ich schildere erstmal kurz was passiert / passiert ist ...

vor etwa 4 wochen begann mein cd-rom laufwerk gelegentlich mal auf und zu zu gehen ... wie von geisterhand.

etwa eine woche später wurde mein cd-rom laufwerk aufdringlicher und ging häufiger ... teilweise rhytmisch auf und zu

als ich das cd-rom laufwerk nur vom ide controller trennte (rechner aus - kabel ab ... strom gabs weiter) war ruhe ...

nach 3 tagen klemmte ich den ide-buss wieder an. naja auf zu auf zu auf zu ...

hab dann aus lauter verzweiflung ZA laufen lassen und bin dabei auf 3 IP's gestossen die ich nicht kenne ...

192.175.48.1 - prisoner.iana.org
192.175.48.6 - blackhole-1.iana.org
192.175.48.42 - blackhole-2.iana.org

also hab ich ZA den IP-Bereich mal komplett gesperrt

seitdem hab ich etwa 2-5.000 Zugriffsversuche pro tag auf diese IP's

aber sobald ich die IP's sperre ist Ruhe im cd-rom

so nun habe ich mit einem laptop alle daten von dem pc geholt und die festplatte kurzerhand neu partitioniert und formatiert und das OS neu installiert ...

ich habe folgende CD's verwendet und den Netzwerkzugang nicht eingerichtet (scheinbar jedoch mein router)

windows 2000 professional
grafikkartentreiber
soundkartentreiber

ach ja ich habe erwähnt die zugriffe auf die oben gennanten IP kamen wieder ... trotz neu partitionierung der einzigen HDD und Neuinstallation ausschliesslich von original CD's

über google und die suchbegriffe "virus" "iana.org" bin ich hierher gekommen ...

kann mir jemand sagen was das ist ... und wie ich das wieder weg bekomme ?

Habe mit HijackThis folgendes protokoll erhalten :


Logfile of HijackThis v1.97.7
Scan saved at 11:56:01, on 21.01.2004
Platform: Windows 2000 SP1 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 (5.00.2920.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\csrss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\WINNT\Explorer.exe
C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\Programme\Desktop Messenger\8876480\Program\backWeb-8876480.exe
C:\WINNT\System32\internat.exe
C:\WINNT\System32\MsPMSPSv.exe
C:\WINNT\System32\CTsvcCDA.EXE
C:\WINNT\System32\devldr32.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\Administrator\Desktop\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [LDM] C:\Programme\Desktop Messenger\8876480\Program\backWeb-8876480.exe
O4 - HKLM\..\Run: [Disc Detector] C:\Programme\Creative\ShareDLL\ctnotify.exe
O4 - HKLM\..\Run: [UpdReg] C:\WINNT\Updreg.exe
O4 - HKLM\..\Run: [AHQInit] C:\Programme\Creative\SBLive2k\Program\AHQInit.exe
O4 - HKLM\..\Run: [AudioHQ] C:\Programme\Creative\SBLive2k\AudioHQ\AHQTB.EXE
O4 - HKLM\..\Run: [CTAvTray] C:\Programme\Creative\SBLive2k\Program\CTAvtray.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [THGuard] "C:\Programme\TrojanHunter 3.8\THGuard.exe"
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [LDM] C:\Programme\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O4 - HKLM\..\RunOnce: [MigrateMMDrivers] rundll32.exe mmsys.cpl,mmseRunOnce
O4 - HKLM\..\RunOnce: [Restore] C:\Programme\Creative\SBLive2k\Program\RESTORE.EXE S
O4 - HKLM\..\RunOnce: [CTAvTray] C:\Programme\Creative\SBLive2k\Program\CTAvStub.EXE EAX.AVI
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Desktop Messenger\8876480\Program\LDMConf.exe
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = matrix
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = matrix
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = matrix

Hallo Metabolic
und willkommen an Bord.


</font><blockquote>Zitat:</font><hr />192.175.48.1 - prisoner.iana.org
192.175.48.6 - blackhole-1.iana.org
192.175.48.42 - blackhole-2.iana.org</font>[/QUOTE]ich habe dazu folgende Information gefunden: bitte klicken. Wenn ich das richtig begriffen habe, handelt es sich bei diesen Daten um die DNS Deiner Firewall, die moeglicherweise nicht richtig konfiguriert ist. Dass es viele Zugriffe darauf gibt, wird als normal erklaert, in dem verlinkten Artikel.

Warum Deine CD-rom auf und zugeht, kann ich mir nicht erklaeren, aber ich empfehle Dir Deinen Virenschutz zu aktualisieren und Deine Festplatten mit einem der Online-Scan-Programme zu ueberpruefen, die ich in meiner Unterschrift verlinkt habe (links aussen).

Viel Erfolg,

Erstmal thx for info

Habe folgende AV Software bei mir schon mal durchlaufen lassen

Norton (vorher updated)
EZ-Trust (Trial version aktueller stand)
Antivir (ist meine AV Software)

Online scans
Trend-micro housecall

alles ohne erfolg ... oder fundstücke


mir ist halt nur bisher aufgefallen ...

IP's (iana.org) offen ... cd-rom spinnt
IP's (iana.org gesperrt ... cd-rom funzt

Hi,

hab zwar keine Lösung für das Problem, aber ich würde Dir dringend raten Service Pack "4" und alle Patches zu installieren. Du bist derzeit auf SP 1.

Greetz
Blackdog

P.S. Was ich mir noch vorstellen könnte ist, daß Dein CD-Rom freigegeben ist und das sich jemand dumm spielt. Hatte ich mal in meinen PC-Anfangszeiten.

sp1 ist deshalb weil ich gerade heute morgen win2k installiert habe ... und wieder mein problem und die kommunikationsversuche meines pc begannen [img]smile.gif[/img]

Lade Dir doch 'mal den Microsoft Baseline Analyzer herunter, der ist gratis und damit kannst Du einfach herausfinden, ob Dein CD-ROM freigegeben ist. http://www.microsoft.com/downloads/d...DisplayLang=en

nochmal :

das system ist mit stand 21.01.2004 neu installiert ...
da ich in meinem kleinen netz mit NTFS und seinen vor- und nachteilen kämpfe ... habe ich nix mit ordner freigegeben ... sondern auschliesslich freigabe auf benutzerebene ... und das wiederum bedeutet doch ... das sich jemand in mein system schleichen muss um daran zu kommen ...

btw ... das cd-rom in einem anderen rechner eingebaut ... ist ... ruhig und friedlich ... hardware ist es also nicht ...

und meines wissens nach ist die die einzige freigabe in einem frischen nt/2k system $C welche ich standartmässig ausmache

und nach der anbindung an meinen kleine linuxserver ist freigabe an benutzer

Hi!

Entferne doch einmal bitte die folgenden Zeilen:

O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [LDM] C:\Programme\Desktop Messenger\8876480\Program\backWeb-8876480.exe
O4 - HKCU\..\Run: [LDM] C:\Programme\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Desktop Messenger\8876480\Program\LDMConf.exe
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=


Zum Entfernen der Autostarteinträge kannst Du auch folgendes kostenloses Tool verwenden:
Trojan Check.

Frage am Rande: Besitzt Du eine feste IP-Adresse?

Gruß!
MyThinkTank