Sujet Précédent Sujet Suivant

Wuauclt.exe et Behavioural.file.alert

Ikicize -  
 ikicize -
Bonjour, Je me permets de refaire a un post a ce sujet la car j'ai pris toute l'aprem a decortiquer chaque forum pour cela.Donc j'aurai besoin d'une ame charitable qui puisse me donner un coup et la marche a suivre étape par étape car j'avoue que je suis perdu.
J'ai une fenetre de mon ancien anti virus (Viruskeeper) qui me dit que j'ai une modification d'un dossier qui se nomme : F:/Windows/system32/wuauclt.exe je demande de le mettre en quarantaine ca fonctionne bien entendu mais le message revient tout le temps rien a faire...Est ce que c'est dangereux?possibilité de le suprimer sans formater mon pc ? ou bien je le laisse c'est une erreur de l'antivirus?

A savoir que j'ai deja les logiciels suivant :Avira Antivir ,Spybot,Malwarebyte's et HijackThis.

J'ai passé Antvir sur tout mon ordi rien,meme Spybot et encore moins Malware apres j'ai le compte rendu de HijackThis a savoir si je le mets ca pourrait aider quelqun ?

Merci de toutes vos reponses d'avance et de votre considération.

21 réponses

  • 1
  • 2
Réponse 1 / 21
olivier114 Messages postés 1674 Statut Membre 104
 
▶ Télécharge Random's System Information Tool (RSIT).

▶ Un tutoriel sera à ta disposition pour l'installer et l'utiliser correctement.

▶ Double clique sur RSIT.exe pour lancer l'outil.

▶ Clique sur 'Continue' à l'écran Disclaimer.

▶ Si l'outil Hijackthis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera et tu devras accepter la licence.

▶ Une fois le scan fini , 2 rapports vont apparaitre. Poste le contenu des 2 rapports.

( C:\RSIT\log.txt et C:\RSIT\info.txt )

CTRL A pour sélectionner tout, CTRL C pour copier et puis CTRL V pour coller

Comment héberger les rapports trop longs de RSIT ??

ensuite:

▶ Télécharge Rooter (créé par l'équipe IDN) sur ton bureau.

/!\ Déconnecte toi d'internet et ferme toutes les applications en cours /!\

▶ Exécute Rooter et laisse le travailler jusqu'à l'apparition du rapport dans le bloc note

▶ Ensuite poste le rapport dans ta prochaine réponse
0
Réponse 2 / 21
Ikicize
 
Merci deja de prendre la peine de me repondre alors j'ai telechargé Random's System Information Tool (RSIT).
j'avais deja Hijackthis donc j'ai qu'un seul rapport qui apparait a savoir que je le lis avec WorldPad uniquement.

Et pour ce qui est de Rooter j'arrive pas a lire la rapport je comprends pas trop pourquoi.

Le seul rapport de RSIT :

Logfile of random's system information tool 1.06 (written by random/random)
Run by Mouraï at 2009-11-01 13:43:41
Microsoft Windows XP Édition familiale Service Pack 3
System drive F: has 57 GB (57%) free of 100 GB
Total RAM: 3327 MB (75% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:43:41, on 01/11/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
F:\WINDOWS\System32\smss.exe
F:\WINDOWS\system32\winlogon.exe
F:\WINDOWS\system32\services.exe
F:\WINDOWS\system32\lsass.exe
F:\WINDOWS\system32\svchost.exe
F:\WINDOWS\System32\svchost.exe
F:\WINDOWS\system32\spoolsv.exe
F:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
F:\Program Files\Bonjour\mDNSResponder.exe
F:\Program Files\Java\jre6\bin\jqs.exe
F:\WINDOWS\system32\nvsvc32.exe
F:\Program Files\ASUS\Six Engine\SixEngine.exe
F:\Program Files\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe
F:\WINDOWS\system32\RUNDLL32.EXE
F:\WINDOWS\RTHDCPL.EXE
F:\Program Files\iTunes\iTunesHelper.exe
F:\Program Files\Java\jre6\bin\jusched.exe
F:\WINDOWS\system32\ctfmon.exe
F:\Program Files\iPod\bin\iPodService.exe
F:\Program Files\Messenger\msmsgs.exe
F:\Program Files\WayTech\Coloreal\Coloreal Bright\Coloreal Bright.exe
F:\Program Files\Mumble\dbus-daemon.exe
F:\Program Files\Avira\AntiVir Desktop\avguard.exe
F:\Program Files\Avira\AntiVir Desktop\sched.exe
F:\Program Files\Avira\AntiVir Desktop\avgnt.exe
F:\WINDOWS\explorer.exe
F:\Program Files\Mozilla Firefox\firefox.exe
F:\Documents and Settings\Mouraï\Bureau\RSIT.exe
F:\Program Files\Trend Micro\HijackThis\Mouraï.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.cherche.us/keyword/%s
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://ww12.cherche.us
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://ww12.cherche.us
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://ww12.cherche.us
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://toolbar.ask.com/toolbarv/askRedirect?o=13925&gct=&gc=1&q=
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://ww12.cherche.us
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.cherche.us/keyword/%s
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://ww12.cherche.us
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: DefaultSearchHook Class - {C94E154B-1459-4A47-966B-4B843BEFC7DB} - F:\Program Files\AskSearch\bin\DefaultSearch.dll
R3 - URLSearchHook: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - F:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - F:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - F:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - F:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - F:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O4 - HKLM\..\Run: [Six Engine] "F:\Program Files\ASUS\Six Engine\SixEngine.exe" -r
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE F:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [VirtualCloneDrive] "F:\Program Files\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" /s
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE F:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [Coloreal Hint] F:\Program Files\WayTech\Coloreal\Coloreal Bright\Coloreal Hint.exe
O4 - HKLM\..\Run: [iTunesHelper] "F:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "F:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "F:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "F:\Program Files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] F:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "F:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Steam] "d:\steam_\steam.exe" -silent
O4 - HKCU\..\Run: [MSMSGS] "F:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] F:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] F:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] F:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] F:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Y'z Toolbar.lnk = ?
O4 - Global Startup: Coloreal Bright.lnk = ?
O4 - Global Startup: Coloreal Hint.lnk = ?
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - F:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - F:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - F:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - F:\Program Files\Messenger\msmsgs.exe
O15 - Trusted Zone: *.chat-land.org
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - F:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - F:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - F:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - F:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - F:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - F:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - F:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - F:\WINDOWS\system32\nvsvc32.exe
0
Réponse 3 / 21
olivier114 Messages postés 1674 Statut Membre 104
 
▶ Télécharge Toolbar-S&D (de Team IDN) sur ton Bureau

▶ Lance l'installation du programme en exécutant le fichier téléchargé.

Sous XP : Double-clique sur le raccourci de Toolbar-S&D.

Sous Vista : Fais un clic droit sur ToolbarSD et sélectionne "Exécuter en tant qu'administrateur".

▶ Sélectionne la langue souhaitée en tapant la lettre de ton choix puis en validant avec la touche Entrée.

▶ Choisis maintenant l'option 1 (Recherche). Patiente jusqu'à la fin de la recherche.

▶ Poste le rapport généré. (C:\TB.txt)
0
Réponse 4 / 21
Ikicize
 
Et voila :

-----------\\ ToolBar S&D 1.2.9 XP/Vista

Microsoft Windows XP Édition familiale ( v5.1.2600 ) Service Pack 3
X86-based PC ( Multiprocessor Free : Processeur Intel Pentium III Xeon )
BIOS : BIOS Date: 10/02/08 20:36:39 Ver: 08.00.14
USER : Mouraï ( Administrator )
BOOT : Normal boot
Antivirus : AntiVir Desktop 9.0.1.26 (Activated)
C:\ (Local Disk) - NTFS - Total:29 Go (Free:29 Go)
D:\ (Local Disk) - NTFS - Total:157 Go (Free:102 Go)
E:\ (CD or DVD)
F:\ (Local Disk) - NTFS - Total:97 Go (Free:55 Go)
G:\ (Local Disk) - NTFS - Total:135 Go (Free:13 Go)

"F:\ToolBar SD" ( MAJ : 22-08-2009|18:42 )
Option : [1] ( 01/11/2009|16:48 )

-----------\\ Recherche de Fichiers / Dossiers ...

-----------\\ Extensions

(Moura‹) - {20a82645-c095-46ed-80e3-08825760534b} => chrome_user

-----------\\ [..\Internet Explorer\Main]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Local Page"="F:\\WINDOWS\\system32\\blank.htm"
"Start Page"="http://ww12.cherche.us"
"Search Page"="http://ww12.cherche.us"
"Search Bar"="http://ww12.cherche.us"
"Default_Search_URL"="http://www.cherche.us/keyword/%s"
"SearchMigratedDefaultURL"="http://ww12.cherche.us{searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8"
"Start Page_bak"="http://ww12.cherche.us"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
"Default_Page_URL"="http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome"
"Default_Search_URL"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
"Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
"Start Page"="http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home"

--------------------\\ Recherche d'autres infections

Aucune autre infection trouvée !

1 - "F:\ToolBar SD\TB_1.txt" - 01/11/2009|16:48 - Option : [1]

-----------\\ Fin du rapport a 16:48:28,29

Je comprends pas il a rien trouvé pourtant il est encore la,le rapport est bon ?
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 21
olivier114 Messages postés 1674 Statut Membre 104
 
ok fait ceci:
Sous Vista : ▶ Désactive le contrôle des comptes utilisateurs (tu le réactiveras après ta désinfection):

▶ Clique sur Démarrer puis sur panneau de configuration
▶ Double Clique sur l'icône "Comptes d'utilisateurs"
▶ Clique ensuite sur désactiver et valide.
▶ Redémarre le PC.

Option 1 - Recherche :

▶ télécharge smitfraudfix et enregistre le sur le bureau

Sous XP : Double clique sur smitfraudfix puis exécuter

sous vista : Clic-droit sur SmitfraudFix présent sur le bureau et choisis "Exécuter en tant qu'administrateur"

▶ Sélectionner 1 pour créer un rapport des fichiers responsables de l'infection.

(attention : N utilises pas l option 2 si je ne te l ai pas demandé !!)

▶ copier/coller le rapport dans la réponse.

puis ensuite fais ceci:
▶ Télécharge malwarebyte's anti-malware

▶ Un tutoriel sera à ta disposition pour l'installer et l'utiliser correctement.

▶ Fais la mise à jour du logiciel (elle se fait normalement à l'installation)

▶ Lance une analyse complète en cliquant sur "Exécuter un examen complet"

▶ Sélectionnes les disques que tu veux analyser et cliques sur "Lancer l'examen"

▶ L'analyse peut durer un bon moment.....

▶ Une fois l'analyse terminée, cliques sur "OK" puis sur "Afficher les résultats"

▶ Vérifies que tout est bien coché et cliques sur "Supprimer la sélection" => et ensuite sur "OK"

▶ Un rapport va s'ouvrir dans le bloc note... Fais un copié/collé du rapport dans ta prochaine réponse sur le forum

* Il se pourrait que certains fichiers devront être supprimés au redémarrage du PC... Faites le en cliquant sur "oui" à la question posée
0
Réponse 6 / 21
jfkpresident Messages postés 13877 Statut Contributeur sécurité 1 175
 
Bonjour a vous ;

Olivier114 : tu n'as pas lu le premier message ? 

A savoir que j'ai deja les logiciels suivant :Avira Antivir ,Spybot,Malwarebyte's et HijackThis.


Pour suivre..

0
Réponse 7 / 21
Ikicize
 
merci de la remarque jfkpresident

Alors j'ai téléchargé smitfraudfix ,j'ai fais un scan avec Antivir il me dit que c'est un fichier ou virus indésirable ,j'ai du le supprimé .Je peux vraiment faire confiance en tout ses logiciels que je rajoute peu a peu sur la pile si je puis dire. Pas confiance avec ce logiciel je sais que ca part d'une bonne attention mais je peux pas faire confiance a celui la desolé.

Et pour ce qui est de l'autre malwarebyte's anti-malware c'est deja fait .

cordialement
0
Réponse 8 / 21
jfkpresident Messages postés 13877 Statut Contributeur sécurité 1 175
 
Tu peux lancer smitfraudfix sans problemes . 

Process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
0
Réponse 9 / 21
Ikicize
 
a ok d'accord ,j'suis toujours méfiant merci de cette petite information alors voila ce qu'il en est apres la recherche avec Smitfraudfix :

SmitFraudFix v2.424

Rapport fait à 19:19:53,46, 01/11/2009
Executé à partir de F:\Documents and Settings\Moura‹\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Process

F:\WINDOWS\System32\smss.exe
F:\WINDOWS\system32\winlogon.exe
F:\WINDOWS\system32\services.exe
F:\WINDOWS\system32\lsass.exe
F:\WINDOWS\system32\svchost.exe
F:\WINDOWS\System32\svchost.exe
F:\WINDOWS\system32\spoolsv.exe
F:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
F:\Program Files\Bonjour\mDNSResponder.exe
F:\Program Files\Java\jre6\bin\jqs.exe
F:\WINDOWS\system32\nvsvc32.exe
F:\Program Files\ASUS\Six Engine\SixEngine.exe
F:\Program Files\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe
F:\WINDOWS\system32\RUNDLL32.EXE
F:\WINDOWS\RTHDCPL.EXE
F:\Program Files\iTunes\iTunesHelper.exe
F:\Program Files\Java\jre6\bin\jusched.exe
F:\WINDOWS\system32\ctfmon.exe
F:\Program Files\iPod\bin\iPodService.exe
F:\Program Files\Messenger\msmsgs.exe
F:\Program Files\WayTech\Coloreal\Coloreal Bright\Coloreal Bright.exe
F:\Program Files\Mumble\dbus-daemon.exe
F:\WINDOWS\explorer.exe
F:\Program Files\Windows Live\Messenger\msnmsgr.exe
F:\Program Files\Windows Live\Contacts\wlcomm.exe
F:\Program Files\Avira\AntiVir Desktop\avgnt.exe
F:\Program Files\Avira\AntiVir Desktop\avguard.exe
F:\Program Files\Avira\AntiVir Desktop\sched.exe
F:\Program Files\Malwarebytes' Anti-Malware\mbam.exe
F:\WINDOWS\system32\cmd.exe
F:\Program Files\Mozilla Firefox\firefox.exe
F:\WINDOWS\notepad.exe
F:\WINDOWS\notepad.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts

»»»»»»»»»»»»»»»»»»»»»»»» F:\

»»»»»»»»»»»»»»»»»»»»»»»» F:\WINDOWS

»»»»»»»»»»»»»»»»»»»»»»»» F:\WINDOWS\system

»»»»»»»»»»»»»»»»»»»»»»»» F:\WINDOWS\Web

»»»»»»»»»»»»»»»»»»»»»»»» F:\WINDOWS\system32

»»»»»»»»»»»»»»»»»»»»»»»» F:\WINDOWS\system32\LogFiles

»»»»»»»»»»»»»»»»»»»»»»»» F:\Documents and Settings\Moura‹

»»»»»»»»»»»»»»»»»»»»»»»» F:\DOCUME~1\MOURA~1\LOCALS~1\Temp

»»»»»»»»»»»»»»»»»»»»»»»» F:\Documents and Settings\Moura‹\Application Data

»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

»»»»»»»»»»»»»»»»»»»»»»»» F:\DOCUME~1\MOURA~1\Favoris

»»»»»»»»»»»»»»»»»»»»»»»» Bureau

»»»»»»»»»»»»»»»»»»»»»»»» F:\Program Files

»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues

»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"

»»»»»»»»»»»»»»»»»»»»»»»» o4Patch
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

o4Patch
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» Agent.OMZ.Fix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

Agent.OMZ.Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="F:\\WINDOWS\\system32\\userinit.exe,"

»»»»»»»»»»»»»»»»»»»»»»»» RK

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""

»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: Atheros AR8121/AR8113/AR8114 PCI-E Ethernet Controller - Miniport d'ordonnancement de paquets
DNS Server Search Order: 192.168.1.1

HKLM\SYSTEM\CCS\Services\Tcpip\..\{D5E448C7-2AC5-4A94-A192-E6861F440D4F}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{D5E448C7-2AC5-4A94-A192-E6861F440D4F}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{D5E448C7-2AC5-4A94-A192-E6861F440D4F}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS3\Services\Tcpip\..\{D5E448C7-2AC5-4A94-A192-E6861F440D4F}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1

»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

»»»»»»»»»»»»»»»»»»»»»»»» Fin
0
Réponse 10 / 21
jfkpresident Messages postés 13877 Statut Contributeur sécurité 1 175
 
Si olivier me le permet ,peux tu relancer ToolbarS&D et coller le rapport STP ?
0
Réponse 11 / 21
Ikicize
 
Voila le resultat il ne detecte rien je saisis pas trop la j'avoue je seche :

-----------\\ ToolBar S&D 1.2.9 XP/Vista

Microsoft Windows XP Édition familiale ( v5.1.2600 ) Service Pack 3
X86-based PC ( Multiprocessor Free : Processeur Intel Pentium III Xeon )
BIOS : BIOS Date: 10/02/08 20:36:39 Ver: 08.00.14
USER : Mouraï ( Administrator )
BOOT : Normal boot
Antivirus : AntiVir Desktop 9.0.1.32 (Activated)
C:\ (Local Disk) - NTFS - Total:29 Go (Free:29 Go)
D:\ (Local Disk) - NTFS - Total:157 Go (Free:102 Go)
E:\ (CD or DVD)
F:\ (Local Disk) - NTFS - Total:97 Go (Free:55 Go)
G:\ (Local Disk) - NTFS - Total:135 Go (Free:13 Go)

"F:\ToolBar SD" ( MAJ : 22-08-2009|18:42 )
Option : [1] ( 01/11/2009|19:49 )

-----------\\ Recherche de Fichiers / Dossiers ...

-----------\\ Extensions

(Moura‹) - {20a82645-c095-46ed-80e3-08825760534b} => chrome_user

-----------\\ [..\Internet Explorer\Main]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Local Page"="F:\\WINDOWS\\system32\\blank.htm"
"Start Page"="http://ww12.cherche.us"
"Search Page"="http://ww12.cherche.us"
"Search Bar"="http://ww12.cherche.us"
"Default_Search_URL"="http://www.cherche.us/keyword/%s"
"SearchMigratedDefaultURL"="http://ww12.cherche.us{searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8"
"Start Page_bak"="http://ww12.cherche.us"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
"Default_Page_URL"="http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome"
"Default_Search_URL"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
"Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
"Start Page"="http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home"

--------------------\\ Recherche d'autres infections

Aucune autre infection trouvée !

1 - "F:\ToolBar SD\TB_1.txt" - 01/11/2009|16:48 - Option : [1]
2 - "F:\ToolBar SD\TB_2.txt" - 01/11/2009|19:49 - Option : [1]

-----------\\ Fin du rapport a 19:49:33,43
0
Réponse 12 / 21
olivier114 Messages postés 1674 Statut Membre 104
 
merci de ton aide jfkpresident on ira plus vite a 2
0
Réponse 13 / 21
Ikicize
 
Donc j'ai ce fichier de malheur est toujours la je l'ai mis en quarantaine et vu qu'il fait partie du systeme de windows je sais pas si je peux le supprimer avec sans que cela fasse defaut a mon systeme .

merci a vous
0
Réponse 14 / 21
jfkpresident Messages postés 13877 Statut Contributeur sécurité 1 175
 
Pour avancer Olivier :

Il va falloir analyser un ou des fichier(s) suspect(s) !

Il se peut qu'il se trouvent dans les " dossiers cachés " du systeme.
Il faut donc les rendre visibles pour le scan.

Pour afficher les dossiers et fichiers cachés:

Panneau de configuration > Options des dossiers > onglet Affichage.

Coche Afficher les fichiers et dossiers cachés,
Décoche Masquer les extensions de fichiers connus
Décoche Masquer les fichiers protégés du Système.
Un message de mise en garde va apparaitre. Clique sur OK pour confirmer ton choix.
Les fichiers et dossiers cachés du système apparaitront alors dans l'explorateur Windows en transparence.

Rends toi sur ce site :

https://www.virustotal.com/gui/

Clique sur parcourir et cherche ce fichier : F:/Windows/system32/wuauclt.exe

Clique sur Send File.

Un rapport va s'élaborer ligne à ligne.

Attends la fin. Il doit comprendre la taille du fichier envoyé.

Sauvegarde le rapport avec le bloc-note.

Copie le dans ta réponse.

0
Réponse 15 / 21
Ikicize
 
ok je suis allé sur le site VirusTotal parcourir etc et voila de resultat des courses :

Antivirus Version Dernière mise à jour Résultat
a-squared 4.5.0.41 2009.11.02 -
AhnLab-V3 5.0.0.2 2009.11.02 -
AntiVir 7.9.1.53 2009.11.02 -
Antiy-AVL 2.0.3.7 2009.11.02 -
Authentium 5.1.2.4 2009.11.02 -
Avast 4.8.1351.0 2009.11.01 -
AVG 8.5.0.423 2009.11.02 -
BitDefender 7.2 2009.11.02 -
CAT-QuickHeal 10.00 2009.11.02 -
ClamAV 0.94.1 2009.11.02 -
Comodo 2816 2009.11.02 -
DrWeb 5.0.0.12182 2009.11.02 -
eSafe 7.0.17.0 2009.11.02 -
eTrust-Vet 35.1.7097 2009.11.02 -
F-Prot 4.5.1.85 2009.11.02 -
F-Secure 9.0.15370.0 2009.10.30 -
Fortinet 3.120.0.0 2009.11.02 -
GData 19 2009.11.02 -
Ikarus T3.1.1.72.0 2009.11.02 -
Jiangmin 11.0.800 2009.11.02 -
K7AntiVirus 7.10.886 2009.11.02 -
Kaspersky 7.0.0.125 2009.11.02 -
McAfee 5789 2009.11.01 -
McAfee+Artemis 5789 2009.11.01 -
McAfee-GW-Edition 6.8.5 2009.11.02 -
Microsoft 1.5202 2009.11.02 -
NOD32 4565 2009.11.02 -
Norman 6.03.02 2009.11.02 -
nProtect 2009.1.8.0 2009.11.02 -
Panda 10.0.2.2 2009.11.01 -
PCTools 7.0.3.5 2009.11.02 -
Prevx 3.0 2009.11.02 -
Rising 21.54.04.00 2009.11.02 -
Sophos 4.47.0 2009.11.02 -
Sunbelt 3.2.1858.2 2009.11.01 -
Symantec 1.4.4.12 2009.11.02 -
TheHacker 6.5.0.2.058 2009.10.31 -
TrendMicro 8.950.0.1094 2009.11.02 -
VBA32 3.12.10.11 2009.11.02 -
ViRobot 2009.11.2.2017 2009.11.02 -
VirusBuster 4.6.5.0 2009.11.02 -
Information additionnelle
File size: 53472 bytes
MD5 : 62bb79160f86cd962f312c68c6239bfd
SHA1 : c2de8148e1a8e8f097e3a40232ddb04efd0a7cc6
SHA256: 2fa2506b5c8b4469d2b36c803cceac15e831c3f8a4af065aca72da8f385f24c0
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x4968
timedatestamp.....: 0x4A7B870B (Fri Aug 7 03:44:43 2009)
machinetype.......: 0x14C (Intel I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x970C 0x9800 5.98 5825cdf4ca35b0e804305b3e977fe629
.data 0xB000 0xDF8 0x400 5.84 7e33388b0a71f3510575b54f02b34ef0
.rsrc 0xC000 0x868 0xA00 4.27 12e397bd8d43563cb7b9c99e9581a61f
.reloc 0xD000 0xD4C 0xE00 3.31 c1fad64ed857979fb9163fcc900b1c65

( 8 imports )

> advapi32.dll: AllocateAndInitializeSid, FreeSid, GetTokenInformation, DuplicateTokenEx, CheckTokenMembership, IsValidSid, CopySid, RegCreateKeyExW, RegSetValueExW, RegQueryValueExW, RegEnumValueW, RegDeleteValueW, GetUserNameW, GetLengthSid, InitializeAcl, AddAccessAllowedAce, InitializeSecurityDescriptor, SetSecurityDescriptorDacl, RegOpenKeyExW, RegCloseKey
> kernel32.dll: CreateFileW, CreateDirectoryW, GetFileAttributesW, ExpandEnvironmentStringsW, lstrlenW, CreateProcessW, VerSetConditionMask, VerifyVersionInfoW, OutputDebugStringW, WideCharToMultiByte, WriteFile, FlushFileBuffers, GetModuleFileNameW, InterlockedIncrement, InterlockedDecrement, GetSystemTime, GetLastError, SetLastError, GetFileSize, CreateFileMappingW, MapViewOfFile, UnmapViewOfFile, SetFilePointer, SetEndOfFile, ReleaseMutex, WaitForSingleObject, CreateMutexW, CloseHandle, UnhandledExceptionFilter, GetCurrentProcess, TerminateProcess, GetSystemTimeAsFileTime, GetCurrentProcessId, GetCurrentThreadId, GetTickCount, QueryPerformanceCounter, GetModuleHandleA, SetUnhandledExceptionFilter, GetStartupInfoW, Sleep, InterlockedExchange, GetTimeZoneInformation, SystemTimeToTzSpecificLocalTime, GetSystemDirectoryW, LoadLibraryExW, GetDriveTypeW, GetVolumePathNameW, GetFileType, GetSystemInfo, GetModuleHandleW, CompareStringW, GetProcessHeap, HeapFree, HeapAlloc, GetCommandLineW, FreeLibrary, LoadLibraryW, InterlockedCompareExchange, OpenEventW, GetProcAddress
> msvcrt.dll: _controlfp, _terminate@@YAXXZ, free, malloc, memmove, memcpy, memset, __set_app_type, __p__fmode, __p__commode, __setusermatherr, _amsg_exit, _initterm, _wcmdln, exit, _XcptFilter, _exit, _unlock, _vsnwprintf, __dllonexit, _lock, _onexit, __wgetmainargs, _cexit
> ntdll.dll: RtlUnwind
> ole32.dll: CoTaskMemFree, CoUninitialize, CoCreateInstance, CoInitialize, CoInitializeEx
> oleaut32.dll: -, -
> shlwapi.dll: StrRChrW, StrChrW, -, PathIsRelativeW, PathIsUNCW, PathStripToRootW, PathIsRootW
> user32.dll: IsWindow, PostMessageW

( 0 exports )
TrID : File type identification
Win64 Executable Generic (59.6%)
Win32 Executable MS Visual C++ (generic) (26.2%)
Win32 Executable Generic (5.9%)
Win32 Dynamic Link Library (generic) (5.2%)
Generic Win/DOS Executable (1.3%)
ssdeep: 768:K7NmsGpYr9XYCqnZNNBgmIkVYX58EXQ4Ywk8hMgd47ZHyw09jXHUKcz:k5YCqnxBgnku5bjdaHyh9rHUKcz
PEiD : -
RDS : NSRL Reference Data Set
-

Au plaisir de comprendre quoi que se soit :)
0
Réponse 16 / 21
jfkpresident Messages postés 13877 Statut Contributeur sécurité 1 175
 
C'est un FP (faux-positif) qu'il détecte a tord ....donc tu dois "ignorer" ce fichier .
0
Réponse 17 / 21
Ikicize
 
ignorer comment ca, j'le supprime ou je laisse comme ca ?
0
Réponse 18 / 21
jfkpresident Messages postés 13877 Statut Contributeur sécurité 1 175
 
Il ne faut surtout pas le supprimer vu que ce fichier est bel et bien légitime .

wuauclt.exe
0
Réponse 19 / 21
Ikicize
 
d'accord fausse alerte ,mais comment ca se fait qu'il me detecte ca uniquement maintenant?
J'veux pas faire mon lourd de service mais j'peux avoir confiance en le liberant (entre guillemets) de la quarantaine et le laisser ainsi.
Etant donner que j'ai deja eu plusieurs virus qui m'ont flinglé mon ordi ,je prefere etre sur avant de faire la moindre connerie si je puis dire .
0
Réponse 20 / 21
jfkpresident Messages postés 13877 Statut Contributeur sécurité 1 175
 
Antivir ne détecte rien : 

Antivirus Version Dernière mise à jour Résultat
a-squared 4.5.0.41 2009.11.02 -
AhnLab-V3 5.0.0.2 2009.11.02 -
AntiVir 7.9.1.53 2009.11.02 -
Antiy-AVL 2.0.3.7 2009.11.02 -
Authentium 5.1.2.4 2009.11.02 -
Avast 4.8.1351.0 2009.11.01 -
AVG 8.5.0.423 2009.11.02 -
BitDefender 7.2 2009.11.02 -
CAT-QuickHeal 10.00 2009.11.02 -
ClamAV 0.94.1 2009.11.02 -
Comodo 2816 2009.11.02 -
DrWeb 5.0.0.12182 2009.11.02 -
eSafe 7.0.17.0 2009.11.02 -
eTrust-Vet 35.1.7097 2009.11.02 -
F-Prot 4.5.1.85 2009.11.02 -
F-Secure 9.0.15370.0 2009.10.30 -
Fortinet 3.120.0.0 2009.11.02 -
GData 19 2009.11.02 -
Ikarus T3.1.1.72.0 2009.11.02 -
Jiangmin 11.0.800 2009.11.02 -
K7AntiVirus 7.10.886 2009.11.02 -
Kaspersky 7.0.0.125 2009.11.02 -
McAfee 5789 2009.11.01 -
McAfee+Artemis 5789 2009.11.01 -
McAfee-GW-Edition 6.8.5 2009.11.02 -
Microsoft 1.5202 2009.11.02 -
NOD32 4565 2009.11.02 -
Norman 6.03.02 2009.11.02 -
nProtect 2009.1.8.0 2009.11.02 -
Panda 10.0.2.2 2009.11.01 -
PCTools 7.0.3.5 2009.11.02 -
Prevx 3.0 2009.11.02 -
Rising 21.54.04.00 2009.11.02 -
Sophos 4.47.0 2009.11.02 -
Sunbelt 3.2.1858.2 2009.11.01 -
Symantec 1.4.4.12 2009.11.02 -
TheHacker 6.5.0.2.058 2009.10.31 -
TrendMicro 8.950.0.1094 2009.11.02 -
VBA32 3.12.10.11 2009.11.02 -
ViRobot 2009.11.2.2017 2009.11.02 -
VirusBuster 4.6.5.0 2009.11.02 -
0

Discussions similaires

wuauclt.exe
noonoo1 -
Hury -

34 réponses
Problème wuauclt.exe
titi42000 -
titi42000 -

1 réponse
wuauclt.exe: comment le désactiver
CédricEnvironnement -
CédricEnvironnement -

2 réponses
WUAUCLT.EXE
ceam57 -
homerlefou -

4 réponses
Qu'est-ce que c'est que wuauclt?
kimpéroiz -
kimpéroiz -

23 réponses