deux lignes 017 ???

[LoGiC]

bonjour a tous

 

je me permet de vous soumettre mon HJT car recemment une deuxième ligne 017 est apparue

 

mais je ne sait pas a quoi elle correspond et surtout laquelle fixer ?

 

un petit coup de main ne serait pas de refus !

 

rapport

 

Logfile of HijackThis v1.99.1

Scan saved at 14:58:36, on 20/03/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Fichiers communs\AOL\ACS\AOLDial.exe

C:\PROGRA~1\SPEEDR~1\speedram.exe

C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe

C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe

C:\WINDOWS\system32\slserv.exe

C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\msiexec.exe

C:\Program Files\Microsoft AntiSpyware\gcasDtServ.exe

C:\Program Files\Microsoft AntiSpyware\gcasServ.exe

C:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\WINDOWS\pchealth\helpctr\System\panels\blank.htm

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\WINDOWS\pchealth\helpctr\System\panels\blank.htm

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [AOLDialer] C:\Program Files\Fichiers communs\AOL\ACS\AOLDial.exe

O4 - HKLM\..\Run: [KAVPersonal50] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize

O4 - HKLM\..\Run: [speedRam2] C:\PROGRA~1\SPEEDR~1\speedram.exe

O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe"

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1142687789187

O17 - HKLM\System\CCS\Services\Tcpip\..\{44110045-6AA8-4972-B468-E5DD1A7DCC34}: NameServer = 205.188.146.145

O17 - HKLM\System\CS1\Services\Tcpip\..\{44110045-6AA8-4972-B468-E5DD1A7DCC34}: NameServer = 205.188.146.145

O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe

O23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe

O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\hpzipm12.exe

O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

 

@++

[angelique]

cela correspond suite à un whois sur ip:

 

[iPv4 whois information for 205.188.146.145 ]

[whois.arin.net]

OrgName: America Online, Inc

OrgID: AMERIC-59

Address: 22080 Pacific Blvd

City: Sterling

StateProv: VA

PostalCode: 20166

Country: US

 

NetRange: 205.188.0.0 - 205.188.255.255

CIDR: 205.188.0.0/16

NetName: AOL-DTC

NetHandle: NET-205-188-0-0-1

Parent: NET-205-0-0-0-0

NetType: Direct Assignment

NameServer: DNS-01.NS.AOL.COM

NameServer: DNS-02.NS.AOL.COM

Comment:

RegDate: 1998-04-18

Updated: 1998-04-27

 

RTechHandle: AOL-NOC-ARIN

RTechName: America Online, Inc.

RTechPhone: +1-703-265-4670

RTechEmail: domains@aol.net

 

apparemment ton provider[f.a.i]AOL!!--->O4 - HKLM\..\Run: [AOLDialer] C:\Program Files\Fichiers communs\AOL\ACS\AOLDial.exe

O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe

[LoGiC]

merci angélique!

 

mais pourquoi deux lignes alors qu'avant je n'en avait qu'une ????

[Goofy]

Bonjour Guronsan et bienvenue sur le forum Zeb-Secu

 

Bonjour Angélique

 

Pour compléter la recherche d'Angelique, j'ai trouvé :

 

205.188.xxx.xxx appartient au domaine AOL qui est ton fournisseur d'accès internet.

Plus précisément : 205.188.146.145 correspond à l'adresse IP de nstot.proxy.aol.com

voir : http://samspade.org/t/whois?a=205.188.146....F-8&btnGo=Whois

et là : http://samspade.org/t/whois?a=nstot.proxy....com;server=auto

 

Donc pas de soucis, ce n'est pas une source infectieuse ou douteuse.

Il ne s'agit pas d'un piratage de domaine, puisque cela correspond à ton FAI.

 

Un conseiller en sécurité va t'en dire plus sur la conduite à tenir...

 

Jean-Pierre

Modifié le 20 mars 2006 par Goofy

[LoGiC]

MERCI !

 

OK j'attends le passage d'un conseiller sécu!

 

[LoGiC]

un petit up ça mange pas de pain ....

[LoGiC]

SALUT A TOUS !!!

 

il est vrai que ma demande n'est pas vraiment de toute priorité

 

mais si un pro passait par là et qu'il avait un petit moment pour m'en dire plus ce serait top !

[Invité tesgaz]

Salut,

 

tu as 2 ligne,

 

parce qu'une se trouve dans \current control set\

 

et l'autre dans \control set1\

 

\current control set\ << correspond à l'utilisation de ta session dans le registre au moment ou tu es sur le systeme

control set1 <<< peut aussi correspondre à ta session ou à une session d'un autre compte (administrateur par exemple )

[LoGiC]

tout d'abord bonjour tesgaz ! et félicitations pour ton site qui est une mine d'or et

 

que j'apprecis énormement ! (depuis que j'ai configuré mes services comme tu le préconise, ma bécane est un

 

avion de chasse !

 

 

maintenant, ce que je ne comprends pas au sujet de ces lignes c'est qu'avant je n'en avait qu'une

 

et que rien n'a changé dans ma configuration.

 

mais bon, c'est pas dérangeant si tu me dis que c'est normal, alors c'est normal! (pas chiant le guronsan )

 

sur ce, je t'en paye une bien fraiche

[Jack_Burton]

Bonjour a tous, bonjour guronsan & Tesgaz

 

guronsan, tu peux fixer la seconde ligne 017 :

O17 - HKLM\System\CS1\Services\Tcpip\..\{44110045-6AA8-4972-B468-E5DD1A7DCC34}: NameServer = 205.188.146.145

J ai eu la meme chose lorsque je suis passé du modem sagem 908 a la freebox (moi j en avais meme 3 ).

Conserve la sauvegarde de la ligne dans hijackthis au cas ou tu perdrais la connexion (mais cela ne devrait pas etre le cas).

Modifié le 29 mars 2006 par Jack_Burton