|
Frage zu hijackthis 017 Eintag Hallo zusammen Ich wollte mal fragen wie herausfinden kann, ob nun der Eintrag bei mir unter 017 gut oder schlecht ist das hab ich dazu gefunden : Auszug von hijackthis auswertung O17 - Lop.com-Domain Veränderungen Beispieleinträge: O17 - HKLM\System\CCS\Services\VxD\MSTCP: Domain = aoldsl.net O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = W21944.find-quick.com O17 - HKLM\Software\..\Telephony: DomainName = W21944.find-quick.com O17 - HKLM\System\CCS\Services\Tcpip\..\{D196AB38-4D1F-45C1-9108-46D367F19F7E}: Domain = W21944.find-quick.com O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = gla.ac.uk O17 - HKLM\System\CS1\Services\VxD\MSTCP: NameServer = 69.57.146.14,69.57.147.175 Was zu unternehmen ist: Wenn die hier angegebene Domäne nicht zum ISP, bzw. des Firmen-Netzwerks ist, sollte dieser Eintrag mit HijackThis gefixt werden. Das Gleiche gilt für die 'SearchList'-Einträge (Suchlisten-Einträge). Für vorhandene 'NameServer' (DNS Server) Einträge, hilft im Zweifel eine Suche mit Google nach den IP-Adressen bei der Entscheidung, ob diese Einträge 'gut' oder 'schlecht' sind. wie soll ich denn da vor gehen?? mhh Die frage ist : sind die zwei Zahlenkombinationen nach name server= variabel? oder müssen die identisch mit denen des vom providers gleich sein? |
Hallo, solche Einträge solltest Du immer fixen, allerdings sind das nur die Symtopme. Poste entweder das komplette Log oder führe einen Scan mit Blacklight durch. Gruß Schrulli |
hallo nochmal also hier das Logfile: ogfile of HijackThis v1.99.1 Scan saved at 14:04:02, on 01.04.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\wscntfy.exe C:\Programme\Java\jre1.5.0_05\bin\jusched.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAAE.EXE C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\DeTeWe\TA 33 USB\Capictrl.exe C:\Dokumente und Einstellungen\Trojaner\Eigene Dateien\Neuer Ordner\firefox.exe C:\Dokumente und Einstellungen\***\Eigene Dateien\HijackThis.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll O4 - HKLM\..\Run: [EPSON Stylus D68 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAAE.EXE /P23 "EPSON Stylus D68 Series" /O6 "USB001" /M "Stylus D68" O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_05\bin\jusched.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [EPSON Stylus D68 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAAE.EXE /P23 "EPSON Stylus D68 Series" /M "Stylus D68" /EF "HKCU" O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - Global Startup: CAPIControl.lnk = ? O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1117269658171 O17 - HKLM\System\CCS\Services\Tcpip\..\{9D4E2240-9B0D-4AAD-8020-3082B815A36E}: NameServer = 195.202.33.68 195.202.32.79 O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing) O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe |
Hallo, das HJT Log sieht unauffällig aus, bekommen wir noch einen Blacklight befund? ;) Dein Provider ist citykom, München? Gruß Schrulli |
@ schrulli mhh ja muss ich mal machen,aber sagtest du nicht 017er müssen gefixt werden? deswegen hatte ich eigentlich gefragt aber egal. Also fixe ich den 017er nicht !? war meine erste vermutung also richtig,das die "zahlen" nach name server variabel sind? |
@ schrulli sorry das ich nochmal poste,aber ich hatte das mit dem provider nicht gelesen mhh ich weiss nicht nicht ob das die citkomm münchen ist. Bin bei telebel und weiss nicht ob die zur gruppe citikom münchen gehört ??? und blacklight hat 0 funde Danke |
Hallo, das mit dem Provider passt. Dein Signatur Spruch gefällt mir, kennst Du vielleicht die Quelle? Gruß Schrulli |
@ schrulli Die Qelle kenne ich nicht bzw. nicht den autor aber spruch stand auf einer chinesischen Grusskarte gefiel mir sehr. Nun zu dem Eintrag,das ist gut das der passt wie hätte "ich"das denn überprüfen können? -also kann ich davon ausgehen,das der 017 immer Erscheint beim hijackthis? -Die "Zahlen" sich ändern? -das dann ok ist? hier noch dat ding mit blacklight: 04/01/06 14:21:10 [Info]: BlackLight Engine 1.0.33 initialized 04/01/06 14:21:10 [Info]: OS: 5.1 build 2600 (Service Pack 2) 04/01/06 14:21:10 [Note]: 7019 4 04/01/06 14:21:10 [Note]: 7005 0 04/01/06 14:21:29 [Note]: 7006 0 04/01/06 14:21:29 [Note]: 7011 1568 04/01/06 14:21:30 [Note]: FSRAW library version 1.7.1015 04/01/06 14:23:59 [Note]: 7007 0 Danke Schrulli |
Hallo, Zitat:
Der eine 017- ist in Ordnung, wenn es wieder mehr werden wundere Dich und poste oder prüfe. :) Gruß Schrulli |
Hallo, habe diesen Thread nach Recherchen gefunden und möchte mich mit meiner Frage dranhängen. Laut Auswertung auf hijackthis.de ist der folgende 017-Eintrag zwar in Ordnung ("Die Eingegebene IP oder Domäne wurde als gut identifiziert"), dennoch frage ich mich, was mein Provider mit IANA zu tun hat. HKLM\System\CCS\Services\Tcpip\..\{6252573C-D441-4C40-812E-7B7409B3D9F5}: NameServer = 192.168.122.252,192.168.122.253 Liest da jemand mit? Danke für Hilfe und Antworten. Fletch |
Hi, die IANA (= Internet Assigned Numbers Authority) verwaltet u.a. die Vergabe von IP-Nummern. Die in deinem O17-Eintrag gehören zu einem Bereich, der für lokale Netzwerke, wie sie z.B. hinter einem Router bestehen, reserviert ist. Bei denen ist die IANA im Whois eingetragen, es gibt ja keinen direkten Inhaber, diese Nummern werden in sehr vielen Netzwerken benutzt. Dein Router stellt einen DNS-Server (eigentlich eher ein Proxy) zur Verfügung, der sich seine Daten dann beim DNS-Sever des Providers holt. Dessen IPs solltest Du in Konfiguration oder Status des Routers finden können. Solange Du allen am Rechner angeschlossenen Computern (bzw. ihren Besitzern) trauen kannst, sind IPs im O17-Eintrag, die mit 192.168 anfangen, immer in Ordnung. Gruß, Karl |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 20:28 Uhr. |
Copyright ©2000-2025, Trojaner-Board