percubabs Posted December 16, 2014 Share Posted December 16, 2014 Bonjour; J'ai une machine qui communique un peu trop et toute seul sur le web, entre 1go et 1.5go par jour. J'ai une suite de sécurité payante et j'ai passé plusieurs logiciesl type malwarebyte etc mais rien. J'ai fait une capture du trafic, est ce que cela vous parle ? http://imagik.fr/view-rl/139301 Merci d'avance edit : j'ai liverail.static.com souvent Link to comment Share on other sites More sharing options...
digital-jedi Posted December 16, 2014 Share Posted December 16, 2014 Bonjour, A minima : https://www.comment-supprimer.com/ib-adnxs-com/ Et liverail.com est une plateforme qui monétise des vidéos publiées, donc ton PC se connecte sur des vidéos pour que son propriétaire soit créditée d'une vue supplémentaire. Donc oui, ta machine est vérolée (voir les extensions activées des navigateurs, le fichier hosts, les logiciels de pub installés dans la liste des programmes, etc). Il faut que tu fasses un GSI. Link to comment Share on other sites More sharing options...
percubabs Posted December 16, 2014 Author Share Posted December 16, 2014 j'ai tout vérifié, j'ai pas de tools bar à la con ou autre logiciel inutile, j'ai passé 3 anti virus .... c'est quoi un GSI ? Link to comment Share on other sites More sharing options...
percubabs Posted December 16, 2014 Author Share Posted December 16, 2014 http://www.getsysteminfo.com/read.php?file=d657d7e43f0b389e4760c09b43bc2aa8 le lien ne semble pas fonctionner alors : http://we.tl/4ZxdPjbHQk Link to comment Share on other sites More sharing options...
dudul88 Posted December 16, 2014 Share Posted December 16, 2014 Il marche pas ton rapport ! Un petit tuto est disponible ici : https://forum.nextinpact.com/topic/157753-hijackthis-gsi/ Link to comment Share on other sites More sharing options...
digital-jedi Posted December 16, 2014 Share Posted December 16, 2014 Tu ne peux pas voir sur cette machine quel process ou service est accaparé ? Si ça uploade 1Go, tu dois avoir un truc qui ressort du lot. Pas top le rapport sur .txt plutôt que sur l'interface web. :( Link to comment Share on other sites More sharing options...
percubabs Posted December 16, 2014 Author Share Posted December 16, 2014 ouai mais impossible, l'upload plente à chaque fois .... et je ne vois rien .... Link to comment Share on other sites More sharing options...
digital-jedi Posted December 16, 2014 Share Posted December 16, 2014 D'un oeil néophyte, rien vu d'extraordinaire dans le rapport GSI TXT. Link to comment Share on other sites More sharing options...
dudul88 Posted December 16, 2014 Share Posted December 16, 2014 Bon, on a le rapport GSI ici : http://www.getsysteminfo.com/read.php?file=d657d7e43f0b389e4760c09b43bc2aa8&key=dtv5Zg8c&force=1 Link to comment Share on other sites More sharing options...
Oliewan Posted December 16, 2014 Share Posted December 16, 2014 Alors un dell avec F-Secure et OCS, je me croirais au boulot Sinon je vois rien de suspect. C'est quoi Pegase 3 et WAPT ? Link to comment Share on other sites More sharing options...
2hammewr Posted December 17, 2014 Share Posted December 17, 2014 J'aurais dit un adware, tu as passé ccleaner ou malwarebytes ? C'est tout de même louche ... Link to comment Share on other sites More sharing options...
percubabs Posted December 17, 2014 Author Share Posted December 17, 2014 oui, j'ai tout passé.. rien trouvé. si je ne trouve rien c: format ... Link to comment Share on other sites More sharing options...
Oliewan Posted December 17, 2014 Share Posted December 17, 2014 C'est plus prudent, en effet. Quand même c'est dingue... Par acquis de conscience, tu as passé Junkware removal tool ? Link to comment Share on other sites More sharing options...
digital-jedi Posted December 17, 2014 Share Posted December 17, 2014 Pegase 3, logiciel de paie, WAPT, appli de gestion de parc. Eventuellement essayer Netlimiter qui te permettra peut-être de trouver la source de l'upload : http://www.clubic.com/telecharger-fiche11094-netlimiter-pro.html Link to comment Share on other sites More sharing options...
kwak-kwak Posted December 17, 2014 Share Posted December 17, 2014 Sinon, dans windows le "Resource Monitor" (%windir%\system32\perfmon.exe /res) devrait te renseigner sur l'exécutable qui download à fond.As-tu vérifié les plugins (ou extensions) installées dans tes navigateurs web ? Link to comment Share on other sites More sharing options...
percubabs Posted December 17, 2014 Author Share Posted December 17, 2014 je ne trouve rien, je vais formater.......... Link to comment Share on other sites More sharing options...
Elegath Posted December 18, 2014 Share Posted December 18, 2014 Bonjour, oui un logiciel du type Netlimiter te permettra peut être d'identifier la source de l'upload voir même de la bloquer. Je pense que le format sans savoir n'est qu'une solution temporaire car elle ne t'empecher pas de refaire l'installation de la cause de ton soucis plus tard... Link to comment Share on other sites More sharing options...
percubabs Posted December 18, 2014 Author Share Posted December 18, 2014 ok je vais caler un new pc à la place et je vais installer net limiter j'ai trouvé le processus qui pompe : c:\windows\syswow64\rundll32.exe Link to comment Share on other sites More sharing options...
Alastor Posted December 18, 2014 Share Posted December 18, 2014 Etrange qu'il soit dans syswow64, il devrait pas être dans System32 normalement ? o_O Link to comment Share on other sites More sharing options...
percubabs Posted December 18, 2014 Author Share Posted December 18, 2014 Il a peut être trouvé un nie douillet dans syswow64 id 2588 Link to comment Share on other sites More sharing options...
digital-jedi Posted December 18, 2014 Share Posted December 18, 2014 \o/ Il faudrait donc utiliser une galette Windows pour restaurer cet exe. Link to comment Share on other sites More sharing options...
percubabs Posted December 18, 2014 Author Share Posted December 18, 2014 je suis dessus Par contre j'aimerai bien savoir comment il est arrivé et pourquoi aucun scan ne le détecte. la date du fichier est identique aux autre fichiers du dossier, c'est un petit malin ! Si quelqu’un le veut j'ai fait un petit zip ! Link to comment Share on other sites More sharing options...
digital-jedi Posted December 18, 2014 Share Posted December 18, 2014 "There are 2 copies of rundll32.exe on 64-bit systems. One copy is in the System32 folder and the other is located in the SysWOW64 folder." Le site Microsoft mentionne de faire un scan avec Windows Live One Care. Mais je ne sais aps si c'est toujours d'actualité. Link to comment Share on other sites More sharing options...
percubabs Posted December 18, 2014 Author Share Posted December 18, 2014 Windows Live OneCare n'est plus disponible à la vente et l'ensemble du support produit et facturation a été interrompu edit : exe remplacé grâce a une petite clé kali que j'ai tjrs sous la main, Je viens de voir passé les lignes www.msftncsi.com... on est vraiment fliqué de partout ! edit : 15h30 un deuxième rundll32 est apparu et c'est reparti..... je format... Link to comment Share on other sites More sharing options...
dudul88 Posted December 18, 2014 Share Posted December 18, 2014 Nan, mais rundll32 c'est ce qui permet d'exécuter des dlls sous Windows. Il faut voir justement quelle dll il exécute, c'est visible dans les détails normalement. Vois aussi du côté des tâches planifiées s'il n'y a rien de suspect. Edit : d'après le GSI, c'est probablement "c:\windows\syswow64\synchostn.dll". Après une recherche google, elle est inconnue au bataillon, c'est suspect. Link to comment Share on other sites More sharing options...
Recommended Posts
Archived
This topic is now archived and is closed to further replies.