Trafic web étrange

[percubabs]

Bonjour;

 

J'ai une machine qui communique un peu trop et toute seul sur le web, entre 1go et 1.5go par jour.

 

J'ai une suite de sécurité payante et j'ai passé plusieurs logiciesl type malwarebyte etc mais rien.

 

J'ai fait une capture du trafic, est ce que cela vous parle ?

 

http://imagik.fr/view-rl/139301

 

Merci d'avance

 

edit : j'ai liverail.static.com souvent

[digital-jedi]

Bonjour,

A minima :

https://www.comment-supprimer.com/ib-adnxs-com/

Et liverail.com est une plateforme qui monétise des vidéos publiées, donc ton PC se connecte sur des vidéos pour que son propriétaire soit créditée d'une vue supplémentaire.

Donc oui, ta machine est vérolée (voir les extensions activées des navigateurs, le fichier hosts, les logiciels de pub installés dans la liste des programmes, etc).

Il faut que tu fasses un GSI.

[percubabs]

j'ai tout vérifié, j'ai pas de tools bar à la con ou autre logiciel inutile, j'ai passé 3 anti virus ....

 

c'est quoi un GSI ?

[percubabs]

http://www.getsysteminfo.com/read.php?file=d657d7e43f0b389e4760c09b43bc2aa8

le lien ne semble pas fonctionner alors : http://we.tl/4ZxdPjbHQk

[dudul88]

Il marche pas ton rapport ! Un petit tuto est disponible ici : https://forum.nextinpact.com/topic/157753-hijackthis-gsi/

[digital-jedi]

Tu ne peux pas voir sur cette machine quel process ou service est accaparé ? Si ça uploade 1Go, tu dois avoir un truc qui ressort du lot.

Pas top le rapport sur .txt plutôt que sur l'interface web. :(

[percubabs]

ouai mais impossible, l'upload plente à chaque fois .... et je ne vois rien ....

[digital-jedi]

D'un oeil néophyte, rien vu d'extraordinaire dans le rapport GSI TXT.

[dudul88]

Bon, on a le rapport GSI ici : http://www.getsysteminfo.com/read.php?file=d657d7e43f0b389e4760c09b43bc2aa8&key=dtv5Zg8c&force=1

[Oliewan]

Alors un dell avec F-Secure et OCS, je me croirais au boulot

 

Sinon je vois rien de suspect.

C'est quoi Pegase 3 et WAPT ?

[2hammewr]

J'aurais dit un adware, tu as passé ccleaner ou malwarebytes ? C'est tout de même louche ...

[percubabs]

oui, j'ai tout passé.. rien trouvé.

si je ne trouve rien c: format ...

[Oliewan]

C'est plus prudent, en effet.

Quand même c'est dingue...

 

Par acquis de conscience, tu as passé Junkware removal tool ?

[digital-jedi]

Pegase 3, logiciel de paie, WAPT, appli de gestion de parc.

Eventuellement essayer Netlimiter qui te permettra peut-être de trouver la source de l'upload :

http://www.clubic.com/telecharger-fiche11094-netlimiter-pro.html

[kwak-kwak]

Sinon, dans windows le "Resource Monitor" (%windir%\system32\perfmon.exe /res) devrait te renseigner sur l'exécutable qui download à fond.

As-tu vérifié les plugins (ou extensions) installées dans tes navigateurs web ?

[percubabs]

je ne trouve rien, je vais formater..........

[Elegath]

Bonjour, oui un logiciel du type Netlimiter te permettra peut être d'identifier la source de l'upload voir même de la bloquer.

Je pense que le format sans savoir n'est qu'une solution temporaire car elle ne t'empecher pas de refaire l'installation de la cause de ton soucis plus tard...

[percubabs]

ok je vais caler un new pc à la place et je vais installer net limiter

j'ai trouvé le processus qui pompe :

 

c:\windows\syswow64\rundll32.exe

[Alastor]

Etrange qu'il soit dans syswow64, il devrait pas être dans System32 normalement ? o_O

[percubabs]

Il a peut être trouvé un nie douillet dans syswow64

 

id 2588

[digital-jedi]

\o/

Il faudrait donc utiliser une galette Windows pour restaurer cet exe.

[percubabs]

je suis dessus

 

Par contre j'aimerai bien savoir comment il est arrivé et pourquoi aucun scan ne le détecte.

 

la date du fichier est identique aux autre fichiers du dossier, c'est un petit malin !

 

Si quelqu’un le veut j'ai fait un petit zip !

[digital-jedi]

"There are 2 copies of rundll32.exe on 64-bit systems. One copy is in the System32 folder and the other is located in the SysWOW64 folder."

Le site Microsoft mentionne de faire un scan avec Windows Live One Care.

Mais je ne sais aps si c'est toujours d'actualité.

[percubabs]

Windows Live OneCare n'est plus disponible à la vente et l'ensemble du support produit et facturation a été interrompu

 

edit : exe remplacé grâce a une petite clé kali que  j'ai tjrs sous la main,

 

Je viens de voir passé les lignes www.msftncsi.com... on est vraiment fliqué de partout !

edit : 15h30 un deuxième rundll32 est apparu et c'est reparti..... je format...

[dudul88]

Nan, mais rundll32 c'est ce qui permet d'exécuter des dlls sous Windows. Il faut voir justement quelle dll il exécute, c'est visible dans les détails normalement.

 

Vois aussi du côté des tâches planifiées s'il n'y a rien de suspect.

 

Edit : d'après le GSI, c'est probablement "c:\windows\syswow64\synchostn.dll". Après une recherche google, elle est inconnue au bataillon, c'est suspect.