Probleme mit HKLM\System\CCS\Services\Tcpip\

BigMac78 · 24.08.2006, 09:18

Hallo

wollte hier mal nachfragen was das mit diesem besagten pfad aufsich hat.

HKLM\System\CCS\Services\Tcpip\..\{687CFBA3-ED24-4DA1-8A1F-0D95ADB035F3}: NameServer = 205.188.146.145 ?

Habe schon bei google nachgeschaut da bin ich auf diesen linke gestossen.

http://www.bleepingcomputer.com/tuto...ml#O17_Sektion

Da wird unter dieser genannten Sektion O17 wie es auch in meinen logfile steht so beschrieben.

zu 31: O17 Sektion
Zum Inhalt

Diese Sektion entspricht dem Lop.com Domain hacks. Wenn Sie auf eine Webseite gehen, indem Sie einen Hostnamen wie www.bleepingcomputer.com, anstatt einer IP Adresse, dann nutzt Ihr Computer einen DNS-Server um den Hostnamen in eine IP Adresse wie 192.168.1.0 umzuwandeln. Ein Domain Hack entsteht durch einen Hacker, der Ihre DNS Server auf Ihrem PC zu seinem Server umleitet. Von dort aus können Hacker Sie dann auf jede Seite umleiten, die den Hackern genehm ist. Durch das hinzufügen von google.com zu dem DNS Server der Hacker, ermöglicht es den Hackern Ihren Versuch auf www.google.com zukommen, auf eine x-beliebige von den Hackern ausgewählte Seite umzuleiten.

Beispiel Auflistung: O17 - HKLM\System\CS1\Services\VxD\MSTCP: NameServer = 69.57.146.14,69.57.147.175

Wenn Sie hierfür Einträge finden und sie nicht zu Ihrem ISP oder Ihrem Betrieb gehören und der DNS Server auch nicht zu Ihrem ISP oder Ihrem Betrieb gehören, dann sollten Sie diese Einträge durch HijackThis reparieren. Sie können zu ARIN gehen um dort eine „WhoIs" nach DNS Server IP Adressen durch zu führen, um den Namen der dazugehörigen Firma zu ermitteln.

Habe es auch schon eine paar mal mit Hijack gefixt kommt aber immer wieder.

Da ich das auch schon auf einige logfiles hier im Board gesehen habe frage ich mich ob ich mir nun Sorgen machen muß oder nicht.
Hier ist mein Logfile.

Logfile of HijackThis v1.99.1
Scan saved at 09:54:30, on 24.08.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
C:\Program Files\CyberLink\PowerCinema\Kernel\CLML_NTService\CLMLServer.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\Programme\Teledat\WCOM\SYSTEM\RVSINST.EXE
C:\WINDOWS\system32\svchost.exe
C:\Programme\TELES\skyDSL\Proxy\craxy.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programme\Teledat\WCOM\SYSTEM\RVSCC.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\fxssvc.exe
C:\Programme\TELES\skyDSL\tskymtpc.exe
C:\Programme\TELES\skyDSL\tkpsrv.exe
C:\Programme\TELES\skyDSL\tskyclnt.exe
C:\Programme\TELES\skyDSL\tkpclnt.exe
C:\Programme\Windows Defender\MSASCui.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\AOL 9.0\aoltray.exe
C:\Programme\Telekom\Eumex 504PC SE\Capictrl.exe
C:\Programme\TELES\skyDSL PCI\DVBData.exe
C:\Programme\Teledat\WCOM\SYSTEM\ccui.exe
C:\PROGRA~1\Teledat\WCOM\SYSTEM\ADBSERV.EXE
C:\Programme\Teledat\WCOM\SYSTEM\RVSRmd.exe
C:\Programme\Teledat\WCOM\SYSTEM\CCSRV.EXE
C:\Programme\AOL 9.0\waol.exe
C:\Programme\AOL 9.0\shellmon.exe
C:\Programme\Gemeinsame Dateien\Aol\aoltpspd.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
c:\programme\softwin\bitdefender free edition\bdmcon.exe
C:\WINDOWS\system32\cmd.exe
L:\Programme von A-Z\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.de
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - L:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: bho2gr Class - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - C:\Programme\GetRight\xx2gr.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - L:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - L:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [skyDSLClient] C:\Programme\TELES\skyDSL\tskyclnt.exe -q
O4 - HKLM\..\Run: [Koppelpuls Client] C:\Programme\TELES\skyDSL\tkpclnt.exe -skydsl
O4 - HKLM\..\Run: [Windows Defender] "C:\Programme\Windows Defender\MSASCui.exe" -hide
O4 - HKLM\..\Run: [BDMCon] C:\Programme\Softwin\BitDefender Free Edition\\bdmcon.exe
O4 - HKLM\..\Run: [BDNewsAgent] C:\Programme\Softwin\BitDefender Free Edition\\bdnagent.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\RunOnce: [CommCenter] "C:\Programme\Teledat\WCOM\SYSTEM\ccui.exe"
O4 - Startup: DVB Data Control (Budget).lnk = C:\Programme\TELES\skyDSL PCI\DVBData.exe
O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0\aoltray.exe
O4 - Global Startup: CAPIControl.lnk = ?
O4 - Global Startup: DVB Data (skyDSL PCI).lnk = C:\Programme\TELES\skyDSL PCI\DVBData.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Add selected links to Link Container - C:\PROGRA~1\AntiVirenKit InternetSecurity\Webfilter\System\Scripts\off_collector_sel.htm
O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm
O8 - Extra context menu item: Show domain links - C:\PROGRA~1\AntiVirenKit InternetSecurity\Webfilter\System\Scripts\off_domain_links.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: skyDSL++ - {F7522CA2-3DDA-11d3-8560-0060977792B1} - C:\Programme\TELES\skyDSL\sky2sky.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\skysocks.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\skysocks.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\skysocks.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\skysocks.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\skysocks.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\skysocks.dll
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{687CFBA3-ED24-4DA1-8A1F-0D95ADB035F3}: NameServer = 205.188.146.145
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - AppInit_DLLs: MsgPlusLoader.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Program Files\CyberLink\PowerCinema\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Program Files\CyberLink\PowerCinema\Kernel\CLML_NTService\CLMLServer.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: RVS CommCenter (RvsCC) - Unknown owner - C:\Programme\Teledat\WCOM\SYSTEM\RVSCC.EXE
O23 - Service: RvscomSv - Living Byte Software GmbH, München - C:\Programme\Teledat\WCOM\SYSTEM\RVSCOMSV.EXE
O23 - Service: RVS Installer (RVSINST) - Living Byte Software GmbH, München - C:\Programme\Teledat\WCOM\SYSTEM\RVSINST.EXE
O23 - Service: skyDSL-Proxy (tntcraxy) - Unknown owner - C:\Programme\TELES\skyDSL\Proxy\craxy.exe" service (file missing)
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)

Wenn ich die oben stehet ip in einen IP whois eingebe sagt er mir das es von AOL ein Proxy ist.( benutze AOL )

aber unter cmd find ich noch 2 ips die auch mit 205 anfangen.

1.diese 205.188.67.93
2.diese 205.188.10.133

stehen unter cmd in verbindung hergestellt. wer ja beruhigt wenn es wirklich proxys sein würden aber habe die 2 mal in google gesucht hat nicht weiter gefunden außer, Falls die URL gültig ist, können Sie die entsprechende Webseite besuchen, indem Sie auf den folgenden Link klicken: 205.188.10.133

die ip ist bei google blau unterlegt hab dann mal drauf geklickt und es öffnet sich ein download.

vom Typ : application/octet-stream
von : http:// 205.188.10.133

So das wars erstmal würde mich über euer HILFE freuen und über eueren rat.

P.S: ist meine system verseucht ja oder nein das würde ich gern mal wissen.
seit diese verbindung besteht ist meine net manchmal sehr langsam.

danke im vorraus.

dartus · 24.08.2006, 22:52

Hallo BigMac78,

Du bist AOL-Kunde!
Ergo ist normal.

Suchbegriff: 205.188.146.145
Adresse: whois.arin.net

Suchergebnis:

OrgName: America Online, Inc
OrgID: AMERIC-59
Address: 22080 Pacific Blvd
City: Sterling
StateProv: VA
PostalCode: 20166
Country: US

NetRange: 205.188.0.0 - 205.188.255.255
CIDR: 205.188.0.0/16
NetName: AOL-DTC
NetHandle: NET-205-188-0-0-1
Parent: NET-205-0-0-0-0
NetType: Direct Assignment
NameServer: DNS-01.NS.AOL.COM
NameServer: DNS-02.NS.AOL.COM
Comment:
RegDate: 1998-04-18
Updated: 1998-04-27

RTechHandle: AOL-NOC-ARIN
RTechName: America Online, Inc.
RTechPhone: +1-703-265-4670
RTechEmail: domains@aol.net

# ARIN WHOIS database, last updated 2006-08-23 19:10
# Enter ? for additional hints on searching ARIN's WHOIS database.

dartus

Probleme mit HKLM\System\CCS\Services\Tcpip\

Log-Analyse und Auswertung: Probleme mit HKLM\System\CCS\Services\Tcpip\

Probleme mit HKLM\System\CCS\Services\Tcpip\

Probleme mit HKLM\System\CCS\Services\Tcpip\

Ähnliche Themen: Probleme mit HKLM\System\CCS\Services\Tcpip\