[problème] Wuauclt.exe et centre de sécurité.

Résolu
lloozz Messages postés 4 Date d'inscription   Statut Membre Dernière intervention   -  
dédétraqué Messages postés 4522 Statut Contributeur sécurité -
Bonsoir, j'ai un souci avec mon antivirus !

Alors, tout d'abord, je suppose que ce souci est du à un virus que j'ai eu précédemment dans la journée auquel j'ai passé toute mon après midi à chercher une solution ( le virus s'appelait "desktop security 2010" qui ce fait passer pour un antivirus mais qui en fait est un gros piège en supprimant notre sécurité windows )
Bref, j'avais MSE antivirus avant (un antivirus gratuit trouver sur le net) mais depuis aujourd'hui j'ai installer Bitdefender 2010 ...
Et un problème assez persistant m'oblige à écrire ici :/

Voila, il s'agît d'une fenêtre de Bitdefender citant un processus (wuauclt.exe) qui s'affiche toute les 10 secondes (assez chiant) :

http://img94.imageshack.us/img94/8207/wuaucltexe.jpg

Et comme vous pouvez le voir en bas, à chaque fois que cette fenêtre s'affiche, un petit onglet s'y ajoute en bas à droite ... Et lorsque si je met le curseur de la souris sur ces mini-icônes du bas, ils disparaissent :/

Étant donné qu'il s'agît d'un processus, j'ai eu le réflexe d'aller dans le gestionnaire des tâches, dans l'onglet processus et d'essayer de l'arrêter, mais le souci, c'est qu'il se met dans la liste pendant 1 seconde, même pas et s'efface ensuite, revient, etc ... ce qui ne me laisse pas le temps de sélectionner ce processus et de l'arrêter ! :(

Sinon, 2 ème petit souci, depuis que j'ai eu le trojan, mon centre de sécurité est inactif malgré un antivirus actif, et de plus il manque des options comme vous pouvez le constater :

http://img85.imageshack.us/img85/9130/centredescurit.jpg

Voilà, bref, j'espère que vous m'aideriez à résoudre ce souci, merci ^^

Ps : petite info sur le virus que j'ai attrapé,cette page caractérise également ce qu'il m'a fait :
http://www.assure-le.com/desktop-security-2010

4 réponses

  1. dédétraqué Messages postés 4522 Statut Contributeur sécurité 286
     
    Salut lloozz

    Télécharge combofix.exe (de sUBs) sur le bureau :

    http://download.bleepingcomputer.com/sUBs/ComboFix.exe
    http://www.geekstogo.com/forum/files/file/197-combofix-by-subs/

    Important Désactive ton Antivirus, antispyware et Pare feu avant le scan avec Combofix :
    https://forum.pcastuces.com/default.asp
    https://www.bleepingcomputer.com/forums/t/114351/how-to-temporarily-disable-your-anti-virus-firewall-and-anti-malware-programs/

    ==> Sauvegarde ton travail et ferme toutes les fenêtres actives, il peut y avoir un redémarrage du PC. Ne lance aucun programme tant que Combofix n'est pas fini. <==

    Double clique sur combofix.exe, clique sur OUI et valide par Entrée

    Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.

    NOTE : Le rapport se trouve également ici : C:\Combofix.txt

    Combofix est détecté par certains antivirus comme une infection, ne pas en tenir compte, il s'agit d'un faux positif, continue la procédure

    @++ :)
    0
  2. lloozz Messages postés 4 Date d'inscription   Statut Membre Dernière intervention  
     
    Heum, je ne peut pas désactiver mon antivirus :o

    J'ai essayer d'arrêter les processus de bitdefender par le gestionnaire de tâche, mais ça me met un message d'erreur lorsque je veut arrêter n'importe quel processus ...

    http://img26.imageshack.us/img26/1218/accsrefus.jpg

    Je précise que lorsque j'avais le virus "desktop security 2010", il m'ouvrait automatiquement sans que je lui demande plein de fenêtre tel que le gestionnaire de tâche, le centre de sécurité, etc ...

    Et dans le gestionnaire des tache lorsque j'avais encore mon virus, quelques processus étaient infectées ...J'espère que ce virus n'est pas encore présent ?! :s

    Bon sinon je vais essayer ton logiciel, mais en gardant l'antivirus car je ne peut pas le désactiver pour le moment (sauf si je le désinstalle chose que je ne préférait pas faire)

    Merci en tout cas :) je reviendrait pour vous dire si c'est bon !
    0
  3. lloozz Messages postés 4 Date d'inscription   Statut Membre Dernière intervention  
     
    Ha c'est bon :D

    Voici le rapport :

    ComboFix 10-05-03.03 - Thomas 04/05/2010 2:50.1.1 - x86
    Microsoft® Windows Vista(TM) Édition Familiale Premium 6.0.6001.1.1252.33.1036.18.1525.545 [GMT 2:00]
    Lancé depuis: c:\users\Thomas\Desktop\ComboFix.exe
    SP: Lavasoft Ad-Watch Live! *disabled* (Updated) {67844DAE-4F77-4D69-9457-98E8CFFDAA22}
    SP: Windows Defender *enabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}
    * Un nouveau point de restauration a été créé
    .

    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .

    c:\$recycle.bin\S-1-5-21-2152478756-3922319563-605102323-500
    C:\FAUXVIRUS
    c:\fauxvirus\35HEURES.EXE
    c:\fauxvirus\ARGH!.EXE
    c:\fauxvirus\Faux Virus . COM! Le site pour faire des farces aux autres! -) s.url
    c:\fauxvirus\FIRE.EXE
    c:\fauxvirus\info 35heures.txt
    c:\fauxvirus\info Argh!.txt
    c:\fauxvirus\info FatalError.txt
    c:\fauxvirus\info message.txt
    c:\fauxvirus\info mouloud.txt
    c:\fauxvirus\info shoot_me.txt
    c:\fauxvirus\info trembler.txt
    c:\fauxvirus\info.txt
    c:\fauxvirus\message.exe
    c:\fauxvirus\shoot_me.exe
    c:\fauxvirus\Topcat.exe

    Une copie infectée de c:\windows\system32\drivers\ndis.sys a été trouvée et désinfectée
    Copie restaurée à partir de - Kitty had a snack :p
    .
    ((((((((((((((((((((((((((((( Fichiers créés du 2010-04-04 au 2010-05-04 ))))))))))))))))))))))))))))))))))))
    .

    2010-05-04 01:01 . 2010-05-04 01:01 -------- d-----w- c:\users\Thomas\AppData\Local\temp
    2010-05-04 01:01 . 2010-05-04 01:01 -------- d-----w- c:\users\Default\AppData\Local\temp
    2010-05-03 20:00 . 2010-05-03 20:00 -------- d-----w- c:\users\Thomas\AppData\Roaming\Malwarebytes
    2010-05-03 19:59 . 2010-05-03 19:59 -------- d-----w- c:\programdata\Malwarebytes
    2010-05-03 19:41 . 2010-05-03 19:41 -------- d-----w- c:\users\Thomas\AppData\Roaming\ScanSpyware
    2010-05-03 19:41 . 2008-09-07 15:22 8704 ----a-w- c:\windows\system32\ssbtsr.exe
    2010-05-03 19:41 . 2010-05-03 19:41 -------- d-----w- c:\program files\ScanSpyware
    2010-05-03 16:28 . 2010-05-03 16:34 -------- d-----w- c:\programdata\BitDefender
    2010-05-03 16:28 . 2010-05-03 16:30 -------- d-----w- c:\users\Thomas\AppData\Roaming\BitDefender
    2010-05-03 16:28 . 2010-05-03 16:28 -------- d-----w- c:\program files\BitDefender
    2010-05-03 16:18 . 2010-05-03 16:18 -------- d-----w- c:\program files\Enigma Software Group
    2010-05-03 16:16 . 2010-05-03 18:52 -------- d-----w- c:\windows\61D3AAE1D5214CD7939B37813DE8F955.TMP
    2010-05-03 16:16 . 2010-05-03 16:16 -------- d-----w- c:\program files\Common Files\Wise Installation Wizard
    2010-05-03 15:54 . 2006-08-15 09:42 200704 ----a-w- c:\windows\system32\UpdateDriver.exe
    2010-05-03 15:54 . 2010-05-03 15:54 -------- d-----w- c:\program files\Belkin
    2010-05-03 15:54 . 2010-05-03 15:54 -------- d-----w- c:\users\Thomas\AppData\Roaming\InstallShield
    2010-05-03 15:17 . 2010-05-03 15:17 -------- d-----w- C:\OEMSettings
    2010-05-03 15:16 . 2010-05-03 15:16 -------- d-----w- c:\program files\NETGEAR
    2010-05-03 15:14 . 2010-05-03 15:22 -------- d-----w- c:\windows\Downloaded Installations
    2010-04-14 21:16 . 2010-02-23 11:32 78848 ----a-w- c:\windows\system32\drivers\mrxsmb20.sys
    2010-04-14 21:16 . 2010-02-23 11:32 212992 ----a-w- c:\windows\system32\drivers\mrxsmb10.sys
    2010-04-14 21:16 . 2010-02-23 11:32 105984 ----a-w- c:\windows\system32\drivers\mrxsmb.sys
    2010-04-14 21:15 . 2010-02-18 14:49 3598216 ----a-w- c:\windows\system32\ntkrnlpa.exe
    2010-04-14 21:15 . 2010-02-18 14:49 3545992 ----a-w- c:\windows\system32\ntoskrnl.exe
    2010-04-14 21:15 . 2010-03-05 14:01 420352 ----a-w- c:\windows\system32\vbscript.dll
    2010-04-14 21:15 . 2010-02-18 14:49 898952 ----a-w- c:\windows\system32\drivers\tcpip.sys
    2010-04-14 21:15 . 2010-02-18 14:11 190464 ----a-w- c:\windows\system32\iphlpsvc.dll
    2010-04-14 21:15 . 2010-02-18 11:52 25088 ----a-w- c:\windows\system32\drivers\tunnel.sys
    2010-04-14 11:01 . 2009-12-23 12:43 171520 ----a-w- c:\windows\system32\wintrust.dll
    2010-04-14 11:01 . 2010-01-15 00:04 98304 ----a-w- c:\windows\system32\cabview.dll
    2010-04-10 17:34 . 2010-04-10 17:35 -------- d-----w- c:\program files\Common Files\Adobe

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2010-05-04 00:57 . 2006-11-02 15:48 671242 ----a-w- c:\windows\system32\perfh00C.dat
    2010-05-04 00:57 . 2006-11-02 15:48 124272 ----a-w- c:\windows\system32\perfc00C.dat
    2010-05-03 17:14 . 2009-03-05 21:01 -------- d-----w- c:\program files\ClearProg
    2010-05-03 16:43 . 2009-12-07 16:49 106464 ----a-w- c:\windows\system32\drivers\bdhv.sys
    2010-05-03 16:43 . 2009-12-07 16:46 153448 ----a-w- c:\windows\system32\drivers\bdfm.sys
    2010-05-03 16:43 . 2009-07-24 09:26 291352 ----a-w- c:\windows\system32\drivers\bdfsfltr.sys
    2010-05-03 16:28 . 2008-12-26 11:17 -------- d-----w- c:\program files\Common Files\BitDefender
    2010-05-03 16:27 . 2009-03-05 20:36 -------- dc-h--w- c:\programdata\{83C91755-2546-441D-AC40-9A6B4B860800}
    2010-05-03 16:27 . 2009-03-05 20:36 -------- d-----w- c:\programdata\Lavasoft
    2010-05-03 15:19 . 2008-12-26 10:31 -------- d--h--w- c:\program files\InstallShield Installation Information
    2010-05-03 15:10 . 2008-12-27 00:10 -------- d-----w- c:\program files\Spybot - Search & Destroy
    2010-05-03 15:10 . 2008-12-27 00:10 -------- d-----w- c:\programdata\Spybot - Search & Destroy
    2010-05-03 15:10 . 2008-12-27 00:05 -------- d-----w- c:\program files\AxBx
    2010-05-02 02:56 . 2009-01-03 20:55 -------- d-----w- c:\program files\Sonique
    2010-04-23 11:11 . 2009-04-03 21:05 4 ----a-w- C:\timestmp.tmp
    2010-04-15 02:34 . 2006-11-02 11:18 -------- d-----w- c:\program files\Windows Mail
    2010-03-23 13:09 . 2009-12-03 19:41 -------- d-----w- c:\program files\Farces & Attrapes 2.0
    2010-03-22 12:56 . 2010-03-22 12:56 -------- d-----w- c:\program files\AnmSMP
    2010-03-10 22:36 . 2010-03-10 22:09 -------- d-----w- c:\users\Thomas\AppData\Roaming\PhotoFiltre
    2010-03-10 22:09 . 2010-03-10 22:09 -------- d-----w- c:\program files\PhotoFiltre
    2010-02-25 11:59 . 2008-12-26 09:57 96456 ----a-w- c:\users\Thomas\AppData\Local\GDIPFONTCACHEV1.DAT
    2010-02-24 08:16 . 2009-10-02 23:33 181632 ------w- c:\windows\system32\MpSigStub.exe
    2010-02-23 06:39 . 2010-03-31 13:04 916480 ----a-w- c:\windows\system32\wininet.dll
    2010-02-23 06:33 . 2010-03-31 13:03 109056 ----a-w- c:\windows\system32\iesysprep.dll
    2010-02-23 06:33 . 2010-03-31 13:03 71680 ----a-w- c:\windows\system32\iesetup.dll
    2010-02-23 04:55 . 2010-03-31 13:03 133632 ----a-w- c:\windows\system32\ieUnatt.exe
    2010-02-22 03:05 . 2008-12-26 13:31 81984 ----a-w- c:\windows\system32\bdod.bin
    2010-02-20 23:39 . 2010-03-11 02:01 24064 ----a-w- c:\windows\system32\nshhttp.dll
    2010-02-20 23:37 . 2010-03-11 02:01 31232 ----a-w- c:\windows\system32\httpapi.dll
    2010-02-20 21:18 . 2010-03-11 02:01 411136 ----a-w- c:\windows\system32\drivers\http.sys
    2010-02-12 10:48 . 2010-02-26 22:43 293376 ----a-w- c:\windows\system32\browserchoice.exe
    .

    ((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
    REGEDIT4

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "ehTray.exe"="c:\windows\ehome\ehTray.exe" [2008-01-19 125952]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "Comp about extra bin"="c:\programdata\Memo Flap Scr.fd3qn" [X]
    "RtHDVCpl"="RtHDVCpl.exe" [2007-09-03 4702208]
    "IgfxTray"="c:\windows\system32\igfxtray.exe" [2008-02-11 141848]
    "HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2008-02-11 166424]
    "Persistence"="c:\windows\system32\igfxpers.exe" [2008-02-11 133656]
    "LogonStudio"="c:\program files\WinCustomize\LogonStudio\logonstudio.exe" [2002-09-03 987187]
    "SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-07-25 149280]
    "Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-04-04 36272]
    "Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2010-03-24 952768]
    "BitDefender Antiphishing Helper"="c:\program files\BitDefender\BitDefender 2010\IEShow.exe" [2009-10-19 71152]
    "BDAgent"="c:\program files\BitDefender\BitDefender 2010\bdagent.exe" [2010-05-03 1123360]

    c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
    Microsoft Office.lnk - c:\program files\Microsoft Office\Office\OSA9.EXE [1999-2-18 65588]
    NETGEAR WG311T Smart Wizard.lnk - c:\program files\NETGEAR\WG311T\wlancfg5.exe [2007-4-10 1695744]

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
    "EnableLUA"= 0 (0x0)
    "EnableUIADesktopToggle"= 0 (0x0)

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
    "UIHost"="c:\windows\system32\logonuiX.exe"

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
    "aux"=wdmaud.drv

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
    @="Service"

    [HKLM\~\startupfolder\C:^Users^Thomas^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^MSN Pictures Displayer.lnk]
    path=c:\users\Thomas\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\MSN Pictures Displayer.lnk
    backup=c:\windows\pss\MSN Pictures Displayer.lnk.Startup
    backupExtension=.Startup

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\defaultlogo]
    c:\programdata\winbasebase.8si02 [X]

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
    2009-01-05 14:18 413696 ----a-w- c:\program files\QuickTime\QTTask.exe

    R0 Lbd;Lbd;c:\windows\system32\DRIVERS\Lbd.sys [x]
    R3 Arrakis3;BitDefender Serveur Arrakis;c:\program files\Common Files\BitDefender\BitDefender Arrakis Server\bin\arrakis3.exe [2009-10-19 183880]
    R3 netr73;Belkin Wireless 54G USB Network Adapter Driver for Vista;c:\windows\system32\DRIVERS\netr73.sys [2009-05-24 464384]
    S1 VBoxDrv;VirtualBox Service;c:\windows\system32\DRIVERS\VBoxDrv.sys [2009-11-30 123280]
    S1 VBoxUSBMon;VirtualBox USB Monitor Driver;c:\windows\system32\DRIVERS\VBoxUSBMon.sys [2009-11-30 41616]
    S3 b57nd60x;Broadcom NetXtreme Gigabit Ethernet - NDIS 6.0;c:\windows\system32\DRIVERS\b57nd60x.sys [2007-07-22 180736]
    S3 BDFM;BDFM;c:\windows\system32\DRIVERS\bdfm.sys [2010-05-03 153448]
    S3 VBoxNetAdp;VirtualBox Host-Only Ethernet Adapter;c:\windows\system32\DRIVERS\VBoxNetAdp.sys [2009-11-30 100048]
    S3 VBoxNetFlt;VBoxNetFlt Service;c:\windows\system32\DRIVERS\VBoxNetFlt.sys [2009-11-30 110992]

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
    bdx REG_MULTI_SZ scan
    .
    Contenu du dossier 'Tâches planifiées'
    .
    .
    ------- Examen supplémentaire -------
    .
    uStart Page = hxxp://www.orange.fr/
    FF - ProfilePath - c:\users\Thomas\AppData\Roaming\Mozilla\Firefox\Profiles\6rmoix6b.default\
    FF - prefs.js: browser.search.defaulturl - hxxp://search.sweetim.com/search.asp?src=2&q=
    FF - prefs.js: browser.search.selectedEngine - Google
    FF - prefs.js: browser.startup.homepage - hxxp://www.orange.fr/ | http://waar.fr/
    FF - prefs.js: keyword.URL - hxxp://search.sweetim.com/search.asp?src=2&q=
    FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
    .
    - - - - ORPHELINS SUPPRIMES - - - -

    HKLM-Run-F5D7050v3 - c:\program files\Belkin\F5D7050v3\Belkinwcui.exe
    HKLM-Run-sqlxmlxmsdaorar - c:\program files\common files\system\ole db\fr-fr\windowssqlxmlx6.0.6000.16386.0611012205.exe
    HKLM-Run-QuickTimeResourcesQuickTimeResources - c:\program files\quicktime\qtsystem\quicktime3gppauthoring.resources\sv.lproj\quicktimeresourcesquicktimeresources.exe

    **************************************************************************

    catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2010-05-04 03:01
    Windows 6.0.6001 Service Pack 1 NTFS

    Recherche de processus cachés ...

    Recherche d'éléments en démarrage automatique cachés ...

    Recherche de fichiers cachés ...

    Scan terminé avec succès
    Fichiers cachés: 0

    **************************************************************************
    .
    Heure de fin: 2010-05-04 03:06:55
    ComboFix-quarantined-files.txt 2010-05-04 01:06

    Avant-CF: 82 213 416 960 octets libres
    Après-CF: 82 175 066 112 octets libres

    Current=4 Default=4 Failed=3 LastKnownGood=5 Sets=1,2,3,4,5
    - - End Of File - - 9E88864966AC1B171191825B573C7F82

    Après un redémarrage du pc, tout était rétabli, cela porte à croire que mon pc était encore infecté ..

    En tout cas, merci beaucoup de ton soutient :)
    0
  4. dédétraqué Messages postés 4522 Statut Contributeur sécurité 286
     
    Salut lloozz

    -Télécharge et installe MalwareByte's Anti-Malware
    http://www.malwarebytes.org/mbam/program/mbam-setup.exe

    - Mets le à jour

    ---

    - Redémarre en mode sans échec :

    Au redémarrage de ton PC tapote sur la touche F8 ou F5, sur l'écran suivant déplace toi avec les flèches de direction et choisis Mode sans échec. Choisis ta session habituelle et non la session Administrateur

    ---

    - Double clique sur le raccourci de MalwareByte's Anti-Malware qui est sur le bureau.
    - Sélectionne Exécuter un examen complet si ce n'est pas déjà fait
    - clique sur Rechercher

    - Une fois le scan terminé, une fenêtre s'ouvre, clique sur sur OK

    - Si MalwareByte's n'a rien détecté, clique sur OK Un rapport va apparaître ferme-le.

    - Si MalwareByte's a détecté des infections, clique sur Afficher les résultats ensuite sur Supprimer la sélection

    - Enregistre le rapport sur ton Bureau comme cela il sera plus facile à retrouver, poste ensuite ce rapport.

    Note : Si MalwareByte's a besoin de redémarrer pour terminer la suppression, accepte en cliquant sur OK

    Tutoriel pour MalwareByte's ici :
    https://www.malekal.com/tutoriel-malwarebyte-anti-malware/

    @++ :)
    0