Hi folks,

I run a Windows-XP-PC. Lately I opened a command-tool and issued ipconfig /displaydns just after the system came up. As I did not start any program myself I was quiet shocked to spot that much (see below) DNS-entries listed.

The most of these entries denote some malicious sites. They are directed to localhost (127.0.0.1) due to a start of Spybot-S&D that immunized the system by redirecting many addresses to localhost via hosts-file.

My question is: How did those DNS-entries occur?

There should be no program running on my machine asking for those URLs at all. And if there are so many DNS-entries even after the system just came up do they indicate the presence of some bots that just started too and request those urls listed?

Best regards

Christian

Windows-IP-Konfiguration

www.adtrak.net
----------------------------------------
Eintragsname. . . . . : www.adtrak.net
Eintragstyp . . . . . : 1
Gültigkeitsdauer. . . : 604649
Datenlänge. . . . . . : 4
Abschnitt . . . . . . : Antwort
(Host-)A-Eintrag. . : 127.0.0.1

americanautobargains.com
----------------------------------------
Eintragsname. . . . . : americanautobargains.com
Eintragstyp . . . . . : 1
Gültigkeitsdauer. . . : 604649
Datenlänge. . . . . . : 4
Abschnitt . . . . . . : Antwort
(Host-)A-Eintrag. . : 127.0.0.1

www.antispywarexp.com
----------------------------------------
Eintragsname. . . . . : www.antispywarexp.com
Eintragstyp . . . . . : 1
Gültigkeitsdauer. . . : 604649
Datenlänge. . . . . . : 4
Abschnitt . . . . . . : Antwort
(Host-)A-Eintrag. . : 127.0.0.1

www.axemediasoftware.com
----------------------------------------
Eintragsname. . . . . : www.axemediasoftware.com
Eintragstyp . . . . . : 1
Gültigkeitsdauer. . . : 604649
Datenlänge. . . . . . : 4
Abschnitt . . . . . . : Antwort
(Host-)A-Eintrag. . : 127.0.0.1

www.corrieere.it
----------------------------------------
Eintragsname. . . . . : www.corrieere.it
Eintragstyp . . . . . : 1
Gültigkeitsdauer. . . : 604649
Datenlänge. . . . . . : 4
Abschnitt . . . . . . : Antwort
(Host-)A-Eintrag. . : 127.0.0.1

www.corroiere.it
----------------------------------------
Eintragsname. . . . . : www.corroiere.it
Eintragstyp . . . . . : 1
Gültigkeitsdauer. . . : 604649
Datenlänge. . . . . . : 4
Abschnitt . . . . . . : Antwort
(Host-)A-Eintrag. . : 127.0.0.1

de98.remsys.org
----------------------------------------
Eintragsname. . . . . : de98.remsys.org
Eintragstyp . . . . . : 1
Gültigkeitsdauer. . . : 604649
Datenlänge. . . . . . : 4
Abschnitt . . . . . . : Antwort
(Host-)A-Eintrag. . : 127.0.0.1

www.download-all-area.com
----------------------------------------
Eintragsname. . . . . : www.download-all-area.com
Eintragstyp . . . . . : 1
Gültigkeitsdauer. . . : 604649
Datenlänge. . . . . . : 4
Abschnitt . . . . . . : Antwort
(Host-)A-Eintrag. . : 127.0.0.1

www.energy-factor.com
----------------------------------------
Eintragsname. . . . . : www.energy-factor.com
Eintragstyp . . . . . : 1
Gültigkeitsdauer. . . : 604649
Datenlänge. . . . . . : 4
Abschnitt . . . . . . : Antwort
(Host-)A-Eintrag. . : 127.0.0.1

www.errari.it
----------------------------------------
Eintragsname. . . . . : www.errari.it
Eintragstyp . . . . . : 1
Gültigkeitsdauer. . . : 604649
Datenlänge. . . . . . : 4
Abschnitt . . . . . . : Antwort
(Host-)A-Eintrag. . : 127.0.0.1

file7.qqhelper.com
----------------------------------------
Eintragsname. . . . . : file7.qqhelper.com
Eintragstyp . . . . . : 1
Gültigkeitsdauer. . . : 604649
Datenlänge. . . . . . : 4
Abschnitt . . . . . . : Antwort
(Host-)A-Eintrag. . : 127.0.0.1

www.forseo.com
----------------------------------------
Eintragsname. . . . . : www.forseo.com
Eintragstyp . . . . . : 1
Gültigkeitsdauer. . . : 604649
Datenlänge. . . . . . : 4
Abschnitt . . . . . . : Antwort
(Host-)A-Eintrag. . : 127.0.0.1

www.frostwire.click-new-download.com
----------------------------------------
Eintragsname. . . . . : www.frostwire.click-new-download.com
Eintragstyp . . . . . : 1
Gültigkeitsdauer. . . : 604649
Datenlänge. . . . . . : 4
Abschnitt . . . . . . : Antwort
(Host-)A-Eintrag. . : 127.0.0.1

frostwire.click-new-download.com
----------------------------------------
Eintragsname. . . . . : frostwire.click-new-download.com
Eintragstyp . . . . . : 1
Gültigkeitsdauer. . . : 604649
Datenlänge. . . . . . : 4
Abschnitt . . . . . . : Antwort
(Host-)A-Eintrag. . : 127.0.0.1

www.harddrevvagt.com
----------------------------------------
Eintragsname. . . . . : www.harddrevvagt.com
Eintragstyp . . . . . : 1
Gültigkeitsdauer. . . : 604649
Datenlänge. . . . . . : 4
Abschnitt . . . . . . : Antwort
(Host-)A-Eintrag. . : 127.0.0.1

httpwwwads.com
----------------------------------------
Eintragsname. . . . . : httpwwwads.com
Eintragstyp . . . . . : 1
Gültigkeitsdauer. . . : 604649
Datenlänge. . . . . . : 4
Abschnitt . . . . . . : Antwort
(Host-)A-Eintrag. . : 127.0.0.1

internet-optimizer.com
----------------------------------------
Eintragsname. . . . . : internet-optimizer.com
Eintragstyp . . . . . : 1
Gültigkeitsdauer. . . : 604649
Datenlänge. . . . . . : 4
Abschnitt . . . . . . : Antwort
(Host-)A-Eintrag. . : 127.0.0.1

www.justcount.net
----------------------------------------
Eintragsname. . . . . : www.justcount.net
Eintragstyp . . . . . : 1
Gültigkeitsdauer. . . : 604649
Datenlänge. . . . . . : 4
Abschnitt . . . . . . : Antwort
(Host-)A-Eintrag. . : 127.0.0.1

www.l8bero.it
----------------------------------------
Eintragsname. . . . . : www.l8bero.it
Eintragstyp . . . . . : 1
Gültigkeitsdauer. . . : 604649
Datenlänge. . . . . . : 4
Abschnitt . . . . . . : Antwort
(Host-)A-Eintrag. . : 127.0.0.1

liberok.it
----------------------------------------
Eintragsname. . . . . : liberok.it
Eintragstyp . . . . . : 1
Gültigkeitsdauer. . . : 604649
Datenlänge. . . . . . : 4
Abschnitt . . . . . . : Antwort
(Host-)A-Eintrag. . : 127.0.0.1

www.mylimewirenetwork.com
----------------------------------------
Eintragsname. . . . . : www.mylimewirenetwork.com
Eintragstyp . . . . . : 1
Gültigkeitsdauer. . . : 604649
Datenlänge. . . . . . : 4
Abschnitt . . . . . . : Antwort
(Host-)A-Eintrag. . : 127.0.0.1

www.nicecodec.net
----------------------------------------
Eintragsname. . . . . : www.nicecodec.net
Eintragstyp . . . . . : 1
Gültigkeitsdauer. . . : 604649
Datenlänge. . . . . . : 4
Abschnitt . . . . . . : Antwort
(Host-)A-Eintrag. . : 127.0.0.1

paginegialler.it
----------------------------------------
Eintragsname. . . . . : paginegialler.it
Eintragstyp . . . . . : 1
Gültigkeitsdauer. . . : 604649
Datenlänge. . . . . . : 4
Abschnitt . . . . . . : Antwort
(Host-)A-Eintrag. . : 127.0.0.1

www.rosaoalice.it
----------------------------------------
Eintragsname. . . . . : www.rosaoalice.it
Eintragstyp . . . . . : 1
Gültigkeitsdauer. . . : 604649
Datenlänge. . . . . . : 4
Abschnitt . . . . . . : Antwort
(Host-)A-Eintrag. . : 127.0.0.1

Abschnitt . . . . . . : Antwort
(Host-)A-Eintrag. . : 127.0.0.1

They must be coming from your host file. Are you using any software that uses a custom host file? The DNS lookup resolves to your own machine, you would never get to the site.

Hi there,

Via email support.

"As far as I know if you have entries in your Windows hosts file these may also show up in the DNS cache"

:)

Hi,


Hi there,
"As far as I know if you have entries in your Windows hosts file these may also show up in the DNS cache"


OK, these entries may show up there. But doesn't showing up just after the start say that there has been a client that requested a DNS-lookup?

I thought a cache will start caching after answering a previous request. If so there has been someone requesting these URLs. I thought that someone might have been a bot for I myself do not use a program that interacts with those sites.

The hosts-file lists plenty more URLs that are resolved to localhost (127.0.0.1) and the most of them do not occur in cache.

Christian

They seem to be loaded from the DNS-cache-service at boot time. The service seems to load some of the entries from the hosts-file (where SpyBot put those configurations) and starts with them cached, so there should be no bot.

Cheers

Christian

:bigthumb:

I also believe that just entering the command "ipconfig /displaydns" will make the DNS Client cache the HOSTS file.