connexions iconnue au démarrage (résolu)

Ici on parle de réseau, configurations, problèmes etc..

Modérateur : Mods Windows

jb74

connexions iconnue au démarrage (résolu)

par jb74 »

Bonjour
Depuis quelques jours, mon PC se comporte bizarrement (freeze windows, alerte parefeu sur programme sensés être fiables, etc...)
J'ai fait une restauration et ça va un peu mieux.
Maintenant, j'essais de comprendre un peu ce qui se passe, notamment au niveau des connexions réseau
Avec Currports, j'ai notamment des connexions sur des IP avec des "processus inconnu" que je n'arrive pas à identifier ce qui m'inquiète pour une possible infection notamment :
216.137.57.81
149.7.241.67
Si quelqu'un pouvait m'éclairer, ce serait sympa

Merci d'avance

PJ : extrait sortie "currports"
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
Dernière modification par jb74 le 12 avr. 2014 11:51, modifié 1 fois.
SkyTech

Re: connexions iconnue au démarrage

par SkyTech »

Salut,

Pour voir :


* Télécharge >> OTL <<sur ton bureau.

* Fait un double-clic sur l'icône d'OTL pour le lancer
/!\ pour Vista/Seven fais un clic-droit sur l'icône d'OTL et choisis "Exécuter en tant qu'administrateur"

* Assure toi d'avoir fermé toutes les applications en court de fonctionnement.

* Quand la fenêtre d'OTL apparaît, assure toi que dans la section "Rapport" (en haut à droite) la case "Rapport minimal" soit cochée.

* Copies et colles le contenue de cette citation dans la partie inférieure d'OTL "Personnalisation"
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\*.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
wininit.exe
/md5stop
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
CREATERESTOREPOINT
nslookup http://www.google.fr /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs

* Cliques sur l'icône "Analyse" (en haut à gauche) .
* Laisse le scan aller à son terme sans te servir du PC
* A la fin du scan un ou deux rapports vont s'ouvrir "OTL.Txt" et ( ou ) "Extras.Txt"( dans certains cas).
* Copie et colle le ou les rapports dans ta réponse stp...
* Au cas où, tu peux les retrouver dans le dossier C:\OTL ou sur ton bureau en fonction des cas rencontrés
jb74

Re: connexions iconnue au démarrage

par jb74 »

Bonjour Skytech
Merci de prendre un peu de temps pour m'aider
J'ai fait le scan OTL (avast désactivé, parefeu comodo activé, réseau déconnecté)
Ci joint les fichiers générés
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
SkyTech

Re: connexions iconnue au démarrage

par SkyTech »

Y a rien d'anormal, juste des lignes obsolètes...

Tu peux désinstaller Ad-Remover By C_XX, c'est un tool de désinfection.
Pas un logiciel commun à utiliser au moindre problème.

Désactive aussi Java Quick Starter :

Panneau de configuration (de Windows) > Java > Avancé > Divers > Décocher Java Quick Starter.

---

Relance OTL.
o sous Peronnalisation, copie_colle le contenu du cadre ci dessous et clic Correction, un rapport apparraitra suite à l’operation que tu conserveras sur clé usb par exemple afin d’en coller le resultat:
:OTL
SRV - (HidServ) -- File not found
SRV - (AppMgmt) -- File not found
DRV - (WDICA) -- File not found
DRV - (PDRFRAME) -- File not found
DRV - (PDRELI) -- File not found
DRV - (PDFRAME) -- File not found
DRV - (PDCOMP) -- File not found
DRV - (PCIDump) -- File not found
DRV - (lbrtfdc) -- File not found
DRV - (i2omgmt) -- File not found
DRV - (Changer) -- File not found
DRV - (BOCDRIVE) -- File not found
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Program Files\Google\Update\1.3.21.99\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Program Files\Google\Update\1.3.21.99\npGoogleUpdate3.dll (Google Inc.)
O3 - HKCU\..\Toolbar\ShellBrowser: (no name) - {C4069E3A-68F1-403E-B40E-20066696354B} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {0B53EAC3-8D69-4B9E-9B19-A37C9A5676A7} - No CLSID value found.
O4 - HKLM..\Run: [TFncKy] TFncKy.exe File not found
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinsta ... s-i586.cab (Reg Error: Key error.)
MsConfig - StartUpReg: iTunesHelper - hkey= - key= - File not found
MsConfig - StartUpReg: QuickTime Task - hkey= - key= - File not found
MsConfig - StartUpReg: TkBellExe - hkey= - key= - File not found
[2012/03/10 12:51:12 | 000,000,000 | ---D | C] -- C:\ToolBar SD
[2012/02/26 00:27:37 | 000,000,000 | ---D | C] -- C:\Program Files\Fichiers communs\Java(2)
[2012/02/26 21:01:10 | 000,001,052 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore1cc9344749df08e.job
@Alternate Data Stream - 152 bytes -> C:\Documents and Settings\jb\Mes documents\67jsp3gv.exe:SummaryInformation
:commands
[purity]
[emptytemp]
[emptyflash]
* redemarre le pc sous windows et poste le rapport ici
jb74

Re: connexions iconnue au démarrage

par jb74 »

J'ai relancé OTL avec le script de l'encadré
Par contre, je n'ai pas eu accès au rapport et le pc a redémarré
J'ai ouvert C:/OTL mais COMODO m'a sandboxé NOTEPAD.EXE et le PC était "freeze"
J'ai redémarré et cette fois j'avais accès au fichier .log que je te joint
Voilà ????
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
SkyTech

Re: connexions iconnue au démarrage

par SkyTech »

Tu peux recommencer en désactivant Comodo, etc ... ;)

Désolé j'ai pas précisé, ça n'aurait pas du poser problème.
jb74

Re: connexions iconnue au démarrage

par jb74 »

Je dois relancer le 1er ou le 2ème script ?
J'ai l'impression qu'il faut que je mette en session "admin" pour faire les corrections ?
Merci
SkyTech

Re: connexions iconnue au démarrage

par SkyTech »

jb74 a écrit :Je dois relancer le 1er ou le 2ème script ?
2ème
jb74 a écrit : J'ai l'impression qu'il faut que je mette en session "admin" pour faire les corrections ?
J'ai pas précisé mais ça me paraissait logique :)
jb74

Re: connexions iconnue au démarrage

par jb74 »

Voilà le fichier OTL récupéré sous c:\OTL après la correction en mode "admin"
Merci
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
SkyTech

Re: connexions iconnue au démarrage

par SkyTech »

Relance OTL et clic sur Purge outil.

Pour moi c'est OK ;)
jb74

Re: connexions iconnue au démarrage

par jb74 »

Voilà, c'est fait
Je vois toujours des connexions vers des IP difficilement identifiables avec processus "inconnus"
Mais vu que les analyses ne montrent rien de suspect, je ne m'inquiète plus
Pour info, y a t-il un moyen fiable d'identifier les adresses IP ?(les recherches google ne donnent pas grand chose)
Je te remercie encore pour ton aide très précieuse
A bientôt
SkyTech

Re: connexions iconnue au démarrage

par SkyTech »

Revenir à « Réseau »