Wuauclt (virus pas les maj) invirable

[viv]

Bonjour,

 

Depuis quelque mois maintenant je me trimbale un virus qui apparait dans la liste des processus sous le nom de wuauclt, j'ai deja effectué des recherches sur google mais je n'ai rien trouvé pouvant m'aider. En effet, j'ai bien désactivé les mises a jour automatiques de windows, mais le processus se lance de lui même et m'empêche d'utiliser correctement mon ordinateur tant que je ne l'ai pas fermé (extrement frustrant)! Je le ferme a l'aide du gestionnaire des taches mais il revient instantanément, je dois donc le fermer une 10aine de fois avant que celui ne disparaisse pour 1h ou 2 ... puis il revient. Grace a "process explorer" j'ai pu découvrir qu'il était rattaché a un processus "svchost" mais après plusieurs analyse de mon système avec bit defender (qui n'ont mené a rien) je n'arrive toujours pas a m'en débarrassé !

 

 

 

 

Merci d'avance !

 

pitiéééé

Modifié le 8 décembre 2010 par viv

[pear]

Bonjour,

 

wuauclt.exe est le processus relatif au logiciel de mises à jour automatiques de Microsoft : « Windows Update ». wuauclt.exe (wuauclt signifiant Windows Update client for WindowsME) est donc un executable générique directement intégré à Windows et servant à mettre à jour Windows via Internet.

 

Son rôle est de vérifier automatiquement les dernières mises à jour pour Windows, et ce à chaque fois que l’ordinateur se connecte sur Internet. Ce processus peut être arrêté si l’on ne désire pas ces mises à jour.

Faire un "Terminer le processus " dans le gestionnaire de tâches du processus [wuauclt.exe].

 

Attention toutefois, il peut éventuellement s’agir du cheval de Troie connu sous le nom de « Troj/Cult-B. » Dans ce cas, il est facile à reconnaître puisque l’entrée suivante est présente dans la base de registre : HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Microsoft auto update = WUAUCLT.EXE

 

Un rapport incomplet , comme celui posté est inexploitable.

 

Si vous souhaitez un diagnostic :

Lancez cet outil de diagnostic:

Téléchargez ZhpDiag de Coolman

Décompresser le fichier ZHPDiag.fix sur le bureau

puis double-cliquer sur le fichier ZHPDiag.exe pour installer l'outil

Sur le bureau ,il y aura 3 icônes

 

Sous XP, double clic sur ZhpDiag

Sous Vista/7, faire un clic droit et Exécuter en tant qu'administrateur

Clic sur la Loupe pour lancer le scan

Postez en le rapport ZhpDiag.txt qui apparait sur le bureau

Comment poster les rapports

Vous copiez/collez tout ou partie des rapports dans un ou plusieurs messages.

Autre solution:

Aller sur le site :Ci-Joint

Appuyez sur Parcourir et chercher les rapports sur le disque,

Ensuite appuyez sur Créer le lien CJoint,

>> dans la page suivante --> ,,

une adresse http//.. sera créée

Copier /coller cette adresse dans votre prochain message.

 

[viv]

Merci d'avoir répondu si rapidement ! J'ai regardé le registre a "HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Microsoft auto update = WUAUCLT.EXE" je n'ai rien trouvé.

Les mises a jour de windows étant désactivées je pense que c'est un virus !

 

Voici le rapport ZHPDiag

 

© CJoint.com, 2010

 

Encore merci !

[pear]

Dans ZHPDiag,vous cliquez sur l'icône

Cliquez ensuite successivement sur- ,pour effacer le rapport

et,pour coller la sélection, sur- l'icône

Vérifier que toutes les lignes en vert (et seulement elles) sont dans la fenêtre

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] CheckedValue: Modified

[HKCU\Software\P2P_Torrent]

[HKLM\Software\Trymedia Systems]

[HKLM\Software\pdfforge.org]

[HKLM\Software\Conduit]

[HKLM\Software\Trad-FR]

O4 - HKLM\..\Run: [TkBellExe] . (.RealNetworks, Inc. - RealNetworks Scheduler.) -- C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe

O4 - HKLM\..\Run: [nwiz] nwiz.exe

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] . (.Adobe Systems Incorporated - Adobe Acrobat SpeedLauncher.) -- C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe

O4 - HKLM\..\Run: [QuickTime Task] . (.Apple Inc. - QuickTime Task.) -- C:\Program Files\QuickTime\qttask.exe

O23 - Service: (RPCER) - Clé orpheline

O51 - MPSK:{d0b78369-13bf-11de-a22a-0013d353f205}\Shell\AutoRun\command - Clé orpheline

O64 - Services: CurCS - "C:\Program Files\Bonjour\mDNSResponder.exe (.not file.) - Service Bonjour (Bonjour Service) .(.Pas de propriétaire - Pas de description.) - LEGACY_BONJOUR_SERVICE

O51 - MPSK:{21bf4480-3933-11dd-ad84-0013d353f205}\Shell\AutoRun\command. (.Pas de propriétaire - Pas de description.) -- J:\start.exe (.not file.)

O51 - MPSK:{efda9ecc-b925-11dc-9a08-0013d353f205}\Shell\AutoRun\command. (.Pas de propriétaire - Pas de description.) -- K:\start.exe (.not file.)

O53 - SMSR:HKLM\...\startupreg\Adobe Reader Speed Launcher [Key] . (.Pas de propriétaire - Pas de description.) -- "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe

SS - | Disabled 12/02/2010 345376 | "C:\Program Files\Bonjour\mDNSResponder.exe (Bonjour Service) . (.Apple Inc..) - C:\Program Files\Bonjour\mDNSResponder.exe

O64 - Services: CurCS - C:\DOCUME~1\Vivien\LOCALS~1\Temp\nsysaudm.sys (.not file.) - nsysaudm (nsysaudm) .(.Pas de propriétaire - Pas de description.) - LEGACY_NSYSAUDM

O64 - Services: CurCS - (.not file.) - 0023ddd6 (0023ddd6) .(.Pas de propriétaire - Pas de description.) - LEGACY_0023DDD6

O64 - Services: CurCS - (.not file.) - 0503b178 (0503b178) .(.Pas de propriétaire - Pas de description.) - LEGACY_0503B178

O64 - Services: CurCS - (.not file.) - 0539a103 (0539a103) .(.Pas de propriétaire - Pas de description.) - LEGACY_0539A103

O64 - Services: CurCS - (.not file.) - 0a4ff2ce (0a4ff2ce) .(.Pas de propriétaire - Pas de description.) - LEGACY_0A4FF2CE

O64 - Services: CurCS - (.not file.) - 0ea6c40b (0ea6c40b) .(.Pas de propriétaire - Pas de description.) - LEGACY_0EA6C40B

O64 - Services: CurCS - (.not file.) - 14127cde (14127cde) .(.Pas de propriétaire - Pas de description.) - LEGACY_14127CDE

O64 - Services: CurCS - (.not file.) - 14c53533 (14c53533) .(.Pas de propriétaire - Pas de description.) - LEGACY_14C53533

O64 - Services: CurCS - (.not file.) - 1621585f (1621585f) .(.Pas de propriétaire - Pas de description.) - LEGACY_1621585F

O64 - Services: CurCS - (.not file.) - 19543375 (19543375) .(.Pas de propriétaire - Pas de description.) - LEGACY_19543375

O64 - Services: CurCS - (.not file.) - 197e750b (197e750b) .(.Pas de propriétaire - Pas de description.) - LEGACY_197E750B

O64 - Services: CurCS - (.not file.) - 1bdb6783 (1bdb6783) .(.Pas de propriétaire - Pas de description.) - LEGACY_1BDB6783

O64 - Services: CurCS - (.not file.) - 1d4075c1 (1d4075c1) .(.Pas de propriétaire - Pas de description.) - LEGACY_1D4075C1

O64 - Services: CurCS - (.not file.) - 20336d4e (20336d4e) .(.Pas de propriétaire - Pas de description.) - LEGACY_20336D4E

O64 - Services: CurCS - (.not file.) - 231b2414 (231b2414) .(.Pas de propriétaire - Pas de description.) - LEGACY_231B2414

O64 - Services: CurCS - (.not file.) - 2dacab50 (2dacab50) .(.Pas de propriétaire - Pas de description.) - LEGACY_2DACAB50

O64 - Services: CurCS - (.not file.) - 2ed77469 (2ed77469) .(.Pas de propriétaire - Pas de description.) - LEGACY_2ED77469

O64 - Services: CurCS - (.not file.) - 360128cf (360128cf) .(.Pas de propriétaire - Pas de description.) - LEGACY_360128CF

O64 - Services: CurCS - (.not file.) - 36cecf5f (36cecf5f) .(.Pas de propriétaire - Pas de description.) - LEGACY_36CECF5F

O64 - Services: CurCS - (.not file.) - 3fba0e0d (3fba0e0d) .(.Pas de propriétaire - Pas de description.) - LEGACY_3FBA0E0D

O64 - Services: CurCS - (.not file.) - 40710642 (40710642) .(.Pas de propriétaire - Pas de description.) - LEGACY_40710642

O64 - Services: CurCS - (.not file.) - 421443ac (421443ac) .(.Pas de propriétaire - Pas de description.) - LEGACY_421443AC

O64 - Services: CurCS - (.not file.) - 422090fc (422090fc) .(.Pas de propriétaire - Pas de description.) - LEGACY_422090FC

O64 - Services: CurCS - (.not file.) - 4275cccd (4275cccd) .(.Pas de propriétaire - Pas de description.) - LEGACY_4275CCCD

O64 - Services: CurCS - (.not file.) - 4cca7b53 (4cca7b53) .(.Pas de propriétaire - Pas de description.) - LEGACY_4CCA7B53

O64 - Services: CurCS - (.not file.) - 4e07b10c (4e07b10c) .(.Pas de propriétaire - Pas de description.) - LEGACY_4E07B10C

O64 - Services: CurCS - (.not file.) - 504c289d (504c289d) .(.Pas de propriétaire - Pas de description.) - LEGACY_504C289D

O64 - Services: CurCS - (.not file.) - 5436fe18 (5436fe18) .(.Pas de propriétaire - Pas de description.) - LEGACY_5436FE18

O64 - Services: CurCS - (.not file.) - 584151e1 (584151e1) .(.Pas de propriétaire - Pas de description.) - LEGACY_584151E1

O64 - Services: CurCS - (.not file.) - 5cafe022 (5cafe022) .(.Pas de propriétaire - Pas de description.) - LEGACY_5CAFE022

O64 - Services: CurCS - (.not file.) - 5e1287bf (5e1287bf) .(.Pas de propriétaire - Pas de description.) - LEGACY_5E1287BF

O64 - Services: CurCS - (.not file.) - 6320d958 (6320d958) .(.Pas de propriétaire - Pas de description.) - LEGACY_6320D958

O64 - Services: CurCS - (.not file.) - 6afd5f07 (6afd5f07) .(.Pas de propriétaire - Pas de description.) - LEGACY_6AFD5F07

O64 - Services: CurCS - (.not file.) - 6b0b41d4 (6b0b41d4) .(.Pas de propriétaire - Pas de description.) - LEGACY_6B0B41D4

O64 - Services: CurCS - (.not file.) - 6d5694cd (6d5694cd) .(.Pas de propriétaire - Pas de description.) - LEGACY_6D5694CD

O64 - Services: CurCS - (.not file.) - 6e9f50f6 (6e9f50f6) .(.Pas de propriétaire - Pas de description.) - LEGACY_6E9F50F6

O64 - Services: CurCS - (.not file.) - 6f1b605c (6f1b605c) .(.Pas de propriétaire - Pas de description.) - LEGACY_6F1B605C

O64 - Services: CurCS - (.not file.) - 70806e39 (70806e39) .(.Pas de propriétaire - Pas de description.) - LEGACY_70806E39

O64 - Services: CurCS - (.not file.) - 75b9da25 (75b9da25) .(.Pas de propriétaire - Pas de description.) - LEGACY_75B9DA25

O64 - Services: CurCS - (.not file.) - 785433f8 (785433f8) .(.Pas de propriétaire - Pas de description.) - LEGACY_785433F8

O64 - Services: CurCS - (.not file.) - 7bbfccac (7bbfccac) .(.Pas de propriétaire - Pas de description.) - LEGACY_7BBFCCAC

O64 - Services: CurCS - (.not file.) - 7f3fee39 (7f3fee39) .(.Pas de propriétaire - Pas de description.) - LEGACY_7F3FEE39

O64 - Services: CurCS - (.not file.) - 83380e20 (83380e20) .(.Pas de propriétaire - Pas de description.) - LEGACY_83380E20

O64 - Services: CurCS - (.not file.) - 8338f463 (8338f463) .(.Pas de propriétaire - Pas de description.) - LEGACY_8338F463

O64 - Services: CurCS - (.not file.) - 8c411746 (8c411746) .(.Pas de propriétaire - Pas de description.) - LEGACY_8C411746

O64 - Services: CurCS - (.not file.) - 8d0a4ad8 (8d0a4ad8) .(.Pas de propriétaire - Pas de description.) - LEGACY_8D0A4AD8

O64 - Services: CurCS - (.not file.) - 8e9302fd (8e9302fd) .(.Pas de propriétaire - Pas de description.) - LEGACY_8E9302FD

O64 - Services: CurCS - (.not file.) - 91bb374b (91bb374b) .(.Pas de propriétaire - Pas de description.) - LEGACY_91BB374B

O64 - Services: CurCS - (.not file.) - 95d554a9 (95d554a9) .(.Pas de propriétaire - Pas de description.) - LEGACY_95D554A9

O64 - Services: CurCS - (.not file.) - 9afbafad (9afbafad) .(.Pas de propriétaire - Pas de description.) - LEGACY_9AFBAFAD

O64 - Services: CurCS - (.not file.) - a438e083 (a438e083) .(.Pas de propriétaire - Pas de description.) - LEGACY_A438E083

O64 - Services: CurCS - (.not file.) - befd06de (befd06de) .(.Pas de propriétaire - Pas de description.) - LEGACY_BEFD06DE

O64 - Services: CurCS - (.not file.) - bfccac4b (bfccac4b) .(.Pas de propriétaire - Pas de description.) - LEGACY_BFCCAC4B

O64 - Services: CurCS - "C:\Program Files\Bonjour\mDNSResponder.exe (.not file.) - Service Bonjour (Bonjour Service) .(.Pas de propriétaire - Pas de description.) - LEGACY_BONJOUR_SERVICE

O64 - Services: CurCS - (.not file.) - c7ac09c4 (c7ac09c4) .(.Pas de propriétaire - Pas de description.) - LEGACY_C7AC09C4

O64 - Services: CurCS - (.not file.) - c9844374 (c9844374) .(.Pas de propriétaire - Pas de description.) - LEGACY_C9844374

O64 - Services: CurCS - (.not file.) - cafb67fe (cafb67fe) .(.Pas de propriétaire - Pas de description.) - LEGACY_CAFB67FE

O64 - Services: CurCS - (.not file.) - cc3be022 (cc3be022) .(.Pas de propriétaire - Pas de description.) - LEGACY_CC3BE022

O64 - Services: CurCS - (.not file.) - ce36686c (ce36686c) .(.Pas de propriétaire - Pas de description.) - LEGACY_CE36686C

O64 - Services: CurCS - (.not file.) - cf1642a5 (cf1642a5) .(.Pas de propriétaire - Pas de description.) - LEGACY_CF1642A5

O64 - Services: CurCS - (.not file.) - d247e9e9 (d247e9e9) .(.Pas de propriétaire - Pas de description.) - LEGACY_D247E9E9

O64 - Services: CurCS - (.not file.) - dde8d740 (dde8d740) .(.Pas de propriétaire - Pas de description.) - LEGACY_DDE8D740

O64 - Services: CurCS - (.not file.) - e3d53d5f (e3d53d5f) .(.Pas de propriétaire - Pas de description.) - LEGACY_E3D53D5F

O64 - Services: CurCS - (.not file.) - e81aa91b (e81aa91b) .(.Pas de propriétaire - Pas de description.) - LEGACY_E81AA91B

O64 - Services: CurCS - (.not file.) - ea0b58b8 (ea0b58b8) .(.Pas de propriétaire - Pas de description.) - LEGACY_EA0B58B8

O64 - Services: CurCS - (.not file.) - f2531fa5 (f2531fa5) .(.Pas de propriétaire - Pas de description.) - LEGACY_F2531FA5

O64 - Services: CurCS - (.not file.) - fb9c14ef (fb9c14ef) .(.Pas de propriétaire - Pas de description.) - LEGACY_FB9C14EF

O64 - Services: CurCS - (.not file.) - fdafb905 (fdafb905) .(.Pas de propriétaire - Pas de description.) - LEGACY_FDAFB905

O64 - Services: CurCS - (.not file.) - febe03b1 (febe03b1) .(.Pas de propriétaire - Pas de description.) - LEGACY_FEBE03B1

O64 - Services: CurCS - (.not file.) - Microsoft Monitor (kvpixupzg) .(.Pas de propriétaire - Pas de description.) - LEGACY_KVPIXUPZG

O64 - Services: CurCS - C:\Program Files\NetMeeting\comp.exe (.not file.) - Remote Procedure Call (HNM) (RPCER) .(.Pas de propriétaire - Pas de description.) - LEGACY_RPCER

 

 

Cliquer sur "OK", ce qui fait apparaître un carré à gauche de chaque ligne.

Cliquer sur "Tous" puis sur "Nettoyer".

Acceptez de Redémarrer pour achever le nettoyage.

Copier-coller le rapport de suppression dans la prochaine réponse.

 

Si besoin

Télécharger ZHPFix de Nicolas Coolman sur le bureau.

Sous Vista/7 clic-droit, "Exécuter En tant qu'Administrateur

Suivre les instructions qui apparaissent à l'écran.

Lancer ZHPFix (laisser la case cochée)

 

 

Java n'est pas à jour,donc vulnérable.

Téléchargez Javara

vers le bureau.

Dézippez.

lancez Javara.exe

clic sur mise à jour via jucheck

 

ou , si vous préférez par le site de Sun:

Download Now

S'ouvre une nouvelle page.

Vous descendrez là:

Java Runtime Environment (JRE) 6 Update 22

Clic sur Download

Nouvelle page.

Sélectionnez votre platform->Windows

Cochez "I agree to the java..."

clic sur continue

Nouvelle page

Cochez:

Windows Online Installation

Cochez la flèche orange

" Cochez ici"jre-6u22-windows-i586-p-iftw.exe

 

clic sur installer

 

Revenez dans JavaRa

 

Cliquez Effacer les anciennes versions

Puis..... Autres Options ->Cocher Effacer les fichiers JRE Inutiles ->Exécuter

 

 

Téléchargez TFC par OldTimer sur votre Bureau

Faites un double clic sur TFC.exe pour le lancer.

Sous Vista, faites un clic droit sur le fichier et choisissez Exécuter en tant qu'Administrateur

L'outil va fermer tous les programmes lors de son exécution, donc vérifiez que vous avez sauvegardé tout votre travail en cours auparavant.

Cliquez sur le bouton Start pour lancer le processus.

Selon la fréquence à laquelle vous supprimez vos fichiers temporaires, cela peut durer de quelques secondes à une minute ou deux.

Laissez le programme s'exécuter sans l'interrompre.

Lorsqu'il aura terminé, l'outil devrait faire redémarrer votre systèmepour parachever le nettoyage..

S'il ne le faisait pas,faites redémarrer manuellement le PC

 

Téléchargez AD-Remover sur le bureau

 

Déconnectez-vous et fermez toutes les applications en cours

Cliquer sur "Ad-R.exe" pour lancer l'installation et laisser les paramètres par défaut .

Une fenêtre s'affichera Vous prévenant des risques de l'utilisation de ce logiciel

Cliquez sur "OUI"

Double cliquer sur l'icône Ad-remover sur le bureau

Au menu principal choisir l'optionScanner et Validez

 

Patientez pendant le travail de l'outil.

Poster le rapport qui apparait à la fin .

Il est sauvegardé aussi sous C:\Ad-report.log

 

Ensuite

 

Relancer Ad- remover , choisir l'option Nettoyer

 

Il y aura 2 rapports à poster après Scanner et Nettoyer

 

Pour désinstaller AD-Remover, lancez avec l'option D puis supprimer l'icône du bureau.

[viv]

Le rapport ZHPFixreport

 

© CJoint.com, 2010

 

 

Le rapport Ad-Report-SCAN[1]

 

© CJoint.com, 2010

 

 

Le rapport Ad-Report-CLEAN[1]

 

© CJoint.com, 2010

 

 

Ps : jai supprimé les versions antérieures de Java après les manipulations menant aux rapports ci-joint

 

Merci !

[viv]

une idée ? (jai toujours le meme probleme, rien n'y fait :'( )

Modifié le 7 décembre 2010 par viv

[pear]

Bonjour,

Télécharger OTL sur le bureau

Double cliquer sur l'icône

 

Vérifiez que toutes les autres fenêtres sont fermées afin qu'il s'exécute sans interruption.

Cochez]----------------->Tous les utilisateurs

Sous Rapport

Cliquez ----------------------------->Rapport Standard

Sous Régistre Standard cocher Tous

Cochez------------------------------> Lop et Purity

 

Recherche du MD5:

Dans Pesonnalisation copier_coller le contenu ci dessous:

netsvcs

drivers32

%SYSTEMDRIVE%\*.exe

%ALLUSERSPROFILE%\Application Data\*.

%ALLUSERSPROFILE%\Application Data\*.exe /s

%appdata% *.exe /s

/md5start

wuauclt.exe

userinit.exe

wininit.exe

explorer.exe

eventlog.dll

scecli.dll

netlogon.dll

cngaudit.dll

sceclt.dll

ntelogon.dll

logevent.dll

iaStor.sys

nvstor.sys

atapi.sys

cdrom.sys

IdeChnDr.sys

viasraid.sys

AGP440.sys

vaxscsi.sys

nvatabus.sys

viamraid.sys

nvata.sys

nvgts.sys

iastorv.sys

ViPrt.sys

eNetHook.dll

ahcix86.sys

KR10N.sys

nvstor32.sys

ahcix86s.sys

/md5stop

%systemroot%\*. /mp /s

CREATERESTOREPOINT

 

Clic sur Analyse

une fois le scan terminé , les fichiers OTL.txt et Extras.txt vont s'ouvrir

 

Comment poster les rapports

Vous copiez/collez tout ou partie des rapports dans un ou plusieurs messages.

Autre solution:

Aller sur le site :Ci-Joint

Appuyez sur Parcourir et chercher les rapports sur le disque,

Ensuite appuyez sur Créer le lien CJoint,

>> dans la page suivante --> ,,

une adresse http//.. sera créée

Copier /coller cette adresse dans votre prochain message.

[viv]

OTL : © CJoint.com, 2010

 

EXTRA : © CJoint.com, 2010

 

encore une fois un grand merci,

en esperant que vous trouverez la cause des me problèmes !

[pear]

Bonsoir,

 

sauf erreur, vous suivez une autre procédure de désinfection en paralelle.

Vous confirmez ?

[viv]

euh non je n'ai rien fait d'autre que vos procédures