Aller au contenu

Trafic web étrange

Featured Replies

Posté(e)

Bonjour;

 

J'ai une machine qui communique un peu trop et toute seul sur le web, entre 1go et 1.5go par jour.

 

J'ai une suite de sécurité payante et j'ai passé plusieurs logiciesl type malwarebyte etc mais rien.

 

J'ai fait une capture du trafic, est ce que cela vous parle ?

 

http://imagik.fr/view-rl/139301

 

Merci d'avance

 

edit : j'ai liverail.static.com souvent

Posté(e)

Bonjour,

A minima :

https://www.comment-supprimer.com/ib-adnxs-com/

Et liverail.com est une plateforme qui monétise des vidéos publiées, donc ton PC se connecte sur des vidéos pour que son propriétaire soit créditée d'une vue supplémentaire.

Donc oui, ta machine est vérolée (voir les extensions activées des navigateurs, le fichier hosts, les logiciels de pub installés dans la liste des programmes, etc).

Il faut que tu fasses un GSI.

Posté(e)
  • Auteur

j'ai tout vérifié, j'ai pas de tools bar à la con ou autre logiciel inutile, j'ai passé 3 anti virus ....

 

c'est quoi un GSI ?

Posté(e)

Tu ne peux pas voir sur cette machine quel process ou service est accaparé ? Si ça uploade 1Go, tu dois avoir un truc qui ressort du lot.

Pas top le rapport sur .txt plutôt que sur l'interface web. :(

Posté(e)

Alors un dell avec F-Secure et OCS, je me croirais au boulot :D

 

Sinon je vois rien de suspect.

C'est quoi Pegase 3 et WAPT ?

Posté(e)

J'aurais dit un adware, tu as passé ccleaner ou malwarebytes ? C'est tout de même louche ...

Posté(e)

C'est plus prudent, en effet.

Quand même c'est dingue...

 

Par acquis de conscience, tu as passé Junkware removal tool ?

Posté(e)

Sinon, dans windows le "Resource Monitor" (%windir%\system32\perfmon.exe /res) devrait te renseigner sur l'exécutable qui download à fond.

As-tu vérifié les plugins (ou extensions) installées dans tes navigateurs web ?

Modifié par kwak-kwak

Posté(e)

Bonjour, oui un logiciel du type Netlimiter te permettra peut être d'identifier la source de l'upload voir même de la bloquer.

Je pense que le format sans savoir n'est qu'une solution temporaire car elle ne t'empecher pas de refaire l'installation de la cause de ton soucis plus tard...

Posté(e)
  • Auteur

ok je vais caler un new pc à la place et je vais installer net limiter


j'ai trouvé le processus qui pompe :

 

c:\windows\syswow64\rundll32.exe

Posté(e)
  • Auteur

je suis dessus

 

Par contre j'aimerai bien savoir comment il est arrivé et pourquoi aucun scan ne le détecte.

 

la date du fichier est identique aux autre fichiers du dossier, c'est un petit malin !

 

Si quelqu’un le veut j'ai fait un petit zip !

Posté(e)

"There are 2 copies of rundll32.exe on 64-bit systems. One copy is in the System32 folder and the other is located in the SysWOW64 folder."


Le site Microsoft mentionne de faire un scan avec Windows Live One Care.


Mais je ne sais aps si c'est toujours d'actualité.

Posté(e)
  • Auteur

Windows Live OneCare n'est plus disponible à la vente et l'ensemble du support produit et facturation a été interrompu

 

edit : exe remplacé grâce a une petite clé kali que  j'ai tjrs sous la main,

 

Je viens de voir passé les lignes www.msftncsi.com... on est vraiment fliqué de partout !


edit : 15h30 un deuxième rundll32 est apparu et c'est reparti..... je format...

Posté(e)

Nan, mais rundll32 c'est ce qui permet d'exécuter des dlls sous Windows. Il faut voir justement quelle dll il exécute, c'est visible dans les détails normalement.

 

Vois aussi du côté des tâches planifiées s'il n'y a rien de suspect.

 

Edit : d'après le GSI, c'est probablement "c:\windows\syswow64\synchostn.dll". Après une recherche google, elle est inconnue au bataillon, c'est suspect.

Modifié par dudul88

Archivé

Ce sujet est désormais archivé et ne peut plus recevoir de nouvelles réponses.