djnetsab Posté(e) 4 août 2017 Signaler Share Posté(e) 4 août 2017 Salut les gars, Depuis quelques temps, il se passe des choses étranges sur mon PC de boulot. A la racine de chacune de mes partitions j'ai des dossiers qui se créent tout seul, et qui reviennent quelques temps après surpression. La structure est toujours la même : un au début et un à la fin de l'arboresence. Par exemple sur ma partition C: j 'ai un dossier "Acmirror121" et un autre "Xtransfer229". A l’intérieur on trouve un peu de tout, du .doc, du .jpg, du .txt, du .sql, du .mdb, etc. Mais ils sont tous impossible à ouvrir, cryptés je pense. J'ai tenté de trouver la cause avec mes outils habituels : adwcleaner, rogue killer, malwaresbytes, avast, stiger, tdsskiller, gmer mais rien de chez rien. J'ai dû installer un truc qui a transformé mon PC en zone de stock pour pirate ou un truc dans le genre. Ça me gène pas vraiment, mais c'est quand même louche ... Ça vous parle ? Lien vers le commentaire Partager sur d’autres sites More sharing options...
fabrice Posté(e) 4 août 2017 Signaler Share Posté(e) 4 août 2017 Tu n'as pas installé un logiciel de transfert ou de synchro? Lien vers le commentaire Partager sur d’autres sites More sharing options...
djnetsab Posté(e) 4 août 2017 Auteur Signaler Share Posté(e) 4 août 2017 J'ai un syncback qui me sauvegarde un dossier sur un serveur local. Mais je vois pas trop le rapport... Le trucs c sur les fichiers ont des noms plutôt "clairs", en anglais, mais compréhensible en tout cas. C pour ca que ça fait vraiment penser à un pirate qui stock sur mon PC Je vous joints 2 captures faites à distance via TeamViewer (je rentre chez moi le midi ;-) Lien vers le commentaire Partager sur d’autres sites More sharing options...
Pyrithe Posté(e) 4 août 2017 Signaler Share Posté(e) 4 août 2017 Ca ressemble effectivement à un stockage pirate... Perso j'essayerai d'observer ce qui se passe un peu au niveau réseau déjà, pour voir ce qui se passe vraiment. Lien vers le commentaire Partager sur d’autres sites More sharing options...
djnetsab Posté(e) 4 août 2017 Auteur Signaler Share Posté(e) 4 août 2017 Je suis pas très calé la dessus. Pour l'instant j'utilise Process Hacker, mais je vois rien de bizarre d'après moi. (Ca va se finir en formatage c't'histoire). Y aurait un moyen d'être alerté lors de la création d'un dossier à un emplacement précis et éventuellement de récupérer des infos la dessus ? Lien vers le commentaire Partager sur d’autres sites More sharing options...
fabrice Posté(e) 4 août 2017 Signaler Share Posté(e) 4 août 2017 Tu peux utiliser process monitor en mettant un filtre sur le chemin et en ne gardant que ce qui correspond à ton filtre. Tu pourras voir quel process crée les fichiers. Lien vers le commentaire Partager sur d’autres sites More sharing options...
djnetsab Posté(e) 4 août 2017 Auteur Signaler Share Posté(e) 4 août 2017 pour l'instant j'ai viré les dossiers pour l'instant. Par contre faut que je reste devant jusqu'à la création des fichiers, c'est est impossible... Lien vers le commentaire Partager sur d’autres sites More sharing options...
fabrice Posté(e) 4 août 2017 Signaler Share Posté(e) 4 août 2017 non, si tu utilise precess monitor, il enregistre tout se qui se passe sur le pc. D'ou le besoin de mettre un filtre . Lien vers le commentaire Partager sur d’autres sites More sharing options...
djnetsab Posté(e) 5 août 2017 Auteur Signaler Share Posté(e) 5 août 2017 Chelou ! Il semblerait que ce soit Cybereason RansmwareFree qui cause ce genre de problème... J'ai cru comprendre ça ici Et effectivement quand je l'ai désinstallé, les dossiers ont disparu. Lien vers le commentaire Partager sur d’autres sites More sharing options...
Pyrithe Posté(e) 6 août 2017 Signaler Share Posté(e) 6 août 2017 Bonne investigation! Ransomware Free utiliserait une technique "Honey Pot" pour leurrer les ransomwares, en créant des répertoires et fichiers bidons, mais j'ai du mal à comprendre comment il fonctionne, puisqu'à priori il en créerait souvent? A creuser... Lien vers le commentaire Partager sur d’autres sites More sharing options...
djnetsab Posté(e) 7 août 2017 Auteur Signaler Share Posté(e) 7 août 2017 Ok ceci expliquerait cela. Je vais peut-être le réinstaller alors. Une à deux fois par jour je dirais. Quand je les supprimais à chaque fois ils se recréaient vers 11h. Par contre avec process monitor j'avais l'impression qu'il y accédait toutes les minutes. Bonjour les accès disque pour rien... Lien vers le commentaire Partager sur d’autres sites More sharing options...
fabrice Posté(e) 7 août 2017 Signaler Share Posté(e) 7 août 2017 Peut être il y accède pour en vérifier la présence et l'intégrité. Lien vers le commentaire Partager sur d’autres sites More sharing options...
Messages recommandés