djnetsab Posted August 4, 2017 Report Share Posted August 4, 2017 Salut les gars, Depuis quelques temps, il se passe des choses étranges sur mon PC de boulot. A la racine de chacune de mes partitions j'ai des dossiers qui se créent tout seul, et qui reviennent quelques temps après surpression. La structure est toujours la même : un au début et un à la fin de l'arboresence. Par exemple sur ma partition C: j 'ai un dossier "Acmirror121" et un autre "Xtransfer229". A l’intérieur on trouve un peu de tout, du .doc, du .jpg, du .txt, du .sql, du .mdb, etc. Mais ils sont tous impossible à ouvrir, cryptés je pense. J'ai tenté de trouver la cause avec mes outils habituels : adwcleaner, rogue killer, malwaresbytes, avast, stiger, tdsskiller, gmer mais rien de chez rien. J'ai dû installer un truc qui a transformé mon PC en zone de stock pour pirate ou un truc dans le genre. Ça me gène pas vraiment, mais c'est quand même louche ... Ça vous parle ? Link to comment Share on other sites More sharing options...
fabrice Posted August 4, 2017 Report Share Posted August 4, 2017 Tu n'as pas installé un logiciel de transfert ou de synchro? Link to comment Share on other sites More sharing options...
djnetsab Posted August 4, 2017 Author Report Share Posted August 4, 2017 J'ai un syncback qui me sauvegarde un dossier sur un serveur local. Mais je vois pas trop le rapport... Le trucs c sur les fichiers ont des noms plutôt "clairs", en anglais, mais compréhensible en tout cas. C pour ca que ça fait vraiment penser à un pirate qui stock sur mon PC Je vous joints 2 captures faites à distance via TeamViewer (je rentre chez moi le midi ;-) Link to comment Share on other sites More sharing options...
Pyrithe Posted August 4, 2017 Report Share Posted August 4, 2017 Ca ressemble effectivement à un stockage pirate... Perso j'essayerai d'observer ce qui se passe un peu au niveau réseau déjà, pour voir ce qui se passe vraiment. Link to comment Share on other sites More sharing options...
djnetsab Posted August 4, 2017 Author Report Share Posted August 4, 2017 Je suis pas très calé la dessus. Pour l'instant j'utilise Process Hacker, mais je vois rien de bizarre d'après moi. (Ca va se finir en formatage c't'histoire). Y aurait un moyen d'être alerté lors de la création d'un dossier à un emplacement précis et éventuellement de récupérer des infos la dessus ? Link to comment Share on other sites More sharing options...
fabrice Posted August 4, 2017 Report Share Posted August 4, 2017 Tu peux utiliser process monitor en mettant un filtre sur le chemin et en ne gardant que ce qui correspond à ton filtre. Tu pourras voir quel process crée les fichiers. Link to comment Share on other sites More sharing options...
djnetsab Posted August 4, 2017 Author Report Share Posted August 4, 2017 pour l'instant j'ai viré les dossiers pour l'instant. Par contre faut que je reste devant jusqu'à la création des fichiers, c'est est impossible... Link to comment Share on other sites More sharing options...
fabrice Posted August 4, 2017 Report Share Posted August 4, 2017 non, si tu utilise precess monitor, il enregistre tout se qui se passe sur le pc. D'ou le besoin de mettre un filtre . Link to comment Share on other sites More sharing options...
djnetsab Posted August 5, 2017 Author Report Share Posted August 5, 2017 Chelou ! Il semblerait que ce soit Cybereason RansmwareFree qui cause ce genre de problème... J'ai cru comprendre ça ici Et effectivement quand je l'ai désinstallé, les dossiers ont disparu. Link to comment Share on other sites More sharing options...
Pyrithe Posted August 6, 2017 Report Share Posted August 6, 2017 Bonne investigation! Ransomware Free utiliserait une technique "Honey Pot" pour leurrer les ransomwares, en créant des répertoires et fichiers bidons, mais j'ai du mal à comprendre comment il fonctionne, puisqu'à priori il en créerait souvent? A creuser... Link to comment Share on other sites More sharing options...
djnetsab Posted August 7, 2017 Author Report Share Posted August 7, 2017 Ok ceci expliquerait cela. Je vais peut-être le réinstaller alors. Une à deux fois par jour je dirais. Quand je les supprimais à chaque fois ils se recréaient vers 11h. Par contre avec process monitor j'avais l'impression qu'il y accédait toutes les minutes. Bonjour les accès disque pour rien... Link to comment Share on other sites More sharing options...
fabrice Posted August 7, 2017 Report Share Posted August 7, 2017 Peut être il y accède pour en vérifier la présence et l'intégrité. Link to comment Share on other sites More sharing options...
Recommended Posts