Trojan?: hdfwztk.exe
guerrec
-
toper -
toper -
bonjour,
depuis plusieurs jours je constate que mon pc envoi des données sans aucune demande de ma part.
Je l'ai passé à l'antivirus norton, spybot, adaware, a2 et cleaner qui ne détextent rien.
En regardant les processus qui fonctionnent j'ai remarqué un: hdfwztk.exe qui ne correspond à rien dans google.
j'ai donc demandé à cleaner de la mettre en quarantaine et dès lors les envois ont cessé.
Pouvez-vous me dire à quoi cela correspond et comment l'éradiquer complètement?
Cleaner me donne les infos suivantes sur le processus:
Loaded modules:
ntdll.dll : DLL Couche NT
kernel32.dll : DLL du client API BASE Windows NT
Advapi32.dll : API avancées Windows 32
RPCRT4.dll : Remote Procedure Call Runtime
user32.dll : DLL client de l'API Utilisateur de Windows XP
GDI32.dll : GDI Client DLL
ws2_32.dll : Windows Socket 2.0 32-Bit DLL
msvcrt.dll : Windows NT CRT DLL
WS2HELP.dll : Application d'assistance de Windows Socket 2.0 pour Windows NT
wininet.dll : Extensions Internet pour Win32
CRYPT32.dll : Crypto API32
MSASN1.dll : ASN.1 Runtime APIs
OLEAUT32.dll : Microsoft OLE 3.50 for Windows NT(TM) and Windows 95(TM) Operating Systems
OLE32.DLL : Microsoft OLE pour Windows
SHLWAPI.dll : Bibliothèque d'utilitaires légers du Shell
comctl32.dll : User Experience Controls Library
Secur32.dll : Security Support Provider Interface
shell32.dll : DLL commune du shell Windows
comctl32.dll : Common Controls Library
wsock32.dll : DLL Socket 32-bits Windows
icmp.dll : ICMP DLL
iphlpapi.dll : API de l'application d'assistance IP
netapi32.dll : Net Win32 API DLL
dnsapi.dll : DNS Client API DLL
mpr.dll : DLL de routeur de fournisseurs multiples
odbc32.dll : Microsoft Data Access - ODBC Driver Manager
comdlg32.dll : DLL commune de boîtes de dialogues
odbcint.dll : Microsoft Data Access - Ressources ODBC
avicap32.dll : Classe de fenêtre de capture AVI
WINMM.dll : DLL API MCI
VERSION.dll : Version Checking and File Installation Libraries
MSVFW32.dll : DLL Microsoft Video for Windows
serwvdrv.dll : Pilote son série Unimodem
umdmxfrm.dll : Unimodem Tranform Module
RASAPI32.DLL : API d'Accès réseau à distance
rasman.dll : Remote Access Connection Manager
TAPI32.dll : DLL Client de l'API Microsoft® Windows(TM) Téléphonie
rtutils.dll : Routing Utilities
mswsock.dll : Fournisseur de service Sockets 2.0 de Microsoft Windows
wshtcpip.dll : Windows Sockets Helper DLL
USERENV.dll : Userenv
uxtheme.dll : Bibliothèque de thèmes Ux Microsoft
rsaenh.dll : Microsoft Base Cryptographic Provider
sensapi.dll : SENS Connectivity API DLL
a2handler.dll :
winrnr.dll : LDAP RnR Provider DLL
WLDAP32.dll : DLL API LDAP Win32
rasadhlp.dll : Remote Access AutoDial Helper
Merci d'avance
depuis plusieurs jours je constate que mon pc envoi des données sans aucune demande de ma part.
Je l'ai passé à l'antivirus norton, spybot, adaware, a2 et cleaner qui ne détextent rien.
En regardant les processus qui fonctionnent j'ai remarqué un: hdfwztk.exe qui ne correspond à rien dans google.
j'ai donc demandé à cleaner de la mettre en quarantaine et dès lors les envois ont cessé.
Pouvez-vous me dire à quoi cela correspond et comment l'éradiquer complètement?
Cleaner me donne les infos suivantes sur le processus:
Loaded modules:
ntdll.dll : DLL Couche NT
kernel32.dll : DLL du client API BASE Windows NT
Advapi32.dll : API avancées Windows 32
RPCRT4.dll : Remote Procedure Call Runtime
user32.dll : DLL client de l'API Utilisateur de Windows XP
GDI32.dll : GDI Client DLL
ws2_32.dll : Windows Socket 2.0 32-Bit DLL
msvcrt.dll : Windows NT CRT DLL
WS2HELP.dll : Application d'assistance de Windows Socket 2.0 pour Windows NT
wininet.dll : Extensions Internet pour Win32
CRYPT32.dll : Crypto API32
MSASN1.dll : ASN.1 Runtime APIs
OLEAUT32.dll : Microsoft OLE 3.50 for Windows NT(TM) and Windows 95(TM) Operating Systems
OLE32.DLL : Microsoft OLE pour Windows
SHLWAPI.dll : Bibliothèque d'utilitaires légers du Shell
comctl32.dll : User Experience Controls Library
Secur32.dll : Security Support Provider Interface
shell32.dll : DLL commune du shell Windows
comctl32.dll : Common Controls Library
wsock32.dll : DLL Socket 32-bits Windows
icmp.dll : ICMP DLL
iphlpapi.dll : API de l'application d'assistance IP
netapi32.dll : Net Win32 API DLL
dnsapi.dll : DNS Client API DLL
mpr.dll : DLL de routeur de fournisseurs multiples
odbc32.dll : Microsoft Data Access - ODBC Driver Manager
comdlg32.dll : DLL commune de boîtes de dialogues
odbcint.dll : Microsoft Data Access - Ressources ODBC
avicap32.dll : Classe de fenêtre de capture AVI
WINMM.dll : DLL API MCI
VERSION.dll : Version Checking and File Installation Libraries
MSVFW32.dll : DLL Microsoft Video for Windows
serwvdrv.dll : Pilote son série Unimodem
umdmxfrm.dll : Unimodem Tranform Module
RASAPI32.DLL : API d'Accès réseau à distance
rasman.dll : Remote Access Connection Manager
TAPI32.dll : DLL Client de l'API Microsoft® Windows(TM) Téléphonie
rtutils.dll : Routing Utilities
mswsock.dll : Fournisseur de service Sockets 2.0 de Microsoft Windows
wshtcpip.dll : Windows Sockets Helper DLL
USERENV.dll : Userenv
uxtheme.dll : Bibliothèque de thèmes Ux Microsoft
rsaenh.dll : Microsoft Base Cryptographic Provider
sensapi.dll : SENS Connectivity API DLL
a2handler.dll :
winrnr.dll : LDAP RnR Provider DLL
WLDAP32.dll : DLL API LDAP Win32
rasadhlp.dll : Remote Access AutoDial Helper
Merci d'avance
A voir également:
- Trojan?: hdfwztk.exe
- Trojan remover - Télécharger - Antivirus & Antimalwares
- Anti trojan - Télécharger - Antivirus & Antimalwares
- Virus trojan al11 ✓ - Forum Virus
- Csrss.exe trojan fr ✓ - Forum Virus
- Trojan win32 - Forum Virus
10 réponses
salut il se pourai que hdfwztk.exe sois un spyware . parceque generalement les spyware prenne des nom aleatoire. pour le suprimer completement
tu fait ctrl/alt/suprime ettu termine la tache de
hdfwztk.exe
ensuite tu va dans demarrer/rechercher tape : hdfwztk.exe
tu le suprime et tu vide ta corbeille :)
pour le raport il me semble que les dll sont propre donc pas besoin de s'affolé si ta un doute fait des recherche sur google ;)
@++++
tu fait ctrl/alt/suprime ettu termine la tache de
hdfwztk.exe
ensuite tu va dans demarrer/rechercher tape : hdfwztk.exe
tu le suprime et tu vide ta corbeille :)
pour le raport il me semble que les dll sont propre donc pas besoin de s'affolé si ta un doute fait des recherche sur google ;)
@++++
bonsoir,
merci pour la réponse.
Mais impossible de trouver hdfwztk.exe avec l'outil de recherche donc à chaque démarrage il revient.
Je sais que je suis limité au niveau informatique, alors aidez moi ;-)
Encore merci
merci pour la réponse.
Mais impossible de trouver hdfwztk.exe avec l'outil de recherche donc à chaque démarrage il revient.
Je sais que je suis limité au niveau informatique, alors aidez moi ;-)
Encore merci
alors il doit etre dans le dossier quarantaine de l'antitrojan " the cleaner" donc tu doit l'effacé a partir de la .
ensuite fait un scan en ligne avec ravantivirus
Ajouté par balltrap34(27/05/2004 à 22:59 GMT+1)
salut
Faite scan en ligne et coller le rapport ici sur le post
utiliser l'antivirus en ligne suivant :
http://www.ravantivirus.com/scan/
Cliquer sur "To continue without subscribing click here" et attendre quelques minutes.
Lorsque "Ready" est affiché dans "status", cocher la case "Autoclean" puis cliquer sur "Scan my PC"
A la fin de l'analyse, copier/coller le rapport ici.
on te diras quoi faire ensuite
@++++
ensuite fait un scan en ligne avec ravantivirus
Ajouté par balltrap34(27/05/2004 à 22:59 GMT+1)
salut
Faite scan en ligne et coller le rapport ici sur le post
utiliser l'antivirus en ligne suivant :
http://www.ravantivirus.com/scan/
Cliquer sur "To continue without subscribing click here" et attendre quelques minutes.
Lorsque "Ready" est affiché dans "status", cocher la case "Autoclean" puis cliquer sur "Scan my PC"
A la fin de l'analyse, copier/coller le rapport ici.
on te diras quoi faire ensuite
@++++
voici les résultats du scan:
Scan started at 08/08/2004 00:25:30
Scanning memory...
Scanning boot sectors...
Scanning files...
C:\WINDOWS\system32\hdfwztk.exe - Win32/HLLW.SpyBot -> Infected
C:\WINDOWS\system32\wuamgrd.exe - Win32/HLLW.SpyBot -> Infected
Scanned
============================
Objects: 85297
Directories: 2470
Archives: 6254
Size(Kb): 1129472
Infected files: 2
Found
============================
Viruses found: 1
Suspicious files: 0
Disinfected files: 0
Mail files: 972
Scan started at 08/08/2004 00:25:30
Scanning memory...
Scanning boot sectors...
Scanning files...
C:\WINDOWS\system32\hdfwztk.exe - Win32/HLLW.SpyBot -> Infected
C:\WINDOWS\system32\wuamgrd.exe - Win32/HLLW.SpyBot -> Infected
Scanned
============================
Objects: 85297
Directories: 2470
Archives: 6254
Size(Kb): 1129472
Infected files: 2
Found
============================
Viruses found: 1
Suspicious files: 0
Disinfected files: 0
Mail files: 972
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Bonjour,
Félicitations, tu as Spybot.
La bonne nouvelle c'est que c'est une vieille connaissance que a² free éradique.
Télécharge le ici (c'est gratuit il te faut juste t'inscrire):
http://www.emsisoft.net/fr/software/free/
Après avoir éradiqué le troyen, pose toi quand même la question de savoir comment tu as fait pour le choper, parce qu'il n'est pas venu tout seul.
@+
Vazkor [W2K + Moz 1.7.1]
Félicitations, tu as Spybot.
La bonne nouvelle c'est que c'est une vieille connaissance que a² free éradique.
Télécharge le ici (c'est gratuit il te faut juste t'inscrire):
http://www.emsisoft.net/fr/software/free/
Après avoir éradiqué le troyen, pose toi quand même la question de savoir comment tu as fait pour le choper, parce qu'il n'est pas venu tout seul.
@+
Vazkor [W2K + Moz 1.7.1]
voici comment eradiquer wuamgrd.exe
redemarre en mode sans echec (redemarage + tapotte sans cesse sur f8 ou f5)
ensuite desactive ta restaration (si ta le xp ) comme ceci :
clike droit sur post de travaille/proprietes/restauration system et la tu coche desactiver la restauration du systeme tu applique
apres tu fait ctr/alt/suprime et tu termine la tache de "wuamgrd.exe " et hdfwztk.exe
ensuite tu ouvre le registre
demarrer/executer et tape :regedit
ensuite tu ouvre cette clée
HKEY_LOCAL_MACHINE>Software>Microsoft>
Windows>CurrentVersion>Run
a droite tu suprime cette valeur :Microsoft DirectX=wuamgrd.exe et hdfwztk.exe
ouvre cette clée
HKEY_CURRENT_USER>Software>Microsoft>
Windows>CurrentVersion>Run
a droite tu suprime cette valeur :Microsoft DirectX=wuamgrd.exe et hdfwztk.exe
ouvre cette clée
HKEY_LOCAL_MACHINE>Software>Microsoft>
Windows>CurrentVersion>RunServices
a droite tu suprime cette valeur :Microsoft DirectX=wuamgrd.exe et hdfwztk.exe
tu ferme le registre et tu va dans
demarrer/rechercher et tu tape: wuamgrd.exe et hdfwztk.exe
tu les suprime et tu vide ta corbeille
@++++
redemarre en mode sans echec (redemarage + tapotte sans cesse sur f8 ou f5)
ensuite desactive ta restaration (si ta le xp ) comme ceci :
clike droit sur post de travaille/proprietes/restauration system et la tu coche desactiver la restauration du systeme tu applique
apres tu fait ctr/alt/suprime et tu termine la tache de "wuamgrd.exe " et hdfwztk.exe
ensuite tu ouvre le registre
demarrer/executer et tape :regedit
ensuite tu ouvre cette clée
HKEY_LOCAL_MACHINE>Software>Microsoft>
Windows>CurrentVersion>Run
a droite tu suprime cette valeur :Microsoft DirectX=wuamgrd.exe et hdfwztk.exe
ouvre cette clée
HKEY_CURRENT_USER>Software>Microsoft>
Windows>CurrentVersion>Run
a droite tu suprime cette valeur :Microsoft DirectX=wuamgrd.exe et hdfwztk.exe
ouvre cette clée
HKEY_LOCAL_MACHINE>Software>Microsoft>
Windows>CurrentVersion>RunServices
a droite tu suprime cette valeur :Microsoft DirectX=wuamgrd.exe et hdfwztk.exe
tu ferme le registre et tu va dans
demarrer/rechercher et tu tape: wuamgrd.exe et hdfwztk.exe
tu les suprime et tu vide ta corbeille
@++++
Bonsoir,
J'ai suivi votre procédure.
la valeur à supprimer n'était pas directx mais microsoft update.
hdfwztk était introuvable par contre l'autre programme n'apparaissait pas dans les clés mais existait: générait-il le processus hdfwztk.exe? Je l'ai donc supprimé.
Il semble que cela fonctionne normalement à présent.
Je remercie sincèrement les différents intervenants et plus particulièrement Jess15 pour leur réactivité.
Je viens d'entrer ce site dans mes favoris avec cependant l'espoir de ne pas devoir revenir. ;-)
Guerrec
J'ai suivi votre procédure.
la valeur à supprimer n'était pas directx mais microsoft update.
hdfwztk était introuvable par contre l'autre programme n'apparaissait pas dans les clés mais existait: générait-il le processus hdfwztk.exe? Je l'ai donc supprimé.
Il semble que cela fonctionne normalement à présent.
Je remercie sincèrement les différents intervenants et plus particulièrement Jess15 pour leur réactivité.
Je viens d'entrer ce site dans mes favoris avec cependant l'espoir de ne pas devoir revenir. ;-)
Guerrec
