December 16, 201411 yr Bonjour; J'ai une machine qui communique un peu trop et toute seul sur le web, entre 1go et 1.5go par jour. J'ai une suite de sécurité payante et j'ai passé plusieurs logiciesl type malwarebyte etc mais rien. J'ai fait une capture du trafic, est ce que cela vous parle ? http://imagik.fr/view-rl/139301 Merci d'avance edit : j'ai liverail.static.com souvent
December 16, 201411 yr Bonjour, A minima : https://www.comment-supprimer.com/ib-adnxs-com/ Et liverail.com est une plateforme qui monétise des vidéos publiées, donc ton PC se connecte sur des vidéos pour que son propriétaire soit créditée d'une vue supplémentaire. Donc oui, ta machine est vérolée (voir les extensions activées des navigateurs, le fichier hosts, les logiciels de pub installés dans la liste des programmes, etc). Il faut que tu fasses un GSI.
December 16, 201411 yr Author j'ai tout vérifié, j'ai pas de tools bar à la con ou autre logiciel inutile, j'ai passé 3 anti virus .... c'est quoi un GSI ?
December 16, 201411 yr Author http://www.getsysteminfo.com/read.php?file=d657d7e43f0b389e4760c09b43bc2aa8 le lien ne semble pas fonctionner alors : http://we.tl/4ZxdPjbHQk
December 16, 201411 yr Il marche pas ton rapport ! Un petit tuto est disponible ici : https://forum.nextinpact.com/topic/157753-hijackthis-gsi/
December 16, 201411 yr Tu ne peux pas voir sur cette machine quel process ou service est accaparé ? Si ça uploade 1Go, tu dois avoir un truc qui ressort du lot. Pas top le rapport sur .txt plutôt que sur l'interface web. :(
December 16, 201411 yr Author ouai mais impossible, l'upload plente à chaque fois .... et je ne vois rien ....
December 16, 201411 yr Bon, on a le rapport GSI ici : http://www.getsysteminfo.com/read.php?file=d657d7e43f0b389e4760c09b43bc2aa8&key=dtv5Zg8c&force=1
December 16, 201411 yr Alors un dell avec F-Secure et OCS, je me croirais au boulot Sinon je vois rien de suspect. C'est quoi Pegase 3 et WAPT ?
December 17, 201411 yr J'aurais dit un adware, tu as passé ccleaner ou malwarebytes ? C'est tout de même louche ...
December 17, 201411 yr C'est plus prudent, en effet. Quand même c'est dingue... Par acquis de conscience, tu as passé Junkware removal tool ?
December 17, 201411 yr Pegase 3, logiciel de paie, WAPT, appli de gestion de parc. Eventuellement essayer Netlimiter qui te permettra peut-être de trouver la source de l'upload : http://www.clubic.com/telecharger-fiche11094-netlimiter-pro.html
December 17, 201411 yr Sinon, dans windows le "Resource Monitor" (%windir%\system32\perfmon.exe /res) devrait te renseigner sur l'exécutable qui download à fond.As-tu vérifié les plugins (ou extensions) installées dans tes navigateurs web ? Edited December 17, 201411 yr by kwak-kwak
December 18, 201411 yr Bonjour, oui un logiciel du type Netlimiter te permettra peut être d'identifier la source de l'upload voir même de la bloquer. Je pense que le format sans savoir n'est qu'une solution temporaire car elle ne t'empecher pas de refaire l'installation de la cause de ton soucis plus tard...
December 18, 201411 yr Author ok je vais caler un new pc à la place et je vais installer net limiter j'ai trouvé le processus qui pompe : c:\windows\syswow64\rundll32.exe
December 18, 201411 yr Etrange qu'il soit dans syswow64, il devrait pas être dans System32 normalement ? o_O
December 18, 201411 yr Author je suis dessus Par contre j'aimerai bien savoir comment il est arrivé et pourquoi aucun scan ne le détecte. la date du fichier est identique aux autre fichiers du dossier, c'est un petit malin ! Si quelqu’un le veut j'ai fait un petit zip !
December 18, 201411 yr "There are 2 copies of rundll32.exe on 64-bit systems. One copy is in the System32 folder and the other is located in the SysWOW64 folder." Le site Microsoft mentionne de faire un scan avec Windows Live One Care. Mais je ne sais aps si c'est toujours d'actualité.
December 18, 201411 yr Author Windows Live OneCare n'est plus disponible à la vente et l'ensemble du support produit et facturation a été interrompu edit : exe remplacé grâce a une petite clé kali que j'ai tjrs sous la main, Je viens de voir passé les lignes www.msftncsi.com... on est vraiment fliqué de partout ! edit : 15h30 un deuxième rundll32 est apparu et c'est reparti..... je format...
December 18, 201411 yr Nan, mais rundll32 c'est ce qui permet d'exécuter des dlls sous Windows. Il faut voir justement quelle dll il exécute, c'est visible dans les détails normalement. Vois aussi du côté des tâches planifiées s'il n'y a rien de suspect. Edit : d'après le GSI, c'est probablement "c:\windows\syswow64\synchostn.dll". Après une recherche google, elle est inconnue au bataillon, c'est suspect. Edited December 18, 201411 yr by dudul88
Archived
This topic is now archived and is closed to further replies.