[Demande d'aide] Ordinateur HP infecté : Modification des driver

Fermé
TheSearcher123 Messages postés 25 Date d'inscription samedi 11 février 2017 Statut Membre Dernière intervention 14 février 2017 - 11 févr. 2017 à 19:37
TheSearcher123 Messages postés 25 Date d'inscription samedi 11 février 2017 Statut Membre Dernière intervention 14 février 2017 - 14 févr. 2017 à 14:40
Bonjour,Je viens à ce jour demander de l'aide. Mon ordinateur a des connexions sortante et entrante TCP UDP même lorsque mes cartes réseaux sont désactivé.

J'ai mis en place un monitor mode avec norton. Même quand je suis connecté des règles de connexions sont detectés pour des processus hôtes, des processus device driver bizarre.


Ce qui ma frapper c'est l'utilisation excessif de mon UC.


De plus ces IP qui communiquent avec moi, réseau éteins ne me présage rien de bon. Cela découle d'une semaine de soupçon sur mes ordinateurs qui semblait infectés...


Les ports sont d'autant plus bizarre...


Merci d'avance à la personne qui voudra bien m'aider ;)
A voir également:

11 réponses

Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
11 févr. 2017 à 20:13
Salut,

Quelles connexions ?
Vers quelles adresses ?
Quels ports ?

Pour voir ce qui tourne :

Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).

Télécharge et lance le scan FRST, 3 rapports FRST seront générés :
  • FRST.txt
  • Shortcut.txt
  • Additionnal.txt


Envoie ces 3 rapports sur le site http://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.

0
TheSearcher123 Messages postés 25 Date d'inscription samedi 11 février 2017 Statut Membre Dernière intervention 14 février 2017
11 févr. 2017 à 20:18
Cléf de registre du type :
HKEY_LOCAL_MACHINE\SOFTWARE\WiseCleaner\WiseCare365
HKEY_LOCAL_MACHINE\SOFTWARE\EnigmaSoftwareGroup
HKLM64\SOFTWARE\WISECLEANER

On a des taches du type :
BrowserProtect => La du coup j'ai aucune idée de ce que s'est, j'ai rien supprimé pour l'instant je suis pas sur du coup.
Microsoft\Windows\RVLKL\RVLKL
Sauf que : :51007 -> C'est normalement Adresse distante : msnbot-207-46-194-33:https



Okay -> 40.77.226.250:50970:50975
40.77.226.249:50979:50982

=> Donc j'ai ping ces adresses : 0 reponses aucune page web aucune navigateur lancé
C'est clairement une activité suspecte non ?


Cette fois si sans AUCUNE CONNEXION ENTRANTE POSSIBLE : -> Carte reseau et sans fils désactiver manuellement


=> IP : Mon adresse local : :51103 - Target ip : 178.33.106.117:http time_WAIT
TCP : INVISIBLE:7680:49664:49665:49666:49667:449668:449671:49677

UDP : Mes IPs : 0.0.0.0:500:3702:3702:4500:5050:55413:1900:55410 Son ip : *:*
UDP : 127.0.0.1;1900:55410 Son ip : *:*
UDP : [::]:500(avec 3702,3702,4500,55414,1900,55409 Son ip : *:*
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
11 févr. 2017 à 20:21
40.77.226.250 - c'est Microsoft
tu me sors des connexions TCP dont MSN...

BrowserProtect c'est un adware.

WiseCleaner est un nettoyeur qui ne sert pas à grand chose.. comme tous ces logiciels...

EnigmaSoftwareGroup est lié à SpyHunter.

Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).

Télécharge et lance le scan FRST, 3 rapports FRST seront générés :
  • FRST.txt
  • Shortcut.txt
  • Additionnal.txt


Envoie ces 3 rapports sur le site http://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.


0
TheSearcher123 Messages postés 25 Date d'inscription samedi 11 février 2017 Statut Membre Dernière intervention 14 février 2017
11 févr. 2017 à 20:26
Je pensais que c'était bizarre vu l'adresse mais je me suis trompé ^^'
0
TheSearcher123 Messages postés 25 Date d'inscription samedi 11 février 2017 Statut Membre Dernière intervention 14 février 2017
11 févr. 2017 à 20:26
Je t'envois le scan bientôt ;)
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
TheSearcher123 Messages postés 25 Date d'inscription samedi 11 février 2017 Statut Membre Dernière intervention 14 février 2017
Modifié par TheSearcher123 le 11/02/2017 à 20:40
Juste une question, frst est développé en autoit?
Je peux apercevoir script paused dans la barre de tache sur l'icone de farbar recovery. Je pense que c'est normal mais n'en suis pas sûr.


[SCAN EN COURS]
0
TheSearcher123 Messages postés 25 Date d'inscription samedi 11 février 2017 Statut Membre Dernière intervention 14 février 2017
Modifié par TheSearcher123 le 11/02/2017 à 21:34
0
TheSearcher123 Messages postés 25 Date d'inscription samedi 11 février 2017 Statut Membre Dernière intervention 14 février 2017
Modifié par TheSearcher123 le 11/02/2017 à 21:21
Voici les connexions que je pensais suspecte parce que qu'elles ne communiquent pas le propriétaire ... : http://hpics.li/5cf83e5
0
TheSearcher123 Messages postés 25 Date d'inscription samedi 11 février 2017 Statut Membre Dernière intervention 14 février 2017
11 févr. 2017 à 22:40
Et après avoir regarder un peu plus en détail je découvre deux lecteurs bd-rom ...
je ne sais pas pourquoi. J'ai tester le E: fonctionne mais pas l'autre.

http://hpics.li/da2e241
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660 > TheSearcher123 Messages postés 25 Date d'inscription samedi 11 février 2017 Statut Membre Dernière intervention 14 février 2017
11 févr. 2017 à 23:34
Tes captures, on voit rien...
t'as juste mis un petit bout.

Tu as aussi mis un mot de passe sur les rapports...
Quel est-il ?
0
TheSearcher123 Messages postés 25 Date d'inscription samedi 11 février 2017 Statut Membre Dernière intervention 14 février 2017 > Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020
11 févr. 2017 à 23:56
je vous ai envoyé le mot de passe en message privé.
0
TheSearcher123 Messages postés 25 Date d'inscription samedi 11 février 2017 Statut Membre Dernière intervention 14 février 2017
11 févr. 2017 à 23:56
C'est pour ne pas montrer mon IP sur le forum en public ...
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
Modifié par Malekal_morte- le 12/02/2017 à 00:28
rien d'anormal sur FRST.

Pour le moment, j'ai plutôt l'impression que tu interprètes mal les lignes de connexions.
Envoie la capture entière en message privé.
Veuillez appuyer sur une touche pour continuer la désinfection...
0
TheSearcher123 Messages postés 25 Date d'inscription samedi 11 février 2017 Statut Membre Dernière intervention 14 février 2017
12 févr. 2017 à 00:59
Je vous ai répondu en message privé.
Non, selon moi des drivers qui n'ont rien à faire la sont installés. Je ne sais pas comment les supprimer.
0
TheSearcher123 Messages postés 25 Date d'inscription samedi 11 février 2017 Statut Membre Dernière intervention 14 février 2017
Modifié par TheSearcher123 le 12/02/2017 à 01:08
Si vous le souhaiter je peux vous soumettre les alertes que norton me donne quand je coupe absolument tous les ports et toute mes connexions. Des processus hotes de windows + des Mobiles assistance device. C'est ce qui m'a paru bizarre aussi.
Des connexions non autorisés extérieur de type udp tcp tls
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660 > TheSearcher123 Messages postés 25 Date d'inscription samedi 11 février 2017 Statut Membre Dernière intervention 14 février 2017
12 févr. 2017 à 10:52
oui vas y.
0
TheSearcher123 Messages postés 25 Date d'inscription samedi 11 février 2017 Statut Membre Dernière intervention 14 février 2017
12 févr. 2017 à 13:48
Je suis actuellement au travail,néanmoins ce que je peux vous dire c'est que à chaque démarrage de windows un message Erreur impossible de reconnecter tous les lecteurs réseau s'affiche puis disparue totalement.


J'ai trouvé les clefs de registres bizarre hier en cherchant je vous enverrais ça. Recevez vous bien mes messages privés ?
0
TheSearcher123 Messages postés 25 Date d'inscription samedi 11 février 2017 Statut Membre Dernière intervention 14 février 2017 > Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020
12 févr. 2017 à 14:40
Voici concernant le lecteur reseaux : http://hpics.li/3e3ce86
0
TheSearcher123 Messages postés 25 Date d'inscription samedi 11 février 2017 Statut Membre Dernière intervention 14 février 2017 > Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020
Modifié par TheSearcher123 le 12/02/2017 à 14:41
Voici concernant le lecteur reseaux : http://hpics.li/3e3ce86
Dans tous les cas : Même si le pc n'est pas infecté il réagit quand même bizarrement parfois. Comme hier avec le spooler d'imprimante qui se lance tout seul alors que mon imprimente est déconnecté hors reseau...
0
TheSearcher123 Messages postés 25 Date d'inscription samedi 11 février 2017 Statut Membre Dernière intervention 14 février 2017
12 févr. 2017 à 21:07
Je vous ai envoyé une capture d'écran en privé. Cette dernière relate tout ce que j'ai pu réunir hier de suspect. NIS corresponds à mon anti virus. Je présume que ce dernier a soit une conduite normale soit ce dernier est le pot de confiture ...
0
TheSearcher123 Messages postés 25 Date d'inscription samedi 11 février 2017 Statut Membre Dernière intervention 14 février 2017
12 févr. 2017 à 21:33
Je vous ai envoyé en message privé ce que produit ipconfig /all je pense qu'il n'y a plus de doute.
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
12 févr. 2017 à 22:50
Je ne comprends rien à ce que tu fabriques.
0
TheSearcher123 Messages postés 25 Date d'inscription samedi 11 février 2017 Statut Membre Dernière intervention 14 février 2017
12 févr. 2017 à 23:07
J'ai des connexions inconnues sur mon ordinateur et je ne connais pas leur provenance. J'essaye d'avoir de l'aide depuis 2 jours mais bon
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660 > TheSearcher123 Messages postés 25 Date d'inscription samedi 11 février 2017 Statut Membre Dernière intervention 14 février 2017
13 févr. 2017 à 08:35
C'est toi qui interprète cela...
Ton ordinateur n'est pas infecté.
Après tu fais plein de manips dans tous les sens..
0
TheSearcher123 Messages postés 25 Date d'inscription samedi 11 février 2017 Statut Membre Dernière intervention 14 février 2017
13 févr. 2017 à 14:53
D'accord, alors je vous demande de bien vouloir m'expliquer la ou je fais erreur ... ça me permettrait de comprendre...
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660 > TheSearcher123 Messages postés 25 Date d'inscription samedi 11 février 2017 Statut Membre Dernière intervention 14 février 2017
Modifié par Malekal_morte- le 13/02/2017 à 16:03
ben c'est pas simple, tu as envoyé au moins 5/6 avec des netstats et tout sorte de choses..
Tu interprètes mal les log, je pense, en croyant que tu as des connexion anormales ou des virus ou je ne sais quoi.

Faire un reset de TCP n'était pas nécessaire.
Tu vas causer des problèmes à force de faire des trucs.

En clair, ton ordinateur n'est pas infecté.
0
TheSearcher123 Messages postés 25 Date d'inscription samedi 11 février 2017 Statut Membre Dernière intervention 14 février 2017
13 févr. 2017 à 22:19
Très bien, donc ces connexions de processus hôtes sortante quand je monitor les connexions de mon pc , carte réseau éteinte sont normale. Je vois que je n'aurais pas plus d'aide ici tempis je me débrouillerais autrement.
0