Pc infecté par wuauclt.exe

Résolu/Fermé
DavidDmr - 5 déc. 2011 à 17:59
 DavidDmr - 6 déc. 2011 à 22:08
Bonjour ,
alors voici le problème :
depuis un moment je ne peux plus quitter l'ordinateur depuis démarrer>arrêter l'ordinateur et j'ai découvert que c'était du au virus wuauclt.exe accompagné du processus svchost.exe qui ralentisse l'activité de mon ordinateur . Ils s'activent 20 secondes après le démarrage .
J'ai essayer d'utiliser hijackthis mais je ne sais pas vraiment comment on l'utilise , j'ai aussi fais des analyses avec MSE et Trojan remover . MSE à trouver il y 3 jours Tool Win32/cmdow , mais maintenant il ne trouve plus rien .

Merci de bien vouloir m'aider :) .



24 réponses

nanard4700
Messages postés
11228
Date d'inscription
mardi 17 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
27 décembre 2015
835
5 déc. 2011 à 18:12
Bonjour

On va faire une analyse de ton systéme.


* Télécharge ZHPDiag ( de Nicolas coolman ).
ou
ZHPDiag
ou
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

Ou le lien FTP en secours :
ftp://zebulon.fr/ZHPDiag2.exe

***********************
/!\Utilisateurs de Vista et Windows 7 : Clique droit sur le logo de ZHPDiag.exe, " exécuter en tant qu'Administrateur /!\
* Laisse toi guider lors de l'installation
* Il se lancera automatiquement à la fin de l'installation
* Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
* Héberge le rapport ZHPDiag.txt sur le site pjjoint.malekal.com ou cijoint.fr ou toofiles puis copie/colle le lien fournit dans ta prochaine réponse sur le forum
0
Bonsoir , merci d'avoir répondu .
Le scan s'arrete à 80%
0
nanard4700
Messages postés
11228
Date d'inscription
mardi 17 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
27 décembre 2015
835
5 déc. 2011 à 18:28
* Télécharge OTL sur ton bureau.

* Fais un double-clic sur l'icône d'OTL pour le lancer
/!\ pour Vista/Seven fais un clic-droit sur l'icône d'OTL et choisis "Exécuter en tant qu'administrateur"

* Assure toi d'avoir fermé toutes les applications en court de fonctionnement.

* Quand la fenêtre d'OTL apparaît, assure toi que dans la section "Rapport" (en haut à droite) la case "Rapport minimal" soit cochée.

* Copies et colles le contenue de cette citation dans la partie inférieure d'OTL "Personnalisation"


netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
explorer.exe
winlogon.exe
userinit.exe
wininit.exe
/md5stop
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
nslookup www.google.fr /c
SAVEMBR:0
CREATERESTOREPOINT



* Cliques sur l'icône "Analyse" (en haut à gauche) .
* Laisse le scan aller à son terme sans te servir du PC
* A la fin du scan un ou deux rapports vont s'ouvrir "OTL.Txt" et ( ou ) "Extras.Txt"( dans certains cas).
* Héberge le ou les rapports sur le site pjjoint.malekal.com ou cijoint.fr ou toofiles , puis copie/colle le ou les liens fournit dans ta prochaine réponse sur le forum

PS:Tu peux retrouver les rapports dans le dossier C:\OTL ou sur ton bureau en fonction des cas rencontrés

0
Après une deuxieme tentation de scan avec ZHPDiag , il a fonctionner .
voici le rapport du scan : http://pjjoint.malekal.com/files.php?id=ZHPDiag_20111205_h7o7t9n8n6

je fais quand même la manip' avec OTL ?
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
nanard4700
Messages postés
11228
Date d'inscription
mardi 17 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
27 décembre 2015
835
5 déc. 2011 à 20:10
je fais quand même la manip' avec OTL ?
Non

* Télécharge AdwCleaner sur ton Bureau. (Merci à Xplode)

*Double-clique sur l'icône AdwCleaner située sur ton Bureau.
*Sur la page, clique sur le bouton «Suppression»
*Laisse travailler l'outil.
*Poste le rapport qui apparaît à la fin.
(Le rapport est sauvegardé aussi sous C:\ AdwCleaner[SX].Txt)

============================================

* Télécharge et installe : Malwarebyte's Anti-Malware
* A la fin de l'installation, veille à ce que l'option « mettre a jour Malwarebyte's Anti-Malware » soit cochée
* Lance MBAM et laisse les Mises à jour se télécharger (sinon fais les manuellement au lancement du programme)
* Puis va dans l'onglet "Recherche", coche "Exécuter un examen complet" puis "Rechercher"
* Sélectionne tes disques durs" puis clique sur "Lancer l'examen"
* A la fin du scan, clique sur Afficher les résultats
* Coche tous les éléments détectés puis clique sur Supprimer la sélection
* Enregistre le rapport
* S'il t'est demandé de redémarrer, clique sur Yes
* Poste le rapport de scan après la suppression ici.(poste le rapport, même si rien n'est détecté.)
* Si tu as besoin d'aide regarde ce tutorial
https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
0
Voici le rapport de AdwCleaner : http://pjjoint.malekal.com/files.php?id=20111205_x13i7l13c7g6
Le scan de Malwarebyte's est en cours
0
nanard4700
Messages postés
11228
Date d'inscription
mardi 17 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
27 décembre 2015
835
5 déc. 2011 à 20:57
Il me faut ce rapport C:\AdwCleaner[S1]
0
Bah en fait il se trouve que j'avais lancé une analyse avec AdwCleaner ( avant que vous me demandiez d'en faire une ) et j'ai supprimer le rapport ..
0
nanard4700
Messages postés
11228
Date d'inscription
mardi 17 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
27 décembre 2015
835
5 déc. 2011 à 22:20
ok
Postes le rapport mbam
0
il est encore en scan , ça fait 1heure57min . il a trouvé 6éléments infectés
0
nanard4700
Messages postés
11228
Date d'inscription
mardi 17 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
27 décembre 2015
835
5 déc. 2011 à 22:34
Bin reste plus qu'a attendre :)
0
le voilà enfin :) http://pjjoint.malekal.com/files.php?id=20111205_w15y5v8x11c6
0
nanard4700
Messages postés
11228
Date d'inscription
mardi 17 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
27 décembre 2015
835
5 déc. 2011 à 22:45
Télécharge Ad-Remover sur ton bureau:

http://www.teamxscript.org/adremoverTelechargement.html


/!\ Ferme toutes tes applications ouvertes. /!\

* Désactive la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner la procédure de recherche et de nettoyage de l'outil.


Double clique sur le fichier que tu viens de télécharger, à l'écran qui apparait, clique sur
"Nettoyer".
Laisse travailler l'outil.
Poste le rapport qui s'affiche à l'écran quand l'analyse est terminée.
Si le rapport n'apparait pas il se trouve à cet emplacement :C:\Ad-Report-CLEAN[1].txt
0
voici le rapport d'AD-R
http://pjjoint.malekal.com/files.php?id=20111205_e11r58y13u14
0
nanard4700
Messages postés
11228
Date d'inscription
mardi 17 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
27 décembre 2015
835
5 déc. 2011 à 23:10
On va faire une vérification .
Post un nouveau rapport zhpdiag.
Ouvres zhpdiag et clic sur la flèche verte pour faire la mise a jour du programme.Si mise a jour installes la.
* Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
Héberge le rapport ZHPDiag.txt sur le site pjjoint.malekal.com ou cijoint.fr ou toofiles puis copie/colle le lien fournit dans ta prochaine réponse sur le forum
0
voilà le rapport :
http://pjjoint.malekal.com/files.php?id=ZHPDiag_20111205_p5e6k1415u6
0
Utilisateur anonyme
5 déc. 2011 à 23:23
salut davidDmr

reste ici et ne tiens pas compte de ma reponse ici :

http://forum.telecharger.01net.com/forum/high-tech/SECURITE/Securite/infecte-wuauclt-sujet_59199_1.htm#end
0
Je n'aurais pas du poster deux topic à ce sujet , je voulais juste recueillir des réponses au plus vite , veuillez acceptez mes excuses .
0
Utilisateur anonyme
6 déc. 2011 à 00:46
pas de soucis , j'ai demandé la fermeture de l'autre coté :)

bonne soirée/continuation :)

bonsoir Nanard au passage
0
nanard4700
Messages postés
11228
Date d'inscription
mardi 17 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
27 décembre 2015
835
5 déc. 2011 à 23:33
* rends toi sur ce site : https://www.virustotal.com/gui/
==>Analyse ce fichier:
----------------------------------------------------------------------
C:\Documents and Settings\Proprietaire\Local Settings\Application Data\nbwkll.exe

----------------------------------------------------------------------
* Cliquez sur Parcourir... :
* Sélectionnez le fichier que vous voulez analyser et cliquez sur Ouvrir :
* Cliquez ensuite sur Envoyez le fichier : s'il a déjà été analysé, demande une nouvelle analyse.
* Fais un copier/coller du rapport sur le forum.
0
Antivirus Version Last Update Result
AhnLab-V3 2011.12.05.00 2011.12.05 -
AntiVir 7.11.18.230 2011.12.05 -
Antiy-AVL 2.0.3.7 2011.12.05 -
Avast 6.0.1289.0 2011.12.05 -
AVG 10.0.0.1190 2011.12.05 Suspicion: unknown virus
BitDefender 7.2 2011.12.05 -
ByteHero 1.0.0.1 2011.11.29 -
CAT-QuickHeal 12.00 2011.12.05 -
ClamAV 0.97.3.0 2011.12.05 -
Commtouch 5.3.2.6 2011.12.05 W32/Damaged_File.B.gen!Eldorado
Comodo 10852 2011.12.05 TrojWare.Win32.Agent.~N6
DrWeb 5.0.2.03300 2011.12.05 -
Emsisoft 5.1.0.11 2011.12.05 Trojan.Win32.Wintrim!IK
eSafe 7.0.17.0 2011.12.04 -
eTrust-Vet 37.0.9605 2011.12.05 -
F-Prot 4.6.5.141 2011.11.29 W32/Damaged_File.B.gen!Eldorado
F-Secure 9.0.16440.0 2011.12.05 -
Fortinet 4.3.388.0 2011.12.05 -
GData 22 2011.12.05 -
Ikarus T3.1.1.109.0 2011.12.05 Trojan.Win32.Wintrim
Jiangmin 13.0.900 2011.12.05 -
K7AntiVirus 9.119.5598 2011.12.05 -
Kaspersky 9.0.0.837 2011.12.05 -
McAfee 5.400.0.1158 2011.12.05 -
McAfee-GW-Edition 2010.1D 2011.12.05
Microsoft 1.7903 2011.12.05 -
NOD32 6681 2011.12.04 -
Norman 6.07.13 2011.12.05 -
nProtect 2011-12-05.01 2011.12.05 -
Panda 10.0.3.5 2011.12.05 -
PCTools 8.0.0.5 2011.12.05 -
Prevx 3.0 2011.12.05 -
Rising 23.87.00.02 2011.12.05 -
Sophos 4.71.0 2011.12.05 -
SUPERAntiSpyware 4.40.0.1006 2011.12.05 -
Symantec 20111.2.0.82 2011.12.05 -
TheHacker 6.7.0.1.352 2011.12.01 W32/Behav-Heuristic-CorruptFile-EP
TrendMicro 9.500.0.1008 2011.12.05 -
TrendMicro-HouseCall 9.500.0.1008 2011.12.05 -
VBA32 3.12.16.4 2011.12.05 -
VIPRE 11207 2011.12.05 -
ViRobot 2011.12.5.4809 2011.12.05 -
VirusBuster 14.1.100.0 2011.12.05 -
0
nanard4700
Messages postés
11228
Date d'inscription
mardi 17 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
27 décembre 2015
835
6 déc. 2011 à 06:58
1/ Copie/colle les lignes suivantes en gras:
2/Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag)
3/Clique sur l''icone représentant la lettre H (« coller les lignes Helper »)

----------------------------------------------------------
[HKLM\SOFTWARE\Microsoft\Security Center] AntiVirusOverride: Modified
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{97F2FF5B-260C-4ccf-834A-2DDA4E29E39E}]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{97F2FF5B-260C-4ccf-834A-2DDA4E29E39E}]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{c7b76b90-3455-4ae6-a752-eac4d19689e5}]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{c7b76b90-3455-4ae6-a752-eac4d19689e5}]
O44 - LFC:[MD5.A6CA6B9DFFD80E56863F09594BEC5666] - 26/11/2011 - 15:33:37 -SHA- . (...) -- C:\WINDOWS\system32\Thumbs.db [7680]
O47 - AAKE:Key Export SP - "C:\Program Files\Kazaa Lite K++\KazaaLite.kpp" [Disabled] .(...) -- C:\Program Files\Kazaa Lite K++\KazaaLite.kpp (.not file.)
O47 - AAKE:Key Export SP - "C:\Program Files\CIMW\Application_CommWorldUpdate.exe" [Enabled] .(...) -- C:\Program Files\CIMW\Application_CommWorldUpdate.exe (.not file.)
O47 - AAKE:Key Export SP - "C:\DOCUME~1\PROPRI~1\LOCALS~1\Temp\IXP000.TMP\gllod.exe" [Enabled] .(...) -- C:\DOCUME~1\PROPRI~1\LOCALS~1\Temp\IXP000.TMP\gllod.exe (.not file.)
O51 - MPSK:{0082fc31-2dbf-11de-a129-0004231131bf}\AutoRun\command. (...) -- C:\WINDOWS\system32\cmd \C launch.bat (.not file.)
[MD5.D17B6FBF8F08DA1F0A51BB8503DE86B5] [SPRF][14/04/2008] (...) -- C:\Documents and Settings\Proprietaire\Local Settings\Application Data\nbwkll.exe [227557]
EmptyTemp
FirewallRaz

--------------------------------------------------------

- Clique sur le bouton « GO » pour lancer le nettoyage,
- Copie/colle la totalité du rapport dans ta prochaine réponse
0
http://pjjoint.malekal.com/files.php?id=20111206_p13g127n10e10
0
nanard4700
Messages postés
11228
Date d'inscription
mardi 17 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
27 décembre 2015
835
6 déc. 2011 à 15:38
Postes moi ce rapport C:\ZHP\ZHPFix[R1].txt
0
le voici : http://pjjoint.malekal.com/files.php?id=20111206_v8u10w5w12w8
0
nanard4700
Messages postés
11228
Date d'inscription
mardi 17 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
27 décembre 2015
835
6 déc. 2011 à 18:27
Télécharger Eset Nod32 :
http://download.eset.com/special/eos/esetsmartinstaller_fra.exe
* Lancer le fichier
* Accepter les conditions
* Autoriser le programme à accéder à Internet
* Cliquer sur paramètre avancées pour ouvrir le menu et sélectionner les options (par défaut le scanner analyse votre ordinateur entièrement)
* Téléchargement des signatures


Il est recommander de désactiver votre antivirus afin de ne pas ralentir le scan et d'afficher des message d'alerte !

* Le scan débute dés la fin du téléchargement
* Générer le rapport
* Cliquer sur liste des menaces détectées puis sur exporter dans un fichier texte...



Vous pouvez l'enregistrer sur le bureau en lui donnant un nom. Poster le rapport sur le forum.
Si le rapport n'est pas sur le bureau regarde ici ==> C:\Program Files\EsetOnlineScanner\log.txt

Pour vous aider voici un tuto rédigé par dorgane :
https://www.commentcamarche.net/faq/29643-scanner-en-ligne-avec-eset-nod32




0