wuauclt.exe

Pierre Vandevenne

20/07/2004 à 12:23

Pierre VG <kostic+ wrote in
news::

Pascal a joyeusement tapoté
(news:40fcbe18$0$8979$) dans
fr.comp.securite.virus:

J'ai ce truc, ne serait ce pas un cheval de troie?

http://www.commentcamarche.net/processus/wuauclt-exe.php3
google est votre ami...
quel est votre système d'exploitation ?

La description donnée sur ce site me parait incorrecte. Ce wuauclt.exe
n'est pas exclusif à Windows ME. Le Windows Update Automatic Update client
est aussi utilisé par les OS postérieurs.

--
Pierre Vandevenne - DataRescue sa/nv - www.datarescue.com
The IDA Pro Disassembler & Debugger - world leader in hostile code analysis
PhotoRescue - advanced data recovery for digital photographic media
latest review: http://www.pcmag.com/article2/0,1759,1590497,00.asp

Pierre Vandevenne

20/07/2004 à 14:32

joke0 wrote in news:Xn1E7185BF2C4Ajoke0@
127.0.0.1:

Pierre Vandevenne écrivait :
La description donnée sur ce site me parait incorrecte. Ce
wuauclt.exe n'est pas exclusif à Windows ME. Le Windows Update
Automatic Update client est aussi utilisé par les OS
postérieurs.

Je crois que tu confonds avec WUCrtUpd.exe

http://www.liutilities.com/products/wintaskspro/processlibrary/wuauclt/
http://www.answersthatwork.com/Tasklist_pages/tasklist_w.htm

Alors, je ne suis pas le seul...

http://support.microsoft.com/default.aspx?scid=kb;en-us;810160

--
Pierre Vandevenne - DataRescue sa/nv - www.datarescue.com
The IDA Pro Disassembler & Debugger - world leader in hostile code analysis
PhotoRescue - advanced data recovery for digital photographic media
latest review: http://www.pcmag.com/article2/0,1759,1590497,00.asp

Pierre Vandevenne

20/07/2004 à 14:37

Pierre Vandevenne wrote in
news::

joke0 wrote in news:Xn1E7185BF2C4Ajoke0@
127.0.0.1:

Pierre Vandevenne écrivait :
La description donnée sur ce site me parait incorrecte. Ce
wuauclt.exe n'est pas exclusif à Windows ME. Le Windows Update
Automatic Update client est aussi utilisé par les OS
postérieurs.

Je crois que tu confonds avec WUCrtUpd.exe

http://www.liutilities.com/products/wintaskspro/processlibrary/wuauclt/
http://www.answersthatwork.com/Tasklist_pages/tasklist_w.htm

Alors, je ne suis pas le seul...

http://support.microsoft.com/default.aspx?scid=kb;en-us;810160

Et je viens en outre de désassembler rapidement le mien (XP Pro) qui me
semble bien de Microsoft... :-)

text:01001BE8 aClientinfoXmln: ; DATA XREF:
.text:01009AD6o
.text:01001BE8 dw 3Ch
.text:01001BE8 unicode 0, <clientInfo xmlns="x-
schema:http://schemas.wi>
.text:01001BE8 unicode 0,
<ndowsupdate.com/iu/clientInfo.xml" clientNam>
.text:01001BE8 unicode 0, <e="au" />
.text:01001BE8 dw 3Eh
.text:01001BE8 unicode 0, <>,0

--
Pierre Vandevenne - DataRescue sa/nv - www.datarescue.com
The IDA Pro Disassembler & Debugger - world leader in hostile code analysis
PhotoRescue - advanced data recovery for digital photographic media
latest review: http://www.pcmag.com/article2/0,1759,1590497,00.asp

Pierre Vandevenne

20/07/2004 à 15:04

joke0 wrote in news:Xn84E0CF31DD0Fjoke0@
127.0.0.1:

Pierre Vandevenne écrivait :
Et je viens en outre de désassembler rapidement le mien (XP
Pro) qui me semble bien de Microsoft... :-)

Ma réponse peut sembler bizarre vu qu'elle confirme tes propos,
mais j'avais cru lire "antérieur" :-(

OK, j'insistais parce que j'avais un peu peur de voir les lecteurs du
groupes effacer sans remord le titi.

--
Pierre Vandevenne - DataRescue sa/nv - www.datarescue.com
The IDA Pro Disassembler & Debugger - world leader in hostile code analysis
PhotoRescue - advanced data recovery for digital photographic media
latest review: http://www.pcmag.com/article2/0,1759,1590497,00.asp

Pascal

20/07/2004 à 18:04

quel est votre système d'exploitation ?

Win2000 (mis à jour).
Par moment il me dit que je n'ai plus assez de mémoire virtuelle et le
système est d'une lenteur à pleurer (snif).
Merci
Pascal

Un petit rapport pour les spécialistes

Logfile of HijackThis v1.98.0
Scan saved at 18:02:58, on 20/07/2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:WINNTSystem32smss.exe
C:WINNTsystem32winlogon.exe
C:WINNTsystem32services.exe
C:WINNTsystem32lsass.exe
C:WINNTsystem32svchost.exe
C:WINNTsystem32spoolsv.exe
C:PROGRA~1GrisoftAVG6avgserv.exe
C:WINNTSystem32svchost.exe
C:WINNTSystem32nvsvc32.exe
C:WINNTsystem32regsvc.exe
C:WINNTsystem32MSTask.exe
C:WINNTSystem32tcpsvcs.exe
C:WINNTSystem32snmp.exe
C:WINNTsystem32stisvc.exe
C:WINNTSystem32Tablet.exe
C:WINNTSystem32WBEMWinMgmt.exe
C:Program FilesRealVNCWinVNCWinVNC.exe
C:WINNTsystem32svchost.exe
C:WINNTSystem32inetsrvinetinfo.exe
C:WINNTExplorer.EXE
C:Program FilesElaborate BytesCloneCDCloneCDTray.exe
C:Program FilesHome Media Networks LimitedShowShifterRFAnywhere.exe
C:PROGRA~1GrisoftAVG6avgcc32.exe
C:Program filesSMSCseticon.exe
C:WINNTsystem32svchosts.exe
C:WINNTsystem32internat.exe
C:WINNTsystem32RUNDLL32.EXE
C:Program FilesMicrosoft ActiveSyncWCESCOMM.EXE
C:Program FilesAdobeAcrobat 6.0Distillracrotray.exe
C:Program FilesWacomTabUserW.exe
C:epmissdbsolid.exe
C:epmisjrebinwebserver7.exe
C:PROGRA~1COMMON~1X10Commonx10nets.exe
C:Program FilesOutlook Expressmsimn.exe
C:WINNTsystem32wuauclt.exe
C:Program FilesInternet Exploreriexplore.exe
C:Documents and SettingsLiégeoisBureauHijackThis.exe

R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page_bak about:blank
R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName Liens
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -
C:Program FilesAdobeAcrobat 6.0AcrobatActiveXAcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:Program
FilesSpybot - Search & DestroySDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} -
c:program filesgooglegoogletoolbar2.dll
O2 - BHO: AcroIEToolbarHelper Class -
{AE7CD045-E861-484f-8273-0445EE161910} - C:Program FilesAdobeAcrobat
6.0AcrobatAcroIEFavClient.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} -
C:WINNTSystem32msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:program
filesgooglegoogletoolbar2.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} -
C:Program FilesAdobeAcrobat 6.0AcrobatAcroIEFavClient.dll
O4 - HKLM..Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM..Run: [CloneCDElbyCDFL] "C:Program FilesElaborate
BytesCloneCDElbyCheck.exe" /L ElbyCDFL
O4 - HKLM..Run: [CloneCDTray] "C:Program FilesElaborate
BytesCloneCDCloneCDTray.exe"
O4 - HKLM..Run: [PrinTray]
C:WINNTSystem32spoolDRIVERSW32X862printray.exe
O4 - HKLM..Run: [NeroCheck] C:WINNTSystem32NeroCheck.exe
O4 - HKLM..Run: [ShowShifter X10 Daemon] "C:Program FilesHome Media
Networks LimitedShowShifterRFAnywhere.exe"
O4 - HKLM..Run: [VOBRegCheck] C:WINNTSystem32VOBREGCheck.exe -CheckReg
O4 - HKLM..Run: [NvCplDaemon] RUNDLL32.EXE
C:WINNTSystem32NvCpl.dll,NvStartup
O4 - HKLM..Run: [nwiz] nwiz.exe /install
O4 - HKLM..Run: [WinVNC] "C:Program
FilesRealVNCWinVNCWinVNC.exe" -servicehelper
O4 - HKLM..Run: [AVG_CC] C:PROGRA~1GrisoftAVG6avgcc32.exe /STARTUP
O4 - HKLM..Run: [XESZ] C:WINNTXESZ.exe
O4 - HKLM..Run: [SetIcon] C:Program filesSMSCseticon.exe
O4 - HKLM..Run: [Windows Config] svchosts.exe
O4 - HKLM..RunServices: [Windows Config] svchosts.exe
O4 - HKLM..RunServicesOnce: [FAXPrint] C:WINNTSystem32awadpr32.exe /AM
O4 - HKCU..Run: [internat.exe] internat.exe
O4 - HKCU..Run: [NvMediaCenter] RUNDLL32.EXE
C:WINNTSystem32NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU..Run: [H/PC Connection Agent] "C:Program FilesMicrosoft
ActiveSyncWCESCOMM.EXE"
O4 - Global Startup: Assistant d'Acrobat.lnk = C:Program
FilesAdobeAcrobat 6.0Distillracrotray.exe
O4 - Global Startup: EPSON Status Monitor 3 Environment Check(2).lnk C:WINNTsystem32spooldriversw32x863E_SRCV02.EXE
O4 - Global Startup: M.I.S.Server-Start.lnk = C:epmisstartserver.bat
O4 - Global Startup: TabUserW.lnk = C:Program FilesWacomTabUserW.exe
O8 - Extra context menu item: &Google Search - res://c:program
filesgoogleGoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Télécharger avec NetTransport - C:Program
FilesXiNetTransport 2NTAddLink.html
O8 - Extra context menu item: Backward &Links - res://c:program
filesgoogleGoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:program
filesgoogleGoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://c:program
filesgoogleGoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Tout t&élécharger avec NetTransport -
C:Program FilesXiNetTransport 2NTAddList.html
O9 - Extra button: Créer un Favori de l'appareil mobile -
{2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:Program FilesMicrosoft
ActiveSyncINETREPL.DLL
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} -
C:Program FilesMicrosoft ActiveSyncINETREPL.DLL
O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... -
{2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:Program FilesMicrosoft
ActiveSyncINETREPL.DLL
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no
file)
O12 - Plugin for .ssc: C:WINNTDownloaded Program
FilesUbizenSmartStartNPSmartStart32.dll
O16 - DPF: Dexia Netbanking -
http://netbanking.dexia.be/PC//Dynamic/Shared/Applet//DexiaIIA.cab
O16 - DPF: minosweb - http://www.qatec.fr/minosweb/minosweb.cab
O16 - DPF: ServerPushBox -
http://guest::1080/servp12.cab
O16 - DPF: {0246ECA8-996F-11D1-BE2F-00A0C9037DFE} (TDServer Control) -
http://fr.encyclopedia.yahoo.com/rsc/tdserver.cab
O16 - DPF: {0E8D0700-75DF-11D3-8B4A-0008C7450C4A} (DjVuCtl Class) -
http://www.lizardtech.com/plugins/fr_FR/DjVuControl.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX
Control) -
http://activex.microsoft.com/activex/controls/macromedia/Swdir.cab
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) -
http://www.cult3d.com/download/cult.cab
O16 - DPF: {3CA6DFF6-C6B0-11D4-8035-0050BF0BA18C} (BMSPX Control) -
http://80.200.161.180/bmspx.cab
O16 - DPF: {660B74E4-4E01-43DE-BB13-2BA2D643C05A} (SmartStartCtl Class) -
https://internetbanking.argenta.be/multisecure/smartstart/Win32/SmartStartCtl.cab
O16 - DPF: {68D6F007-D557-4CC2-8EFE-3950DF8DBF43}
(BMINDHTMLEDITOR.CtrlBMindHTMLEdit) -
http://download.bmind.com/htmleditor/1.1.0.14/BMindHTMLEditor.CAB
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) -
http://a840.g.akamai.net/7/840/537/2003120501/housecall.antivirus.com/housecall/xscan53.cab
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) -
http://217.136.201.66/activex/AxisCamControl.cab
O16 - DPF: {94B964F0-45CC-11D4-9F1D-0060085C7782} (Version Class) -
https://internetbanking.argenta.be/multisecure/smartstart/Win32/SmartStartSetup.cab
O16 - DPF: {ADC3EA10-8A28-41A9-96B4-534ADFC3CA0A} (Configuratore Auto
Control) - http://cv.fiat.com/autopricer/ocx/configuratoreauto.cab
O16 - DPF: {EF58E341-49C3-4156-A3C4-5FFCA7C1EAB7} (EURAS_Portal.Gateway) -
http://www.euras.com/euras/activex/euras.CAB
O17 -
HKLMSystemCCSServicesTcpip..{6CB2A373-F4EF-471B-8C34-6012EEC4ED29}:
NameServer = 212.100.160.52
O20 - AppInit_DLLs: ,

quel est votre système d'exploitation ?

Win2000 (mis à jour).
Par moment il me dit que je n'ai plus assez de mémoire virtuelle et le
système est d'une lenteur à pleurer (snif).
Merci
Pascal

Un petit rapport pour les spécialistes

Logfile of HijackThis v1.98.0
Scan saved at 18:02:58, on 20/07/2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:WINNTSystem32smss.exe
C:WINNTsystem32winlogon.exe
C:WINNTsystem32services.exe
C:WINNTsystem32lsass.exe
C:WINNTsystem32svchost.exe
C:WINNTsystem32spoolsv.exe
C:PROGRA~1GrisoftAVG6avgserv.exe
C:WINNTSystem32svchost.exe
C:WINNTSystem32nvsvc32.exe
C:WINNTsystem32regsvc.exe
C:WINNTsystem32MSTask.exe
C:WINNTSystem32tcpsvcs.exe
C:WINNTSystem32snmp.exe
C:WINNTsystem32stisvc.exe
C:WINNTSystem32Tablet.exe
C:WINNTSystem32WBEMWinMgmt.exe
C:Program FilesRealVNCWinVNCWinVNC.exe
C:WINNTsystem32svchost.exe
C:WINNTSystem32inetsrvinetinfo.exe
C:WINNTExplorer.EXE
C:Program FilesElaborate BytesCloneCDCloneCDTray.exe
C:Program FilesHome Media Networks LimitedShowShifterRFAnywhere.exe
C:PROGRA~1GrisoftAVG6avgcc32.exe
C:Program filesSMSCseticon.exe
C:WINNTsystem32svchosts.exe
C:WINNTsystem32internat.exe
C:WINNTsystem32RUNDLL32.EXE
C:Program FilesMicrosoft ActiveSyncWCESCOMM.EXE
C:Program FilesAdobeAcrobat 6.0Distillracrotray.exe
C:Program FilesWacomTabUserW.exe
C:epmissdbsolid.exe
C:epmisjrebinwebserver7.exe
C:PROGRA~1COMMON~1X10Commonx10nets.exe
C:Program FilesOutlook Expressmsimn.exe
C:WINNTsystem32wuauclt.exe
C:Program FilesInternet Exploreriexplore.exe
C:Documents and SettingsLiégeoisBureauHijackThis.exe

R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page_bak about:blank
R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName Liens
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -
C:Program FilesAdobeAcrobat 6.0AcrobatActiveXAcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:Program
FilesSpybot - Search & DestroySDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} -
c:program filesgooglegoogletoolbar2.dll
O2 - BHO: AcroIEToolbarHelper Class -
{AE7CD045-E861-484f-8273-0445EE161910} - C:Program FilesAdobeAcrobat
6.0AcrobatAcroIEFavClient.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} -
C:WINNTSystem32msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:program
filesgooglegoogletoolbar2.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} -
C:Program FilesAdobeAcrobat 6.0AcrobatAcroIEFavClient.dll
O4 - HKLM..Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM..Run: [CloneCDElbyCDFL] "C:Program FilesElaborate
BytesCloneCDElbyCheck.exe" /L ElbyCDFL
O4 - HKLM..Run: [CloneCDTray] "C:Program FilesElaborate
BytesCloneCDCloneCDTray.exe"
O4 - HKLM..Run: [PrinTray]
C:WINNTSystem32spoolDRIVERSW32X862printray.exe
O4 - HKLM..Run: [NeroCheck] C:WINNTSystem32\NeroCheck.exe
O4 - HKLM..Run: [ShowShifter X10 Daemon] "C:Program FilesHome Media
Networks LimitedShowShifterRFAnywhere.exe"
O4 - HKLM..Run: [VOBRegCheck] C:WINNTSystem32VOBREGCheck.exe -CheckReg
O4 - HKLM..Run: [NvCplDaemon] RUNDLL32.EXE
C:WINNTSystem32NvCpl.dll,NvStartup
O4 - HKLM..Run: [nwiz] nwiz.exe /install
O4 - HKLM..Run: [WinVNC] "C:Program
FilesRealVNCWinVNCWinVNC.exe" -servicehelper
O4 - HKLM..Run: [AVG_CC] C:PROGRA~1GrisoftAVG6avgcc32.exe /STARTUP
O4 - HKLM..Run: [XESZ] C:WINNTXESZ.exe
O4 - HKLM..Run: [SetIcon] C:Program filesSMSCseticon.exe
O4 - HKLM..Run: [Windows Config] svchosts.exe
O4 - HKLM..RunServices: [Windows Config] svchosts.exe
O4 - HKLM..RunServicesOnce: [FAXPrint] C:WINNTSystem32awadpr32.exe /AM
O4 - HKCU..Run: [internat.exe] internat.exe
O4 - HKCU..Run: [NvMediaCenter] RUNDLL32.EXE
C:WINNTSystem32NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU..Run: [H/PC Connection Agent] "C:Program FilesMicrosoft
ActiveSyncWCESCOMM.EXE"
O4 - Global Startup: Assistant d'Acrobat.lnk = C:Program
FilesAdobeAcrobat 6.0Distillracrotray.exe
O4 - Global Startup: EPSON Status Monitor 3 Environment Check(2).lnk C:WINNTsystem32spooldriversw32x863E_SRCV02.EXE
O4 - Global Startup: M.I.S.Server-Start.lnk = C:epmisstartserver.bat
O4 - Global Startup: TabUserW.lnk = C:Program FilesWacomTabUserW.exe
O8 - Extra context menu item: &Google Search - res://c:program
filesgoogleGoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Télécharger avec NetTransport - C:Program
FilesXiNetTransport 2NTAddLink.html
O8 - Extra context menu item: Backward &Links - res://c:program
filesgoogleGoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:program
filesgoogleGoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://c:program
filesgoogleGoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Tout t&élécharger avec NetTransport -
C:Program FilesXiNetTransport 2NTAddList.html
O9 - Extra button: Créer un Favori de l'appareil mobile -
{2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:Program FilesMicrosoft
ActiveSyncINETREPL.DLL
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} -
C:Program FilesMicrosoft ActiveSyncINETREPL.DLL
O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... -
{2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:Program FilesMicrosoft
ActiveSyncINETREPL.DLL
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no
file)
O12 - Plugin for .ssc: C:WINNTDownloaded Program
FilesUbizenSmartStartNPSmartStart32.dll
O16 - DPF: Dexia Netbanking -
http://netbanking.dexia.be/PC//Dynamic/Shared/Applet//DexiaIIA.cab
O16 - DPF: minosweb - http://www.qatec.fr/minosweb/minosweb.cab
O16 - DPF: ServerPushBox -
http://guest:guest@194.78.136.101:1080/servp12.cab
O16 - DPF: {0246ECA8-996F-11D1-BE2F-00A0C9037DFE} (TDServer Control) -
http://fr.encyclopedia.yahoo.com/rsc/tdserver.cab
O16 - DPF: {0E8D0700-75DF-11D3-8B4A-0008C7450C4A} (DjVuCtl Class) -
http://www.lizardtech.com/plugins/fr_FR/DjVuControl.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX
Control) -
http://activex.microsoft.com/activex/controls/macromedia/Swdir.cab
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) -
http://www.cult3d.com/download/cult.cab
O16 - DPF: {3CA6DFF6-C6B0-11D4-8035-0050BF0BA18C} (BMSPX Control) -
http://80.200.161.180/bmspx.cab
O16 - DPF: {660B74E4-4E01-43DE-BB13-2BA2D643C05A} (SmartStartCtl Class) -
https://internetbanking.argenta.be/multisecure/smartstart/Win32/SmartStartCtl.cab
O16 - DPF: {68D6F007-D557-4CC2-8EFE-3950DF8DBF43}
(BMINDHTMLEDITOR.CtrlBMindHTMLEdit) -
http://download.bmind.com/htmleditor/1.1.0.14/BMindHTMLEditor.CAB
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) -
http://a840.g.akamai.net/7/840/537/2003120501/housecall.antivirus.com/housecall/xscan53.cab
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) -
http://217.136.201.66/activex/AxisCamControl.cab
O16 - DPF: {94B964F0-45CC-11D4-9F1D-0060085C7782} (Version Class) -
https://internetbanking.argenta.be/multisecure/smartstart/Win32/SmartStartSetup.cab
O16 - DPF: {ADC3EA10-8A28-41A9-96B4-534ADFC3CA0A} (Configuratore Auto
Control) - http://cv.fiat.com/autopricer/ocx/configuratoreauto.cab
O16 - DPF: {EF58E341-49C3-4156-A3C4-5FFCA7C1EAB7} (EURAS_Portal.Gateway) -
http://www.euras.com/euras/activex/euras.CAB
O17 -
HKLMSystemCCSServicesTcpip..{6CB2A373-F4EF-471B-8C34-6012EEC4ED29}:
NameServer = 212.100.160.52
O20 - AppInit_DLLs: ,

Vous avez filtré cet utilisateur ! Consultez son message

quel est votre système d'exploitation ?

Win2000 (mis à jour).
Par moment il me dit que je n'ai plus assez de mémoire virtuelle et le
système est d'une lenteur à pleurer (snif).
Merci
Pascal

Un petit rapport pour les spécialistes

Logfile of HijackThis v1.98.0
Scan saved at 18:02:58, on 20/07/2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:WINNTSystem32smss.exe
C:WINNTsystem32winlogon.exe
C:WINNTsystem32services.exe
C:WINNTsystem32lsass.exe
C:WINNTsystem32svchost.exe
C:WINNTsystem32spoolsv.exe
C:PROGRA~1GrisoftAVG6avgserv.exe
C:WINNTSystem32svchost.exe
C:WINNTSystem32nvsvc32.exe
C:WINNTsystem32regsvc.exe
C:WINNTsystem32MSTask.exe
C:WINNTSystem32tcpsvcs.exe
C:WINNTSystem32snmp.exe
C:WINNTsystem32stisvc.exe
C:WINNTSystem32Tablet.exe
C:WINNTSystem32WBEMWinMgmt.exe
C:Program FilesRealVNCWinVNCWinVNC.exe
C:WINNTsystem32svchost.exe
C:WINNTSystem32inetsrvinetinfo.exe
C:WINNTExplorer.EXE
C:Program FilesElaborate BytesCloneCDCloneCDTray.exe
C:Program FilesHome Media Networks LimitedShowShifterRFAnywhere.exe
C:PROGRA~1GrisoftAVG6avgcc32.exe
C:Program filesSMSCseticon.exe
C:WINNTsystem32svchosts.exe
C:WINNTsystem32internat.exe
C:WINNTsystem32RUNDLL32.EXE
C:Program FilesMicrosoft ActiveSyncWCESCOMM.EXE
C:Program FilesAdobeAcrobat 6.0Distillracrotray.exe
C:Program FilesWacomTabUserW.exe
C:epmissdbsolid.exe
C:epmisjrebinwebserver7.exe
C:PROGRA~1COMMON~1X10Commonx10nets.exe
C:Program FilesOutlook Expressmsimn.exe
C:WINNTsystem32wuauclt.exe
C:Program FilesInternet Exploreriexplore.exe
C:Documents and SettingsLiégeoisBureauHijackThis.exe

R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page_bak about:blank
R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName Liens
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -
C:Program FilesAdobeAcrobat 6.0AcrobatActiveXAcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:Program
FilesSpybot - Search & DestroySDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} -
c:program filesgooglegoogletoolbar2.dll
O2 - BHO: AcroIEToolbarHelper Class -
{AE7CD045-E861-484f-8273-0445EE161910} - C:Program FilesAdobeAcrobat
6.0AcrobatAcroIEFavClient.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} -
C:WINNTSystem32msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:program
filesgooglegoogletoolbar2.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} -
C:Program FilesAdobeAcrobat 6.0AcrobatAcroIEFavClient.dll
O4 - HKLM..Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM..Run: [CloneCDElbyCDFL] "C:Program FilesElaborate
BytesCloneCDElbyCheck.exe" /L ElbyCDFL
O4 - HKLM..Run: [CloneCDTray] "C:Program FilesElaborate
BytesCloneCDCloneCDTray.exe"
O4 - HKLM..Run: [PrinTray]
C:WINNTSystem32spoolDRIVERSW32X862printray.exe
O4 - HKLM..Run: [NeroCheck] C:WINNTSystem32NeroCheck.exe
O4 - HKLM..Run: [ShowShifter X10 Daemon] "C:Program FilesHome Media
Networks LimitedShowShifterRFAnywhere.exe"
O4 - HKLM..Run: [VOBRegCheck] C:WINNTSystem32VOBREGCheck.exe -CheckReg
O4 - HKLM..Run: [NvCplDaemon] RUNDLL32.EXE
C:WINNTSystem32NvCpl.dll,NvStartup
O4 - HKLM..Run: [nwiz] nwiz.exe /install
O4 - HKLM..Run: [WinVNC] "C:Program
FilesRealVNCWinVNCWinVNC.exe" -servicehelper
O4 - HKLM..Run: [AVG_CC] C:PROGRA~1GrisoftAVG6avgcc32.exe /STARTUP
O4 - HKLM..Run: [XESZ] C:WINNTXESZ.exe
O4 - HKLM..Run: [SetIcon] C:Program filesSMSCseticon.exe
O4 - HKLM..Run: [Windows Config] svchosts.exe
O4 - HKLM..RunServices: [Windows Config] svchosts.exe
O4 - HKLM..RunServicesOnce: [FAXPrint] C:WINNTSystem32awadpr32.exe /AM
O4 - HKCU..Run: [internat.exe] internat.exe
O4 - HKCU..Run: [NvMediaCenter] RUNDLL32.EXE
C:WINNTSystem32NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU..Run: [H/PC Connection Agent] "C:Program FilesMicrosoft
ActiveSyncWCESCOMM.EXE"
O4 - Global Startup: Assistant d'Acrobat.lnk = C:Program
FilesAdobeAcrobat 6.0Distillracrotray.exe
O4 - Global Startup: EPSON Status Monitor 3 Environment Check(2).lnk C:WINNTsystem32spooldriversw32x863E_SRCV02.EXE
O4 - Global Startup: M.I.S.Server-Start.lnk = C:epmisstartserver.bat
O4 - Global Startup: TabUserW.lnk = C:Program FilesWacomTabUserW.exe
O8 - Extra context menu item: &Google Search - res://c:program
filesgoogleGoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Télécharger avec NetTransport - C:Program
FilesXiNetTransport 2NTAddLink.html
O8 - Extra context menu item: Backward &Links - res://c:program
filesgoogleGoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:program
filesgoogleGoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://c:program
filesgoogleGoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Tout t&élécharger avec NetTransport -
C:Program FilesXiNetTransport 2NTAddList.html
O9 - Extra button: Créer un Favori de l'appareil mobile -
{2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:Program FilesMicrosoft
ActiveSyncINETREPL.DLL
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} -
C:Program FilesMicrosoft ActiveSyncINETREPL.DLL
O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... -
{2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:Program FilesMicrosoft
ActiveSyncINETREPL.DLL
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no
file)
O12 - Plugin for .ssc: C:WINNTDownloaded Program
FilesUbizenSmartStartNPSmartStart32.dll
O16 - DPF: Dexia Netbanking -
http://netbanking.dexia.be/PC//Dynamic/Shared/Applet//DexiaIIA.cab
O16 - DPF: minosweb - http://www.qatec.fr/minosweb/minosweb.cab
O16 - DPF: ServerPushBox -
http://guest::1080/servp12.cab
O16 - DPF: {0246ECA8-996F-11D1-BE2F-00A0C9037DFE} (TDServer Control) -
http://fr.encyclopedia.yahoo.com/rsc/tdserver.cab
O16 - DPF: {0E8D0700-75DF-11D3-8B4A-0008C7450C4A} (DjVuCtl Class) -
http://www.lizardtech.com/plugins/fr_FR/DjVuControl.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX
Control) -
http://activex.microsoft.com/activex/controls/macromedia/Swdir.cab
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) -
http://www.cult3d.com/download/cult.cab
O16 - DPF: {3CA6DFF6-C6B0-11D4-8035-0050BF0BA18C} (BMSPX Control) -
http://80.200.161.180/bmspx.cab
O16 - DPF: {660B74E4-4E01-43DE-BB13-2BA2D643C05A} (SmartStartCtl Class) -
https://internetbanking.argenta.be/multisecure/smartstart/Win32/SmartStartCtl.cab
O16 - DPF: {68D6F007-D557-4CC2-8EFE-3950DF8DBF43}
(BMINDHTMLEDITOR.CtrlBMindHTMLEdit) -
http://download.bmind.com/htmleditor/1.1.0.14/BMindHTMLEditor.CAB
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) -
http://a840.g.akamai.net/7/840/537/2003120501/housecall.antivirus.com/housecall/xscan53.cab
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) -
http://217.136.201.66/activex/AxisCamControl.cab
O16 - DPF: {94B964F0-45CC-11D4-9F1D-0060085C7782} (Version Class) -
https://internetbanking.argenta.be/multisecure/smartstart/Win32/SmartStartSetup.cab
O16 - DPF: {ADC3EA10-8A28-41A9-96B4-534ADFC3CA0A} (Configuratore Auto
Control) - http://cv.fiat.com/autopricer/ocx/configuratoreauto.cab
O16 - DPF: {EF58E341-49C3-4156-A3C4-5FFCA7C1EAB7} (EURAS_Portal.Gateway) -
http://www.euras.com/euras/activex/euras.CAB
O17 -
HKLMSystemCCSServicesTcpip..{6CB2A373-F4EF-471B-8C34-6012EEC4ED29}:
NameServer = 212.100.160.52
O20 - AppInit_DLLs: ,

joke0

20/07/2004 à 19:45

Salut,

Pascal:

C:WINNTsystem32svchosts.exe

Une bestiole, envoies m'en une copie. Tu coches.

O4 - HKLM..Run: [Windows Config] svchosts.exe
O4 - HKLM..RunServices: [Windows Config] svchosts.exe

Coche ce deux là aussi.

O20 - AppInit_DLLs: ,

C'est louche cette virgule. Tu coches.

Ce qu'il faut faire ensuite c'est expliqué dans la FAQ:
<URL:http://joke0.free.fr/ht.html>

Après avoir redémarré fais refais un scan avec HT et reposte-le.

--
joke0

Pascal

21/07/2004 à 06:23

C:WINNTsystem32svchosts.exe

cette ligne n'apparait que dans le rapport, pas dans la liste à cocher, ou
se cache t'elle?
Merci

joke0

21/07/2004 à 09:19

Salut,

Pascal:

C:WINNTsystem32svchosts.exe

cette ligne n'apparait que dans le rapport, pas dans la liste
à cocher, ou se cache t'elle?

Il s'agit de la liste des processus actifs, ils ne peuvent être
cochés. Au temps pour moi.

--
joke0

Pascal

22/07/2004 à 06:34

Pascal:
C:WINNTsystem32svchosts.exe

Je n'arrive pas à désactiver dans le gestionnaire des tâches (accès refusé).
Elle apparait 3 fois.
Comment désactiver ce truc au démarrage?
Merci

JacK

22/07/2004 à 08:05

sur les news:40ff4243$0$8989$
Pascal" <pascal.liegeois"au-diable-les-spams!
<pascal.liegeois"au-diable-les-spams!"@easynet.be> signalait:

Pascal:
C:WINNTsystem32svchosts.exe

Je n'arrive pas à désactiver dans le gestionnaire des tâches (accès
refusé). Elle apparait 3 fois.
Comment désactiver ce truc au démarrage?
Merci

'lut,

Ça ne se désactive pas !
--
JacK

wuauclt.exe

10 réponses

Veuillez sélectionner un problème