Hallo zusammen

Ich wollte mal fragen wie herausfinden kann, ob nun der Eintrag bei mir unter 017 gut oder schlecht ist
das hab ich dazu gefunden : Auszug von HijackThis auswertung

O17 - Lop.com-Domain Veränderungen
Beispieleinträge:

O17 - HKLM\System\CCS\Services\VxD\MSTCP: Domain = aoldsl.net
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = W21944.find-quick.com
O17 - HKLM\Software\..\Telephony: DomainName = W21944.find-quick.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{D196AB38-4D1F-45C1-9108-46D367F19F7E}: Domain = W21944.find-quick.com
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = gla.ac.uk
O17 - HKLM\System\CS1\Services\VxD\MSTCP: NameServer = 69.57.146.14,69.57.147.175

Was zu unternehmen ist:
Wenn die hier angegebene Domäne nicht zum ISP, bzw. des Firmen-Netzwerks ist, sollte dieser Eintrag mit HijackThis gefixt werden. Das Gleiche gilt für die 'SearchList'-Einträge (Suchlisten-Einträge).
Für vorhandene 'NameServer' (DNS Server) Einträge, hilft im Zweifel eine Suche mit Google nach den IP-Adressen bei der Entscheidung, ob diese Einträge 'gut' oder 'schlecht' sind.

wie soll ich denn da vor gehen?? mhh
Die frage ist : sind die zwei Zahlenkombinationen nach name server= variabel?
oder müssen die identisch mit denen des vom providers gleich sein?

Hallo,

solche Einträge solltest Du immer fixen, allerdings sind das nur die Symtopme.
Poste entweder das komplette Log oder führe einen Scan mit Blacklight durch.

Gruß

Schrulli

hallo nochmal
also hier das Logfile:
ogfile of HijackThis v1.99.1
Scan saved at 14:04:02, on 01.04.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Java\jre1.5.0_05\bin\jusched.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAAE.EXE
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\DeTeWe\TA 33 USB\Capictrl.exe
C:\Dokumente und Einstellungen\Trojaner\Eigene Dateien\Neuer Ordner\firefox.exe
C:\Dokumente und Einstellungen\***\Eigene Dateien\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [EPSON Stylus D68 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAAE.EXE /P23 "EPSON Stylus D68 Series" /O6 "USB001" /M "Stylus D68"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_05\bin\jusched.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [EPSON Stylus D68 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAAE.EXE /P23 "EPSON Stylus D68 Series" /M "Stylus D68" /EF "HKCU"
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: CAPIControl.lnk = ?
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1117269658171
O17 - HKLM\System\CCS\Services\Tcpip\..\{9D4E2240-9B0D-4AAD-8020-3082B815A36E}: NameServer = 195.202.33.68 195.202.32.79
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe

Hallo,

das HJT Log sieht unauffällig aus, bekommen wir noch einen Blacklight befund?
Dein Provider ist citykom, München?

Gruß

Schrulli

@ schrulli
mhh ja muss ich mal machen,aber sagtest du nicht 017er müssen gefixt werden?
deswegen hatte ich eigentlich gefragt aber egal.
Also fixe ich den 017er nicht !?

war meine erste vermutung also richtig,das die "zahlen" nach name server variabel sind?

@ schrulli
sorry das ich nochmal poste,aber ich hatte das mit dem provider nicht gelesen
mhh ich weiss nicht nicht ob das die citkomm münchen ist. Bin bei telebel und weiss nicht ob die zur gruppe citikom münchen gehört ???
und blacklight hat 0 funde
Danke

Hallo,

das mit dem Provider passt.

Dein Signatur Spruch gefällt mir, kennst Du vielleicht die Quelle?

Gruß

Schrulli

@ schrulli
Die Qelle kenne ich nicht bzw. nicht den autor aber spruch stand auf einer chinesischen Grusskarte gefiel mir sehr.

Nun zu dem Eintrag,das ist gut das der passt wie hätte "ich"das denn überprüfen können?
-also kann ich davon ausgehen,das der 017 immer Erscheint beim hijackthis?
-Die "Zahlen" sich ändern?
-das dann ok ist?
hier noch dat ding mit blacklight:
04/01/06 14:21:10 [Info]: BlackLight Engine 1.0.33 initialized
04/01/06 14:21:10 [Info]: OS: 5.1 build 2600 (Service Pack 2)
04/01/06 14:21:10 [Note]: 7019 4
04/01/06 14:21:10 [Note]: 7005 0
04/01/06 14:21:29 [Note]: 7006 0
04/01/06 14:21:29 [Note]: 7011 1568
04/01/06 14:21:30 [Note]: FSRAW library version 1.7.1015
04/01/06 14:23:59 [Note]: 7007 0
Danke Schrulli

Hallo,

Zitat:

inetnum: 195.202.33.0 - 195.202.33.255
netname: CITYKOM-NET
descr: Citykom Muenster GmbH Telekommunikationsservice
descr: Roesnerstr. 8
descr: 48155 Muenster, Germany
remarks: INFRA-AW
country: DE
admin-c: CKMS1-RIPE
tech-c: CKMS1-RIPE
status: ASSIGNED PA
rev-srv: muensmain.citykom.de
rev-srv: muensa.citykom.de
mnt-by: CK-MNT
source: RIPE # Filtered

Sind mit telebel im Verbund.
Der eine 017- ist in Ordnung, wenn es wieder mehr werden wundere Dich und poste oder prüfe.

Gruß

Schrulli

Hallo, habe diesen Thread nach Recherchen gefunden und möchte mich mit meiner Frage dranhängen.

Laut Auswertung auf hijackthis.de ist der folgende 017-Eintrag zwar in Ordnung ("Die Eingegebene IP oder Domäne wurde als gut identifiziert"), dennoch frage ich mich, was mein Provider mit IANA zu tun hat.

HKLM\System\CCS\Services\Tcpip\..\{6252573C-D441-4C40-812E-7B7409B3D9F5}: NameServer = 192.168.122.252,192.168.122.253

Liest da jemand mit?

Danke für Hilfe und Antworten.
Fletch

Hi,

die IANA (= Internet Assigned Numbers Authority) verwaltet u.a. die Vergabe von IP-Nummern. Die in deinem O17-Eintrag gehören zu einem Bereich, der für lokale Netzwerke, wie sie z.B. hinter einem Router bestehen, reserviert ist. Bei denen ist die IANA im Whois eingetragen, es gibt ja keinen direkten Inhaber, diese Nummern werden in sehr vielen Netzwerken benutzt. Dein Router stellt einen DNS-Server (eigentlich eher ein Proxy) zur Verfügung, der sich seine Daten dann beim DNS-Sever des Providers holt. Dessen IPs solltest Du in Konfiguration oder Status des Routers finden können. Solange Du allen am Rechner angeschlossenen Computern (bzw. ihren Besitzern) trauen kannst, sind IPs im O17-Eintrag, die mit 192.168 anfangen, immer in Ordnung.

Gruß, Karl