[problème] Wuauclt.exe et centre de sécurité.

Résolu/Fermé
lloozz
Messages postés
6
Date d'inscription
lundi 7 décembre 2009
Statut
Membre
Dernière intervention
4 mai 2010
- 4 mai 2010 à 01:39
dédétraqué
Messages postés
4383
Date d'inscription
vendredi 5 septembre 2008
Statut
Contributeur sécurité
Dernière intervention
4 février 2013
- 4 mai 2010 à 03:39
Bonsoir, j'ai un souci avec mon antivirus !

Alors, tout d'abord, je suppose que ce souci est du à un virus que j'ai eu précédemment dans la journée auquel j'ai passé toute mon après midi à chercher une solution ( le virus s'appelait "desktop security 2010" qui ce fait passer pour un antivirus mais qui en fait est un gros piège en supprimant notre sécurité windows )
Bref, j'avais MSE antivirus avant (un antivirus gratuit trouver sur le net) mais depuis aujourd'hui j'ai installer Bitdefender 2010 ...
Et un problème assez persistant m'oblige à écrire ici :/

Voila, il s'agît d'une fenêtre de Bitdefender citant un processus (wuauclt.exe) qui s'affiche toute les 10 secondes (assez chiant) :

http://img94.imageshack.us/img94/8207/wuaucltexe.jpg

Et comme vous pouvez le voir en bas, à chaque fois que cette fenêtre s'affiche, un petit onglet s'y ajoute en bas à droite ... Et lorsque si je met le curseur de la souris sur ces mini-icônes du bas, ils disparaissent :/

Étant donné qu'il s'agît d'un processus, j'ai eu le réflexe d'aller dans le gestionnaire des tâches, dans l'onglet processus et d'essayer de l'arrêter, mais le souci, c'est qu'il se met dans la liste pendant 1 seconde, même pas et s'efface ensuite, revient, etc ... ce qui ne me laisse pas le temps de sélectionner ce processus et de l'arrêter ! :(


Sinon, 2 ème petit souci, depuis que j'ai eu le trojan, mon centre de sécurité est inactif malgré un antivirus actif, et de plus il manque des options comme vous pouvez le constater :

http://img85.imageshack.us/img85/9130/centredescurit.jpg

Voilà, bref, j'espère que vous m'aideriez à résoudre ce souci, merci ^^

Ps : petite info sur le virus que j'ai attrapé,cette page caractérise également ce qu'il m'a fait :
http://www.assure-le.com/desktop-security-2010

4 réponses

dédétraqué
Messages postés
4383
Date d'inscription
vendredi 5 septembre 2008
Statut
Contributeur sécurité
Dernière intervention
4 février 2013
286
4 mai 2010 à 01:50
Salut lloozz


Télécharge combofix.exe (de sUBs) sur le bureau :

http://download.bleepingcomputer.com/sUBs/ComboFix.exe
http://www.geekstogo.com/forum/files/file/197-combofix-by-subs/

Important Désactive ton Antivirus, antispyware et Pare feu avant le scan avec Combofix :
https://forum.pcastuces.com/default.asp
https://www.bleepingcomputer.com/forums/t/114351/how-to-temporarily-disable-your-anti-virus-firewall-and-anti-malware-programs/

==> Sauvegarde ton travail et ferme toutes les fenêtres actives, il peut y avoir un redémarrage du PC. Ne lance aucun programme tant que Combofix n'est pas fini. <==

Double clique sur combofix.exe, clique sur OUI et valide par Entrée

Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.

NOTE : Le rapport se trouve également ici : C:\Combofix.txt

Combofix est détecté par certains antivirus comme une infection, ne pas en tenir compte, il s'agit d'un faux positif, continue la procédure


@++ :)
0
lloozz
Messages postés
6
Date d'inscription
lundi 7 décembre 2009
Statut
Membre
Dernière intervention
4 mai 2010

4 mai 2010 à 02:24
Heum, je ne peut pas désactiver mon antivirus :o

J'ai essayer d'arrêter les processus de bitdefender par le gestionnaire de tâche, mais ça me met un message d'erreur lorsque je veut arrêter n'importe quel processus ...

http://img26.imageshack.us/img26/1218/accsrefus.jpg

Je précise que lorsque j'avais le virus "desktop security 2010", il m'ouvrait automatiquement sans que je lui demande plein de fenêtre tel que le gestionnaire de tâche, le centre de sécurité, etc ...

Et dans le gestionnaire des tache lorsque j'avais encore mon virus, quelques processus étaient infectées ...J'espère que ce virus n'est pas encore présent ?! :s

Bon sinon je vais essayer ton logiciel, mais en gardant l'antivirus car je ne peut pas le désactiver pour le moment (sauf si je le désinstalle chose que je ne préférait pas faire)

Merci en tout cas :) je reviendrait pour vous dire si c'est bon !
0
lloozz
Messages postés
6
Date d'inscription
lundi 7 décembre 2009
Statut
Membre
Dernière intervention
4 mai 2010

4 mai 2010 à 03:22
Ha c'est bon :D

Voici le rapport :


ComboFix 10-05-03.03 - Thomas 04/05/2010 2:50.1.1 - x86
Microsoft® Windows Vista(TM) Édition Familiale Premium 6.0.6001.1.1252.33.1036.18.1525.545 [GMT 2:00]
Lancé depuis: c:\users\Thomas\Desktop\ComboFix.exe
SP: Lavasoft Ad-Watch Live! *disabled* (Updated) {67844DAE-4F77-4D69-9457-98E8CFFDAA22}
SP: Windows Defender *enabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}
* Un nouveau point de restauration a été créé
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\$recycle.bin\S-1-5-21-2152478756-3922319563-605102323-500
C:\FAUXVIRUS
c:\fauxvirus\35HEURES.EXE
c:\fauxvirus\ARGH!.EXE
c:\fauxvirus\Faux Virus . COM! Le site pour faire des farces aux autres! -) s.url
c:\fauxvirus\FIRE.EXE
c:\fauxvirus\info 35heures.txt
c:\fauxvirus\info Argh!.txt
c:\fauxvirus\info FatalError.txt
c:\fauxvirus\info message.txt
c:\fauxvirus\info mouloud.txt
c:\fauxvirus\info shoot_me.txt
c:\fauxvirus\info trembler.txt
c:\fauxvirus\info.txt
c:\fauxvirus\message.exe
c:\fauxvirus\shoot_me.exe
c:\fauxvirus\Topcat.exe

Une copie infectée de c:\windows\system32\drivers\ndis.sys a été trouvée et désinfectée
Copie restaurée à partir de - Kitty had a snack :p
.
((((((((((((((((((((((((((((( Fichiers créés du 2010-04-04 au 2010-05-04 ))))))))))))))))))))))))))))))))))))
.

2010-05-04 01:01 . 2010-05-04 01:01 -------- d-----w- c:\users\Thomas\AppData\Local\temp
2010-05-04 01:01 . 2010-05-04 01:01 -------- d-----w- c:\users\Default\AppData\Local\temp
2010-05-03 20:00 . 2010-05-03 20:00 -------- d-----w- c:\users\Thomas\AppData\Roaming\Malwarebytes
2010-05-03 19:59 . 2010-05-03 19:59 -------- d-----w- c:\programdata\Malwarebytes
2010-05-03 19:41 . 2010-05-03 19:41 -------- d-----w- c:\users\Thomas\AppData\Roaming\ScanSpyware
2010-05-03 19:41 . 2008-09-07 15:22 8704 ----a-w- c:\windows\system32\ssbtsr.exe
2010-05-03 19:41 . 2010-05-03 19:41 -------- d-----w- c:\program files\ScanSpyware
2010-05-03 16:28 . 2010-05-03 16:34 -------- d-----w- c:\programdata\BitDefender
2010-05-03 16:28 . 2010-05-03 16:30 -------- d-----w- c:\users\Thomas\AppData\Roaming\BitDefender
2010-05-03 16:28 . 2010-05-03 16:28 -------- d-----w- c:\program files\BitDefender
2010-05-03 16:18 . 2010-05-03 16:18 -------- d-----w- c:\program files\Enigma Software Group
2010-05-03 16:16 . 2010-05-03 18:52 -------- d-----w- c:\windows\61D3AAE1D5214CD7939B37813DE8F955.TMP
2010-05-03 16:16 . 2010-05-03 16:16 -------- d-----w- c:\program files\Common Files\Wise Installation Wizard
2010-05-03 15:54 . 2006-08-15 09:42 200704 ----a-w- c:\windows\system32\UpdateDriver.exe
2010-05-03 15:54 . 2010-05-03 15:54 -------- d-----w- c:\program files\Belkin
2010-05-03 15:54 . 2010-05-03 15:54 -------- d-----w- c:\users\Thomas\AppData\Roaming\InstallShield
2010-05-03 15:17 . 2010-05-03 15:17 -------- d-----w- C:\OEMSettings
2010-05-03 15:16 . 2010-05-03 15:16 -------- d-----w- c:\program files\NETGEAR
2010-05-03 15:14 . 2010-05-03 15:22 -------- d-----w- c:\windows\Downloaded Installations
2010-04-14 21:16 . 2010-02-23 11:32 78848 ----a-w- c:\windows\system32\drivers\mrxsmb20.sys
2010-04-14 21:16 . 2010-02-23 11:32 212992 ----a-w- c:\windows\system32\drivers\mrxsmb10.sys
2010-04-14 21:16 . 2010-02-23 11:32 105984 ----a-w- c:\windows\system32\drivers\mrxsmb.sys
2010-04-14 21:15 . 2010-02-18 14:49 3598216 ----a-w- c:\windows\system32\ntkrnlpa.exe
2010-04-14 21:15 . 2010-02-18 14:49 3545992 ----a-w- c:\windows\system32\ntoskrnl.exe
2010-04-14 21:15 . 2010-03-05 14:01 420352 ----a-w- c:\windows\system32\vbscript.dll
2010-04-14 21:15 . 2010-02-18 14:49 898952 ----a-w- c:\windows\system32\drivers\tcpip.sys
2010-04-14 21:15 . 2010-02-18 14:11 190464 ----a-w- c:\windows\system32\iphlpsvc.dll
2010-04-14 21:15 . 2010-02-18 11:52 25088 ----a-w- c:\windows\system32\drivers\tunnel.sys
2010-04-14 11:01 . 2009-12-23 12:43 171520 ----a-w- c:\windows\system32\wintrust.dll
2010-04-14 11:01 . 2010-01-15 00:04 98304 ----a-w- c:\windows\system32\cabview.dll
2010-04-10 17:34 . 2010-04-10 17:35 -------- d-----w- c:\program files\Common Files\Adobe

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-05-04 00:57 . 2006-11-02 15:48 671242 ----a-w- c:\windows\system32\perfh00C.dat
2010-05-04 00:57 . 2006-11-02 15:48 124272 ----a-w- c:\windows\system32\perfc00C.dat
2010-05-03 17:14 . 2009-03-05 21:01 -------- d-----w- c:\program files\ClearProg
2010-05-03 16:43 . 2009-12-07 16:49 106464 ----a-w- c:\windows\system32\drivers\bdhv.sys
2010-05-03 16:43 . 2009-12-07 16:46 153448 ----a-w- c:\windows\system32\drivers\bdfm.sys
2010-05-03 16:43 . 2009-07-24 09:26 291352 ----a-w- c:\windows\system32\drivers\bdfsfltr.sys
2010-05-03 16:28 . 2008-12-26 11:17 -------- d-----w- c:\program files\Common Files\BitDefender
2010-05-03 16:27 . 2009-03-05 20:36 -------- dc-h--w- c:\programdata\{83C91755-2546-441D-AC40-9A6B4B860800}
2010-05-03 16:27 . 2009-03-05 20:36 -------- d-----w- c:\programdata\Lavasoft
2010-05-03 15:19 . 2008-12-26 10:31 -------- d--h--w- c:\program files\InstallShield Installation Information
2010-05-03 15:10 . 2008-12-27 00:10 -------- d-----w- c:\program files\Spybot - Search & Destroy
2010-05-03 15:10 . 2008-12-27 00:10 -------- d-----w- c:\programdata\Spybot - Search & Destroy
2010-05-03 15:10 . 2008-12-27 00:05 -------- d-----w- c:\program files\AxBx
2010-05-02 02:56 . 2009-01-03 20:55 -------- d-----w- c:\program files\Sonique
2010-04-23 11:11 . 2009-04-03 21:05 4 ----a-w- C:\timestmp.tmp
2010-04-15 02:34 . 2006-11-02 11:18 -------- d-----w- c:\program files\Windows Mail
2010-03-23 13:09 . 2009-12-03 19:41 -------- d-----w- c:\program files\Farces & Attrapes 2.0
2010-03-22 12:56 . 2010-03-22 12:56 -------- d-----w- c:\program files\AnmSMP
2010-03-10 22:36 . 2010-03-10 22:09 -------- d-----w- c:\users\Thomas\AppData\Roaming\PhotoFiltre
2010-03-10 22:09 . 2010-03-10 22:09 -------- d-----w- c:\program files\PhotoFiltre
2010-02-25 11:59 . 2008-12-26 09:57 96456 ----a-w- c:\users\Thomas\AppData\Local\GDIPFONTCACHEV1.DAT
2010-02-24 08:16 . 2009-10-02 23:33 181632 ------w- c:\windows\system32\MpSigStub.exe
2010-02-23 06:39 . 2010-03-31 13:04 916480 ----a-w- c:\windows\system32\wininet.dll
2010-02-23 06:33 . 2010-03-31 13:03 109056 ----a-w- c:\windows\system32\iesysprep.dll
2010-02-23 06:33 . 2010-03-31 13:03 71680 ----a-w- c:\windows\system32\iesetup.dll
2010-02-23 04:55 . 2010-03-31 13:03 133632 ----a-w- c:\windows\system32\ieUnatt.exe
2010-02-22 03:05 . 2008-12-26 13:31 81984 ----a-w- c:\windows\system32\bdod.bin
2010-02-20 23:39 . 2010-03-11 02:01 24064 ----a-w- c:\windows\system32\nshhttp.dll
2010-02-20 23:37 . 2010-03-11 02:01 31232 ----a-w- c:\windows\system32\httpapi.dll
2010-02-20 21:18 . 2010-03-11 02:01 411136 ----a-w- c:\windows\system32\drivers\http.sys
2010-02-12 10:48 . 2010-02-26 22:43 293376 ----a-w- c:\windows\system32\browserchoice.exe
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ehTray.exe"="c:\windows\ehome\ehTray.exe" [2008-01-19 125952]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Comp about extra bin"="c:\programdata\Memo Flap Scr.fd3qn" [X]
"RtHDVCpl"="RtHDVCpl.exe" [2007-09-03 4702208]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2008-02-11 141848]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2008-02-11 166424]
"Persistence"="c:\windows\system32\igfxpers.exe" [2008-02-11 133656]
"LogonStudio"="c:\program files\WinCustomize\LogonStudio\logonstudio.exe" [2002-09-03 987187]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-07-25 149280]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-04-04 36272]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2010-03-24 952768]
"BitDefender Antiphishing Helper"="c:\program files\BitDefender\BitDefender 2010\IEShow.exe" [2009-10-19 71152]
"BDAgent"="c:\program files\BitDefender\BitDefender 2010\bdagent.exe" [2010-05-03 1123360]

c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
Microsoft Office.lnk - c:\program files\Microsoft Office\Office\OSA9.EXE [1999-2-18 65588]
NETGEAR WG311T Smart Wizard.lnk - c:\program files\NETGEAR\WG311T\wlancfg5.exe [2007-4-10 1695744]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableLUA"= 0 (0x0)
"EnableUIADesktopToggle"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"UIHost"="c:\windows\system32\logonuiX.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux"=wdmaud.drv

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
@="Service"

[HKLM\~\startupfolder\C:^Users^Thomas^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^MSN Pictures Displayer.lnk]
path=c:\users\Thomas\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\MSN Pictures Displayer.lnk
backup=c:\windows\pss\MSN Pictures Displayer.lnk.Startup
backupExtension=.Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\defaultlogo]
c:\programdata\winbasebase.8si02 [X]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
2009-01-05 14:18 413696 ----a-w- c:\program files\QuickTime\QTTask.exe

R0 Lbd;Lbd;c:\windows\system32\DRIVERS\Lbd.sys [x]
R3 Arrakis3;BitDefender Serveur Arrakis;c:\program files\Common Files\BitDefender\BitDefender Arrakis Server\bin\arrakis3.exe [2009-10-19 183880]
R3 netr73;Belkin Wireless 54G USB Network Adapter Driver for Vista;c:\windows\system32\DRIVERS\netr73.sys [2009-05-24 464384]
S1 VBoxDrv;VirtualBox Service;c:\windows\system32\DRIVERS\VBoxDrv.sys [2009-11-30 123280]
S1 VBoxUSBMon;VirtualBox USB Monitor Driver;c:\windows\system32\DRIVERS\VBoxUSBMon.sys [2009-11-30 41616]
S3 b57nd60x;Broadcom NetXtreme Gigabit Ethernet - NDIS 6.0;c:\windows\system32\DRIVERS\b57nd60x.sys [2007-07-22 180736]
S3 BDFM;BDFM;c:\windows\system32\DRIVERS\bdfm.sys [2010-05-03 153448]
S3 VBoxNetAdp;VirtualBox Host-Only Ethernet Adapter;c:\windows\system32\DRIVERS\VBoxNetAdp.sys [2009-11-30 100048]
S3 VBoxNetFlt;VBoxNetFlt Service;c:\windows\system32\DRIVERS\VBoxNetFlt.sys [2009-11-30 110992]


[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
bdx REG_MULTI_SZ scan
.
Contenu du dossier 'Tâches planifiées'
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.orange.fr/
FF - ProfilePath - c:\users\Thomas\AppData\Roaming\Mozilla\Firefox\Profiles\6rmoix6b.default\
FF - prefs.js: browser.search.defaulturl - hxxp://search.sweetim.com/search.asp?src=2&q=
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://www.orange.fr/ | http://waar.fr/
FF - prefs.js: keyword.URL - hxxp://search.sweetim.com/search.asp?src=2&q=
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
.
- - - - ORPHELINS SUPPRIMES - - - -

HKLM-Run-F5D7050v3 - c:\program files\Belkin\F5D7050v3\Belkinwcui.exe
HKLM-Run-sqlxmlxmsdaorar - c:\program files\common files\system\ole db\fr-fr\windowssqlxmlx6.0.6000.16386.0611012205.exe
HKLM-Run-QuickTimeResourcesQuickTimeResources - c:\program files\quicktime\qtsystem\quicktime3gppauthoring.resources\sv.lproj\quicktimeresourcesquicktimeresources.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-05-04 03:01
Windows 6.0.6001 Service Pack 1 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
Heure de fin: 2010-05-04 03:06:55
ComboFix-quarantined-files.txt 2010-05-04 01:06

Avant-CF: 82 213 416 960 octets libres
Après-CF: 82 175 066 112 octets libres

Current=4 Default=4 Failed=3 LastKnownGood=5 Sets=1,2,3,4,5
- - End Of File - - 9E88864966AC1B171191825B573C7F82



Après un redémarrage du pc, tout était rétabli, cela porte à croire que mon pc était encore infecté ..

En tout cas, merci beaucoup de ton soutient :)
0
dédétraqué
Messages postés
4383
Date d'inscription
vendredi 5 septembre 2008
Statut
Contributeur sécurité
Dernière intervention
4 février 2013
286
4 mai 2010 à 03:39
Salut lloozz


-Télécharge et installe MalwareByte's Anti-Malware
http://www.malwarebytes.org/mbam/program/mbam-setup.exe

- Mets le à jour

---

- Redémarre en mode sans échec :

Au redémarrage de ton PC tapote sur la touche F8 ou F5, sur l'écran suivant déplace toi avec les flèches de direction et choisis Mode sans échec. Choisis ta session habituelle et non la session Administrateur

---

- Double clique sur le raccourci de MalwareByte's Anti-Malware qui est sur le bureau.
- Sélectionne Exécuter un examen complet si ce n'est pas déjà fait
- clique sur Rechercher

- Une fois le scan terminé, une fenêtre s'ouvre, clique sur sur OK

- Si MalwareByte's n'a rien détecté, clique sur OK Un rapport va apparaître ferme-le.

- Si MalwareByte's a détecté des infections, clique sur Afficher les résultats ensuite sur Supprimer la sélection

- Enregistre le rapport sur ton Bureau comme cela il sera plus facile à retrouver, poste ensuite ce rapport.

Note : Si MalwareByte's a besoin de redémarrer pour terminer la suppression, accepte en cliquant sur OK

Tutoriel pour MalwareByte's ici :
https://www.malekal.com/tutoriel-malwarebyte-anti-malware/


@++ :)
0