Demande d'avis sur log

[titoun]

Bonjour à tous,

Je vous poste deux rapports pour avoir votre avis car je n'ai pas remarqué de signes de faiblesses de mon pc mais pestpatrol me trouve trois infections.

 

rapport pestpatrol:

-Backdoor.Win32.Aimbot.aj

File: c\documentsandsettings\thomas\.gtk-bookmarks

 

-Network1.Popups

Key:hkey_curent_user\software\microsoft\windows\currentversion\internetsettings\zonemap\domains\media-motor.net

 

-Trojan.Win32.Dialer.hc

Key:hkey_curent_user\software\microsoft\windows\currentversion\internetsettings\zonemap\domains\sgrunt.biz

 

 

rapport hijackthis:

 

Logfile of HijackThis v1.99.1

Scan saved at 19:58:41, on 24/08/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe

C:\Program Files\ProcessGuard\dcsuserprot.exe

C:\Program Files\ewido anti-spyware 4.0\guard.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Jetico\Jetico Personal Firewall\fwsrv.exe

C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe

C:\Program Files\ProcessGuard\pgaccount.exe

C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

C:\Program Files\ProcessGuard\procguard.exe

C:\Program Files\HijackThis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O4 - HKLM\..\Run: [JeticoPFStartup] "C:\Program Files\Jetico\Jetico Personal Firewall\fwsrv.exe"

O4 - HKLM\..\Run: [kav] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"

O4 - HKLM\..\Run: [!1_pgaccount] "C:\Program Files\ProcessGuard\pgaccount.exe"

O4 - HKCU\..\Run: [spybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKCU\..\Run: [!1_ProcessGuard_Startup] "C:\Program Files\ProcessGuard\procguard.exe" -minimize

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O9 - Extra button: Antivirus Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1151610403015

O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" -r (file missing)

O23 - Service: DiamondCS Process Guard Service v3.000 (DCSPGSRV) - DiamondCS - C:\Program Files\ProcessGuard\dcsuserprot.exe

O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Program Files\ewido anti-spyware 4.0\guard.exe

O23 - Service: FAH@D:+Mes Documents+F@h+FAH502-Console.exe - Stanford University - D:\Mes Documents\F@h\FAH502-Console.exe

 

De plus kapersky, ewido, adaware et spybot ne trouve pas d'infections.

Merci

[Jack_Burton]

Bonjour titoun,

 

Pas d'inquiétude a avoir pour les 2 clefs du registre.

Ce sont des fausses alertes de PestPatrol.

Tous les utilisateurs de windows ont ces clefs dans le registre.

 

-Network1.Popups

Key:hkey_curent_user\software\microsoft\windows\currentversion\internetsettings\zonemap\domains\media-motor.net

 

-Trojan.Win32.Dialer.hc

Key:hkey_curent_user\software\microsoft\windows\currentversion\internetsettings\zonemap\domains\sgrunt.biz

 

Je t'invite a ouvrir le registre de windows et d'aller ici :

 

hkey_curent_user\software\microsoft\windows\currentversion\internetsettings\zonemap\domains

 

Tu risque d'etre un peu surpris de toutes les clefs mentionnées (enfin, surtout des noms^^).

Tu y trouveras un grand nombre de sites douteux et plus particulierement pornographiques.

Ce sont des sites et domaines qui sont bloqués par défaut par Windows. C'est une protection basique présentes dès l'installation des systemes windows. Tu peux par ailleurs en rajouter manuellement pour améliorer ta sécurité.

 

-Backdoor.Win32.Aimbot.aj

File: c\documentsandsettings\thomas\.gtk-bookmarks

Ce fichier pèse bien 0 Ko, n'est ce pas? Il ne semble pas infectueux mais pour s'en assurer fais le analyser sur le Virusscan de Jotti puis poste nous le rapport qui en découle.

Modifié le 25 août 2006 par Jack_Burton

[titoun]

Bonjour et merci pour ton intervention,

 

-Network1.Popups

Key:hkey_curent_user\software\microsoft\windows\currentversion\internetsettings\zonemap\domains\media-motor.net

 

-Trojan.Win32.Dialer.hc

Key:hkey_curent_user\software\microsoft\windows\currentversion\internetsettings\zonemap\domains\sgrunt.biz

 

C'est une bonne nouvelle que ces deux clés soient de fausses alertes. Je suis déjà aller faire un tour du côté de la base de registre et j'avais remarqué tous ces clés "bizarres" et après quelques recherches j'en ai conclu ce que tu viens de me confirmer. Est-il possible d'avoir de vraies infections qui laissent des traces à cet endroit?

 

Concernant ce fichier :

Backdoor.Win32.Aimbot.aj

File: c\documentsandsettings\thomas\.gtk-bookmarks

il fait effectivement 0 ko et Jotti m'indique qu'il fait 0 ko et qu'il ne peut pas l'analyser.

 

merci beaucoup