Pc infecté par wuauclt.exeRésolu/Fermé

Question

Bonjour , 
alors voici le problème :
depuis un moment je ne peux plus quitter l'ordinateur depuis démarrer>arrêter l'ordinateur et j'ai découvert que c'était du au virus wuauclt.exe accompagné du processus svchost.exe qui ralentisse l'activité de mon ordinateur . Ils s'activent 20 secondes après le démarrage .
J'ai essayer d'utiliser hijackthis mais je ne sais pas vraiment comment on l'utilise , j'ai aussi fais des analyses avec MSE et Trojan remover . MSE à trouver il y 3 jours Tool Win32/cmdow , mais maintenant il ne trouve plus rien .

Merci de bien vouloir m'aider :) .



Configuration: Windows XP

Utilisateur anonyme · Answer

Bonjour 

On va faire une analyse de ton systéme.  


* Télécharge ZHPDiag  ( de Nicolas coolman ).  
ou 
ZHPDiag  
ou
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

Ou le lien FTP en secours :
ftp://zebulon.fr/ZHPDiag2.exe 

                                                  *********************** 
/!\Utilisateurs de Vista et Windows 7 : Clique droit sur le logo de ZHPDiag.exe, " exécuter en tant qu'Administrateur /!\  
* Laisse toi guider lors de l'installation  
* Il se lancera automatiquement à la fin de l'installation  
* Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)  
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette  
* Héberge le rapport ZHPDiag.txt sur le site pjjoint.malekal.com ou cijoint.fr ou toofiles  puis copie/colle le lien fournit dans ta prochaine réponse sur le forum

DavidDmr · Answer

Bonsoir , merci d'avoir répondu .
Le scan s'arrete à 80%

Utilisateur anonyme · Answer

* Télécharge OTL sur ton bureau.

* Fais un double-clic sur l'icône d'OTL pour le lancer
/!\ pour Vista/Seven fais un clic-droit sur l'icône d'OTL et choisis "Exécuter en tant qu'administrateur"

* Assure toi d'avoir fermé toutes les applications en court de fonctionnement.

* Quand la fenêtre d'OTL apparaît, assure toi que dans la section "Rapport" (en haut à droite) la case "Rapport minimal" soit cochée.

* Copies et colles le contenue de cette citation dans la partie inférieure d'OTL "Personnalisation"


netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
explorer.exe
winlogon.exe
userinit.exe
wininit.exe
/md5stop
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
nslookup www.google.fr /c
SAVEMBR:0 
CREATERESTOREPOINT



* Cliques sur l'icône "Analyse" (en haut à gauche) .
* Laisse le scan aller à son terme sans te servir du PC
* A la fin du scan un ou deux rapports vont s'ouvrir "OTL.Txt" et ( ou ) "Extras.Txt"( dans certains cas).
* Héberge le ou les rapports sur le site  pjjoint.malekal.com ou cijoint.fr ou toofiles , puis copie/colle le ou les  liens fournit dans ta prochaine réponse sur le forum   

PS:Tu peux  retrouver les rapports dans le dossier C:\OTL ou sur ton bureau en fonction des cas rencontrés

DavidDmr · Answer

Après une deuxieme tentation de scan avec ZHPDiag , il a fonctionner .
voici le rapport du scan : http://pjjoint.malekal.com/files.php?id=ZHPDiag_20111205_h7o7t9n8n6

je fais quand même la manip' avec OTL ?

Utilisateur anonyme · Answer

je fais quand même la manip' avec OTL ?
Non

* Télécharge AdwCleaner sur ton Bureau. (Merci à Xplode)

*Double-clique sur l'icône AdwCleaner située sur ton Bureau.
*Sur la page, clique sur le bouton «Suppression»
*Laisse travailler l'outil.
*Poste le rapport qui apparaît à la fin.
(Le rapport est sauvegardé aussi sous C:\ AdwCleaner[SX].Txt)

============================================

* Télécharge et installe : Malwarebyte's Anti-Malware 
* A la fin de l'installation, veille à ce que l'option « mettre a jour Malwarebyte's Anti-Malware » soit cochée 
* Lance MBAM et laisse les Mises à jour se télécharger (sinon fais les manuellement au lancement du programme) 
* Puis va dans l'onglet "Recherche", coche "Exécuter un examen complet" puis "Rechercher" 
* Sélectionne tes disques durs" puis clique sur "Lancer l'examen" 
* A la fin du scan, clique sur Afficher les résultats 
* Coche tous les éléments détectés puis clique sur Supprimer la sélection 
* Enregistre le rapport 
* S'il t'est demandé de redémarrer, clique sur Yes 
* Poste le rapport de scan après la suppression ici.(poste le rapport, même si rien n'est détecté.) 
* Si tu as besoin d'aide regarde ce tutorial  
https://www.malekal.com/tutoriel-malwarebyte-anti-malware/

DavidDmr · Answer

Voici le rapport de AdwCleaner : http://pjjoint.malekal.com/files.php?id=20111205_x13i7l13c7g6
Le scan de Malwarebyte's est en cours

Utilisateur anonyme · Answer

Il me faut ce rapport  C:\AdwCleaner[S1]

DavidDmr · Answer

Bah en fait il se trouve que j'avais lancé une analyse avec AdwCleaner ( avant que vous me demandiez d'en faire une ) et j'ai supprimer le rapport ..

Utilisateur anonyme · Answer

Télécharge Ad-Remover sur ton bureau: 

http://www.teamxscript.org/adremoverTelechargement.html 


/!\ Ferme toutes tes applications ouvertes. /!\ 

* Désactive la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner la procédure de recherche et de nettoyage de l'outil. 


Double clique sur le fichier que tu viens de télécharger, à l'écran qui apparait, clique sur  
 "Nettoyer". 
Laisse travailler l'outil. 
Poste le rapport qui s'affiche à l'écran quand l'analyse est terminée. 
Si le rapport n'apparait pas il se trouve à cet emplacement :C:\Ad-Report-CLEAN[1].txt

DavidDmr · Answer

voici le rapport d'AD-R
http://pjjoint.malekal.com/files.php?id=20111205_e11r58y13u14

Utilisateur anonyme · Answer

On va faire une vérification . 
Post un nouveau rapport zhpdiag. 
Ouvres zhpdiag et clic sur la flèche verte pour faire la mise a jour du programme.Si mise a jour installes la.
* Clique sur l'icône représentant une loupe (« Lancer le diagnostic ») 
Héberge le rapport ZHPDiag.txt sur le site pjjoint.malekal.com ou cijoint.fr ou toofiles  puis copie/colle le lien fournit dans ta prochaine réponse sur le forum

DavidDmr · Answer

voilà le rapport :
http://pjjoint.malekal.com/files.php?id=ZHPDiag_20111205_p5e6k1415u6

g3n-h@ckm@n · Answer

salut davidDmr

reste ici et ne tiens pas compte de ma reponse ici :

http://forum.telecharger.01net.com/forum/high-tech/SECURITE/Securite/infecte-wuauclt-sujet_59199_1.htm#end

Utilisateur anonyme · Answer

*	rends toi sur ce site : https://www.virustotal.com/gui/ 
==>Analyse ce fichier:
----------------------------------------------------------------------
 C:\Documents and Settings\Proprietaire\Local Settings\Application Data
bwkll.exe   

----------------------------------------------------------------------
*	Cliquez sur Parcourir... :
*	Sélectionnez le fichier que vous voulez analyser et cliquez sur Ouvrir :
*	Cliquez ensuite sur Envoyez le fichier : s'il a déjà été analysé, demande une nouvelle analyse.
*	Fais un copier/coller du rapport sur le forum.

DavidDmr · Answer

Antivirus	Version	Last Update	Result
AhnLab-V3	2011.12.05.00	2011.12.05	-
AntiVir	7.11.18.230	2011.12.05	-
Antiy-AVL	2.0.3.7	2011.12.05	-
Avast	6.0.1289.0	2011.12.05	-
AVG	10.0.0.1190	2011.12.05	Suspicion: unknown virus
BitDefender	7.2	2011.12.05	-
ByteHero	1.0.0.1	2011.11.29	-
CAT-QuickHeal	12.00	2011.12.05	-
ClamAV	0.97.3.0	2011.12.05	-
Commtouch	5.3.2.6	2011.12.05	W32/Damaged_File.B.gen!Eldorado
Comodo	10852	2011.12.05	TrojWare.Win32.Agent.~N6
DrWeb	5.0.2.03300	2011.12.05	-
Emsisoft	5.1.0.11	2011.12.05	Trojan.Win32.Wintrim!IK
eSafe	7.0.17.0	2011.12.04	-
eTrust-Vet	37.0.9605	2011.12.05	-
F-Prot	4.6.5.141	2011.11.29	W32/Damaged_File.B.gen!Eldorado
F-Secure	9.0.16440.0	2011.12.05	-
Fortinet	4.3.388.0	2011.12.05	-
GData	22	2011.12.05	-
Ikarus	T3.1.1.109.0	2011.12.05	Trojan.Win32.Wintrim
Jiangmin	13.0.900	2011.12.05	-
K7AntiVirus	9.119.5598	2011.12.05	-
Kaspersky	9.0.0.837	2011.12.05	-
McAfee	5.400.0.1158	2011.12.05	-
McAfee-GW-Edition	2010.1D	2011.12.05	
Microsoft	1.7903	2011.12.05	-
NOD32	6681	2011.12.04	-
Norman	6.07.13	2011.12.05	-
nProtect	2011-12-05.01	2011.12.05	-
Panda	10.0.3.5	2011.12.05	-
PCTools	8.0.0.5	2011.12.05	-
Prevx	3.0	2011.12.05	-
Rising	23.87.00.02	2011.12.05	-
Sophos	4.71.0	2011.12.05	-
SUPERAntiSpyware	4.40.0.1006	2011.12.05	-
Symantec	20111.2.0.82	2011.12.05	-
TheHacker	6.7.0.1.352	2011.12.01	W32/Behav-Heuristic-CorruptFile-EP
TrendMicro	9.500.0.1008	2011.12.05	-
TrendMicro-HouseCall	9.500.0.1008	2011.12.05	-
VBA32	3.12.16.4	2011.12.05	-
VIPRE	11207	2011.12.05	-
ViRobot	2011.12.5.4809	2011.12.05	-
VirusBuster	14.1.100.0	2011.12.05	-

Utilisateur anonyme · Answer

1/ Copie/colle les lignes suivantes en gras:
2/Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag)
3/Clique sur l''icone représentant la lettre H (« coller les lignes Helper »)

----------------------------------------------------------
[HKLM\SOFTWARE\Microsoft\Security Center] AntiVirusOverride: Modified   
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{97F2FF5B-260C-4ccf-834A-2DDA4E29E39E}]    
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{97F2FF5B-260C-4ccf-834A-2DDA4E29E39E}]    
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{c7b76b90-3455-4ae6-a752-eac4d19689e5}]    
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{c7b76b90-3455-4ae6-a752-eac4d19689e5}]    
O44 - LFC:[MD5.A6CA6B9DFFD80E56863F09594BEC5666] - 26/11/2011 - 15:33:37 -SHA- . (...) -- C:\WINDOWS\system32\Thumbs.db   [7680]  
O47 - AAKE:Key Export SP - "C:\Program Files\Kazaa Lite K++\KazaaLite.kpp" [Disabled] .(...) -- C:\Program Files\Kazaa Lite K++\KazaaLite.kpp (.not file.)   
O47 - AAKE:Key Export SP - "C:\Program Files\CIMW\Application_CommWorldUpdate.exe" [Enabled] .(...) -- C:\Program Files\CIMW\Application_CommWorldUpdate.exe (.not file.)     
O47 - AAKE:Key Export SP - "C:\DOCUME~1\PROPRI~1\LOCALS~1\Temp\IXP000.TMP\gllod.exe" [Enabled] .(...) -- C:\DOCUME~1\PROPRI~1\LOCALS~1\Temp\IXP000.TMP\gllod.exe (.not file.)    
O51 - MPSK:{0082fc31-2dbf-11de-a129-0004231131bf}\AutoRun\command. (...) -- C:\WINDOWS\system32\cmd \C launch.bat (.not file.)    
 [MD5.D17B6FBF8F08DA1F0A51BB8503DE86B5] [SPRF][14/04/2008] (...) -- C:\Documents and Settings\Proprietaire\Local Settings\Application Data
bwkll.exe   [227557]      
EmptyTemp
FirewallRaz 
--------------------------------------------------------

- Clique sur le bouton « GO » pour lancer le nettoyage,
- Copie/colle la totalité du rapport dans ta prochaine réponse

DavidDmr · Answer

http://pjjoint.malekal.com/files.php?id=20111206_p13g127n10e10

Utilisateur anonyme · Answer

Postes moi ce rapport C:\ZHP\ZHPFix[R1].txt

DavidDmr · Answer

le voici : http://pjjoint.malekal.com/files.php?id=20111206_v8u10w5w12w8

Utilisateur anonyme · Answer

Télécharger  Eset Nod32 : 
http://download.eset.com/special/eos/esetsmartinstaller_fra.exe 
*	Lancer le fichier
*	Accepter les conditions
*	Autoriser le programme à accéder à Internet
*	Cliquer sur paramètre avancées pour ouvrir le menu et sélectionner les options (par défaut le scanner analyse votre ordinateur entièrement)
*	Téléchargement des signatures


Il est recommander de désactiver votre antivirus afin de ne pas ralentir le scan et d'afficher des message d'alerte ! 

*	Le scan débute dés la fin du téléchargement
*	Générer le rapport
*	Cliquer sur liste des menaces détectées puis sur exporter dans un fichier texte... 



Vous pouvez l'enregistrer sur le bureau en lui donnant un nom. Poster le rapport sur le forum. 
Si le rapport n'est pas sur le bureau regarde ici ==> C:\Program Files\EsetOnlineScanner\log.txt 

Pour vous aider voici un tuto rédigé par dorgane :
https://www.commentcamarche.net/faq/29643-scanner-en-ligne-avec-eset-nod32

DavidDmr · Answer

Le rapport de scan d'eset : http://pjjoint.malekal.com/files.php?id=20111206_u13o11e10q12v9

Utilisateur anonyme · Answer

Comment se comporte ton pc??

DavidDmr · Answer

En tout cas le problème à l'air d'être remédier . Je vous remercie , et vous suis fort reconnaissant d'avoir donner de votre temps à pour résoudre mon problème .
(j'ai deux question : quel antivirus me conseillez vous pour mon pc sous Windows XP ? et est - ce que je peux désinstaller tout les logiciels suite à la procédure pour virer mon virus ? (ZHPdiag , eset ..) et lesquels pourraient me servirent au futur ?)

Utilisateur anonyme · Answer

Ton systéme a besoin des processus svchost.exe pour bien fonctionner

Le processus svchost.exe (svchost signifiant Service Host Process) est un processus générique de Windows 2000/XP servant d'hôtes pour les autres processus dont le fonctionnement repose sur des librairies dynamiques (DLLs). Il existe ainsi autant d'entrées svchost qu'il y a de processus qui l'utilisent. 

Si tu souhaites changer d'antivirus aprés désinstallation de MSE je te propose Antivir.

télécharges et installes antivir gratuit .(Antivir est un bon antivirus et de plus trés performant)
http://www.commentcamarche.net/download/telecharger-55-antivir

Configure le impérativement comme ceci :
https://www.commentcamarche.net/faq/16831-tutoriel-configuration-optimale-d-antivir-personal
====================================================
Voici quelques conseils. 

* Pour naviguer sur internet plus en sécurité et à l'abri des publicités, je te conseille vivement d'installer et d'utiliser le navigateur firefox Une fois que c'est fait, lance le et installe l' extension de sécurité suivantes pour bloquer les publicités: adblock plus 

* WOT - Extension pour ton navigateur internet :  
Voici une extension à télécharger qui te permettra, en faisant tes recherches sur google, de savoir si le site proposé lors de tes recherches est un site de confiance ou un site à éviter car il pourrait infecter ton PC :  
Pour Firefox : https://addons.mozilla.org/fr/firefox/addon/wot-safe-browsing-tool/  
Pour internet explorer : https://chrome.google.com/webstore/detail/wot-web-of-trust-website/bhmmomiinigofkjcapegjjndpbikblnp   
=========================================================
Je conseille de mettre a jour internet explorer  même  si vous ne l'utilisé  jamais. Les MAJ  systéme se font par le biais de IE. Par conséquent on évite les failles de sécurité. 
* Télécharger  IE9 : ici 
=======================================================
=======================================================

Tu dois aussi mettre à jour tous tes autres programmes pour combler des failles de sécurité... Vérifie les mises disponibles à l'aide de ce petit programme (choisis la version sans installation) : Update Checker https://www.commentcamarche.net/faq/9908-filehippo-app-manager-vos-logiciels-sont-ils-a-jour  
Installe le avec les paramètres par défaut en cliquant chaques fois sur Suivant.  

 Une fois installé, patiente quelques secondes et tu verras apparaître une icône verte dans ta barre des tâches te signalant qu'il y a des mises à jour disponibles.  

Double-cliques sur l'icône pour être redirrigé sur le site de téléchargement des mises à jour.  

* Un conseil : n'installe pas les BETA  
                               ==================================================== 
Tu peux garder MalwareBytes Anti-Malware pour faire des scans une fois /mois.
Pense a le mettre a jour avant chaque scan.


=======================================================
Pour éliminer les programmes de désinfections. 

* Téléchargez : DelFix sur votre bureau.
* Lancez le, cliquez sur suppression.
* Patientez pendant le scan jusqu'à l'ouverture du rapport.
* Postez le contenu du rapport dans votre prochaine réponse sur le forum.

* Note : Le rapport se trouve sous C:\DelFixSearch.

=========================================================
Désactive et réactive la Restauration du système sous windows xp. 
Le fait de faire cette manipulation va supprimer tous les virus qui auraient pu se loger dans les  
points de restauration que tu avais créé auparavant.. Il est donc recommandé de la faire :  
[1]   Dans la barre des tâches de Windows, clique sur Démarrer.  
[2]   Clique avec le bouton droit de la souris sur Poste de travail puis clique sur Propriétés.  
[3 ]  Dans l'onglet Restauration du système, coche "Désactiver la Restauration du système"  
[4 ]  Clique sur Appliquer.  
[5 ]  Ensuite décoche "Désactiver la restauration du systeme"  
[6 ]  clique sur appliquer puis ok  
[7 ]  vas créer un point de restauration en cliquant sur démarrer => tous les programmes => accessoires => outils systeme => restauration du systeme => créer un point de restauration => tu mets un nom :(exemple :fin de désinfections) puis tu valides.  
[8]Pensé  a vider la corbeille. 
=======================================================
=======================================================
Tu peux mettre ton problème en résolu !!https://www.commentcamarche.net/infos/25917-forum-ccm-mode-d-emploi-marquer-mon-sujet-comme-resolu/

Pc infecté par wuauclt.exe

24 réponses

Newsletters