[Résolu] Navipromo

[Lionel57]

RJ45.

Il me semble que les IP étaient utilisés par une saleté, sinon je ne vois pas l'intérêt de les avoir

[Falkra]

OpenDNS n'est pas une saleté, ce sont des DNS publics et clean, utilisés parfois en désinfection lorsqu'il faut mettre des DNS sains à la place de DNS infectés. Spybot pratique la manip, mais elle doit reste temporaire. Tant que tu as les DNS de ton FAI désormais, ou tout en automatique si ton modem et ton FAi le permettent, c'est impeccable.

 

Si tu as une Box à laquelle on accède par le navigateur, et via un mot de passe (elles ne le font pas toutes) ou un routeur, modifie le mot de passe par défaut si la configuration le permet. Certaines infections attaquent les mots de passe par défaut.

 

Logiquement, tu dois avoir des lignes O17 différentes maintenant, ou bien pas de lignes O17 dans ton rapport HijackThis.

[Lionel57]

Ok, donc si tu me confirmes que la machine est clean, je la redonne à mon ami.

 

Merci pour ton aide

[Falkra]

Poste un dernier rapport HijackThis stp, je te confirmerai en précisant s'il y a quelques améliorations logicielles à faire pour sécuriser la bête.

[Lionel57]

C'est vraiment sympa de ta part Falkra

 

Voici le rapport :

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 21:15:35, on 05/07/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16674)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

C:\windows\system\hpsysdrv.exe

C:\WINDOWS\ALCXMNTR.EXE

C:\Program Files\HP\HP Software Update\HPWuSchd2.exe

C:\Program Files\ZTE Corporation\ZXDSL852\CnxDslTb.exe

C:\HP\KBD\KBD.EXE

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

C:\Program Files\Hp\Digital Imaging\bin\hpqtra08.exe

C:\Program Files\Sony\Sony Picture Utility\VolumeWatcher\SPUVolumeWatcher.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Inventel\Gateway\wlancfg.exe

C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe

C:\WINDOWS\system32\wscntfy.exe

C:\WINDOWS\system32\wuauclt.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

 

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)

O2 - BHO: HP Print Enhancer - {0347C33E-8762-4905-BF09-768834316C61} - C:\Program Files\HP\Smart Web Printing\hpswp_printenhancer.dll

O2 - BHO: HP Print Clips - {053F9267-DC04-4294-A72C-58F732D338C0} - C:\Program Files\HP\Smart Web Printing\hpswp_framework.dll

O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe

O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE

O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE

O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe

O4 - HKLM\..\Run: [CnxDslTaskBar] "C:\Program Files\ZTE Corporation\ZXDSL852\CnxDslTb.exe" "ZTE Corporation\ZXDSL852"

O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [spybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - Startup: Outil de détection de support Picture Motion Browser.lnk = C:\Program Files\Sony\Sony Picture Utility\VolumeWatcher\SPUVolumeWatcher.exe

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\Hp\Digital Imaging\bin\hpqtra08.exe

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Livre de reliures HP - {58ECB495-38F0-49cb-A538-10282ABF65E7} - C:\Program Files\HP\Smart Web Printing\hpswp_extensions.dll

O9 - Extra button: Sélection intelligente HP - {700259D7-1666-479a-93B1-3250410481E8} - C:\Program Files\HP\Smart Web Printing\hpswp_extensions.dll

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra button: Aide à la connexion - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm

O9 - Extra 'Tools' menuitem: Aide à la connexion - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdat...b?1156586390406

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shoc...ash/swflash.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{34C9E2A5-6975-47D8-B933-20DDDDBCE04C}: NameServer = 208.67.220.220,208.67.222.222

O17 - HKLM\System\CCS\Services\Tcpip\..\{3A4C3BCB-8A45-493A-88D4-986AFE0337FF}: NameServer = 208.67.220.220,208.67.222.222

O17 - HKLM\System\CCS\Services\Tcpip\..\{5E3C23B9-19B0-4E47-BA65-CD8018451AFD}: NameServer = 208.67.220.220,208.67.222.222

O17 - HKLM\System\CCS\Services\Tcpip\..\{C00A70EC-887A-4C86-8833-9B1B6EA5EACD}: NameServer = 208.67.220.220,208.67.222.222

O17 - HKLM\System\CCS\Services\Tcpip\..\{DE246E2C-8697-44FE-A5BB-FA04D12D4DEC}: NameServer = 208.67.220.220,208.67.222.222

O17 - HKLM\System\CS1\Services\Tcpip\..\{34C9E2A5-6975-47D8-B933-20DDDDBCE04C}: NameServer = 208.67.220.220,208.67.222.222

O23 - Service: Avira AntiVir Personal – Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: Securitoo Antivirus Firewall (BackWeb Plug-in - 8520111) - Unknown owner - C:\PROGRA~1\SECURI~1\Av_Fw\backweb\8520111\Program\SERVIC~1.EXE (file missing)

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe

O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: Service de lancement de WlanCfg (Wlancfg) - Inventel - C:\Program Files\Inventel\Gateway\wlancfg.exe

 

--

End of file - 7132 bytes

[Falkra]

Securitoo est actif comme antivirus ? Il n'en faut qu'un actif à la fois. Je vois Antivir aussi. A choisir, Antivir est plus efficace est gratuit.

Securitoo est parfois installé comme option payante par les FAI (il faut demander à ton ami s'il paie des options).

 

Il faut voir s'il comprend aussi un pare-feu, parfois c'est le cas, ici il semble que non.

 

Je te propose en complément de spybot un antimalware (= antispyware en plus costaud): MalwareBytes' Anti-malware.

Site officiel : http://www.malwarebytes.org/

Le module résident (qui tourne à l'arrière plan) est payant, mais cela reste gratuit, ce module ne s'active simplement pas, sauf paiement). Il est bien plus efficace que Spybot sur les coriaces. spybot ne chasse plus que le petit gibier depuis quelque temps hélas.

 

Les DNS des O17 sont OpenDNS, si tu as déjà paramétré les DNS du FAI (de ton ami, hein, ou tout en auto pour chez lui s'il n'a pas le même FAI que toi) tu peux "fixer" ces lignes. Le mieux serait de ne le faire qu'en lui rendant la machine, comme ça tu seras certain que ça passe pour sa connexion.

 

Le reste est ok.

 

N'hésite pas à poser des questions, cette partie est aussi importante que la désinfection.

 

Tu peux marquer résolu dans le titre, (en éditant le premier post, le titre devient modifiable).

[Lionel57]

Il paye effectivement 5 € par mois. Il m'a dit qu'il y avait en plus du programme une assistance... ?

De toute façon il est d'accord pour virer Sécuritoo et mettre Antivir. Je pensais le coupler avec Spybot mais je vais suivre ton conseil.

Je marque comme résolu, en te remerciant vivement pour ton aide, vraiment sympa !

[Falkra]

Ces programmes sont payants, ça fait 60 euros par an. Je ne sais pas, pour l'assistance, et le formule peut varier d'un FAI à l'autre.

Une configuration entièrement gratuite est également possible, sans sacrifier en qualité.

 

Antivir en antivirus (une popup pendant les mises à jour, facile à fermer, mais très performant)

MalwareBytes comme Antispyware (non résident en version gratuite, il cohabite avec tout).

Tu peux garder Spybot avec, simplement oublie TeaTimer, il est souvnet plus gênant qu'efficace. Rien n'empêche par contre de scanner de temps en temps avec Spybot et MalwareBytes bien sûr.

 

S'il faut un firewall pour remplacer celui de Seucritoo, Comodo est simple à utiliser et efficace, un très bon compromis : http://www.personalfirewall.comodo.com/

Un tuto en français chez Malekal : http://www.malekal.com/tutorial_COMODO_Firewall.php

Le firewall intégré à windows est bien trop léger.

 

Tout cela est gratuit et efficace, mais en anglais, je ne sais pas si ça représente un problème.