Salut,

Moi j'essaierais un redémarrage en mode sans échec (le normal, pas le réseau), et un scan avec ton antivirus... En passant mon avis sur McAfee, c'est remplace le par Avast! qui est gratuit et meilleure que cette .....:) payante. avast dot com. Donc tu reboot en sans échec, et tu scan avec l'anti-virus, avec a-squared aussi... et si jamais tu fais comme moi partie des chanceux qui ne piratent pas Windows, alors télécharge et installe avant de redémarrer le logiciel "Windows Defender" qui est le plus puissant anti-spyware sur le marché, encore une fois a mon humble avis. Tu le trouveras sur microsoft dot com slash defender.

Bonne chance!

Kaddict.

Salut bag,

Le rapport ne montre rien de spécial pour le moment, il faut je creuse un peu.
C'est peut être une fausse détection positive.
As tu noté le nom du fichier infectés et son emplacement?

Avast non plus n'est plus vraiment meilleur que McAfee.
Antivir de Avira est parmis les meilleurs AV (top5) et bien devant Avast.
http://www.free-av.com/

Le tutoriel pour Antivir ici :
http://forum.malekal.com/ftopic4192.php

Et ici un comparatif intéressant Avast-Antivir:
http://forum.malekal.com/ftopic3528.php
Et 2 autres comparatifs complet:
http://www.pcinpact.com/...
http://www.av-comparatives.org/

-------------------

Un petit nettoyage pourrait peut être aider.
Télécharger et exécuter Spybot, CCleaner et AdAware

-Spybot pour enlever les spywares http://www.safer-networking.org/fr/mirrors/index.html
Voici son tutoriel:
http://www.safer-networking.org/fr/tutorial/index.html

-CCleaner (en français) pour nettoyer les fichiers temporaires, cookies... ainsi que les clefs de la base de registre inutile.
http://www.filehippo.com/download_ccleaner/?2927
Pendant l'installation décocher l'option de la barre yahoo.
Son tutoriel en anglais: http://www.ccleaner.com/help/tour/1-after-installation
Une fois installé, aller dans Options/Propriétés/ Effacement sécurisé du fichier (lent) Type NSA (7 Passages).
C'est la meilleure config.
Bouton nettoyer, appuyer sur Analyse ensuite Lancer le nettoyage.
Ensuite sur le bouton Erreurs (base de registre) répéter 2 fois les étapes suivantes:
Chercher les erreurs- Réparer les erreurs sélectionnées
Ne pas oublier de sauvegarder au cas ou il supprimerait une mauvaise clef (peu probable)

-Ad-aware2007 : http://www.commentcamarche.net/telecharger/telecharger 83 ad aware
nouvelle version en anglais uniquement, mais très simple (appuyer sur cancel quand il demande les numéros de série pour avoir la version gratuite).
La première fois, appuyer sur le bouton update il va demander si vous voulez exécuter update cliquer yes.
Ensuite appuyer sur scan et la première fois, cocher full scan et appuyer sur scan (la fois suivante cocher smart scan, ce sera un scan des zones principales).

Essayez un de ces scan en ligne (sous IE uniquement, accepter le module activeX) :
Bitdefender http://www.bitdefender.fr/scan_fr/scan8/ie.html
Nod32 Eset http://www.eset.com/onlinescan/scanner.php?i_agree=14
F-secure http://support.f-secure.com/enu/home/ols.shtml
(Utile à rajouter dans les favoris)

Copier coller un rapport si positif dans le prochain message + log HiJackthis.

Denis
Rien de sert de courir, il faut partir à point, ou à virgule :-P

Tout dabord merci de m'avoir repondu aussi vite.
J'ai donc effectué un scan avec a-squared free en mode sans echec = rien. un scan avec mc afee antivirus en mode sans echec = rien,
puis j'ai utilise spybot, ccleaner et adware = certains problemes detectes et nettoyes. Enfin j'ai fini par un scan par f-secure online =
il m'a trouve des problemes que j'ai nettoye egalement.

Alors la, apres une nuit a scanner, nettoyer etc.... je relance wow et grrrrr... toujours se message concernant le trojan downloader win 32 agent variant sur mon pc ???? J'y comprend plus rien, c'est a ce demander si je l'ai vraiment se trojan de m.....

Enfin bref, j'attend votre avis d'expert pour savoir si je valide quand meme mon lancement de wow lorsqu'il m'annonce se message, n'ayant jamais continué jusqu'a present, par peur de tout planter.( pour info le message ne me donne aucune precision quant a l'emplacement du trojan juste" trojan .....agent variant, a ete detecte sur votre pc"

Je vous joint un nouveau rapport de hijackthis au cas ou:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:24:52, on 09/12/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\PROGRA~1\MICROS~2\GAMECO~1\Common\SWTrayV4.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe
C:\Program Files\DAEMON Tools\daemon.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexStoreSvr.exe
C:\Program Files\a-squared Free\a2service.exe
C:\WINDOWS\ATKKBService.exe
C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
C:\Program Files\Fichiers communs\McAfee\HackerWatch\HWAPI.exe
C:\PROGRA~1\McAfee\MSC\mcmscsvc.exe
c:\program files\fichiers communs\mcafee\mna\mcnasvc.exe
C:\PROGRA~1\McAfee\VIRUSS~1\mcods.exe
C:\PROGRA~1\McAfee\MSC\mcpromgr.exe
c:\PROGRA~1\FICHIE~1\mcafee\redirsvc\redirsvc.exe
C:\PROGRA~1\McAfee\VIRUSS~1\mcshield.exe
C:\PROGRA~1\McAfee\VIRUSS~1\mcsysmon.exe
C:\PROGRA~1\mcafee.com\agent\mcagent.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\alg.exe
C:\PROGRA~1\FICHIE~1\McAfee\EmProxy\emproxy.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\PROGRA~1\INCRED~1\bin\IMApp.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://msn.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: scriptproxy - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - c:\PROGRA~1\mcafee\VIRUSS~1\scriptcl.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SideWinderTrayV4] C:\PROGRA~1\MICROS~2\GAMECO~1\Common\SWTrayV4.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ASUS SmartDoctor] C:\Program Files\ASUS\SmartDoctor\SmartDoctor.exe /start
O4 - HKCU\..\Run: [IncrediMail] C:\Program Files\IncrediMail\bin\IncMail.exe /c
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-20\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'Default user')
O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV02.EXE
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O16 - DPF: {0B79F48A-E8D6-11DB-9283-E25056D89593} (F-Secure Online Scanner 3.1) - http://support.f-secure.com/ols/fscax.cab
O16 - DPF: {88764F69-3831-4EC1-B40B-FF21D8381345} (AdVerifierADPCtrl Class) - https://static.impots.gouv.fr/tdir/static/adpform/AdSignerADP-1.0.cab
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Program Files\a-squared Free\a2service.exe
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe
O23 - Service: McAfee E-mail Proxy (Emproxy) - McAfee, Inc. - C:\PROGRA~1\FICHIE~1\McAfee\EmProxy\emproxy.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: McAfee HackerWatch Service - McAfee, Inc. - C:\Program Files\Fichiers communs\McAfee\HackerWatch\HWAPI.exe
O23 - Service: McAfee Update Manager (mcmispupdmgr) - McAfee, Inc. - C:\PROGRA~1\McAfee\MSC\mcupdmgr.exe
O23 - Service: McAfee Services (mcmscsvc) - McAfee, Inc. - C:\PROGRA~1\McAfee\MSC\mcmscsvc.exe
O23 - Service: McAfee Network Agent (McNASvc) - McAfee, Inc. - c:\program files\fichiers communs\mcafee\mna\mcnasvc.exe
O23 - Service: McAfee Scanner (McODS) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcods.exe
O23 - Service: McAfee Protection Manager (mcpromgr) - McAfee, Inc. - C:\PROGRA~1\McAfee\MSC\mcpromgr.exe
O23 - Service: McAfee Redirector Service (McRedirector) - McAfee, Inc. - c:\PROGRA~1\FICHIE~1\mcafee\redirsvc\redirsvc.exe
O23 - Service: McAfee Real-time Scanner (McShield) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcshield.exe
O23 - Service: McAfee SystemGuards (McSysmon) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcsysmon.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
End of file - 7617 bytes

Merci de vous pencher sur mon probleme.

Salut bag,

WOW je viens de comprendre wolrd of warcraft hehe
Il faut tu trouves le fichier sinon on ne pourra rien faire, car ce virus peut être enlevé par un procédure que je peux te donner mais ton log ne ressemble pas à ce virus.

As tu essayé :
Kaspersky http://webscanner.kaspersky.fr/
Bitdefender http://www.bitdefender.fr/scan_fr/scan8/ie.html
Nod32 Eset http://www.eset.com/onlinescan/scanner.php?i_agree=14
(Utile à rajouter dans les favoris)

Copier coller le rapport dans le prochain message.

bye bye

Denis
Rien de sert de courir, il faut partir à point, ou à virgule :-P

Salut,

oui kaddict à raison mais je suis partiellement d'accord avec lui.
j'utilises Kaspersky depuis la version 3 et jai utilisé plusieurs fois antivir dont 3 mois au complet cette année et Kaspersky ne ma rien trouvé par la suite.
il faut faire attention aux avis de chacun il faut se baser sur les comparatifs des dernières versions.
Avast est devenu très moyen car il n'a pas évolué, alors que Antivir est resté bon voir très bon.

Le webcanner de Kaspersky devrait le détecter et donner le nom du fichier.

bye

Denis
Rien de sert de courir, il faut partir à point, ou à virgule :-P

Messieur, sur vos conseil j'ai effectué des scan en ligne en mode sans echec avec reseau et Bitdefender ma trouvé quelque chose que visiblement il n'a pas pu nettoyé.
Si j'ai bien compris il les a supprimé mais probleme le message d'alerte de Worl of W. s'affiche toujours au demarrage alors ?????

Je joint le BitDefender Online Scanner



Rapport d'analyse généré à: Tue, Dec 11, 2007 - 19:10:29





Voie d'analyse: A:\;C:\;D:\;E:\;F:\;G:\;







Statistiques

Temps
00:40:41

Fichiers
242352

Directoires
4130

Secteurs de boot
3

Archives
8062

Paquets programmes
8469




Résultats

Virus identifiés
2

Fichiers infectés
2

Fichiers suspects
0

Avertissements
0

Désinfectés
0

Fichiers effacés
2




Info sur les moteurs

Définition virus
881283

Version des moteurs
AVCORE v1.0 (build 2422) (i386) (Sep 25 2007 08:26:36)

Analyse des plugins
14

Archive des plugins
38

Unpack des plugins
7

E-mail plugins
6

Système plugins
1




Paramètres d'analyse

Première action
Désinfecté

Seconde Action
Supprimé

Heuristique
Oui

Acceptez les avertissements
Oui

Extensions analysées
*;

Excludez les extensions


Analyse d'emails
Oui

Analyse des Archives
Oui

Analyser paquets programmes
Oui

Analyse des fichiers
Oui

Analyse de boot
Oui




Fichier analysé
Statut

C:\Documents and Settings\Administrateur\Application Data\Newsbin\Spool\alt.binaries.cd.image\news.free.fr-812900­00.rv2=>(gzip)
Nettoyé

C:\Documents and Settings\Administrateur\Application Data\Newsbin\Spool\alt.binaries.cd.image\news.free.fr-81295000.rv2
Nettoyé

C:\Documents and Settings\Administrateur\Application Data\Newsbin\Spool\alt.binaries.cd.image\news.free.fr-81295000.rv2=>(gzip)
Nettoyé

C:\Documents and Settings\Administrateur\Application Data\Newsbin\Spool\alt.binaries.cd.image\news.free.fr-81300000.rv2
Nettoyé

C:\Documents and Settings\Administrateur\Application Data\Newsbin\Spool\alt.binaries.cd.image\news.free.fr-81300000.rv2=>(gzip)
Nettoyé

C:\Documents and Settings\Administrateur\Application Data\Newsbin\Spool\alt.binaries.cd.image\news.free.fr-81305000.rv2
Nettoyé

C:\Documents and Settings\Administrateur\Application Data\Newsbin\Spool\alt.binaries.cd.image\news.free.fr-81305000.rv2=>(gzip)
Nettoyé

C:\Documents and Settings\Administrateur\Application Data\Newsbin\Spool\alt.binaries.cd.image\news.free.fr-81310000.rv2
Nettoyé

C:\Documents and Settings\Administrateur\Application Data\Newsbin\Spool\alt.binaries.cd.image\news.free.fr-81310000.rv2=>(gzip)
Nettoyé

C:\Documents and Settings\Administrateur\Application Data\Newsbin\Spool\alt.binaries.cd.image\news.free.fr-81315000.rv2
Nettoyé

C:\Documents and Settings\Administrateur\Application Data\Newsbin\Spool\alt.binaries.cd.image\news.free.fr-81315000.rv2=>(gzip)
Nettoyé

C:\Documents and Settings\Administrateur\Application Data\Newsbin\Spool\alt.binaries.cd.image\news.free.fr-81320000.rv2
Nettoyé

C:\Documents and Settings\Administrateur\Application Data\Newsbin\Spool\alt.binaries.cd.image\news.free.fr-81320000.rv2=>(gzip)
Nettoyé

C:\Documents and Settings\Administrateur\Application Data\Newsbin\Spool\alt.binaries.cd.image\news.free.fr-81325000.rv2
Nettoyé

C:\Documents and Settings\Administrateur\Application Data\Newsbin\Spool\alt.binaries.cd.image\news.free.fr-81325000.rv2=>(gzip)
Nettoyé

C:\Documents and Settings\Administrateur\Application Data\Newsbin\Spool\alt.binaries.cd.image\news.free.fr-81405000.rv2=>(gzip)
Nettoyé

C:\Documents and Settings\Administrateur\Application Data\Newsbin\Spool\alt.binaries.cd.image\news.free.fr-81410000.rv2
Nettoyé

C:\Documents and Settings\Administrateur\Application Data\Newsbin\Spool\alt.binaries.cd.image\news.free.fr-81410000.rv2=>(gzip)
Nettoyé

C:\Documents and Settings\Administrateur\Application Data\Newsbin\Spool\alt.binaries.cd.image\news.free.fr-81415000.rv2
Nettoyé

C:\Documents and Settings\Administrateur\Application Data\Newsbin\Spool\alt.binaries.cd.image\news.free.fr-81415000.rv2=>(gzip)
Nettoyé

C:\Documents and Settings\Administrateur\Application Data\Newsbin\Spool\alt.binaries.cd.image\news.free.fr-81420000.rv2
Nettoyé

C:\Documents and Settings\Administrateur\Application Data\Newsbin\Spool\alt.binaries.cd.image\news.free.fr-81420000.rv2=>(gzip)
Nettoyé

C:\Documents and Settings\Administrateur\Application Data\Newsbin\Spool\alt.binaries.cd.image\news.free.fr-81425000.rv2
Nettoyé

C:\Documents and Settings\Administrateur\Application Data\Newsbin\Spool\alt.binaries.cd.image\news.free.fr-81425000.rv2=>(gzip)
Nettoyé

C:\Documents and Settings\Administrateur\Application Data\Newsbin\Spool\alt.binaries.cd.image\news.free.fr-81430000.rv2
Nettoyé

C:\Documents and Settings\Administrateur\Application Data\Newsbin\Spool\alt.binaries.cd.image\news.free.fr-81430000.rv2=>(gzip)
Nettoyé

C:\Documents and Settings\Administrateur\Application Data\Newsbin\Spool\alt.binaries.cd.image\news.free.fr-81435000.rv2
Nettoyé

C:\Documents and Settings\Administrateur\Application Data\Newsbin\Spool\alt.binaries.cd.image\news.free.fr-81435000.rv2=>(gzip)
Nettoyé

C:\Documents and Settings\Administrateur\Application Data\Newsbin\Spool\alt.binaries.cd.image\news.free.fr-81440000.rv2
Nettoyé

C:\System Volume Information\_restore{F8C161A5-5106-4EC2-9784-AEEF1006B2BD}\RP382\A0035629.exe=>(CAB Sfx r)=>DaemonTools_WhenUSave_Installer.exe
Infecté par: Generic.Adw.SaveNow.F5FEB660

C:\System Volume Information\_restore{F8C161A5-5106-4EC2-9784-AEEF1006B2BD}\RP382\A0035629.exe=>(CAB Sfx r)=>DaemonTools_WhenUSave_Installer.exe
Echec de la désinfection

C:\System Volume Information\_restore{F8C161A5-5106-4EC2-9784-AEEF1006B2BD}\RP382\A0035629.exe=>(CAB Sfx r)=>DaemonTools_WhenUSave_Installer.exe
Supprimé

C:\System Volume Information\_restore{F8C161A5-5106-4EC2-9784-AEEF1006B2BD}\RP382\A0035629.exe=>(CAB Sfx r)
Echec de la mise à jour

C:\System Volume Information\_restore{F8C161A5-5106-4EC2-9784-AEEF1006B2BD}\RP382\A0035631.exe=>(CAB Sfx r)=>Setup.exe
Infecté par: Trojan.WhenU.H

C:\System Volume Information\_restore{F8C161A5-5106-4EC2-9784-AEEF1006B2BD}\RP382\A0035631.exe=>(CAB Sfx r)=>Setup.exe
Echec de la désinfection

C:\System Volume Information\_restore{F8C161A5-5106-4EC2-9784-AEEF1006B2BD}\RP382\A0035631.exe=>(CAB Sfx r)=>Setup.exe
Supprimé

C:\System Volume Information\_restore{F8C161A5-5106-4EC2-9784-AEEF1006B2BD}\RP382\A0035631.exe=>(CAB Sfx r)
Echec de la mise à jour

Salut,

J'ajouterais simplement ceci:

A ma connaissance, ces deux fichiers ne sont pas vraiment "infectés". Ce Setup.exe (de daemon tools) est dans la liste rouge car il contient le fichier WhenYouSave.exe, et WhenYouSave.exe est dans la liste rouge car c'est un AdWare, il affiche des annonces. On s'entend que c'est mal, les annonces, a cette différence près : Lorsque tu installes Daemon Tools, tu as le choix d'installer ou non l'application publicitaire, et Setup.exe ne l'installe pas si tu choisis de ne pas l'installer. Donc oui, a ce stade, il faut désactiver la restauration, ensuite désinstaller daemon tools et whenyousave s'il est présent, puis au besoin réinstaller le dernier daemon tools, sans publicité cette fois.

Au plaisir,

Kaddict.

Bonjour, et voila chose dite, chose faite, même si je commence a me demander si c'est pas plus un bug de WoW, plus qu'un reel trojan sur mon pc:


SDFix: Version 1.118

Run by Administrateur on 12/12/2007 at 10:16

Microsoft Windows XP [version 5.1.2600]

Running From: C:\SDFix

Safe Mode:
Checking Services:


Restoring Windows Registry Values
Restoring Windows Default Hosts File

Rebooting...


Normal Mode:
Checking Files:

Trojan Files Found:

C:\WINDOWS\system32\tmpC6.tmp - Deleted




Removing Temp Files...

ADS Check:

C:\WINDOWS
No streams found.

C:\WINDOWS\system32
No streams found.

C:\WINDOWS\system32\svchost.exe
No streams found.

C:\WINDOWS\system32\ntoskrnl.exe
No streams found.



Final Check:

catchme 0.3.1262.1 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-12-12 10:21:22
Windows 5.1.2600 Service Pack 2 NTFS

detected NTDLL code modification:
ZwQueryDirectoryFile

scanning hidden processes ...

scanning hidden services & system hive ...

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg]
"s1"=dword:b2a6e66f
"s2"=dword:cbeb48af
"h0"=dword:00000002

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04]
"h0"=dword:00000000
"ujdew"=hex:51,bf,de,13,69,c1,8d,f1,e3,51,68,62,51,5a,e0,99,66,3b,e6,50,36,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"p0"="C:\Program Files\DAEMON Tools\"
"h0"=dword:00000001
"khjeh"=hex:8a,1b,60,b3,d9,ca,48,74,7a,f5,f1,4b,0d,03,46,aa,3b,de,96,2e,7c,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,be,1c,e1,ed,77,aa,9c,03,2a,d1,77,c7,3e,4a,b1,d0,30,..
"khjeh"=hex:c4,30,6f,bb,e1,3f,42,22,b1,7b,3e,99,13,79,2e,57,8a,3e,9f,ca,8c,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:19,e2,15,62,87,fd,3f,c7,49,1c,2d,cc,bb,26,95,df,55,39,3d,42,bc,..
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{1C5BB569-6E54-4C3F-B4EA-4801AF792535}]
"LeaseObtainedTime"=dword:475fa7d8
"T1"=dword:475fa814
"T2"=dword:475fa904
"LeaseTerminatesTime"=dword:475faa30
"DhcpRetryStatus"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\{1C5BB569-6E54-4C3F-B4EA-4801AF792535}\Parameters\Tcpip]
"LeaseObtainedTime"=dword:475fa7d8
"T1"=dword:475fa814
"T2"=dword:475fa904
"LeaseTerminatesTime"=dword:475faa30
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04]
"h0"=dword:00000000
"ujdew"=hex:51,bf,de,13,69,c1,8d,f1,e3,51,68,62,51,5a,e0,99,66,3b,e6,50,36,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"p0"="C:\Program Files\DAEMON Tools\"
"h0"=dword:00000001
"khjeh"=hex:8a,1b,60,b3,d9,ca,48,74,7a,f5,f1,4b,0d,03,46,aa,3b,de,96,2e,7c,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,be,1c,e1,ed,77,aa,9c,03,2a,d1,77,c7,3e,4a,b1,d0,30,..
"khjeh"=hex:c4,30,6f,bb,e1,3f,42,22,b1,7b,3e,99,13,79,2e,57,8a,3e,9f,ca,8c,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:19,e2,15,62,87,fd,3f,c7,49,1c,2d,cc,bb,26,95,df,55,39,3d,42,bc,..

scanning hidden registry entries ...

scanning hidden files ...

C:\WINDOWS\system32\kduqv.exe 65991 bytes executable

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 1


Remaining Services:
------------------



Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\WINDOWS\\system32\\dxdiag.exe"="C:\\WINDOWS\\system32\\dxdiag.exe:*:Enabled:Outil de diagnostic Microsoft DirectX"
"C:\\WINDOWS\\system32\\dpnsvr.exe"="C:\\WINDOWS\\system32\\dpnsvr.exe:*:Enabled:Microsoft DirectPlay8 Server"
"C:\\WINDOWS\\system32\\dpvsetup.exe"="C:\\WINDOWS\\system32\\dpvsetup.exe:*:Enabled:Microsoft DirectPlay Voice Test"
"C:\\Program Files\\IncrediMail\\bin\\IMApp.exe"="C:\\Program Files\\IncrediMail\\bin\\IMApp.exe:*:Enabled:IncrediMail"
"C:\\Program Files\\IncrediMail\\bin\\IncMail.exe"="C:\\Program Files\\IncrediMail\\bin\\IncMail.exe:*:Enabled:IncrediMail"
"C:\\Program Files\\IncrediMail\\bin\\ImpCnt.exe"="C:\\Program Files\\IncrediMail\\bin\\ImpCnt.exe:*:Enabled:IncrediMail"
"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"="C:\\Program Files\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.0"
"C:\\Program Files\\MSN Messenger\\msncall.exe"="C:\\Program Files\\MSN Messenger\\msncall.exe:*:Enabled:Windows Live Messenger 8.0 (Phone)"
"D:\\Program Files\\World of Warcraft\\WoW-1.11.0-frFR-downloader.exe"="D:\\Program Files\\World of Warcraft\\WoW-1.11.0-frFR-downloader.exe:*:Enabled:Blizzard Downloader"
"D:\\Program Files\\World of Warcraft\\WoW-1.11.2.5464-to-1.12.0.5595-frFR-downloader.exe"="D:\\Program Files\\World of Warcraft\\WoW-1.11.2.5464-to-1.12.0.5595-frFR-downloader.exe:*:Enabled:Blizzard Downloader"
"C:\\Program Files\\Xfire\\Xfire.exe"="C:\\Program Files\\Xfire\\Xfire.exe:*:Enabled:Xfire"
"D:\\Program Files\\World of Warcraft\\WoW-1.12.0.5595-to-1.12.1.5875-frFR-downloader.exe"="D:\\Program Files\\World of Warcraft\\WoW-1.12.0.5595-to-1.12.1.5875-frFR-downloader.exe:*:Enabled:Blizzard Downloader"
"C:\\Documents and Settings\\Administrateur\\Local Settings\\Temporary Internet Files\\Content.IE5\\CP6FWPEN\\Flying_Mount_PC_FR-downloader[1].exe"="C:\\Documents and Settings\\Administrateur\\Local Settings\\Temporary Internet Files\\Content.IE5\\CP6FWPEN\\Flying_Mount_PC_FR-downloader[1].exe:*:Enabled:Blizzard Downloader"
"D:\\Program Files\\World of Warcraft\\BackgroundDownloader.exe"="D:\\Program Files\\World of Warcraft\\BackgroundDownloader.exe:*:Enabled:Blizzard Downloader"
"D:\\Program Files\\World of Warcraft\\WoW-1.12.x-to-2.0.1-frFR-patch-downloader.exe"="D:\\Program Files\\World of Warcraft\\WoW-1.12.x-to-2.0.1-frFR-patch-downloader.exe:*:Enabled:Blizzard Downloader"
"D:\\Program Files\\World of Warcraft\\WoW-2.0.3-frFR-downloader.exe"="D:\\Program Files\\World of Warcraft\\WoW-2.0.3-frFR-downloader.exe:*:Enabled:Blizzard Downloader"
"D:\\Program Files\\World of Warcraft\\WoW-2.0.4.6314-to-2.0.5.6320-frFR-downloader.exe"="D:\\Program Files\\World of Warcraft\\WoW-2.0.4.6314-to-2.0.5.6320-frFR-downloader.exe:*:Enabled:Blizzard Downloader"
"D:\\Program Files\\World of Warcraft\\WoW-2.0.3.6299-to-2.0.5.6320-frFR-downloader.exe"="D:\\Program Files\\World of Warcraft\\WoW-2.0.3.6299-to-2.0.5.6320-frFR-downloader.exe:*:Enabled:Blizzard Downloader"
"C:\\Program Files\\eMule\\emule.exe"="C:\\Program Files\\eMule\\emule.exe:*:Enabled:eMule"
"C:\\Program Files\\Fichiers communs\\McAfee\\MNA\\McNASvc.exe"="C:\\Program Files\\Fichiers communs\\McAfee\\MNA\\McNASvc.exe:*:Enabled:McAfee Network Agent"
"C:\\Program Files\\Bohemia Interactive\\ArmA\\arma.exe"="C:\\Program Files\\Bohemia Interactive\\ArmA\\arma.exe:*:Enabled:ArmA"
"C:\\WINDOWS\\system32\\rundll32.exe"="C:\\WINDOWS\\system32\\rundll32.exe:*:Disabled:Ex‚cuter une DLL en tant qu'application"
"D:\\Program Files\\Microprose\\Risk II\\RiskII.exe"="D:\\Program Files\\Microprose\\Risk II\\RiskII.exe:*:Disabled:Risk II"
"C:\\WINDOWS\\system32\\dplaysvr.exe"="C:\\WINDOWS\\system32\\dplaysvr.exe:*:Disabled:Microsoft DirectPlay Helper"
"D:\\Program Files\\empires2.exe"="D:\\Program Files\\empires2.exe:*:Disabled:Age of Empires II"
"C:\\Program Files\\NewsBin\\nbpro.exe"="C:\\Program Files\\NewsBin\\nbpro.exe:*:Enabled:Newsbin"
"C:\\Program Files\\THQ\\Titan Quest\\Titan Quest.exe"="C:\\Program Files\\THQ\\Titan Quest\\Titan Quest.exe:*:Disabled:Titan Quest"
"C:\\WINDOWS\\system32\\PnkBstrA.exe"="C:\\WINDOWS\\system32\\PnkBstrA.exe:*:Enabled:PnkBstrA"
"C:\\WINDOWS\\system32\\PnkBstrB.exe"="C:\\WINDOWS\\system32\\PnkBstrB.exe:*:Enabled:PnkBstrB"
"C:\\Program Files\\Electronic Arts\\Crytek\\Crysis\\Bin32\\Crysis.exe"="C:\\Program Files\\Electronic Arts\\Crytek\\Crysis\\Bin32\\Crysis.exe:*:Enabled:Crysis_32"
"C:\\Program Files\\Electronic Arts\\Crytek\\Crysis\\Bin32\\CrysisDedicatedServer.exe"="C:\\Program Files\\Electronic Arts\\Crytek\\Crysis\\Bin32\\CrysisDedicatedServer.exe:*:Enabled:CrysisDedicatedServer_32"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"="C:\\Program Files\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.0"
"C:\\Program Files\\MSN Messenger\\msncall.exe"="C:\\Program Files\\MSN Messenger\\msncall.exe:*:Enabled:Windows Live Messenger 8.0 (Phone)"

Remaining Files:
---------------

File Backups: - C:\SDFix\backups\backups.zip

Files with Hidden Attributes:

Mon 3 Dec 2007 4,348 A.SH. --- "C:\Documents and Settings\All Users\DRM\DRMv1.bak"
Tue 14 Aug 2007 0 A.SH. --- "C:\Documents and Settings\All Users\DRM\Cache\Indiv01.tmp"
Wed 17 Oct 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\5c703fe0947475848e966b61999878d1\BIT13.tmp"
Thu 29 Nov 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\825602f548d54de494879712d10e8261\BIT27.tmp"
Sat 17 Nov 2007 1,776 ...HR --- "C:\Documents and Settings\Administrateur\Application Data\SecuROM\UserData\securom_v7_01.bak"

Finished!

Bonjour,
Hier j'ai desinstallé WoW et je l'ai reinstalle en me disant que c peut etre lui qui delire et malheureusement ce n'etait pas le cas. Toujours ce message au lancement de WoW.
Alors j'ai fait des recherches sur le site officiel de WoW et j'ai trouvé qu'un programme qu'il conseillait pour ce type de virus "Fixwareout",
alors me disant que ca ne mangeait pas de pain, j'ai essayé et puis a la fin de l'analyse miracle plus de message d'infection.

Aussi je vous transmet le compte rendu d'analyse, si vous pouviez me confirmer( parce que moi j'y comprend rien) qu'il a bien trouvé et supprimé ce trojan afin de pouvoir conseiller ce petit programme.

Grand merci en tout cas de s'etre penché sur mon problème.


Username "Administrateur" - 13/12/2007 3:02:02 [Fixwareout edited 9/01/2007]

~~~~~ Prerun check
HKLM\SOFTWARE\~\Winlogon\ "System"="kduqv.exe"

Cache de résolution DNS vidé.


System was rebooted successfully.

~~~~~ Postrun check
HKLM\SOFTWARE\~\Winlogon\ "system"=""
....
....
~~~~~ Misc files.
....
~~~~~ Checking for older varients.
....

~~~~~ Current runs (hklm hkcu "run" Keys Only)
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMan"="SOUNDMAN.EXE"
"NvCplDaemon"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvCpl.dll,NvStartup"
"nwiz"="nwiz.exe /install"
"NvMediaCenter"="RunDLL32.exe NvMCTray.dll,NvTaskbarInit"
"SideWinderTrayV4"="C:\\PROGRA~1\\MICROS~2\\GAMECO~1\\Common\\SWTrayV4.exe"
"NeroFilterCheck"="C:\\Program Files\\Fichiers communs\\Ahead\\Lib\\NeroCheck.exe"
"QuickTime Task"="\"C:\\Program Files\\QuickTime\\qttask.exe\" -atboottime"
"Sony Ericsson PC Suite"="\"C:\\Program Files\\Sony Ericsson\\Mobile2\\Application Launcher\\Application Launcher.exe\" /startoptions"
"Adobe Reader Speed Launcher"="\"C:\\Program Files\\Adobe\\Reader 8.0\\Reader\\Reader_sl.exe\""

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\ctfmon.exe"
"ASUS SmartDoctor"="C:\\Program Files\\ASUS\\SmartDoctor\\SmartDoctor.exe /start"
"IncrediMail"="C:\\Program Files\\IncrediMail\\bin\\IncMail.exe /c"
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="\"C:\\Program Files\\Fichiers communs\\Ahead\\Lib\\NMBgMonitor.exe\""
"DAEMON Tools"="\"C:\\Program Files\\DAEMON Tools\\daemon.exe\" -lang 1033"
"SpybotSD TeaTimer"="C:\\Program Files\\Spybot - Search & Destroy\\TeaTimer.exe"
....
Hosts file was reset, If you use a custom hosts file please replace it...
~~~~~ End report ~~~~~

En y regardant rapidement, je constate que ton infection semble provenir de "kduqv.exe" qui démarrait avec Windows, que ton outil à bel et bien fixé... félicitations!

Donc à ceux qui ont ce message au démarrage de WoW... Google Fixwareout :-)

Kaddict.

Salut bag,

SDfix avait également détecté kduqv.exe
Je n'étais pas là grosse fatigue hier.
Mais bon le principale c'est que le message à disparu.
Essayes de trouver le fichier kduqv.exe pour t'assurer qu'il a bien disparu sinon supprimes le, en mode sans échec si nécessaire.

Ensuites repasses CCleaner (Nettoyeur, Registre), Spybot (MàJ puis Vaccination)
et un scan en ligne Kaspersky http://webscanner.kaspersky.fr/

a+

Denis
Rien de sert de courir, il faut partir à point, ou à virgule :-P

Bonjour tout le monde

Pour avancer le "shlimblik"

* FixwareOut n'a fait que nettoyer un élément du registre :

HKLM\SOFTWARE\~\Winlogon\ "System"="kduqv.exe"

* Le fichier responsable se trouve ici --> C:\WINDOWS\system32\kduqv.exe vu dans raport SDFix.

Télécharge OTMoveIt (de Old_Timer) sur ton Bureau.

http://download.bleepingcomputer.com/oldtimer/OTMoveIt.exe

Double clique sur OTMoveIt.exe pour le lancer.
Copie la liste qui se trouve en citation ci-dessous,
et colle-la dans le cadre de gauche de OTMoveIt :
Paste List of Files/Folders to be moved.

C:\WINDOWS\system32\kduqv.exe

Clique sur MoveIt! pour lancer la suppression.
Le résultat apparaîtra dans le cadre Results.
Clique sur Exit pour fermer.

Il te sera peut-être demander de redémarrer le pc pour achever la suppression.
si c'est le cas accepte par Yes.

Poste en réponse le rapport d'OTMoveIt situé dans C:\_OTMoveIt\MovedFiles (contenu du fichier C:\_OTMoveIt\MovedFiles\********_******.log - les *** sont des chiffres représentant la date et l'heure)

Salut .

Bonjour a tous,

J'ai donc recherche "kduqv.exe", pas trace sur mon DD, donc pour moi il n'existe plus.
J'ai tout de même executé OTMoveIt.exe qui n'a rien trouvé donc pas créé de rapport.

En tout cas je vous dit un grand merci pour votre aide, heureusement qu'il existe des gens comme vous pour aider des novices comme moi.

Je pense donc que ce topic peut etre cloturé et encore merci.

Bag.

Tant mieux et au plaisir bag, et aussi merci aux autres d'avoir quand même lu et de m'avoir corrigé, c'est partie intégrante du bon fonctionnement de ce site :) savoir corriger les autres sans blaster, et surtout ne pas se dire "bah, il lui a répondu alors je passe a autre chose" :)

Bonne journée,

Kaddict

Bonsoir tout le monde

+1 Kaddict ;)

Donc, fichier responsable non présent sur ton PC et ce message ne s affiche donc plus depuis le passage du FixwareOut ?

PS A signaler tout de meme au passage, que Mac affee en terme de protection n est pas au top,Antivir,plus leger est bien plus performant.

Salut Bag,

Si tu repasse dans le coin et que ton problème est 100% réglé, ça serait gentil de l'indiquer aux autres avec la fonction "problème résolu" que tu verra dans la zone ou tu écris tes messages.

Au plaisir, et en passant salut Le sioux :)

Kaddict

Donc probleme resolu