Posté(e) le 16 décembre 201410 a Bonjour; J'ai une machine qui communique un peu trop et toute seul sur le web, entre 1go et 1.5go par jour. J'ai une suite de sécurité payante et j'ai passé plusieurs logiciesl type malwarebyte etc mais rien. J'ai fait une capture du trafic, est ce que cela vous parle ? http://imagik.fr/view-rl/139301 Merci d'avance edit : j'ai liverail.static.com souvent
Posté(e) le 16 décembre 201410 a Bonjour, A minima : https://www.comment-supprimer.com/ib-adnxs-com/ Et liverail.com est une plateforme qui monétise des vidéos publiées, donc ton PC se connecte sur des vidéos pour que son propriétaire soit créditée d'une vue supplémentaire. Donc oui, ta machine est vérolée (voir les extensions activées des navigateurs, le fichier hosts, les logiciels de pub installés dans la liste des programmes, etc). Il faut que tu fasses un GSI.
Posté(e) le 16 décembre 201410 a Auteur j'ai tout vérifié, j'ai pas de tools bar à la con ou autre logiciel inutile, j'ai passé 3 anti virus .... c'est quoi un GSI ?
Posté(e) le 16 décembre 201410 a Auteur http://www.getsysteminfo.com/read.php?file=d657d7e43f0b389e4760c09b43bc2aa8 le lien ne semble pas fonctionner alors : http://we.tl/4ZxdPjbHQk
Posté(e) le 16 décembre 201410 a Il marche pas ton rapport ! Un petit tuto est disponible ici : https://forum.nextinpact.com/topic/157753-hijackthis-gsi/
Posté(e) le 16 décembre 201410 a Tu ne peux pas voir sur cette machine quel process ou service est accaparé ? Si ça uploade 1Go, tu dois avoir un truc qui ressort du lot. Pas top le rapport sur .txt plutôt que sur l'interface web. :(
Posté(e) le 16 décembre 201410 a Auteur ouai mais impossible, l'upload plente à chaque fois .... et je ne vois rien ....
Posté(e) le 16 décembre 201410 a D'un oeil néophyte, rien vu d'extraordinaire dans le rapport GSI TXT.
Posté(e) le 16 décembre 201410 a Bon, on a le rapport GSI ici : http://www.getsysteminfo.com/read.php?file=d657d7e43f0b389e4760c09b43bc2aa8&key=dtv5Zg8c&force=1
Posté(e) le 16 décembre 201410 a Alors un dell avec F-Secure et OCS, je me croirais au boulot Sinon je vois rien de suspect. C'est quoi Pegase 3 et WAPT ?
Posté(e) le 17 décembre 201410 a J'aurais dit un adware, tu as passé ccleaner ou malwarebytes ? C'est tout de même louche ...
Posté(e) le 17 décembre 201410 a Auteur oui, j'ai tout passé.. rien trouvé. si je ne trouve rien c: format ...
Posté(e) le 17 décembre 201410 a C'est plus prudent, en effet. Quand même c'est dingue... Par acquis de conscience, tu as passé Junkware removal tool ?
Posté(e) le 17 décembre 201410 a Pegase 3, logiciel de paie, WAPT, appli de gestion de parc. Eventuellement essayer Netlimiter qui te permettra peut-être de trouver la source de l'upload : http://www.clubic.com/telecharger-fiche11094-netlimiter-pro.html
Posté(e) le 17 décembre 201410 a Sinon, dans windows le "Resource Monitor" (%windir%\system32\perfmon.exe /res) devrait te renseigner sur l'exécutable qui download à fond.As-tu vérifié les plugins (ou extensions) installées dans tes navigateurs web ? Modifié le 17 décembre 201410 a par kwak-kwak
Posté(e) le 18 décembre 201410 a Bonjour, oui un logiciel du type Netlimiter te permettra peut être d'identifier la source de l'upload voir même de la bloquer. Je pense que le format sans savoir n'est qu'une solution temporaire car elle ne t'empecher pas de refaire l'installation de la cause de ton soucis plus tard...
Posté(e) le 18 décembre 201410 a Auteur ok je vais caler un new pc à la place et je vais installer net limiter j'ai trouvé le processus qui pompe : c:\windows\syswow64\rundll32.exe
Posté(e) le 18 décembre 201410 a Etrange qu'il soit dans syswow64, il devrait pas être dans System32 normalement ? o_O
Posté(e) le 18 décembre 201410 a \o/ Il faudrait donc utiliser une galette Windows pour restaurer cet exe.
Posté(e) le 18 décembre 201410 a Auteur je suis dessus Par contre j'aimerai bien savoir comment il est arrivé et pourquoi aucun scan ne le détecte. la date du fichier est identique aux autre fichiers du dossier, c'est un petit malin ! Si quelqu’un le veut j'ai fait un petit zip !
Posté(e) le 18 décembre 201410 a "There are 2 copies of rundll32.exe on 64-bit systems. One copy is in the System32 folder and the other is located in the SysWOW64 folder." Le site Microsoft mentionne de faire un scan avec Windows Live One Care. Mais je ne sais aps si c'est toujours d'actualité.
Posté(e) le 18 décembre 201410 a Auteur Windows Live OneCare n'est plus disponible à la vente et l'ensemble du support produit et facturation a été interrompu edit : exe remplacé grâce a une petite clé kali que j'ai tjrs sous la main, Je viens de voir passé les lignes www.msftncsi.com... on est vraiment fliqué de partout ! edit : 15h30 un deuxième rundll32 est apparu et c'est reparti..... je format...
Posté(e) le 18 décembre 201410 a Nan, mais rundll32 c'est ce qui permet d'exécuter des dlls sous Windows. Il faut voir justement quelle dll il exécute, c'est visible dans les détails normalement. Vois aussi du côté des tâches planifiées s'il n'y a rien de suspect. Edit : d'après le GSI, c'est probablement "c:\windows\syswow64\synchostn.dll". Après une recherche google, elle est inconnue au bataillon, c'est suspect. Modifié le 18 décembre 201410 a par dudul88
Archivé
Ce sujet est désormais archivé et ne peut plus recevoir de nouvelles réponses.