Win32/HackAV.G application

le 8 mai 2008

bonjour,

l'anti virus NOD32 m'indique que je suis infectée par le virus Win32/HackAV.G application, je l'ai mis en quarantaine mais l'alerte revient dès que je rallume mon ordinateur...

je vous joint le rapport de Hijackthis que j'ai fait suite à cela :

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 11:07:04, on 08/05/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16640)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\ASUS\ASUS DH Remote\AsRc.exe

C:\Program Files\Eset\nod32kui.exe

C:\Program Files\EPSON\Creativity Suite\Event Manager\EEventManager.exe

C:\Program Files\SuperCopier2\SuperCopier2.exe

C:\Program Files\RocketDock\RocketDock.exe

C:\Program Files\ASUS\ASUS DH Remote\AsDhRemote.exe

C:\Program Files\DAEMON Tools\daemon.exe

C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Bonjour\mDNSResponder.exe

C:\Program Files\Eset\nod32krn.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\alg.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Documents and Settings\Sohany S\Mes documents\logiciels installés\HijackThis\HijackThis.exe

C:\WINDOWS\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.be/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll

O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll

O4 - HKLM\..\Run: [Ai Quicker Help] "C:\Program Files\ASUS\ASUS DH Remote\AsRc.exe"

O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [EEventManager] C:\Program Files\EPSON\Creativity Suite\Event Manager\EEventManager.exe

O4 - HKCU\..\Run: [superCopier2.exe] C:\Program Files\SuperCopier2\SuperCopier2.exe

O4 - HKCU\..\Run: [RocketDock] "C:\Program Files\RocketDock\RocketDock.exe"

O4 - HKCU\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O8 - Extra context menu item: Ajouter au fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convertir en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convertir la cible du lien en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convertir la cible du lien en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convertir la sélection en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convertir la sélection en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convertir les liens sélectionnés en fichier Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html

O8 - Extra context menu item: Convertir les liens sélectionnés en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/d...can_unicode.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupd...b?1205423493500

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftu...b?1206062714109

O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe

O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe

O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe

O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--

End of file - 7320 bytes

Pouvez-vous me dire comment résoudre le problème

merci pour les réponses à venir

oceanie

Senku · le 8 mai 2008

Salut a toi !

La seule solution la plus probable pour moi est de faire une analyse et de supprimer chaque virus trouver, et non le mettre en quarantaine :

- Spybot-Search & Destroy (ne pas oublier les mises a jour et la vaccination)

- Avast antivirus (ne pas oublier d'enregistrer son produit, et finir l'analyse au redémarrage)

- Avira AntiVir (ne pas oublier les mises a jour)

- CCleaner (peut être inutile pour le virus, ou peut être pas, un coup de CCleaner est toujours le bienvenu)

Voila, en espérant toujours être utile,

Senku.

[Tiens nous au courant ]

jacmanou · le 8 mai 2008

Salut vous deux,

Une précision quant à tes recommandation Senku :

Surtout ne pas mettre Avast et Antivir en même temps !!! D'ailleurs, Oceanie, je te déconseille d'utiliser Avast, il ne t'apportera rien de plus par rapport aux autres logiciels conseillés par Senku.

Je vais jeter un oeil sur ton rapport HJT, et je reviens vers toi.

Pour Antivir, voici un tuto utile : http://www.malekal.com/tutorial_antivir.php

Modifié le 8 mai 2008 par jacmanou

Senku · le 8 mai 2008

... !

J'utilise moi même Avast! et AntiVir en même temps, je n'ai jamais eu de conflit ou quoi que ce soit, devrait-je en désinstallé un ?

Si c'est jacmanou qui le dit, c'est forcément vrai x)

Senku.

jacmanou · le 8 mai 2008

Si c'est jacmanou qui le dit, c'est forcément vrai x)

Oulà tu vas loin

Il est très déconseillé d'avoir 2 antivirus en même temps sur une machine. Tu y perds à plusieurs niveaux :

- conflits possibles, notamment en cas de détection

- ralentissements de la machine

- perte d'efficacité (leurs protections ne se cumulent pas, elles se limiteraient plutôt)

Il est conseillé vivement d'avoir une protection de chaque type, pas plus :

- 1 antivirus (Antivir étant très recommandé par les membres de ce forum)

- 1 antispyware résident (windows defender, spybot tea-timer, ...)

- 1 antispyware en scan à la demande : MalwareBytes' AntiMalware (recommandé), Spybot, AVG antispyware...

- 1 pare feu personnel : celui d'XP étant plutôt insuffisant, lui en préférer un autre. Mais cela demande un peu de temps et de connaissance : à chacun de voir.

Oceanie, pour le rapport HJT, il ne révèle rien de particulier. Fais donc cette analyse avec Antivir, poste moi le rapport généré.

Modifié le 8 mai 2008 par jacmanou

océanie · le 12 mai 2008

Bonjour,

après une rage de dent, me revoilà ! et j'ai suivi les conseilles à savoir la procédure pour le pré-nettoyage décrite par godlike mais dois-je te faire parvenir le rapport d'Avira ou celui de HijackThis ?

j'ai réalisé le scan en mode sans echec avec donc Avira

merci pour la réponse et l'aide apportée

oceanie

Oulà tu vas loin

Il est très déconseillé d'avoir 2 antivirus en même temps sur une machine. Tu y perds à plusieurs niveaux :

- conflits possibles, notamment en cas de détection

- ralentissements de la machine

- perte d'efficacité (leurs protections ne se cumulent pas, elles se limiteraient plutôt)

Il est conseillé vivement d'avoir une protection de chaque type, pas plus :

- 1 antivirus (Antivir étant très recommandé par les membres de ce forum)

- 1 antispyware résident (windows defender, spybot tea-timer, ...)

- 1 antispyware en scan à la demande : MalwareBytes' AntiMalware (recommandé), Spybot, AVG antispyware...

- 1 pare feu personnel : celui d'XP étant plutôt insuffisant, lui en préférer un autre. Mais cela demande un peu de temps et de connaissance : à chacun de voir.

Oceanie, pour le rapport HJT, il ne révèle rien de particulier. Fais donc cette analyse avec Antivir, poste moi le rapport généré.

jacmanou · le 12 mai 2008

Hello

après une rage de dent, me revoilà !

Ouh... j'espère que ça va mieux

dois-je te faire parvenir le rapport d'Avira ou celui de HijackThis ?

Les deux !! Rapport Antivir et HijackThis (ce dernier doit être récent, s'il a quelques jours ou si tu as exécuté d'autres programmes depuis, comme Antivir, refais en un).

océanie · le 15 mai 2008

bonjour,

ma chique va mieux merci

j'ai d'abord installé Avira en mode normal en désactivant NOD32 pour charger les mises à jour

ensuite je suis passée en mode sans échec et fais les réglages comme indiqué sur le forum

Mais j'ai un soucis avec Avira en mode sans echec, je n'ai pas accés :

icone rouge avec point d'exclamation dans un triangle pour AntiVir Guard alors qu'en mode normal il est bien en bleu comme les autres...

le scan n'a pas abouti

que dois-je faire

merci pour l'aide apportée

oceanie

Hello

Ouh... j'espère que ça va mieux

Les deux !! Rapport Antivir et HijackThis (ce dernier doit être récent, s'il a quelques jours ou si tu as exécuté d'autres programmes depuis, comme Antivir, refais en un).

jacmanou · le 15 mai 2008

Hello !

Tout d'abord tu peux jeter un œil au tuto de Malekal très clair : http://www.malekal.com/tutorial_antivir.php

Pour te donner un début de réponse, tu dois configurer Antivir en mode normal, puis redémarrer en mode sans échec. Là tu devras le lancer toi même (à partir de Démarrer -> Tous les programmes -> Avira).

Le guard ne sera pas actif, c'est complètement normal en mode sans échec. Par contre tu devrais avoir la possibilité de scanner.

Essaie, et si jamais tu n'y parviens pas, effectue déjà un scan en mode normal (ça sera toujours ça de fait !)

@+

Modifié le 15 mai 2008 par jacmanou

océanie · le 16 mai 2008

bonsoir,

cette fois-ci je suis arrivée à faire mon scan en mode sans échec avec Avira et il me signale un virus "DR/ActualSpy.o que j'ai mis en quarentaine pour le moment.

je te joins le rapport d'Avira ainsi que celui d'HijackThis :

Avira AntiVir Personal

Report file date: vendredi 16 mai 2008 18:20

Scanning for 1276115 virus strains and unwanted programs.

Licensed to: Avira AntiVir PersonalEdition Classic

Serial number: 0000149996-ADJIE-0001

Platform: Windows XP

Windows version: (Service Pack 2) [5.1.2600]

Boot mode: Save mode

Username: Sohany S

Computer name: SOHANY

Version information:

BUILD.DAT : 8.1.00.295 16479 Bytes 09/04/2008 16:24:00

AVSCAN.EXE : 8.1.2.12 311553 Bytes 18/03/2008 09:02:56

AVSCAN.DLL : 8.1.1.0 53505 Bytes 07/02/2008 08:43:37

LUKE.DLL : 8.1.2.9 151809 Bytes 28/02/2008 08:41:23

LUKERES.DLL : 8.1.2.1 12033 Bytes 21/02/2008 08:28:40

ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18/07/2007 10:33:34

ANTIVIR1.VDF : 7.0.3.2 5447168 Bytes 07/03/2008 13:08:58

ANTIVIR2.VDF : 7.0.4.0 1554432 Bytes 05/05/2008 15:57:29

ANTIVIR3.VDF : 7.0.4.52 329728 Bytes 16/05/2008 15:57:35

Engineversion : 8.1.0.46

AEVDF.DLL : 8.1.0.5 102772 Bytes 25/02/2008 09:58:21

AESCRIPT.DLL : 8.1.0.33 266618 Bytes 16/05/2008 15:58:05

AESCN.DLL : 8.1.0.18 119156 Bytes 16/05/2008 15:58:03

AERDL.DLL : 8.1.0.20 418165 Bytes 16/05/2008 15:58:02

AEPACK.DLL : 8.1.1.5 364918 Bytes 16/05/2008 15:57:58

AEOFFICE.DLL : 8.1.0.18 192890 Bytes 16/05/2008 15:57:52

AEHEUR.DLL : 8.1.0.29 1253750 Bytes 16/05/2008 15:57:48

AEHELP.DLL : 8.1.0.14 115063 Bytes 16/05/2008 15:57:40

AEGEN.DLL : 8.1.0.21 303477 Bytes 16/05/2008 15:57:40

AEEMU.DLL : 8.1.0.6 430451 Bytes 16/05/2008 15:57:38

AECORE.DLL : 8.1.0.29 168311 Bytes 16/05/2008 15:57:36

AVWINLL.DLL : 1.0.0.7 14593 Bytes 23/01/2008 17:07:53

AVPREF.DLL : 8.0.0.1 25857 Bytes 18/02/2008 10:37:50

AVREP.DLL : 7.0.0.1 155688 Bytes 16/04/2007 13:26:47

AVREG.DLL : 8.0.0.0 30977 Bytes 23/01/2008 17:07:49

AVARKT.DLL : 1.0.0.23 307457 Bytes 12/02/2008 08:29:23

AVEVTLOG.DLL : 8.0.0.11 114945 Bytes 28/02/2008 08:31:31

SQLITE3.DLL : 3.3.17.1 339968 Bytes 22/01/2008 17:28:02

SMTPLIB.DLL : 1.2.0.19 28929 Bytes 23/01/2008 17:08:39

NETNT.DLL : 8.0.0.1 7937 Bytes 25/01/2008 12:05:10

RCIMAGE.DLL : 8.0.0.35 2371841 Bytes 10/03/2008 14:37:25

RCTEXT.DLL : 8.0.32.0 86273 Bytes 06/03/2008 12:02:11

Configuration settings for the scan:

Jobname..........................: Manual Selection

Configuration file...............: C:\Documents and Settings\All Users\Application Data\Avira\AntiVir PersonalEdition Classic\PROFILES\folder.avp

Logging..........................: low

Primary action...................: interactive

Secondary action.................: ignore

Scan master boot sector..........: on

Scan boot sector.................: on

Boot sectors.....................: C:, E:, F:,

Scan memory......................: on

Process scan.....................: on

Scan registry....................: on

Search for rootkits..............: off

Scan all files...................: All files

Scan archives....................: on

Recursion depth..................: 20

Smart extensions.................: on

Deviating archive types..........: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox,

Macro heuristic..................: on

File heuristic...................: high

Deviating risk categories........: +APPL,+GAME,+JOKE,+PCK,+SPR,

Start of the scan: vendredi 16 mai 2008 18:20

The scan of running processes will be started

Scan process 'avscan.exe' - '1' Module(s) have been scanned

Scan process 'avcenter.exe' - '1' Module(s) have been scanned

Scan process 'explorer.exe' - '1' Module(s) have been scanned

Scan process 'svchost.exe' - '1' Module(s) have been scanned

Scan process 'lsass.exe' - '1' Module(s) have been scanned

Scan process 'services.exe' - '1' Module(s) have been scanned

Scan process 'winlogon.exe' - '1' Module(s) have been scanned

Scan process 'csrss.exe' - '1' Module(s) have been scanned

Scan process 'smss.exe' - '1' Module(s) have been scanned

11 processes with 11 modules were scanned

Starting master boot sector scan:

Master boot sector HD0

[iNFO] No virus was found!

Master boot sector HD1

[iNFO] No virus was found!

Master boot sector HD2

[iNFO] No virus was found!

Start scanning boot sectors:

Boot sector 'C:\'

[iNFO] No virus was found!

Boot sector 'E:\'

[iNFO] No virus was found!

Boot sector 'F:\'

[iNFO] No virus was found!

Starting to scan the registry.

The registry was scanned ( '27' files ).

Starting the file scan:

Begin scan in 'C:\'

C:\pagefile.sys

[WARNING] The file could not be opened!

Begin scan in 'E:\' <My Book>

E:\System Volume Information\_restore{5DB2306D-54AF-47EF-83EC-D729703A8840}\RP95\A0014020.exe

[DETECTION] Contains detection pattern of the dropper DR/ActualSpy.O

[NOTE] The file was moved to '485dbff5.qua'!

Begin scan in 'F:\' <Kingston>

End of the scan: vendredi 16 mai 2008 21:09

Used time: 2:49:14 min

The scan has been done completely.

8090 Scanning directories

263629 Files were scanned

1 viruses and/or unwanted programs were found

0 Files were classified as suspicious:

0 files were deleted

0 files were repaired

1 files were moved to quarantine

0 files were renamed

1 Files cannot be scanned

263628 Files not concerned

2269 Archives were scanned

1 Warnings

1 Notes

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 23:08:41, on 16/05/2008