|
ich schildere erstmal kurz was passiert / passiert ist ... vor etwa 4 wochen begann mein cd-rom laufwerk gelegentlich mal auf und zu zu gehen ... wie von geisterhand. etwa eine woche später wurde mein cd-rom laufwerk aufdringlicher und ging häufiger ... teilweise rhytmisch auf und zu als ich das cd-rom laufwerk nur vom ide controller trennte (rechner aus - kabel ab ... strom gabs weiter) war ruhe ... nach 3 tagen klemmte ich den ide-buss wieder an. naja auf zu auf zu auf zu ... hab dann aus lauter verzweiflung ZA laufen lassen und bin dabei auf 3 IP's gestossen die ich nicht kenne ... 192.175.48.1 - prisoner.iana.org 192.175.48.6 - blackhole-1.iana.org 192.175.48.42 - blackhole-2.iana.org also hab ich ZA den IP-Bereich mal komplett gesperrt seitdem hab ich etwa 2-5.000 Zugriffsversuche pro tag auf diese IP's aber sobald ich die IP's sperre ist Ruhe im cd-rom so nun habe ich mit einem laptop alle daten von dem pc geholt und die festplatte kurzerhand neu partitioniert und formatiert und das OS neu installiert ... ich habe folgende CD's verwendet und den Netzwerkzugang nicht eingerichtet (scheinbar jedoch mein router) windows 2000 professional grafikkartentreiber soundkartentreiber ach ja ich habe erwähnt die zugriffe auf die oben gennanten IP kamen wieder ... trotz neu partitionierung der einzigen HDD und neuinstallation ausschliesslich von original CD's über google und die suchbegriffe "virus" "iana.org" bin ich hierher gekommen ... kann mir jemand sagen was das ist ... und wie ich das wieder weg bekomme ? |
Habe mit Hijackthis folgendes protokoll erhalten : Logfile of HijackThis v1.97.7 Scan saved at 11:56:01, on 21.01.2004 Platform: Windows 2000 SP1 (WinNT 5.00.2195) MSIE: Internet Explorer v5.00 (5.00.2920.0000) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\csrss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINNT\System32\svchost.exe C:\WINNT\System32\nvsvc32.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\WINNT\system32\ZoneLabs\vsmon.exe C:\WINNT\Explorer.exe C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe C:\Programme\Logitech\iTouch\iTouch.exe C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE C:\Programme\Desktop Messenger\8876480\Program\backWeb-8876480.exe C:\WINNT\System32\internat.exe C:\WINNT\System32\MsPMSPSv.exe C:\WINNT\System32\CTsvcCDA.EXE C:\WINNT\System32\devldr32.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Dokumente und Einstellungen\Administrator\Desktop\HijackThis.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/ O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE O4 - HKLM\..\Run: [LDM] C:\Programme\Desktop Messenger\8876480\Program\backWeb-8876480.exe O4 - HKLM\..\Run: [Disc Detector] C:\Programme\Creative\ShareDLL\ctnotify.exe O4 - HKLM\..\Run: [UpdReg] C:\WINNT\Updreg.exe O4 - HKLM\..\Run: [AHQInit] C:\Programme\Creative\SBLive2k\Program\AHQInit.exe O4 - HKLM\..\Run: [AudioHQ] C:\Programme\Creative\SBLive2k\AudioHQ\AHQTB.EXE O4 - HKLM\..\Run: [CTAvTray] C:\Programme\Creative\SBLive2k\Program\CTAvtray.exe O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [THGuard] "C:\Programme\TrojanHunter 3.8\THGuard.exe" O4 - HKCU\..\Run: [internat.exe] internat.exe O4 - HKCU\..\Run: [LDM] C:\Programme\Desktop Messenger\8876480\Program\BackWeb-8876480.exe O4 - HKLM\..\RunOnce: [MigrateMMDrivers] rundll32.exe mmsys.cpl,mmseRunOnce O4 - HKLM\..\RunOnce: [Restore] C:\Programme\Creative\SBLive2k\Program\RESTORE.EXE S O4 - HKLM\..\RunOnce: [CTAvTray] C:\Programme\Creative\SBLive2k\Program\CTAvStub.EXE EAX.AVI O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Desktop Messenger\8876480\Program\LDMConf.exe O9 - Extra button: Related (HKLM) O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM) O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll O14 - IERESET.INF: SEARCH_PAGE_URL= O14 - IERESET.INF: START_PAGE_URL= O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = matrix O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = matrix O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = matrix |
Hallo Metabolic und willkommen an Bord. </font><blockquote>Zitat:</font><hr />192.175.48.1 - prisoner.iana.org 192.175.48.6 - blackhole-1.iana.org 192.175.48.42 - blackhole-2.iana.org</font>[/QUOTE]ich habe dazu folgende Information gefunden: bitte klicken. Wenn ich das richtig begriffen habe, handelt es sich bei diesen Daten um die DNS Deiner Firewall, die moeglicherweise nicht richtig konfiguriert ist. Dass es viele Zugriffe darauf gibt, wird als normal erklaert, in dem verlinkten Artikel. Warum Deine CD-rom auf und zugeht, kann ich mir nicht erklaeren, aber ich empfehle Dir Deinen Virenschutz zu aktualisieren und Deine Festplatten mit einem der Online-Scan-Programme zu ueberpruefen, die ich in meiner Unterschrift verlinkt habe (links aussen). Viel Erfolg, |
Erstmal thx for info Habe folgende AV Software bei mir schon mal durchlaufen lassen Norton (vorher updated) EZ-Trust (Trial version aktueller stand) Antivir (ist meine AV Software) Online scans Trend-micro housecall alles ohne erfolg ... oder fundstücke mir ist halt nur bisher aufgefallen ... IP's (iana.org) offen ... cd-rom spinnt IP's (iana.org gesperrt ... cd-rom funzt |
Hi, hab zwar keine Lösung für das Problem, aber ich würde Dir dringend raten Service Pack "4" und alle Patches zu installieren. Du bist derzeit auf SP 1. Greetz Blackdog P.S. Was ich mir noch vorstellen könnte ist, daß Dein CD-Rom freigegeben ist und das sich jemand dumm spielt. Hatte ich mal in meinen PC-Anfangszeiten. |
sp1 ist deshalb weil ich gerade heute morgen win2k installiert habe ... und wieder mein problem und die kommunikationsversuche meines pc begannen [img]smile.gif[/img] |
Lade Dir doch 'mal den Microsoft Baseline Analyzer herunter, der ist gratis und damit kannst Du einfach herausfinden, ob Dein CD-ROM freigegeben ist. http://www.microsoft.com/downloads/d...DisplayLang=en |
nochmal : das system ist mit stand 21.01.2004 neu installiert ... da ich in meinem kleinen netz mit NTFS und seinen vor- und nachteilen kämpfe ... habe ich nix mit ordner freigegeben ... sondern auschliesslich freigabe auf benutzerebene ... und das wiederum bedeutet doch ... das sich jemand in mein system schleichen muss um daran zu kommen ... btw ... das cd-rom in einem anderen rechner eingebaut ... ist ... ruhig und friedlich ... hardware ist es also nicht ... und meines wissens nach ist die die einzige freigabe in einem frischen nt/2k system $C welche ich standartmässig ausmache und nach der anbindung an meinen kleine linuxserver ist freigabe an benutzer |
Hi! Entferne doch einmal bitte die folgenden Zeilen: O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE O4 - HKLM\..\Run: [LDM] C:\Programme\Desktop Messenger\8876480\Program\backWeb-8876480.exe O4 - HKCU\..\Run: [LDM] C:\Programme\Desktop Messenger\8876480\Program\BackWeb-8876480.exe O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Desktop Messenger\8876480\Program\LDMConf.exe O14 - IERESET.INF: SEARCH_PAGE_URL= O14 - IERESET.INF: START_PAGE_URL= Zum Entfernen der Autostarteinträge kannst Du auch folgendes kostenloses Tool verwenden: Trojan Check. Frage am Rande: Besitzt Du eine feste IP-Adresse? Gruß! MyThinkTank |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 09:48 Uhr. |
Copyright ©2000-2025, Trojaner-Board