[virus] Infection win32:agent-AW + adware-gen
huguesparri
Messages postés
3
Statut
Membre
-
incognito02 Messages postés 3487 Statut Contributeur -
incognito02 Messages postés 3487 Statut Contributeur -
Bonjour à tous,
Depuis ce matin, et suite à un format de mon système et réinstallation, avast détecte win32:agent-aw et win32:adware-gen
Mon ordinateur fonctionne sous windows 2000 et le service pack 4 est installé.
J'ai fais un petit tour sur le forum et je n'ai pas manqué d'y trouver d'autres utilisateurs qui sont/ont été la victime de la même infection que moi.
Malheureusement, en suivant les conseils donnés précédemment, je n'ai pas réussi à me débarasser de ces "bestioles".
En résumé, j'ai DL les programmes conseillés: en sus de mon anitvirus Avast, j'ai installé adaware SE personnal, trojan remover, ewido et hijackthis.
Comme j'ai l'impression que le début de solution passe par une analyse du log d'hijackthis et que je le maitrise pas encore, je me permets de coller mon log ci dessous:
Logfile of HijackThis v1.99.1
Scan saved at 13:40:31, on 21/09/2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINNT\System32\svchost.exe
C:\Program Files\ewido anti-spyware 4.0\guard.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\dhcpserv.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\ewido anti-spyware 4.0\ewido.exe
C:\WINNT\system32\internat.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Administrateur\Bureau\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://fr.yahoo.com/
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Windows APCI Verifier] dhcpserv.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [TrojanScanner] C:\Program Files\Trojan Remover\Trjscan.exe
O4 - HKLM\..\Run: [!ewido] "C:\Program Files\ewido anti-spyware 4.0\ewido.exe" /minimized
O4 - HKLM\..\RunServices: [Windows APCI Verifier] dhcpserv.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - update.microsoft.com
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - update.microsoft.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{8189D0B2-FE2F-4D5B-B88A-8574B2EA70E4}: NameServer = 139.124.1.2,139.124.203.194
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Program Files\ewido anti-spyware 4.0\guard.exe
Merci d'avance à tout ceux qui pourront m'aider à m'en sortir.
Hugues
Depuis ce matin, et suite à un format de mon système et réinstallation, avast détecte win32:agent-aw et win32:adware-gen
Mon ordinateur fonctionne sous windows 2000 et le service pack 4 est installé.
J'ai fais un petit tour sur le forum et je n'ai pas manqué d'y trouver d'autres utilisateurs qui sont/ont été la victime de la même infection que moi.
Malheureusement, en suivant les conseils donnés précédemment, je n'ai pas réussi à me débarasser de ces "bestioles".
En résumé, j'ai DL les programmes conseillés: en sus de mon anitvirus Avast, j'ai installé adaware SE personnal, trojan remover, ewido et hijackthis.
Comme j'ai l'impression que le début de solution passe par une analyse du log d'hijackthis et que je le maitrise pas encore, je me permets de coller mon log ci dessous:
Logfile of HijackThis v1.99.1
Scan saved at 13:40:31, on 21/09/2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINNT\System32\svchost.exe
C:\Program Files\ewido anti-spyware 4.0\guard.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\dhcpserv.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\ewido anti-spyware 4.0\ewido.exe
C:\WINNT\system32\internat.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Administrateur\Bureau\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://fr.yahoo.com/
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Windows APCI Verifier] dhcpserv.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [TrojanScanner] C:\Program Files\Trojan Remover\Trjscan.exe
O4 - HKLM\..\Run: [!ewido] "C:\Program Files\ewido anti-spyware 4.0\ewido.exe" /minimized
O4 - HKLM\..\RunServices: [Windows APCI Verifier] dhcpserv.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - update.microsoft.com
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - update.microsoft.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{8189D0B2-FE2F-4D5B-B88A-8574B2EA70E4}: NameServer = 139.124.1.2,139.124.203.194
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Program Files\ewido anti-spyware 4.0\guard.exe
Merci d'avance à tout ceux qui pourront m'aider à m'en sortir.
Hugues
A voir également:
- [virus] Infection win32:agent-AW + adware-gen
- Virus mcafee - Accueil - Piratage
- Virus facebook demande d'amis - Accueil - Facebook
- Virus informatique - Guide
- Panda anti virus gratuit - Télécharger - Antivirus & Antimalwares
- Undisclosed-recipients virus - Guide
4 réponses
Bonsoir Hugues,
Je vais essayer de t'aider.
Je ne serai pas surpris que ton problème provienne de ce fichier : dhcpserv.exe
Inconnu pour un windows 2k
Affiche tous les fichiers et dossiers :
Clique sur démarrer/panneau de configuration/outil/option des dossiers/affichage
Coche « afficher les fichiers et dossiers cachés »
Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)"
Décoche « masquer les extensions dont le type est connu »
Puis fais «Ok» pour valider les changements.
Et appliquer !
Recherche ce fichier : dhcpserv.exe, note bien son emplacement.
(très certainement C:\winnt\system32)
rends toi sur ce site :
http://www.virustotal.com/en/virustotalx.html
clique sur parcourir, selectionne le fichier dhcpserv.exe puis clique sur Send.
Patiente quelques instants et colle le resultat sur ton prochain post.
Bon courage.
A+
Je vais essayer de t'aider.
Je ne serai pas surpris que ton problème provienne de ce fichier : dhcpserv.exe
Inconnu pour un windows 2k
Affiche tous les fichiers et dossiers :
Clique sur démarrer/panneau de configuration/outil/option des dossiers/affichage
Coche « afficher les fichiers et dossiers cachés »
Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)"
Décoche « masquer les extensions dont le type est connu »
Puis fais «Ok» pour valider les changements.
Et appliquer !
Recherche ce fichier : dhcpserv.exe, note bien son emplacement.
(très certainement C:\winnt\system32)
rends toi sur ce site :
http://www.virustotal.com/en/virustotalx.html
clique sur parcourir, selectionne le fichier dhcpserv.exe puis clique sur Send.
Patiente quelques instants et colle le resultat sur ton prochain post.
Bon courage.
A+
Ok manip. réalisée avec succès (en effet, le canaillou était bien caché):
Complete scanning result of "dhcpserv.exe", received in VirusTotal at 09.22.2006, 09:39:52 (CET).
Antivirus Version Update Result
AntiVir 7.2.0.16 09.22.2006 HEUR/Crypted
Authentium 4.93.8 09.21.2006 no virus found
Avast 4.7.844.0 09.19.2006 no virus found
AVG 386 09.21.2006 no virus found
BitDefender 7.2 09.22.2006 no virus found
CAT-QuickHeal 8.00 09.22.2006 (Suspicious) - DNAScan
ClamAV devel-20060426 09.22.2006 no virus found
DrWeb 4.33 09.21.2006 Win32.HLLW.MyBot.based
eTrust-InoculateIT 23.73.2 09.22.2006 no virus found
eTrust-Vet 30.3.3090 09.21.2006 no virus found
Ewido 4.0 09.21.2006 no virus found
Fortinet 2.82.0.0 09.22.2006 suspicious
F-Prot 3.16f 09.21.2006 no virus found
F-Prot4 4.2.1.29 09.22.2006 no virus found
Ikarus 0.2.65.0 09.22.2006 Backdoor.Win32.SdBot.AKU
Kaspersky 4.0.2.24 09.22.2006 Backdoor.Win32.VanBot.o
McAfee 4857 09.21.2006 no virus found
Microsoft 1.1560 09.22.2006 no virus found
NOD32v2 1.1767 09.21.2006 a variant of Win32/Rbot
Norman 5.90.23 09.21.2006 no virus found
Panda 9.0.0.4 09.21.2006 Suspicious file
Sophos 4.09.0 09.22.2006 no virus found
Symantec 8.0 09.22.2006 no virus found
TheHacker 6.0.1.076 09.22.2006 no virus found
UNA 1.83 09.21.2006 Win32.CRYPT.virus
VBA32 3.11.1 09.21.2006 Win32.HLLW.MyBot.based
VirusBuster 4.3.7:9 09.21.2006 no virus found
Aditional Information
File size: 312749 bytes
MD5: 64a65de5da0d6907adc0186025172daf
SHA1: 55312d6359f055e3b40d8f5d2954c8956d30d416
packers: SVKProtector
A première vue, le fichier est suspect pour pas mal d'antivirus mais malheureusement pas pour ceux que nous utilisons :'(
Pour la suite, je remove à la sauvage? Je tente une manip. plus fine?
Merci d'avance
Hugues
Complete scanning result of "dhcpserv.exe", received in VirusTotal at 09.22.2006, 09:39:52 (CET).
Antivirus Version Update Result
AntiVir 7.2.0.16 09.22.2006 HEUR/Crypted
Authentium 4.93.8 09.21.2006 no virus found
Avast 4.7.844.0 09.19.2006 no virus found
AVG 386 09.21.2006 no virus found
BitDefender 7.2 09.22.2006 no virus found
CAT-QuickHeal 8.00 09.22.2006 (Suspicious) - DNAScan
ClamAV devel-20060426 09.22.2006 no virus found
DrWeb 4.33 09.21.2006 Win32.HLLW.MyBot.based
eTrust-InoculateIT 23.73.2 09.22.2006 no virus found
eTrust-Vet 30.3.3090 09.21.2006 no virus found
Ewido 4.0 09.21.2006 no virus found
Fortinet 2.82.0.0 09.22.2006 suspicious
F-Prot 3.16f 09.21.2006 no virus found
F-Prot4 4.2.1.29 09.22.2006 no virus found
Ikarus 0.2.65.0 09.22.2006 Backdoor.Win32.SdBot.AKU
Kaspersky 4.0.2.24 09.22.2006 Backdoor.Win32.VanBot.o
McAfee 4857 09.21.2006 no virus found
Microsoft 1.1560 09.22.2006 no virus found
NOD32v2 1.1767 09.21.2006 a variant of Win32/Rbot
Norman 5.90.23 09.21.2006 no virus found
Panda 9.0.0.4 09.21.2006 Suspicious file
Sophos 4.09.0 09.22.2006 no virus found
Symantec 8.0 09.22.2006 no virus found
TheHacker 6.0.1.076 09.22.2006 no virus found
UNA 1.83 09.21.2006 Win32.CRYPT.virus
VBA32 3.11.1 09.21.2006 Win32.HLLW.MyBot.based
VirusBuster 4.3.7:9 09.21.2006 no virus found
Aditional Information
File size: 312749 bytes
MD5: 64a65de5da0d6907adc0186025172daf
SHA1: 55312d6359f055e3b40d8f5d2954c8956d30d416
packers: SVKProtector
A première vue, le fichier est suspect pour pas mal d'antivirus mais malheureusement pas pour ceux que nous utilisons :'(
Pour la suite, je remove à la sauvage? Je tente une manip. plus fine?
Merci d'avance
Hugues
OK, j'ai DL l'antivirus Kaspersky (version d'évaluation) vu que, lors du scan online, il semblait repèrer ce qui semble etre la source de mon pb.
A priori, le problème semble résolu.
Je fais un scan complet pour etre sur et je vous tiens au courant.
En tout cas, merci bcp pour l'aide que vous m'avez apporté. Elle m'a été très utile :)
H.
A priori, le problème semble résolu.
Je fais un scan complet pour etre sur et je vous tiens au courant.
En tout cas, merci bcp pour l'aide que vous m'avez apporté. Elle m'a été très utile :)
H.
