| |
| |||||||
Log-Analyse und Auswertung: unbekannter Servereintrag unter HKLM\System\CCS\Services\Tcpip...Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
30.03.2006, 08:46
| #1 |
 |  unbekannter Servereintrag unter HKLM\System\CCS\Services\Tcpip... Hallo zusammen Ich habe meinen PC mal wieder mit HiJackthis überprüft und das HijackThis Log-File auswerten lassen. Es hat "nur" einen verdächtigen Eintrag drin O17 - HKLM\System\CCS\Services\Tcpip\..\{3973A4EB-533B-4ECD-9B56-7EA8B54CE948}: NameServer = 10.195.8.170 10.195.8.160 gemäss Anweisung, soll man den Eintrag fixen, wenn man die IP-Adresse nicht kennt. Ich kenne den Eintrag nicht. Bei andern ähnlichen Logfile-Auswertungskommentaren habe ich gesehen, dass man nachher WinSockFix laufen lassen soll. Offensichtlich hat der obige verdächtige Eintrag einen Einfluss auf meine Internetverbindung (oder KANN einen haben). Bevor ich mich ans Löschen des Eintrages mache... .... was kann der obige verdächtige Eintrag bewirken? .... was kann seine Löschung bewirken? (warum muss man WinSockFix laufen lassen) Vielen Dank für Eure Hilfe ! Johanna |
|
30.03.2006, 08:49
| #2 |
   | unbekannter Servereintrag unter HKLM\System\CCS\Services\Tcpip... Servus!
__________________Gönne uns doch auch mal einen Blick auf Dein Logfile! stupormundi
__________________ |
|
30.03.2006, 09:04
| #3 |
| | unbekannter Servereintrag unter HKLM\System\CCS\Services\Tcpip... > Gönne uns doch auch mal einen Blick auf Dein Logfile!
__________________natürlich, ich wollte mich kurz halten  Logfile of HijackThis v1.99.1 Scan saved at 09:57:37, on 30.03.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\inetsrv\inetinfo.exe c:\programme\mcafee.com\agent\mcdetect.exe c:\PROGRA~1\mcafee.com\agent\mctskshd.exe C:\WINDOWS\system32\tcpsvcs.exe C:\WINDOWS\system32\svchost.exe C:\Programme\HHVcdV6Sys\VC6SecS.exe C:\WINDOWS\Explorer.EXE C:\PROGRA~1\mcafee.com\agent\mcagent.exe C:\Programme\HHVcdV6Sys\VC6Play.exe C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe C:\Programme\iTunes\iTunesHelper.exe C:\Programme\QuickTime\qttask.exe c:\progra~1\mcafee.com\vso\mcvsescn.exe C:\Programme\ScanSoft\OmniPageSE\opware32.exe C:\Programme\FreePDF_XP\fpassist.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\Skype\Phone\Skype.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\VIA\RAID\raid_tool.exe C:\Programme\WinZip\WZQKPICK.EXE C:\Programme\Virtual CD v6\System\VC6Tray.exe C:\Programme\iPod\bin\iPodService.exe C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\system32\zstatus.exe C:\WINDOWS\system32\ntvdm.exe c:\PROGRA~1\mcafee.com\vso\mcvsshld.exe c:\PROGRA~1\mcafee.com\vso\mcvsrte.exe c:\PROGRA~1\mcafee.com\vso\mcshield.exe C:\Programme\Outlook Express\msimn.exe C:\Programme\Microsoft Office\OFFICE11\EXCEL.EXE C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\Microsoft Office\OFFICE11\OUTLOOK.EXE C:\Programme\Mozilla Firefox\firefox.exe C:\WINDOWS\system32\NOTEPAD.EXE C:\programmdateien JOG\Hijackthis www.spywareinfo.com merijn\HijackThis.exe O1 - Hosts: 172.31.1.10 oisrv01 O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\progra~1\mcafee.com\vso\mcvsshl.dll O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [VSOCheckTask] "c:\PROGRA~1\mcafee.com\vso\mcmnhdlr.exe" /checktask O4 - HKLM\..\Run: [VirusScan Online] "c:\PROGRA~1\mcafee.com\vso\mcvsshld.exe" O4 - HKLM\..\Run: [MCAgentExe] c:\PROGRA~1\mcafee.com\agent\mcagent.exe O4 - HKLM\..\Run: [MCUpdateExe] c:\PROGRA~1\mcafee.com\agent\mcupdate.exe O4 - HKLM\..\Run: [VC6Player] C:\Programme\HHVcdV6Sys\VC6Play.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [Omnipage] C:\Programme\ScanSoft\OmniPageSE\opware32.exe O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [CleanUp] C:\PROGRA~1\McAfee.com\Shared\mcappins.exe /v=3 /cleanup O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: VIA RAID TOOL.lnk = C:\Programme\VIA\RAID\raid_tool.exe O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_01\bin\npjpi142_01.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_01\bin\npjpi142_01.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://host.cycore.net/plugins/windows/ie/Cult3D_IE_5.3.0.228.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1119509055590 O16 - DPF: {ED324F9E-715D-4BE2-B6DF-44FCB674AADF} (DDSC Class) - https://portal.oic.ch/oic_portal/Portal/resources/msddsc.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{3973A4EB-533B-4ECD-9B56-7EA8B54CE948}: NameServer = 10.195.8.170 10.195.8.160 O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: McAfee WSC Integration (McDetect.exe) - McAfee, Inc - c:\programme\mcafee.com\agent\mcdetect.exe O23 - Service: McAfee.com McShield (McShield) - Unknown owner - c:\PROGRA~1\mcafee.com\vso\mcshield.exe O23 - Service: McAfee Task Scheduler (McTskshd.exe) - McAfee, Inc - c:\PROGRA~1\mcafee.com\agent\mctskshd.exe O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - McAfee, Inc - C:\PROGRA~1\McAfee.com\Agent\mcupdmgr.exe O23 - Service: McAfee.com VirusScan Online Realtime Engine (MCVSRte) - McAfee, Inc - c:\PROGRA~1\mcafee.com\vso\mcvsrte.exe O23 - Service: Virtual CD v6 Management Service (VC6SecS) - H+H Software GmbH - C:\Programme\HHVcdV6Sys\VC6SecS.exe die von der HiJackthis-Auswertung nur nähreren Überprüfung markierten Zeilen: C:\WINDOWS\system32\zstatus.exe ----> hat scheinbar mit meinem Drucker HP DeskJet 1000 zu tun (Google nach zstatus.exe) O1 - Hosts: 172.31.1.10 oisrv01 ----> ist ein bekanntes URL O16 - DPF: {ED324F9E-715D-4BE2-B6DF-44FCB674AADF} (DDSC Class) - https://portal.oic.ch/oic_portal/Portal/resources/msddsc.cab ----> ist mir bekannt es blieb noch dieser verdächtige TCPIP Eintrag übrig..... |
|
30.03.2006, 09:30
| #4 |
 | unbekannter Servereintrag unter HKLM\System\CCS\Services\Tcpip...
__________________ Kein Support per PN |
|
30.03.2006, 09:38
| #5 |
| | unbekannter Servereintrag unter HKLM\System\CCS\Services\Tcpip... Guck mal hier - Erläuterung zu O17 Einträgen in HJT. Da kannst Du nachlesen, was Einträge - sofern sie für Dich nicht bekannt sind - anstellen können. Dartus hat Dir aber zu der bei Dir eingetragenen IP ja auch schon einen link gesetzt! im Übrigen kann auch ich nichts in Deinem Log erkennen, was nicht dort hingehören würde! Irgendwelche Auffälligkeiten im Betrieb sonst erkennbar? ~~Edit~~servus, dartus~~/edit~~ lg, stupormundi
__________________ Unsichtbare Dateien suchen: Sehr gute Anleitung von Rene-gad: WICHTIG: Alle aktiven links editieren (http-->h**p) und persönliche Informationen aus den Logfiles entfernen Kein Support via PN - sorry! |
|
30.03.2006, 09:52
| #6 |
| | unbekannter Servereintrag unter HKLM\System\CCS\Services\Tcpip... Danke Ihr zwei ! Ich wünsch Euch einen schönen Tag ! Johanna |
|
| Themen zu unbekannter Servereintrag unter HKLM\System\CCS\Services\Tcpip... |
| ander, anweisung, auswerten, bekannter, eintrag, eintrag fixen, fixen, hijack, hijackthis, hijackthis log-file, hijackthis log-file auswerten, inter, interne, internetverbindung, ip-adresse, laufe, laufen, log-file, löschen, löschung, nameserver, services, system, unbekannter, verbindung, verdächtige, warum |
Linear-Darstellung
