Liebes Board!

Ich hätte eine Frage nach dem ich wieder einmal mein HijackThis Log online auswerten ließ.

Bei den 017er steht eventuel Böse (Das steht schon da als ich es zum ersten mal auswerten ließ vor längerer Zeit) und ich weiss nicht ob ich diese Fixen darf oder nicht.

Nicht das ich es Fixe und wichtig für mein System ist.
Wie finde ich herraus von wo die IP ist, bzw ob ich sie brauche.

DANKESCHÖN für eure Hilfe.

Mein Log:

Logfile of HijackThis v1.99.1
Scan saved at 20:33:57, on 20.12.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\HP\HP Software Update\HPWuSchd.exe
C:\Programme\Winamp\winampa.exe
C:\PROGRA~1\aon\AONMES~1\aonMessageCenter.exe
C:\Programme\Realtek\8169Diag\8169Diag.exe
C:\Programme\Total Security\TSAtUdt.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programme\Nikon\PictureProject\NkbMonitor.exe
C:\Programme\DSLWatch2\DSLWatch.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Dokumente und Einstellungen\J**** B****\Desktop\Sicherheit\hijackthis_199\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.aon.at
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Telekom Austria
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ftp=proxy.aon.at:8080;http=proxy.aon.at:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.aon.at;<local>
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [{1290A33C-85F5-4164-A1BE-7DD299D4986A}] C:\Programme\CyberLink\PowerBackup\PBKScheduler.exe
O4 - HKLM\..\Run: [mmtask] c:\Program Files\MusicMatch\MusicMatch Jukebox\mmtask.exe
O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\HP\HP Software Update\HPWuSchd.exe"
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [1aonmessagecenter] C:\PROGRA~1\aon\AONMES~1\aonMessageCenter.exe
O4 - HKLM\..\Run: [8169Diag] C:\Programme\Realtek\8169Diag\8169Diag /hw
O4 - HKLM\..\Run: [TotalSecurityUpdate] "C:\Programme\Total Security\TSAtUdt.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_09\bin\jusched.exe"
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [aonUpdate] C:\Programme\aon\aonUpdate\aonUpdate.exe /tray
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: auto-bit.lnk = C:\SYSPREP\bit\bit.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: NkbMonitor.exe.lnk = C:\Programme\Nikon\PictureProject\NkbMonitor.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Player! - {C377C94E-5A4F-11d3-940D-00001CD3D236} - C:\Programme\datango\Player\datangoPlayer.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O12 - Plugin for .pcg: C:\Programme\Internet Explorer\Plugins\nppcgplg.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{530A484C-1A53-4375-8677-D66E41DC6231}: NameServer = 195.3.96.67 195.3.96.68
O17 - HKLM\System\CCS\Services\Tcpip\..\{5D1EE123-78B3-4AF2-BCDA-35F154B25CB3}: NameServer = 10.0.0.138
O17 - HKLM\System\CCS\Services\Tcpip\..\{8C345FE0-51DF-4589-B67B-292D34B04378}: NameServer = 195.3.96.67,195.3.96.68
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Omniquad MyPrivacy - Unknown owner - C:\Programme\Total Security\MyPrivacy\mpsvc.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe



Mein System:

Microsoft XP Service Pack 2
Browser: Mozilla Firefox
Avira Antivir
Zone Alarm Firewall
Ad Aware SE
Spybot S&D (wird bald gelöscht)
Eingeschränkten Benutzer zum surfen

Hab gerade dieverese Foren durchsucht und 2 Gute Seiten gefunden um Infos zu Ips gefunden: Schwarzl IP Checker: Wer ist Inhaber einer IP Adresse ?
DNS Stuff: DNS tools, DNS hosting tests, WHOIS, traceroute, ping, and other network and domain name tools.

Was ich herrausgefunden habe ist alles in Ortnung bis auf:

O17 - HKLM\System\CCS\Services\Tcpip\..\{5D1EE123-78B3-4AF2-BCDA-35F154B25CB3}: NameServer = 10.0.0.138

Aber ich bin mir nicht so ganz sicher leider.
Soll ich jetzt die 10.0.0.138 fixen oder nicht oder sind andere Bedrohungen auch noch vorhanden.

lg

Zitat:

Zitat von Joschi20

Was ich herrausgefunden habe ist alles in Ortnung bis auf:

O17 - HKLM\System\CCS\Services\Tcpip\..\{5D1EE123-78B3-4AF2-BCDA-35F154B25CB3}: NameServer = 10.0.0.138

Aber ich bin mir nicht so ganz sicher leider.
Soll ich jetzt die 10.0.0.138 fixen oder nicht oder sind andere Bedrohungen auch noch vorhanden.

Das ist eine private Ip-Adresse...


Den Rest vom Log hab ich mir allerdings nicht angeschaut, hab keine Lust.

Class-A-Netz. Behörde, grosse Firma?
Query the RIPE Database

Firmen-PC?

Hallo Haui
Wie wäre es mit einem virtuellen
Gruss, der Felix

Hi Haui 45!

Ich habe mir das im Wikipedia durchgelesen aber leider nicht so 100% verstanden, ist diese Adresse jetzt bösartig oder nicht?

lg

@ Felix.

Mein PC ist nur mein Heim PC und kein Firmen PC.

lg

@Joschi20
Dann macht mich der Eintrag aber sehr stutzig

Zitat:

Zitat von felix1

@Joschi20
Dann macht mich der Eintrag aber sehr stutzig

Hmmm

Also wen ich unter http://www.schwarzl.at/ipcheck.html die IP eingebe kommt dieses:

Zitat:

Antwort von whois.arin.net:

OrgName: Internet Assigned Numbers Authority
OrgID: IANA
Address: 4676 Admiralty Way, Suite 330
City: Marina del Rey
StateProv: CA
PostalCode: 90292-6695
Country: US

NetRange: 10.0.0.0 - 10.255.255.255
CIDR: 10.0.0.0/8
NetName: RESERVED-10
NetHandle: NET-10-0-0-0-1
Parent:
NetType: IANA Special Use
NameServer: BLACKHOLE-1.IANA.ORG
NameServer: BLACKHOLE-2.IANA.ORG
Comment: This block is reserved for special purposes.
Comment: Please see RFC 1918 for additional information.
Comment:
RegDate:
Updated: 2002-09-12

OrgAbuseHandle: IANA-IP-ARIN
OrgAbuseName: Internet Corporation for Assigned Names and Number
OrgAbusePhone: +1-310-301-5820
OrgAbuseEmail: abuse@iana.org

OrgTechHandle: IANA-IP-ARIN
OrgTechName: Internet Corporation for Assigned Names and Number
OrgTechPhone: +1-310-301-5820
OrgTechEmail: abuse@iana.org

# ARIN WHOIS database, last updated 2006-12-19 19:10
# Enter ? for additional hints on searching ARIN's WHOIS database.

und wen ich dan abuse@iana.org in google eingebe kommen viele Seiten wo es eine Art Dialer oder sowas ist.


Aber wen ich 10.0.0.138 google kommt nur das es normal ist und zur Modemseinstellung dient.


Jetzt bin ich etwas verwirrt.

lg

Kennst Du den Verein?

Zitat:

Zitat von felix1

Kennst Du den Verein?

Nein diesen kenne ich nicht.


Ich arbeite auch nicht zuhause und greife auf andere PC´s zu.
Es ist mein normaler Heim PC.

Aber meine Primäre frage ist was das HKLM\System\CCS\Services\Tcpip\..... ist?

Zitat:

und wen ich dan abuse@iana.org in google eingebe kommen viele Seiten wo es eine Art Dialer oder sowas ist.


Aber wen ich 10.0.0.138 google kommt nur das es normal ist und zur Modemseinstellung dient.

lg

Du lebst in Austria und das ist Dein ISP:
role: Host Master Highway
address: Telekom Austria AG
address: Highway 194
address: Arsenal Objekt 24
address: 1030 Vienna
address: Austria
phone: + 43 (0)59 0591 0
fax-no: + 43 1 7962565Um den Rest bewerten zu können, poste mal, ob Du ein Modem hast und wie Du überhaupt ins Web gehst. Weiter Harsware

Zitat:

Zitat von felix1

Du lebst in Austria und das ist Dein ISP:

Wie kommst du jetzt darauf?

Ah, ok, jetzt seh ichs auch.

Gruß
Yopie

Großer Mod Yopie, ich kann leider Deine Antwort nicht einordnen. Schande über mich
Sollte ich einen Fehler begangen haben, werde ich zwei Wochen nichts anderes tun, als Selbstkritik zu üben.
Ich huldige Dir und lobpreise Dich.

Kleiner User felix1, um es mit einem wirklich Großen zu sagen: "Ich habe mich vertan." (Helge Schneider)

Deswegen das "Ah, ok, jetzt seh ichs auch"....

Was dich aber nicht am Huldigen hindern soll.

Gruß
Yopie

Großer Mod Yopie,
dann ist es ja gut

Man wird ja manchmal auch betriebsblind
Ich finde das Problem aber mal richtig interessant. Auf die Antwort vom TO bin ich gespannt.

Das Huldigen kannste aber glatt vergessen

@ Yopi und Felix

Gut das ihr euch so gut versteht:aplaus:

@ Topic

Zitat:

Du lebst in Austria und das ist Dein ISP:
role: Host Master Highway
address: Telekom Austria AG
address: Highway 194
address: Arsenal Objekt 24
address: 1030 Vienna
address: Austria
phone: + 43 (0)59 0591 0
fax-no: + 43 1 7962565Um den Rest bewerten zu können, poste mal, ob Du ein Modem hast und wie Du überhaupt ins Web gehst. Weiter Harsware

Das wirst du wahrscheinlich aus diesem 2 Sachen rausgelesen haben:

O17 - HKLM\System\CCS\Services\Tcpip\..\{8C345FE0-51DF-4589-B67B-292D34B04378}: NameServer = 195.3.96.67,195.3.96.68

O17 - HKLM\System\CCS\Services\Tcpip\..\{530A484C-1A53-4375-8677-D66E41DC6231}: NameServer = 195.3.96.67 195.3.96.68

Die 2 machen mir auch keine Sorgen, den alle guten Sachen sind 3

Also ich habe ADSL, ein Speedtouch Modem von Thomson.

Aber ich glaube ich habe die 3te Sache (von 017) schon entschlüsselt glaube ich.

Siehe Screen:

WWW.BILDER-SPEICHER.DE - -

Ich glaube das ist Standartmässig, das hoffe ich mal
Sonst trinke ich heute noch ein Glässchen Blauen Portugiser und die Sache wird auch wieder gut.

lg