048 Bytes 19.12.2013 18:00:30
VBASE017.VDF : 7.11.120.149 2048 Bytes 19.12.2013 18:00:30
VBASE018.VDF : 7.11.120.150 2048 Bytes 19.12.2013 18:00:30
VBASE019.VDF : 7.11.120.151 2048 Bytes 19.12.2013 18:00:30
VBASE020.VDF : 7.11.120.152 2048 Bytes 19.12.2013 18:00:30
VBASE021.VDF : 7.11.120.153 2048 Bytes 19.12.2013 18:00:30
VBASE022.VDF : 7.11.120.154 2048 Bytes 19.12.2013 18:00:30
VBASE023.VDF : 7.11.120.155 2048 Bytes 19.12.2013 18:00:30
VBASE024.VDF : 7.11.120.156 2048 Bytes 19.12.2013 18:00:30
VBASE025.VDF : 7.11.120.157 2048 Bytes 19.12.2013 18:00:30
VBASE026.VDF : 7.11.120.158 2048 Bytes 19.12.2013 18:00:30
VBASE027.VDF : 7.11.120.159 2048 Bytes 19.12.2013 18:00:30
VBASE028.VDF : 7.11.120.160 2048 Bytes 19.12.2013 18:00:30
VBASE029.VDF : 7.11.120.161 2048 Bytes 19.12.2013 18:00:31
VBASE030.VDF : 7.11.120.162 2048 Bytes 19.12.2013 18:00:31
VBASE031.VDF : 7.11.121.2 200704 Bytes 20.12.2013 18:00:31
Engineversion : 8.2.12.166
AEVDF.DLL : 8.1.3.4 102774 Bytes 09.12.2013 10:37:18
AESCRIPT.DLL : 8.1.4.176 520574 Bytes 23.12.2013 18:00:33
AESCN.DLL : 8.1.10.6 131447 Bytes 23.12.2013 18:00:32
AESBX.DLL : 8.2.16.26 1245560 Bytes 09.12.2013 10:37:18
AERDL.DLL : 8.2.0.138 704888 Bytes 09.12.2013 10:37:18
AEPACK.DLL : 8.3.3.8 762232 Bytes 23.12.2013 18:00:32
AEOFFICE.DLL : 8.1.2.76 205181 Bytes 09.12.2013 10:37:18
AEHEUR.DLL : 8.1.4.830 6386042 Bytes 23.12.2013 18:00:32
AEHELP.DLL : 8.1.27.10 266618 Bytes 09.12.2013 10:37:18
AEGEN.DLL : 8.1.7.20 446839 Bytes 09.12.2013 10:37:18
AEEXP.DLL : 8.4.1.138 418168 Bytes 23.12.2013 18:00:34
AEEMU.DLL : 8.1.3.2 393587 Bytes 09.12.2013 10:37:18
AECORE.DLL : 8.1.33.0 225657 Bytes 23.12.2013 18:00:31
AEBB.DLL : 8.1.1.4 53619 Bytes 09.12.2013 10:37:18
AVWINLL.DLL : 14.0.2.180 23608 Bytes 09.12.2013 10:37:19
AVPREF.DLL : 14.0.2.180 48696 Bytes 09.12.2013 10:37:19
AVREP.DLL : 14.0.2.180 175672 Bytes 09.12.2013 10:37:19
AVARKT.DLL : 14.0.2.254 256056 Bytes 09.12.2013 10:37:18
AVEVTLOG.DLL : 14.0.2.180 165944 Bytes 09.12.2013 10:37:18
SQLITE3.DLL : 3.7.0.1 394808 Bytes 09.12.2013 10:37:21
AVSMTP.DLL : 14.0.2.180 60472 Bytes 09.12.2013 10:37:19
NETNT.DLL : 14.0.2.180 13368 Bytes 09.12.2013 10:37:20
RCIMAGE.DLL : 14.0.2.180 4786744 Bytes 09.12.2013 10:37:21
RCTEXT.DLL : 14.0.2.270 73272 Bytes 09.12.2013 10:37:21

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: c:\programme\avira\antivir desktop\sysscan.avp
Protokollierung.......................: standard
Primäre Aktion........................: Interaktiv
Sekundäre Aktion......................: Ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:,
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Prüfe alle Dateien....................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: erweitert
Abweichende Gefahrenkategorien........: +APPL,+JOKE,+SPR,

Beginn des Suchlaufs: Freitag, 20. Dezember 2013 19:03

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'HDD0(C'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf nach versteckten Objekten wird begonnen.
Beim Laden des Moduls (AVARKT.DLL) ist folgender Fehler aufgetreten:
Die Datei existiert nicht!
AVARKT.DLL

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'chrome.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '84' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '83' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '73' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '68' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '19' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '83' Modul(e) wurden durchsucht
Durchsuche Prozess 'chrome.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'chrome.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'chrome.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'chrome.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'chrome.exe' - '80' Modul(e) wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '59' Modul(e) wurden durchsucht
Durchsuche Prozess 'ccc.exe' - '171' Modul(e) wurden durchsucht
Durchsuche Prozess 'MOM.exe' - '48' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '25' Modul(e) wurden durchsucht
Durchsuche Prozess 'SOUNDMAN.EXE' - '24' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '52' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '126' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '76' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '52' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '38' Modul(e) wurden durchsucht
Durchsuche Prozess 'Ati2evxx.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '156' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '50' Modul(e) wurden durchsucht
Durchsuche Prozess 'Ati2evxx.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '58' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '77' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '12' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
C:\Dokumente und Einstellungen\All Users\Local Settings\Temp\msaybw.scr
[FUND] Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/Fynloski.AJ.3
C:\Program Files\Common Files\ODBC\comp.exe
[FUND] Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/Hupigon.Gen
C:\WINDOWS\system32\xluxt.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!

Die Registry wurde durchsucht ( '1599' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\TEMP\AVSCAN-20131223-190239-4505892A\ARK6A4.tmp
[FUND] Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/Fynloski.AJ.3
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\R9IZST2J\bywbmnv[1].png
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Conficker.AX
C:\System Volume Information\_restore{550F1943-CECF-443E-954C-4AC7EAFAC465}\RP239\A0117587.exe
[FUND] Enthält Erkennungsmuster der Anwendung APPL/Downloader.Gen
C:\System Volume Information\_restore{550F1943-CECF-443E-954C-4AC7EAFAC465}\RP239\A0117589.exe
[FUND] Enthält Erkennungsmuster der Anwendung APPL/Downloader.Gen
C:\System Volume Information\_restore{550F1943-CECF-443E-954C-4AC7EAFAC465}\RP239\A0117590.exe
[FUND] Enthält Erkennungsmuster der Anwendung APPL/Downloader.Gen
C:\System Volume Information\_restore{550F1943-CECF-443E-954C-4AC7EAFAC465}\RP239\A0117596.exe
[FUND] Enthält Erkennungsmuster der Anwendung APPL/Downloader.Gen
C:\System Volume Information\_restore{550F1943-CECF-443E-954C-4AC7EAFAC465}\RP239\A0117597.exe
[FUND] Enthält Erkennungsmuster der Anwendung APPL/Downloader.Gen
C:\System Volume Information\_restore{550F1943-CECF-443E-954C-4AC7EAFAC465}\RP239\A0118072.exe
[FUND] Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/Hupigon.Gen
C:\WINDOWS\system32\xluxt.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!

Beginne mit der Desinfektion:
C:\System Volume Information\_restore{550F1943-CECF-443E-954C-4AC7EAFAC465}\RP239\A0118072.exe
[FUND] Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/Hupigon.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '571130ee.qua' verschoben!
C:\System Volume Information\_restore{550F1943-CECF-443E-954C-4AC7EAFAC465}\RP239\A0117597.exe
[FUND] Enthält Erkennungsmuster der Anwendung APPL/Downloader.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4f861f72.qua' verschoben!
C:\System Volume Information\_restore{550F1943-CECF-443E-954C-4AC7EAFAC465}\RP239\A0117596.exe
[FUND] Enthält Erkennungsmuster der Anwendung APPL/Downloader.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '1dd9459a.qua' verschoben!
C:\System Volume Information\_restore{550F1943-CECF-443E-954C-4AC7EAFAC465}\RP239\A0117590.exe
[FUND] Enthält Erkennungsmuster der Anwendung APPL/Downloader.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '7bee0a59.qua' verschoben!
C:\System Volume Information\_restore{550F1943-CECF-443E-954C-4AC7EAFAC465}\RP239\A0117589.exe
[FUND] Enthält Erkennungsmuster der Anwendung APPL/Downloader.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '3e6a2767.qua' verschoben!
C:\System Volume Information\_restore{550F1943-CECF-443E-954C-4AC7EAFAC465}\RP239\A0117587.exe
[FUND] Enthält Erkennungsmuster der Anwendung APPL/Downloader.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '41711501.qua' verschoben!
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\R9IZST2J\bywbmnv[1].png
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Conficker.AX
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '0c073900.qua' verschoben!
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\TEMP\AVSCAN-20131223-190239-4505892A\ARK6A4.tmp
[FUND] Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/Fynloski.AJ.3
[WARNUNG] Beim Versuch eine Sicherungskopie der Datei anzulegen ist ein Fehler aufgetreten und die Datei wurde nicht gelöscht. Fehlernummer: 26003
[WARNUNG] Die Datei konnte nicht gelöscht werden!
[HINWEIS] Die Datei wurde zum Löschen nach einem Neustart markiert.
[HINWEIS] Für die abschliessende Reparatur wird ein Neustart des Computers eingeleitet.
Der Registrierungseintrag <HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\RPCER> wurde erfolgreich entfernt.
C:\Program Files\Common Files\ODBC\comp.exe
[FUND] Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/Hupigon.Gen
[WARNUNG] Beim Versuch eine Sicherungskopie der Datei anzulegen ist ein Fehler aufgetreten und die Datei wurde nicht gelöscht. Fehlernummer: 26004
[WARNUNG] Die Quelldatei konnte nicht gefunden werden.
[HINWEIS] Die Datei wurde zum Löschen nach einem Neustart markiert.
[HINWEIS] Für die abschliessende Reparatur wird ein Neustart des Computers eingeleitet.
[HINWEIS] Der Registrierungseintrag <HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\RPCER\ImagePath> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\26273> wurde erfolgreich entfernt.
C:\Dokumente und Einstellungen\All Users\Local Settings\Temp\msaybw.scr
[FUND] Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/Fynloski.AJ.3
[WARNUNG] Beim Versuch eine Sicherungskopie der Datei anzulegen ist ein Fehler aufgetreten und die Datei wurde nicht gelöscht. Fehlernummer: 26004
[WARNUNG] Die Quelldatei konnte nicht gefunden werden.
[HINWEIS] Die Datei wurde zum Löschen nach einem Neustart markiert.
[HINWEIS] Für die abschliessende Reparatur wird ein Neustart des Computers eingeleitet.
[HINWEIS] Der Registrierungseintrag <HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\26273> wurde erfolgreich repariert.


Ende des Suchlaufs: Freitag, 20. Dezember 2013 20:03
Benötigte Zeit: 58:22 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

6398 Verzeichnisse wurden überprüft
230742 Dateien wurden geprüft
10 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
7 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
2 Dateien konnten nicht durchsucht werden
230730 Dateien ohne Befall
2290 Archive wurden durchsucht
5 Warnungen
10 Hinweise

Wie werd ich jetz daraus schlauer, bzw wer kann mir sagen was zu tun ist um meinen Pc vor solchem Missbrauch zu schützen?