Windows Server - DNS-entries on a newly started XP-system - do they indicate thepresence of bots?

Asked By Christian on 28-Nov-11 03:15 AM

Hi folks,

I run a Windows-XP-PC. Lately I issued ipconfig /displaydns just after
the system was started. As I did not start any program myself I was
quiet shocked to spot that much (see below) DNS-entries listed.

The most of these entries denote some malicious sites. They are
directed to localhost (127.0.0.1) due to a start of Spybot-S&D that
immunized the system by redirecting many addresses to localhost via
hosts-file.

My question is: How did those DNS-entries occur? And if there are so
many DNS-entries even after the system just came up do they indicate
the presence of some bots that just started too and request those urls
listed?

Best regards

Christian

Windows-IP-Konfiguration

www.adtrak.net
----------------------------------------
Eintragsname. . . . . : www.adtrak.net
Eintragstyp . . . . . : 1
G=FCltigkeitsdauer. . . : 604649
Datenl=E4nge. . . . . . : 4
Abschnitt . . . . . . : Antwort
(Host-)A-Eintrag. . : 127.0.0.1


americanautobargains.com
----------------------------------------
Eintragsname. . . . . : americanautobargains.com
Eintragstyp . . . . . : 1
G=FCltigkeitsdauer. . . : 604649
Datenl=E4nge. . . . . . : 4
Abschnitt . . . . . . : Antwort
(Host-)A-Eintrag. . : 127.0.0.1


www.antispywarexp.com
----------------------------------------
Eintragsname. . . . . : www.antispywarexp.com
Eintragstyp . . . . . : 1
G=FCltigkeitsdauer. . . : 604649
Datenl=E4nge. . . . . . : 4
Abschnitt . . . . . . : Antwort
(Host-)A-Eintrag. . : 127.0.0.1


www.axemediasoftware.com
----------------------------------------
Eintragsname. . . . . : www.axemediasoftware.com
Eintragstyp . . . . . : 1
G=FCltigkeitsdauer. . . : 604649
Datenl=E4nge. . . . . . : 4
Abschnitt . . . . . . : Antwort
(Host-)A-Eintrag. . : 127.0.0.1


www.corrieere.it
----------------------------------------
Eintragsname. . . . . : www.corrieere.it
Eintragstyp . . . . . : 1
G=FCltigkeitsdauer. . . : 604649
Datenl=E4nge. . . . . . : 4
Abschnitt . . . . . . : Antwort
(Host-)A-Eintrag. . : 127.0.0.1


www.corroiere.it
----------------------------------------
Eintragsname. . . . . : www.corroiere.it
Eintragstyp . . . . . : 1
G=FCltigkeitsdauer. . . : 604649
Datenl=E4nge. . . . . . : 4
Abschnitt . . . . . . : Antwort
(Host-)A-Eintrag. . : 127.0.0.1


de98.remsys.org
----------------------------------------
Eintragsname. . . . . : de98.remsys.org
Eintragstyp . . . . . : 1
G=FCltigkeitsdauer. . . : 604649
Datenl=E4nge. . . . . . : 4
Abschnitt . . . . . . : Antwort
(Host-)A-Eintrag. . : 127.0.0.1


www.download-all-area.com
----------------------------------------
Eintragsname. . . . . : www.download-all-area.com
Eintragstyp . . . . . : 1
G=FCltigkeitsdauer. . . : 604649
Datenl=E4nge. . . . . . : 4
Abschnitt . . . . . . : Antwort
(Host-)A-Eintrag. . : 127.0.0.1


www.energy-factor.com
----------------------------------------
Eintragsname. . . . . : www.energy-factor.com
Eintragstyp . . . . . : 1
G=FCltigkeitsdauer. . . : 604649
Datenl=E4nge. . . . . . : 4
Abschnitt . . . . . . : Antwort
(Host-)A-Eintrag. . : 127.0.0.1


www.errari.it
----------------------------------------
Eintragsname. . . . . : www.errari.it
Eintragstyp . . . . . : 1
G=FCltigkeitsdauer. . . : 604649
Datenl=E4nge. . . . . . : 4
Abschnitt . . . . . . : Antwort
(Host-)A-Eintrag. . : 127.0.0.1


file7.qqhelper.com
----------------------------------------
Eintragsname. . . . . : file7.qqhelper.com
Eintragstyp . . . . . : 1
G=FCltigkeitsdauer. . . : 604649
Datenl=E4nge. . . . . . : 4
Abschnitt . . . . . . : Antwort
(Host-)A-Eintrag. . : 127.0.0.1


www.forseo.com
----------------------------------------
Eintragsname. . . . . : www.forseo.com
Eintragstyp . . . . . : 1
G=FCltigkeitsdauer. . . : 604649
Datenl=E4nge. . . . . . : 4
Abschnitt . . . . . . : Antwort
(Host-)A-Eintrag. . : 127.0.0.1


www.frostwire.click-new-download.com
----------------------------------------
Eintragsname. . . . . : www.frostwire.click-new-download.com
Eintragstyp . . . . . : 1
G=FCltigkeitsdauer. . . : 604649
Datenl=E4nge. . . . . . : 4
Abschnitt . . . . . . : Antwort
(Host-)A-Eintrag. . : 127.0.0.1


frostwire.click-new-download.com
----------------------------------------
Eintragsname. . . . . : frostwire.click-new-download.com
Eintragstyp . . . . . : 1
G=FCltigkeitsdauer. . . : 604649
Datenl=E4nge. . . . . . : 4
Abschnitt . . . . . . : Antwort
(Host-)A-Eintrag. . : 127.0.0.1


www.harddrevvagt.com
----------------------------------------
Eintragsname. . . . . : www.harddrevvagt.com
Eintragstyp . . . . . : 1
G=FCltigkeitsdauer. . . : 604649
Datenl=E4nge. . . . . . : 4
Abschnitt . . . . . . : Antwort
(Host-)A-Eintrag. . : 127.0.0.1


httpwwwads.com
----------------------------------------
Eintragsname. . . . . : httpwwwads.com
Eintragstyp . . . . . : 1
G=FCltigkeitsdauer. . . : 604649
Datenl=E4nge. . . . . . : 4
Abschnitt . . . . . . : Antwort
(Host-)A-Eintrag. . : 127.0.0.1


internet-optimizer.com
----------------------------------------
Eintragsname. . . . . : internet-optimizer.com
Eintragstyp . . . . . : 1
G=FCltigkeitsdauer. . . : 604649
Datenl=E4nge. . . . . . : 4
Abschnitt . . . . . . : Antwort
(Host-)A-Eintrag. . : 127.0.0.1


www.justcount.net
----------------------------------------
Eintragsname. . . . . : www.justcount.net
Eintragstyp . . . . . : 1
G=FCltigkeitsdauer. . . : 604649
Datenl=E4nge. . . . . . : 4
Abschnitt . . . . . . : Antwort
(Host-)A-Eintrag. . : 127.0.0.1


www.l8bero.it
----------------------------------------
Eintragsname. . . . . : www.l8bero.it
Eintragstyp . . . . . : 1
G=FCltigkeitsdauer. . . : 604649
Datenl=E4nge. . . . . . : 4
Abschnitt . . . . . . : Antwort
(Host-)A-Eintrag. . : 127.0.0.1


liberok.it
----------------------------------------
Eintragsname. . . . . : liberok.it
Eintragstyp . . . . . : 1
G=FCltigkeitsdauer. . . : 604649
Datenl=E4nge. . . . . . : 4
Abschnitt . . . . . . : Antwort
(Host-)A-Eintrag. . : 127.0.0.1


www.mylimewirenetwork.com
----------------------------------------
Eintragsname. . . . . : www.mylimewirenetwork.com
Eintragstyp . . . . . : 1
G=FCltigkeitsdauer. . . : 604649
Datenl=E4nge. . . . . . : 4
Abschnitt . . . . . . : Antwort
(Host-)A-Eintrag. . : 127.0.0.1


www.nicecodec.net
----------------------------------------
Eintragsname. . . . . : www.nicecodec.net
Eintragstyp . . . . . : 1
G=FCltigkeitsdauer. . . : 604649
Datenl=E4nge. . . . . . : 4
Abschnitt . . . . . . : Antwort
(Host-)A-Eintrag. . : 127.0.0.1


paginegialler.it
----------------------------------------
Eintragsname. . . . . : paginegialler.it
Eintragstyp . . . . . : 1
G=FCltigkeitsdauer. . . : 604649
Datenl=E4nge. . . . . . : 4
Abschnitt . . . . . . : Antwort
(Host-)A-Eintrag. . : 127.0.0.1


www.rosaoalice.it
----------------------------------------
Eintragsname. . . . . : www.rosaoalice.it
Eintragstyp . . . . . : 1
G=FCltigkeitsdauer. . . : 604649
Datenl=E4nge. . . . . . : 4
Abschnitt . . . . . . : Antwort
(Host-)A-Eintrag. . : 127.0.0.1


Abschnitt . . . . . . : Antwort
(Host-)A-Eintrag. . : 127.0.0.1

Christian replied to Christian on 29-Nov-11 11:09 AM

As far as I got investigating this =96 these entries are presumably OK.

They seem to be loaded from the DNS-cache-service at boot time. The
service seems to load some of the entries from the hosts-file (where
SpyBot put those configurations) and starts with them cached, so there
should be no bot.

Cheers

Christian

INSTANTLY dtSearch TERABYTES OF POPULAR DATA TYPES; hundreds of reviews, etc.!