Warning: Cannot modify header information - headers already sent by (output started at /mnt/102/sda/1/f/izsecurite/forum-2/forum.php:2) in /mnt/102/sda/1/f/izsecurite/forum-2/forum.php on line 183

Warning: Cannot modify header information - headers already sent by (output started at /mnt/102/sda/1/f/izsecurite/forum-2/forum.php:2) in /mnt/102/sda/1/f/izsecurite/forum-2/forum.php on line 237
Abc de la sécurité informatique <> Forum sécurité informatique freeware libre antivirus anti-spyware firewall Forums Abc de la sécurité informatique- abcdelasecurite.free.fr
Vous êtes sur l'ancien forum du site Abc de la sécurité informatique :
Le nouveau forum est maintenant à l'adresse suivante:
>> http://abcdelasecurite.free.fr/forum-abc-de-la-securite/

Forums Abc de la sécurité informatique- abcdelasecurite.free.fr - > virus, antivirus, troyen, anti-troyen, hoax sheep team, graphisme, programmation, codes source, blog, article, partage, ftp, humour, divertissement

 6 connectés mais aucun membre
Forums - Chat - Topics - Membres - Smileys - FAQ
Anonyme - Se logger - S'inscrire - Menu à gauche, à droite

« Topic Précédent
winmedplay		Topic Suivant »
A l'aide
Surcouf$2005019
Surcouf
21/01 :: 18:36

Arrivant



quand on allume son pc et que l antivirus est désactivé : sale temps
quand on a dans ses processus wuauclt.exe alor qu'on tourne sous xp : trojan
quand on constate que ce processus disparait et reapparait ou en declenche d autres : troublant
quand on lit ça :
Troj/Cult-B. Sa présence est trahie par l'entrée suivante dans la base de registre
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
Microsoft auto update = WUAUCLT.EXE
et qu'on trouve pas la-dite entrée : rageant
alors, moi qui me trouvais bien protégé je suis finalement bien emmerdé
comment un débutant se prenant pour un superman en quelques jours de surf adsl se scratche minablement contre un building... (bon, pas tout à fait débutant, je sais quan meme assembler une bécane en lisant bien la notice, et quelques trucs de base, mais je suis loin du savoir-faire des analystes de haut vol présents sur le site...)
stin, habana, rodolphe et autres équilibristes sur toile

Surcouf$2005019
Surcouf
21/01 :: 18:40

Arrivant



au fait, norton voit rien, spybot non plus et adware m'a viré un tracking cookie, voici ce qu'il me reste sur le scan d'hijack après que j'ai viré quelques trucs qui semblaient fort inutiles

Logfile of HijackThis v1.97.7
Scan saved at 19:18:09, on 21/01/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Ahead\InCD\InCDsrv.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
C:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe
C:\WINDOWS\System32\CTsvcCDA.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\Norton Internet Security Professional\Norton AntiVirus\navapsvc.exe
C:\Program Files\Norton Internet Security Professional\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Norton Internet Security Professional\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\Keyboard\Ikeymain.exe
C:\WINDOWS\vcdplayx.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\RamBoost XP\rambxpfr.exe
C:\WINDOWS\System32\ctfmon.exe
D:\Importations\Logiciels\Hijackthis.exe

O2 - BHO: (no name) - {06849E9F-C7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.02.3000.1002\en-xu\stmain.dll
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-29DF1699E1} - C:\Program Files\Fichiers communs\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: (no name) - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.3000.1001\fr\msntb.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton Internet Security Professional\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Web assistant - {0B53EAC3-69-4b9e-9B19-A37C9A5676A7} - C:\Program Files\Fichiers communs\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton Internet Security Professional\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.3000.1001\fr\msntb.dll
O4 - HKLM\..\Run: [iKeyWorks] C:\PROGRA~1\Keyboard\Ikeymain.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NVCLOCK] Rundll32 nvclock.dll,fnNvclock
O4 - HKLM\..\Run: [vcdplayx] "C:\WINDOWS\vcdplayx.exe"
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Jet Detection] "C:\Program Files\Creative\SBLive\PROGRAM\ADGJDet.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [URLLSTCK.exe] C:\Program Files\Norton Internet Security Professional\UrlLstCk.exe
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [RamBoostXp] C:\Program Files\RamBoost XP\rambxpfr.exe
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1106059466312
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

merci pour vos lumières
Nemix$2004226
Nemix
21/01 :: 20:32

Arrivante



Peut être une solution ici (google mon ami comme dirait WesternShadow ^^) :
http://www.google.com/search?hl=fr&rls=GGLD%2CGGLD%3A2004-31%2CGGLD%3Afr&q=%22Troj%2FCult-B%22&btnG=Rechercher&lr=lang_fr
Surcouf$2005019
Surcouf
22/01 :: 16:29

Arrivant



je croi que j ai réglé le problem
en fait, contrairement à ce qu'on raconte sur le net, wuauclt semble être un processus normal pour xp quand on télécharge une mise à jour window
et puis j'ai réinstallé mon antivirus : plus de désactivation au démarrage
enfin, la mise à jour finie, j'ai désactivée la MaJ auto de window avec fixmessenger
ouf, le trojan farceur été peut être un spectre ?

laserpe$2003349
laserpe
22/01 :: 17:01

Arrivant



c'est ce que je t'indiquais ici :
http://izsecurite.free.fr/forum-2/forum.php?f=2&view=269
le trojan crée l'entrée
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
Microsoft auto update = WUAUCLT.EXE
si tu n'as pas cette entrée c'est bon
à+
Rodolphe$2004309
Rodolphe
22/01 :: 18:05

Arrivant



Provient du message de Surcouf

mais je suis loin du savoir-faire des analystes de haut vol présents sur le site...)
stin, habana, rodolphe et autres équilibristes sur toile


Heu, moi personnellement, il me reste pas mal de boulot encore lol...
Il n' y a qu' à parcourir ce forum pour trouver les tragiques traces de tous mes malheurs ! ...
Mais bon, le point positif, c' est que ça me fait toujours apprendre pas mal trucs supplémentaires, grâce aussi aux merveilleux professeurs que l' on a ici !
Voila, désolé de ne pas avoir réagi plus tôt, mais c' est toujours long une défragmentation, surtout lorsqu' on a avant viré 8 Go de fichiers temporaires mdrrrr...

Bonne soirée à tous!
Surcouf$2005019
Surcouf
22/01 :: 22:49

Arrivant



la serpe, c'est dans comment ça marche que j'ai lu que ce n'était normal que dans millénium, sinon ils disaient que c'été le fameux trojan...
merci de ta réponse
au fait, ma parano se porte bien car dès que je vois wuauclt dans mes processus (alors que j'ai désactivé window update avec fixmessenger), je ne peux m'empêcher de le virer, et chose extraordinaire : il réapparait aussitôt, quand il y en pas deux...???
mais, bon y a plus d'autres symptômes, alors...
rodolphe, tu te sous-estime, si si
enclique4$2004065
enclique4
23/01 :: 10:35

Arrivant





c'est quoi comme icône ça ???? alors don't flipping...
Surcouf$2005019
Surcouf
23/01 :: 11:20

Arrivant



hé, moi j'en ai 5d'icônes comme ça !!!
comment tu fais encliques pour m'envoyer ton image que je puisse en faire autant ?
enclique4$2004065
enclique4
23/01 :: 20:43

Arrivant



il suffit de faire un impr ecran en appuyant sur la touche correspondante puis d'aller dans paint et de la coller et ensuite si tu n'as pas de site ou d'hebergeur tu l'heberge ici http://www.imageshack.us/ et tu la postes sur le forum.
Surcouf$2005019
Surcouf
23/01 :: 21:07

Arrivant



bon c'est trop compliqué... je vais plutôt te dire ce que j'ai moi quand je fais la même recherche :

WUAUCLT.EXE-399A8E72.pf dans C:\WINDOWS\Prefetch 27 Ko
wuauclt dans C:\WINDOWS\system32 113 Ko application
wuauclt1 dans C:\WINDOWS\system32 167 Ko application
wuauclt dans C:\WINDOWS\LastGood\System32 140 Ko application
wuauclt dans C:\WINDOWS\SoftwareDistribution\Download\dfd63227c75f2f41fff1e2c80885381e 110 Ko application
wuauclt1 dans C:\WINDOWS\SoftwareDistribution\Download\dfd63227c75f2f41fff1e2c80885381e 165 Ko application

voilà j'ai cinq applications au lieu d'une , normal ?
stin07bis$2004001
stin07bis
23/01 :: 21:34

Arrivant



regarde si tu le trouve ici...
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Microsoft autoupdate=WUAUCLT.EXE
@+
stin07bis$2004001
stin07bis
23/01 :: 21:58

Arrivant



wuauclt.exe....voir ici....
http://izsecurite.free.fr/forum/forum.php?f=1&view=195
http://izsecurite.free.fr/forum-2/forum.php?f=1&view=137
@+
Surcouf$2005019
Surcouf
23/01 :: 22:18

Arrivant



j'avais déjà regardé mais j'ai revérifié. non, ça va je crois pas que ça craint, mais je m'étonne quand même d'avoir 5 applications de wuauclt. y en a que je peux supprimer ? ( corbeille)
stin07bis$2004001
stin07bis
23/01 :: 22:26

Arrivant



tu n'es pas obligé de laissez ce processus active...dans le gestionnaire de tache...
en cas de mise à jour tu peux le faire manuellement...
sinon si tu as un doute va voir ici....
http://www.sophos.com/virusinfo/analyses/trojcultb.html
stin07bis$2004001
stin07bis
23/01 :: 22:52

Arrivant



voilà la mise en clair pour "wuauclt.exe.....

Microsoft AutoUpdate for Windows ME/2000/XP. Whenever you connect to the Internet, WUAUCLT checks the Microsoft website for updates to Windows Millennium Edition.

Recommendation :
We recommend against having any sort of AutoUpdate feature turned ON for operating systems. If your system works, do not fix it unless there is a major security update released by Microsoft as a result of a virus outbreak, in which case do a manual Windows Update (if you do not have a Windows Update icon, simply go to http://www.windowsupdate.com to do a Windows Update). Updates should be manually controlled as the downside, if something goes wrong, is potentially an unusable PC – we recommend doing a manual Windows Update once every two months or when there is a major new virus; this statistically lessens the chance of you picking up a Windows Update that causes problem as, in most cases, you will be picking up the update a few days after it has been released when Microsoft will have had the chance to correct what may have been a disastrous first release of the update. Always backup your critical data (documents, emails, etc..) before doing a Windows Update. To turn OFF Automatic Windows Updating, do as follows :
Windows ME : “Start \ Settings \ Control Panel \ Automatic Updates \ Turn OFF automatic updating”. Then reboot your PC.
Windows 2000 : “Start \ Settings \ Control Panel \ Automatic Updates”. Uncheck “Keep my computer up to date”.
Windows XP : “Start \ Settings \ Control Panel” or “Start \ Control Panel” depending on how you have XP configured. Then, double-click the SYSTEM icon. Next, choose the Automatic Updates tab and uncheck “Keep my computer up to date”.
je pense que là tout est clair.....@+
Surcouf$2005019
Surcouf
24/01 :: 00:16

Arrivant



yes, if I find the energy to translate that high rated technological langage. thanks at least, I enjoy much more doing mathematics at this time of the night... see you later
Surcouf$2005019
Surcouf
24/01 :: 00:30

Arrivant



ça y est, j'ai quand même traduit et j'ai suivi la consigne : y a un hic...
ils disent dans l'article d'aller dans l'onglet mises à jour automatiques et de désactiver la MàJ auto, mais toutes les options de cet onglet sont grisées et inaccessible chez moi... je peux donc rien modifier à partir de là... je vai attendre un peu, et si je n'ai pas d'info contradictoire de votre part, je vai effacer 4 des cinq applications wuauclt... et pour désactiver l'option MàJ auto, je cherche encore... (si ça se trouve c'est déjà fait! lol )
@+
habana$
habana
25/01 :: 01:17

Arrivant



Surcouf, tu es administrateur sur ce compte ?
Surcouf$2005019
Surcouf
25/01 :: 22:56

Arrivant



ouaich, c'est ma bécane... mais je me demande si j'ai pas pris sans le savoir une version de wuault chez microsoft qui fait tout automatiquement et désactive ainsi le menu du panno de config? q'est ce t en pense ?
« Topic Précédent
winmedplay		Retour forumTopic Suivant »
A l'aide
 Forum en lecture seule

Da NobodX Forum :: V 3.14159 customized Abc de la sécurité informatique- abcdelasecurite.free.fr

Visiteurs depuis
le 22/02/2001