Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Frage zu hijackthis 017 Eintag

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 01.04.2006, 12:10   #1
tommi74
 
Frage zu hijackthis 017 Eintag - Standard

Frage zu hijackthis 017 Eintag



Hallo zusammen

Ich wollte mal fragen wie herausfinden kann, ob nun der Eintrag bei mir unter 017 gut oder schlecht ist
das hab ich dazu gefunden : Auszug von HijackThis auswertung

O17 - Lop.com-Domain Veränderungen
Beispieleinträge:

O17 - HKLM\System\CCS\Services\VxD\MSTCP: Domain = aoldsl.net
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = W21944.find-quick.com
O17 - HKLM\Software\..\Telephony: DomainName = W21944.find-quick.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{D196AB38-4D1F-45C1-9108-46D367F19F7E}: Domain = W21944.find-quick.com
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = gla.ac.uk
O17 - HKLM\System\CS1\Services\VxD\MSTCP: NameServer = 69.57.146.14,69.57.147.175

Was zu unternehmen ist:
Wenn die hier angegebene Domäne nicht zum ISP, bzw. des Firmen-Netzwerks ist, sollte dieser Eintrag mit HijackThis gefixt werden. Das Gleiche gilt für die 'SearchList'-Einträge (Suchlisten-Einträge).
Für vorhandene 'NameServer' (DNS Server) Einträge, hilft im Zweifel eine Suche mit Google nach den IP-Adressen bei der Entscheidung, ob diese Einträge 'gut' oder 'schlecht' sind.

wie soll ich denn da vor gehen?? mhh
Die frage ist : sind die zwei Zahlenkombinationen nach name server= variabel?
oder müssen die identisch mit denen des vom providers gleich sein?
__________________
Das Glück kommt zu denen die lächeln

Alt 01.04.2006, 12:19   #2
BataAlexander
> MalwareDB
 
Frage zu hijackthis 017 Eintag - Standard

Frage zu hijackthis 017 Eintag



Hallo,

solche Einträge solltest Du immer fixen, allerdings sind das nur die Symtopme.
Poste entweder das komplette Log oder führe einen Scan mit Blacklight durch.

Gruß

Schrulli
__________________

__________________

Alt 01.04.2006, 13:06   #3
tommi74
 
Frage zu hijackthis 017 Eintag - Standard

Frage zu hijackthis 017 Eintag



hallo nochmal
also hier das Logfile:
ogfile of HijackThis v1.99.1
Scan saved at 14:04:02, on 01.04.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Java\jre1.5.0_05\bin\jusched.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAAE.EXE
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\DeTeWe\TA 33 USB\Capictrl.exe
C:\Dokumente und Einstellungen\Trojaner\Eigene Dateien\Neuer Ordner\firefox.exe
C:\Dokumente und Einstellungen\***\Eigene Dateien\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [EPSON Stylus D68 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAAE.EXE /P23 "EPSON Stylus D68 Series" /O6 "USB001" /M "Stylus D68"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_05\bin\jusched.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [EPSON Stylus D68 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAAE.EXE /P23 "EPSON Stylus D68 Series" /M "Stylus D68" /EF "HKCU"
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: CAPIControl.lnk = ?
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1117269658171
O17 - HKLM\System\CCS\Services\Tcpip\..\{9D4E2240-9B0D-4AAD-8020-3082B815A36E}: NameServer = 195.202.33.68 195.202.32.79
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
__________________
__________________

Alt 01.04.2006, 13:10   #4
BataAlexander
> MalwareDB
 
Frage zu hijackthis 017 Eintag - Standard

Frage zu hijackthis 017 Eintag



Hallo,

das HJT Log sieht unauffällig aus, bekommen wir noch einen Blacklight befund?
Dein Provider ist citykom, München?

Gruß

Schrulli
__________________
If every computer is running a diverse ecosystem, crackers will have
no choice but to resort to small-scale, targetted attacks, and the
days of mass-market malware will be over
[...].
Stuart Udall

Alt 01.04.2006, 13:15   #5
tommi74
 
Frage zu hijackthis 017 Eintag - Standard

Frage zu hijackthis 017 Eintag



@ schrulli
mhh ja muss ich mal machen,aber sagtest du nicht 017er müssen gefixt werden?
deswegen hatte ich eigentlich gefragt aber egal.
Also fixe ich den 017er nicht !?

war meine erste vermutung also richtig,das die "zahlen" nach name server variabel sind?

__________________
Das Glück kommt zu denen die lächeln

Alt 01.04.2006, 13:28   #6
tommi74
 
Frage zu hijackthis 017 Eintag - Standard

Frage zu hijackthis 017 Eintag



@ schrulli
sorry das ich nochmal poste,aber ich hatte das mit dem provider nicht gelesen
mhh ich weiss nicht nicht ob das die citkomm münchen ist. Bin bei telebel und weiss nicht ob die zur gruppe citikom münchen gehört ???
und blacklight hat 0 funde
Danke
__________________
--> Frage zu hijackthis 017 Eintag

Alt 01.04.2006, 13:33   #7
BataAlexander
> MalwareDB
 
Frage zu hijackthis 017 Eintag - Standard

Frage zu hijackthis 017 Eintag



Hallo,

das mit dem Provider passt.

Dein Signatur Spruch gefällt mir, kennst Du vielleicht die Quelle?

Gruß

Schrulli
__________________
If every computer is running a diverse ecosystem, crackers will have
no choice but to resort to small-scale, targetted attacks, and the
days of mass-market malware will be over
[...].
Stuart Udall

Alt 01.04.2006, 13:48   #8
tommi74
 
Frage zu hijackthis 017 Eintag - Standard

Frage zu hijackthis 017 Eintag



@ schrulli
Die Qelle kenne ich nicht bzw. nicht den autor aber spruch stand auf einer chinesischen Grusskarte gefiel mir sehr.

Nun zu dem Eintrag,das ist gut das der passt wie hätte "ich"das denn überprüfen können?
-also kann ich davon ausgehen,das der 017 immer Erscheint beim hijackthis?
-Die "Zahlen" sich ändern?
-das dann ok ist?
hier noch dat ding mit blacklight:
04/01/06 14:21:10 [Info]: BlackLight Engine 1.0.33 initialized
04/01/06 14:21:10 [Info]: OS: 5.1 build 2600 (Service Pack 2)
04/01/06 14:21:10 [Note]: 7019 4
04/01/06 14:21:10 [Note]: 7005 0
04/01/06 14:21:29 [Note]: 7006 0
04/01/06 14:21:29 [Note]: 7011 1568
04/01/06 14:21:30 [Note]: FSRAW library version 1.7.1015
04/01/06 14:23:59 [Note]: 7007 0
Danke Schrulli
__________________
Das Glück kommt zu denen die lächeln

Alt 01.04.2006, 13:59   #9
BataAlexander
> MalwareDB
 
Frage zu hijackthis 017 Eintag - Standard

Frage zu hijackthis 017 Eintag



Hallo,

Zitat:

inetnum: 195.202.33.0 - 195.202.33.255
netname: CITYKOM-NET
descr: Citykom Muenster GmbH Telekommunikationsservice
descr: Roesnerstr. 8
descr: 48155 Muenster, Germany
remarks: INFRA-AW
country: DE
admin-c: CKMS1-RIPE
tech-c: CKMS1-RIPE
status: ASSIGNED PA
rev-srv: muensmain.citykom.de
rev-srv: muensa.citykom.de
mnt-by: CK-MNT
source: RIPE # Filtered
Sind mit telebel im Verbund.
Der eine 017- ist in Ordnung, wenn es wieder mehr werden wundere Dich und poste oder prüfe.

Gruß

Schrulli
__________________
If every computer is running a diverse ecosystem, crackers will have
no choice but to resort to small-scale, targetted attacks, and the
days of mass-market malware will be over
[...].
Stuart Udall

Alt 20.03.2007, 00:11   #10
Fletch
 
Frage zu hijackthis 017 Eintag - Standard

Frage zu hijackthis 017 Eintag



Hallo, habe diesen Thread nach Recherchen gefunden und möchte mich mit meiner Frage dranhängen.

Laut Auswertung auf hijackthis.de ist der folgende 017-Eintrag zwar in Ordnung ("Die Eingegebene IP oder Domäne wurde als gut identifiziert"), dennoch frage ich mich, was mein Provider mit IANA zu tun hat.

HKLM\System\CCS\Services\Tcpip\..\{6252573C-D441-4C40-812E-7B7409B3D9F5}: NameServer = 192.168.122.252,192.168.122.253

Liest da jemand mit?

Danke für Hilfe und Antworten.
Fletch

Alt 20.03.2007, 01:56   #11
KarlKarl
/// Helfer-Team
 
Frage zu hijackthis 017 Eintag - Standard

Frage zu hijackthis 017 Eintag



Hi,

die IANA (= Internet Assigned Numbers Authority) verwaltet u.a. die Vergabe von IP-Nummern. Die in deinem O17-Eintrag gehören zu einem Bereich, der für lokale Netzwerke, wie sie z.B. hinter einem Router bestehen, reserviert ist. Bei denen ist die IANA im Whois eingetragen, es gibt ja keinen direkten Inhaber, diese Nummern werden in sehr vielen Netzwerken benutzt. Dein Router stellt einen DNS-Server (eigentlich eher ein Proxy) zur Verfügung, der sich seine Daten dann beim DNS-Sever des Providers holt. Dessen IPs solltest Du in Konfiguration oder Status des Routers finden können. Solange Du allen am Rechner angeschlossenen Computern (bzw. ihren Besitzern) trauen kannst, sind IPs im O17-Eintrag, die mit 192.168 anfangen, immer in Ordnung.

Gruß, Karl

Antwort

Themen zu Frage zu hijackthis 017 Eintag
auszug, dns, domäne, eintrag, frage, fragen, gefixt, gefunde, google, hallo zusammen, herausfinden, hijack, hijackthis, hilft, ide, ip-adresse, nameserver, schlecht, services, software, suche, system, träge, unternehmen, variabel, zusammen



Ähnliche Themen: Frage zu hijackthis 017 Eintag


  1. Frage zu HiJackThis Log
    Log-Analyse und Auswertung - 17.08.2010 (7)
  2. Frage zu meinem Hijackthis log
    Log-Analyse und Auswertung - 18.07.2010 (1)
  3. # C:\Dokumente und Einstellungen\***\Eigene Dateien\Downloads\hijackthis\HijackThis.e
    Mülltonne - 01.12.2009 (2)
  4. Hijackthis Analyse > Frage zu "angeblichen Systemprozessen"
    Log-Analyse und Auswertung - 23.10.2009 (2)
  5. hijackthis file-yieldmanager-hijackthis.de geblockt
    Log-Analyse und Auswertung - 08.07.2009 (1)
  6. Eine Frage zu Hijackthis
    Log-Analyse und Auswertung - 17.02.2008 (2)
  7. Frage zu Hijackthis log
    Log-Analyse und Auswertung - 26.11.2007 (5)
  8. Bitte wer hilft beim auswertenLogfile of HijackThis v1.99.1Logfile of HijackThis v1.9
    Log-Analyse und Auswertung - 23.02.2007 (1)
  9. Hijackthis-Log analysieren & Frage zu fltmgr.dll
    Log-Analyse und Auswertung - 27.06.2005 (2)
  10. frage
    Alles rund um Windows - 23.02.2005 (9)
  11. Frage wegen Hijackthis
    Log-Analyse und Auswertung - 14.01.2005 (7)
  12. dringend Hilfe!! Frage zu HijackThis einträgen und Internet Problemen?!
    Log-Analyse und Auswertung - 11.01.2005 (11)
  13. Frage wegen HiJackThis-Log
    Log-Analyse und Auswertung - 02.11.2004 (1)
  14. frage zu hijackthis - auswertung
    Log-Analyse und Auswertung - 20.10.2004 (1)
  15. Frage!
    Plagegeister aller Art und deren Bekämpfung - 03.03.2004 (7)
  16. Frage zu dll
    Alles rund um Windows - 03.08.2003 (14)

Zum Thema Frage zu hijackthis 017 Eintag - Hallo zusammen Ich wollte mal fragen wie herausfinden kann, ob nun der Eintrag bei mir unter 017 gut oder schlecht ist das hab ich dazu gefunden : Auszug von HijackThis - Frage zu hijackthis 017 Eintag...
Archiv
Du betrachtest: Frage zu hijackthis 017 Eintag auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.