ungewöhnliche IP's unter Zone Alarm

[chronical_chaos 10]

Hallo NG,

 

ich habe auf einem meiner Workstation (2k, SP4, Patches aktuell, Mitglied einer AD Domäne), folgendes Phänomen festgestellt.

 

Wird beispielsweise das Router Control Tool zur Einwahl des Routers ins Inet gestartet frägt ZA ob das "Programm Router Control mit der Ziel IP 2.0.0.88 Port 3584 ins Inet gelangen" darf.

 

Der Clou ist nun, daß der Router auf die Adresse 192.168.0.1 und nicht auf 2.0.080 hört.

 

Ähnliches habe ich auch beim Lsass.exe Dienst beobachtet.

Frage "Soll LSA exe und Server dll mit Ziel IP 2.0.0.88 Port 3584 Zugriff aufs Inet erhalten?"

 

Ich kann mit den 2.0.0.X IP Adressen nix anfangen und mir auch nicht erklären wo die herkommen.

Wird da evtl. von einem Wurm/Trojaner oder ähnlichem etw. umgeleitet?

 

Wer mir diesbezüglich Tips oder Hilfestellungen geben kann, möge sich bitte melden.

 

Besten Dank im voraus.

 

chronical_chaos

[Necron 71]

Hi,

 

hast du schon mal versucht eine Routenverfolgung mit dem Kommandozeilentool tracert zustarten?

[chronical_chaos 10]

Ja mit folgendem Ergebnis bei geöffneter INet Verbindung

 

U:\>tracert 2.0.0.88

 

Routenverfolgung zu 2.0.0.88 über maximal 30 Abschnitte

 

1 <10ms <10ms <10ms 192.168.0.1

2 50ms 60ms 60ms 217.5.98.95

3 50ms 60 ms 50ms 217.237.152.58

4- 30 Zeitüberschreitung der Anforderung

 

U:\>tracert 2.0.0.80

 

Routenverfolgung zu 2.0.0.88 über maximal 30 Abschnitte

 

1 <10ms <10ms <10ms 192.168.0.1

2 50ms 60ms 60ms 217.5.98.95

3 50ms 60 ms 50ms 217.237.152.58

4- 30 Zeitüberschreitung der Anforderung

 

Das hilft meiner Meinung nach auch nicht viel weiter, obwohl es meine Vermutung bestärkt, daß irgendetwas faul ist.

 

Hab gestern zwei Virenscanner (NAV und AnitVir) drüber laufen lassen, beide mit negativem Ergebnis.

Spybot hat auch nichts auffälliges gefunden....