Souçi avec wuauclt.exe je crois

Marina -  
 Utilisateur anonyme -
Bonjour,

Pourriez-vous me guider dans cette lutte infernale contre wuauclt.exe !?

Bien, mon problème est le suivant :
- Hier soir deux beugs à une demi-heure d'intervale environ de MSN Messenger.
Hum... je m'inquiète et regarde un peu les processus en cours dans les gestionnaires des tâches.
- wauclt.exe ?? Ma quest-ce que c'est puisque je n'ai pas Millenium ! J'en déduis par l'explication de "commentcamarche.net" qu'il s'agit d'un cheval de troie !

ok !

-je lance adware qui me trouve deux mechantes bêbêtes...
-Je lance Bit Defender qui me trouve une méchante bêbête !
-J'efface ces horreurs !
-Je redémarre... et recommence les scan discs
Réapparition de la saleté dans bitdefender qui l'avait traitée !
Hum... je redemarre, me connecte et vois en effet reapparaître wauclt.exe ! Le fameux !

Je n'ai aucune idée de comment supprimer ça ! Je ne suis pas sûre que ce soit à l'origine des beugs rapprochés de msn, mais je préfère avoir un PC propre et les chevaux troyens ne sont pas mon dada...

Si ça vous parle plus, voici ce que dit bitdefender en bref dans le rapport :

C:\Documents and Settings\fifille\Local Settings\Temporary Internet Files\Content.IE5\GHI70DUN\connect[1]=>(gzip) Infected Exploit.Html.Codebase.Exec.Gen
C:\Documents and Settings\fifille\Local Settings\Temporary Internet Files\Content.IE5\GHI70DUN\connect[1]=>(gzip) Disinfection failed
C:\Documents and Settings\fifille\Local Settings\Temporary Internet Files\Content.IE5\GHI70DUN\connect[1]=>(gzip) Move failed
Scanned files


Ah oui et entre deux j'ai travaillé en mode sans echec mais ça n'y a rien fait...
De plus je n'ose pas trop bidouiller mes clés de registre tout ça tout ça... ça en doit pas être compliqué ! enfin, j'espère et vous fait confiance... :-)

Marina
Configuration: PC Athlon Windows XP professionel

8 réponses

  1. Utilisateur anonyme
     
    slt
    ¤Affiche tous les fichiers et dossiers :
    Clique sur démarrer/panneau de configuration/option des dossiers/affichage

    Cocher afficher les dossiers cacher

    Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)"

    Décocher masquer les extensions dont le type est connu
    Puis fais «Ok» pour valider les changements.

    Et appliquer !

    et supprime ce qui est e gras:
    C:\Documents and Settings\fifille\Local Settings\Temporary Internet Files\Content.IE5\GHI70DUN\connect[1]
    1
    1. Marina
       
      Mais comment sais-tu que c'est "fifille" ?
      0
    2. Marina
       
      Oui, enfin bref... peu importe ! rien ne s'affiche en gras en fait ! par contre on s'en fout de ces fichiers, autant tout supprimer non ?
      0
  2. Utilisateur anonyme
     
    en gras c est moi qui l ai rajouté pr te montrer lequel supprimer lol

    et pour fifille c est marqué ds ton poste 0

    a+
    0
  3. Marina
     
    Ah oui ! ok ! Merci ! lol

    Mais en fait il n'y a pas de sous dossier. seuls des dossiers appelés ">" et un avec un nom bizarre apparaissent !
    mais bit defender a déjà supprimé ce fichier en fait ! j'avais déjà essayé de le supprimer moi même mais il revient à chaque redémarrage ! tenace la bestiole... alors la source du pb n'est peut être pas mes temporary internet files, je sais pas trop !

    Une idée ?

    Marina
    0
  4. Utilisateur anonyme
     
    -------------------------------------------------------------------------
    télécharge hijackthis ici:
    http://www.hijackthis.de/downloads/hijackthis_199.zip
    L'aide est ici:
    http://www.zebulon.fr/articles/HijackThis.php

    Dezippz le dans un dossier prévu a cet effet.
    Par exemple C:\hijackthis
    lancez le puis:
    clic sur "do a system scan and save logfile"
    faire un copier coller du log entier sur le forum
    -----------
    lance un scan chez RAV :
    http://www.ravantivirus.com/scan/

    Clique sur "To continue without subscribing click here" et attends quelques minutes.
    Lorsque "Ready" est affiché dans "status", coche la case "Autoclean" puis clique sur "Scan my PC"
    A la fin de l'analyse, copie/colle le rapport ici
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Marina
     
    Coucou,

    Comme prescrit, voici les résultats obtenus avec HijackThis ! Je n'arrive pas à me servir de RAV, il me demande de choisir un fichier à scanner et pour moi, tout le c: devrait être scannée ! Et status n'apparaît pas !

    Logfile of HijackThis v1.99.1
    Scan saved at 02:56:14, on 28/05/2005
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\System32\taskswitch.exe
    C:\WINDOWS\StartupMonitor.exe
    C:\Program Files\D-Tools\daemon.exe
    C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\Antidote\Antidote\Gestionnaire Antidote.exe
    C:\WINDOWS\system32\rundll32.exe
    C:\WINDOWS\system32\nvsvc32.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe
    C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
    C:\Program Files\eMule\emule.exe
    C:\Program Files\MSN Messenger\msnmsgr.exe
    C:\Program Files\Mozilla Firefox\firefox.exe
    C:\Program Files\hijackthis_199\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.fwviftdnegcopdvomol.org/wXOJsgg0of_VzRXotBC2/HwQ6TwqiTbi7//b6FeZd1hxnIsSkocSHPtXQuS7wEdD.html
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {52C031A3-4A28-3800-FDC2-F08338BDCD90} - C:\DOCUME~1\fifille\APPLIC~1\armydart\creativefirst.exe (file missing)
    O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
    O2 - BHO: (no name) - {D80C4E21-C346-4E21-8E64-20746AA20AEB} - (no file)
    O3 - Toolbar: Find - {8D029AEC-E412-4948-84B5-699A740946AE} - %SystemRoot%\System32\iefind.dll (file missing)
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [CoolSwitch] C:\WINDOWS\System32\taskswitch.exe
    O4 - HKLM\..\Run: [PowerMenu] "%systemroot%\system32\powermenu.exe" -hideself on
    O4 - HKLM\..\Run: [Run StartupMonitor] StartupMonitor.exe
    O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [Gestionnaire Antidote.exe] C:\Program Files\Antidote\Antidote\Gestionnaire Antidote.exe
    O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
    O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
    O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
    O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
    O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
    O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
    O8 - Extra context menu item: Zoom In - C:\WINDOWS\web\zoomin.htm
    O8 - Extra context menu item: Zoom Out - C:\WINDOWS\web\zoomout.htm
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll
    O9 - Extra button: @C:\Program Files\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: @C:\Program Files\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O16 - DPF: Interface Chat Voila - http://chat10.x-echo.com/version5/Applet/vchatsign.cab
    O16 - DPF: Interface Chat Wanadoo - http://chat9.x-echo.com/version6/Applet/wchatsign.cab
    O16 - DPF: teleir_cert - https://static.ir.dgi.minefi.gouv.fr/secure/connexion/archives/ie4n4/teleir_cert.cab
    O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
    O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
    O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1102686265410
    O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
    O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
    O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
    O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab
    O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
    O23 - Service: BitDefender Communicator (XCOMM) - Softwin - C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe

    @+
    0
  7. Utilisateur anonyme
     
    re,
    avant de commencer, connais tu cela?
    C:\Program Files\Antidote\Antidote?

    a+
    0
  8. Marina
     
    Salut Regis !

    Oui oui, connais bien Antidote, c'est un dictionnaire. que j'ai installé il y a déjà qq mois....

    ++
    0
  9. Utilisateur anonyme
     
    salut,
    relance hijack this et coche les cases devant ceci puis sur fix:
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.fwviftdnegcopdvomol.org/wXOJsgg0of_VzRXotBC2/HwQ6TwqiTbi7//b6FeZd1hxn IsSkocSHPtXQuS7wEdD.html

    R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)

    O2 - BHO: (no name) - {52C031A3-4A28-3800-FDC2-F08338BDCD90} - C:\DOCUME~1\fifille\APPLIC~1\armydart\creativefirst.exe (file missing)

    O2 - BHO: (no name) - {D80C4E21-C346-4E21-8E64-20746AA20AEB} - (no file)

    O3 - Toolbar: Find - {8D029AEC-E412-4948-84B5-699A740946AE} - %SystemRoot%\System32\iefind.dll (file missing)

    fix cecla si tu connais pas:
    O8 - Extra context menu item: Zoom In - C:\WINDOWS\web\zoomin.htm

    O8 - Extra context menu item: Zoom Out - C:\WINDOWS\web\zoomout.htm

    puis reposte un log et tente l un des scans:

    http://www.pandasoftware.com/activescan/fr/activescan_principal.htm

    http://www.secuser.com/outils/antivirus.htm

    a+
    0