[virus] Infection win32:agent-AW + adware-gen

huguesparri Messages postés 3 Statut Membre -  
incognito02 Messages postés 3487 Statut Contributeur -
Bonjour à tous,

Depuis ce matin, et suite à un format de mon système et réinstallation, avast détecte win32:agent-aw et win32:adware-gen
Mon ordinateur fonctionne sous windows 2000 et le service pack 4 est installé.

J'ai fais un petit tour sur le forum et je n'ai pas manqué d'y trouver d'autres utilisateurs qui sont/ont été la victime de la même infection que moi.
Malheureusement, en suivant les conseils donnés précédemment, je n'ai pas réussi à me débarasser de ces "bestioles".

En résumé, j'ai DL les programmes conseillés: en sus de mon anitvirus Avast, j'ai installé adaware SE personnal, trojan remover, ewido et hijackthis.
Comme j'ai l'impression que le début de solution passe par une analyse du log d'hijackthis et que je le maitrise pas encore, je me permets de coller mon log ci dessous:

Logfile of HijackThis v1.99.1
Scan saved at 13:40:31, on 21/09/2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINNT\System32\svchost.exe
C:\Program Files\ewido anti-spyware 4.0\guard.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\dhcpserv.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\ewido anti-spyware 4.0\ewido.exe
C:\WINNT\system32\internat.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Administrateur\Bureau\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://fr.yahoo.com/
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Windows APCI Verifier] dhcpserv.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [TrojanScanner] C:\Program Files\Trojan Remover\Trjscan.exe
O4 - HKLM\..\Run: [!ewido] "C:\Program Files\ewido anti-spyware 4.0\ewido.exe" /minimized
O4 - HKLM\..\RunServices: [Windows APCI Verifier] dhcpserv.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - update.microsoft.com
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - update.microsoft.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{8189D0B2-FE2F-4D5B-B88A-8574B2EA70E4}: NameServer = 139.124.1.2,139.124.203.194
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Program Files\ewido anti-spyware 4.0\guard.exe

Merci d'avance à tout ceux qui pourront m'aider à m'en sortir.

Hugues

4 réponses

  1. incognito02 Messages postés 3487 Statut Contributeur 138
     
    Bonsoir Hugues,

    Je vais essayer de t'aider.

    Je ne serai pas surpris que ton problème provienne de ce fichier : dhcpserv.exe

    Inconnu pour un windows 2k

    Affiche tous les fichiers et dossiers :
    Clique sur démarrer/panneau de configuration/outil/option des dossiers/affichage

    Coche « afficher les fichiers et dossiers cachés »

    Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)"

    Décoche « masquer les extensions dont le type est connu »
    Puis fais «Ok» pour valider les changements.

    Et appliquer !

    Recherche ce fichier : dhcpserv.exe, note bien son emplacement.
    (très certainement C:\winnt\system32)

    rends toi sur ce site :
    http://www.virustotal.com/en/virustotalx.html

    clique sur parcourir, selectionne le fichier dhcpserv.exe puis clique sur Send.

    Patiente quelques instants et colle le resultat sur ton prochain post.

    Bon courage.

    A+
    0
  2. huguesparri Messages postés 3 Statut Membre
     
    Ok manip. réalisée avec succès (en effet, le canaillou était bien caché):

    Complete scanning result of "dhcpserv.exe", received in VirusTotal at 09.22.2006, 09:39:52 (CET).

    Antivirus Version Update Result
    AntiVir 7.2.0.16 09.22.2006 HEUR/Crypted
    Authentium 4.93.8 09.21.2006 no virus found
    Avast 4.7.844.0 09.19.2006 no virus found
    AVG 386 09.21.2006 no virus found
    BitDefender 7.2 09.22.2006 no virus found
    CAT-QuickHeal 8.00 09.22.2006 (Suspicious) - DNAScan
    ClamAV devel-20060426 09.22.2006 no virus found
    DrWeb 4.33 09.21.2006 Win32.HLLW.MyBot.based
    eTrust-InoculateIT 23.73.2 09.22.2006 no virus found
    eTrust-Vet 30.3.3090 09.21.2006 no virus found
    Ewido 4.0 09.21.2006 no virus found
    Fortinet 2.82.0.0 09.22.2006 suspicious
    F-Prot 3.16f 09.21.2006 no virus found
    F-Prot4 4.2.1.29 09.22.2006 no virus found
    Ikarus 0.2.65.0 09.22.2006 Backdoor.Win32.SdBot.AKU
    Kaspersky 4.0.2.24 09.22.2006 Backdoor.Win32.VanBot.o
    McAfee 4857 09.21.2006 no virus found
    Microsoft 1.1560 09.22.2006 no virus found
    NOD32v2 1.1767 09.21.2006 a variant of Win32/Rbot
    Norman 5.90.23 09.21.2006 no virus found
    Panda 9.0.0.4 09.21.2006 Suspicious file
    Sophos 4.09.0 09.22.2006 no virus found
    Symantec 8.0 09.22.2006 no virus found
    TheHacker 6.0.1.076 09.22.2006 no virus found
    UNA 1.83 09.21.2006 Win32.CRYPT.virus
    VBA32 3.11.1 09.21.2006 Win32.HLLW.MyBot.based
    VirusBuster 4.3.7:9 09.21.2006 no virus found

    Aditional Information
    File size: 312749 bytes
    MD5: 64a65de5da0d6907adc0186025172daf
    SHA1: 55312d6359f055e3b40d8f5d2954c8956d30d416
    packers: SVKProtector

    A première vue, le fichier est suspect pour pas mal d'antivirus mais malheureusement pas pour ceux que nous utilisons :'(

    Pour la suite, je remove à la sauvage? Je tente une manip. plus fine?
    Merci d'avance

    Hugues
    0
  3. huguesparri Messages postés 3 Statut Membre
     
    OK, j'ai DL l'antivirus Kaspersky (version d'évaluation) vu que, lors du scan online, il semblait repèrer ce qui semble etre la source de mon pb.
    A priori, le problème semble résolu.
    Je fais un scan complet pour etre sur et je vous tiens au courant.
    En tout cas, merci bcp pour l'aide que vous m'avez apporté. Elle m'a été très utile :)

    H.
    0
  4. incognito02 Messages postés 3487 Statut Contributeur 138
     
    Bonsoir Hugues,

    Où en sont tes soucis ?

    Peux tu refaire un Hijackthis.

    A+

    0