Infection Adware.Boxore

Moon -  
 Moon -
Bonjour, après un scan de Malwarebytes Antimalware on me signale une infection de Adware. Boxore.

voici le rapport:


Malwarebytes Anti-Malware 1.70.0.1100
www.malwarebytes.org

Version de la base de données: v2013.01.24.10

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
Moon :: MOON-VAIO [administrateur]

24/01/2013 19:43:56
MBAM-log-2013-01-25 (02-26-41).txt

Type d'examen: Examen complet (C:\|)
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 410251
Temps écoulé: 3 heure(s), 22 minute(s), 35 seconde(s)

Processus mémoire détecté(s): 1
C:\Program Files (x86)\Software\Update\SoftwareUpdate.exe (Adware.Boxore) -> 1896 -> Aucune action effectuée.

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 1
HKLM\SYSTEM\CurrentControlSet\Services\supdate (Adware.Boxore) -> Aucune action effectuée.

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 3
C:\Program Files (x86)\Software\Update\SoftwareUpdate.exe (Adware.Boxore) -> Aucune action effectuée.
C:\Program Files (x86)\Software\Update\1.2.201.0\SoftwareCrashHandler.exe (Adware.Boxore) -> Aucune action effectuée.
C:\Program Files (x86)\Software\Update\1.2.201.0\SoftwareUpdate.exe (Adware.Boxore) -> Aucune action effectuée.

(fin)

Pourriez vous me donner une procédure à suivre afin de me débarrasser de ce virus ?

Merci


28 réponses

  • 1
  • 2
  1. g3n-h@ckm@n
     
    salut

    Télécharge et enregistre ADWCleaner sur ton bureau :

    Lance le,(Pour vista/7/8 => clic droit "executer en tant qu'administrateur")

    clique sur suppression et poste C:\Adwcleaner[Sx].txt
    0
  2. Moon
     
    voici le rapport:

    # AdwCleaner v2.109 - Rapport créé le 27/01/2013 à 14:26:59
    # Mis à jour le 26/01/2013 par Xplode
    # Système d'exploitation : Windows 7 Home Premium Service Pack 1 (64 bits)
    # Nom d'utilisateur : Moon - MOON-VAIO
    # Mode de démarrage : Normal
    # Exécuté depuis : C:\Users\Moon\Desktop\adwcleaner.exe
    # Option [Suppression]

    ***** [Services] *****

    Arrêté & Supprimé : supdate

    ***** [Fichiers / Dossiers] *****

    Dossier Supprimé : C:\Users\Moon\AppData\Local\Google\Chrome\User Data\Default\Extensions\paoponfhfdfnjgddpnpjkambkcgdaaib
    Dossier Supprimé : C:\Users\Moon\AppData\Local\Software
    Fichier Supprimé : C:\Windows\Tasks\SoftwareUpdateTaskMachineCore.job
    Fichier Supprimé : C:\Windows\Tasks\SoftwareUpdateTaskMachineUA.job
    Supprimé au redémarrage : C:\Program Files (x86)\Software

    ***** [Registre] *****

    Clé Supprimée : HKCU\Software\Google\Chrome\Extensions\paoponfhfdfnjgddpnpjkambkcgdaaib
    Clé Supprimée : HKCU\Software\InstallCore
    Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{32451DFC-C23B-4E12-866C-FC7982238504}
    Clé Supprimée : HKLM\Software\Classes\Installer\Features\16FE85B52F587794795A481CF9295697
    Clé Supprimée : HKLM\Software\Classes\Installer\Features\254796BF4AC84B64891B61C529A2E23F
    Clé Supprimée : HKLM\Software\Classes\Installer\Features\64A6E60055D801F4BB8AC269354B72B8
    Clé Supprimée : HKLM\Software\Classes\Installer\Products\16FE85B52F587794795A481CF9295697
    Clé Supprimée : HKLM\Software\Classes\Installer\Products\254796BF4AC84B64891B61C529A2E23F
    Clé Supprimée : HKLM\Software\Classes\Installer\Products\64A6E60055D801F4BB8AC269354B72B8
    Clé Supprimée : HKLM\SOFTWARE\Classes\MIME\Database\Content Type\application/x-vnd.software.oneclickctrl.8
    Clé Supprimée : HKLM\SOFTWARE\Classes\Software.OneClickCtrl.8
    Clé Supprimée : HKLM\SOFTWARE\Classes\SoftwareUpdate.CoreClass
    Clé Supprimée : HKLM\SOFTWARE\Classes\SoftwareUpdate.CoreClass.1
    Clé Supprimée : HKLM\SOFTWARE\Classes\SoftwareUpdate.OnDemandCOMClassMachine
    Clé Supprimée : HKLM\SOFTWARE\Classes\SoftwareUpdate.OnDemandCOMClassMachine.1.0
    Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\SweetIM_RASAPI32
    Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\SweetIM_RASMANCS
    Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{42AEFAF9-09D6-4185-87AE-DEDF6E955CB4}
    Clé Supprimée : HKLM\SOFTWARE\MozillaPlugins\@www.dlmanager.net/omaha/tools//Software Update;version=8
    Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{092A2C6B-43EE-4F9F-8F8E-14ED5E11C14B}
    Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{257A6158-1416-4B31-9BF8-29FF49F3814F}
    Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{32451DFC-C23B-4E12-866C-FC7982238504}
    Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{42AEFAF9-09D6-4185-87AE-DEDF6E955CB4}
    Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{AC5C4189-A8A0-4C9D-8910-C9CEF8360077}
    Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{736EF78E-5A04-46F9-893E-EDEC6EA5DF45}
    Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{7A1BCE27-099C-4628-B63A-AEC00C6376B3}
    Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{7D86A08B-0A8F-4BE0-B693-F05E6947E780}
    Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{AF3AFF7C-B9E9-48DD-9002-212B6DEAAC02}
    Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{DBE82879-914A-422F-BAE9-2ECC80BE536F}
    Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{E12D7149-73EF-45E4-A1E9-99FD7DAE62D3}
    Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{F2B184F1-547C-4EE9-BFC4-AC489C7077D9}
    Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions\paoponfhfdfnjgddpnpjkambkcgdaaib
    Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{42AEFAF9-09D6-4185-87AE-DEDF6E955CB4}
    Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UpgradeCodes\BA086F2D38A8E1A47912955A68B3AD24

    ***** [Navigateurs] *****

    -\\ Internet Explorer v9.0.8112.16457

    [OK] Le registre ne contient aucune entrée illégitime.

    -\\ Mozilla Firefox v18.0.1 (fr)

    Fichier : C:\Users\Moon\AppData\Roaming\Mozilla\Firefox\Profiles\9w3512j0.default\prefs.js

    [OK] Le fichier ne contient aucune entrée illégitime.

    -\\ Google Chrome v [Impossible d'obtenir la version]

    Fichier : C:\Users\Moon\AppData\Local\Google\Chrome\User Data\Default\Preferences

    [OK] Le fichier ne contient aucune entrée illégitime.

    *************************

    AdwCleaner[S1].txt - [4496 octets] - [27/01/2013 14:26:59]

    ########## EOF - C:\AdwCleaner[S1].txt - [4556 octets] ##########
    0
  3. g3n-h@ckm@n
     
    tous les processus "non vitaux de windows" vont être coupés , enregistre ton travail. Il y aura une extinction du bureau pendant le scan --> pas de panique.

    Désactive toutes tes protections si possible , antivirus , sandbox , pare-feux , etc....: https://forum.pcastuces.com/default.asp

    telecharge et enregistre Pre_Scan sur ton bureau :

    http://www.archive-host.com (renommé winlogon)

    ou

    http://www.security-helpzone.com/Tools/g3n/winlogon.exe (renommé winlogon)

    si l'outil est relancé plusieurs fois , il te proposera un menu et qu'aucune option n'est demandée, lance l'option "Scan|Kill"

    si l'outil est bloqué par l'infection utilise cette version avec ces autres extensions :

    http://www.security-helpzone.com/Tools/g3n/Pre_Scan.scr
    http://www.security-helpzone.com/Tools/g3n/Pre_Scan.pif
    http://www.security-helpzone.com/Tools/g3n/Pre_Scan.com

    si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

    Il se peut que des fenêtres noires clignotent , laisse-le travailler.

    Laisse l'outil redemarrer ton pc.

    Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra à la racine de ton disque système ( généralement C:\ )

    NE LE POSTE PAS SUR LE FORUM !!! (il est trop long)

    Heberge le rapport sur https://www.cjoint.com/ puis donne le lien obtenu en echange sur le forum où tu te fais aider

    0
  4. Moon
     
    voici le lien

    http://cjoint.com/?3ABseTF42ic
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. g3n-h@ckm@n
     
    relance l'outil , clique sur Diag , herberge le rapport pre_diag et donne le lien
    0
  7. Moon
     
    voici le rapport pre_diag http://cjoint.com/?3ABtFCUGvrA
    0
  8. g3n-h@ckm@n
     
    selectionne ce texte , puis CTRL + C

    Kill::

    Key::
    [HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}]
    [HKU\S-1-5-21-914421951-3980233579-2647426404-1000\Software\SweetIM]
    [HKLM\Software\SweetIM]
    [HKLM\Software\Wow6432Node\SweetIM]
    [HKCR\Installer\Products\4EA42A62D9304AC4784BF238120633FF]

    Regread::
    [HKU\S-1-5-21-914421951-3980233579-2647426404-1000\Software\Settings]

    File|Fold::
    C:\Windows\syswow64\REN14CB.tmp
    C:\Windows\syswow64\REN14CC.tmp
    C:\Windows\Ìõ6

    Driver::
    MFEAVFK
    MFEHIDK
    MFESMFK

    Clean::

    MBR::

    Reboot::


    Relance Pre_scan puis choisis l'option "Script"

    une page va s'ouvrir

    logiquement le texte que tu as sélectionné s'y trouve déjà , donc tu fermes et le programme va travailler.

    sinon colle-le (clic droit/coller ou ctrl+V) dans la page vierge.

    puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte

    des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille

    poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail

    0
  9. Moon
     
    le processus plante et ne parviens pas à s'executer.
    j'ai essayé en mode sans échec mais je n'ai pas le rapport.

    comment je peux faire?
    0
  10. g3n-h@ckm@n
     
    le rapport est sur le bureau dans tes icones
    0
  11. Moon
     
    ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Script | 3.0127 ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

    Moon : Windows 7 Home Premium (64 bits)

    Switchs : http://gen-hackman.forum-pro.fr/t89-les-switchs

    New restorepoint created

    Script : 15:26:47

    ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

    End : 15:26:47

    ¤¤¤¤¤¤¤¤¤¤ ( EOF ) ¤¤¤¤¤¤¤¤¤¤

    Cette version ne doit pas etre la bonne je viens de le faire et il n'est pas 15:26
    0
    1. g3n-h@ckm@n
       
      c'etait la version à jour d'hier si !

      3.0127

      par contre t'as rien selectionné et CTRL +C
      0
    2. Moon
       
      Si j'ai pris le texte que tu m'as donné et j'ai collé dans la page avant de faire le script
      0
  12. g3n-h@ckm@n
     
    tu t'y prends mal

    il faut qu il soit en memoire dans la souris , avant de lancer l option script
    0
    1. Moon
       
      AHHHHH ! Ok, désolée !
      0
  13. Moon
     
    ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Script | 3.0127 ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

    Moon : Windows 7 Home Premium (64 bits)

    Switchs : http://gen-hackman.forum-pro.fr/t89-les-switchs

    New restorepoint created

    Script : 14:56:31

    ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

    ¤¤¤¤¤¤¤¤¤¤ | Stopped Processes

    (432) -- explorer.exe
    (916) -- ctfmon.exe

    ¤¤¤¤¤¤¤¤¤¤ | RegRead :

    [HKU\S-1-5-21-914421951-3980233579-2647426404-1000\Software\Settings]|[Language] : FR
    [HKU\S-1-5-21-914421951-3980233579-2647426404-1000\Software\Settings]|[RescueCenter.DeleteBackupsAfter] : 32
    [HKU\S-1-5-21-914421951-3980233579-2647426404-1000\Software\Settings]|[RescueCenter.MaxBackupsStored] : 100
    [HKU\S-1-5-21-914421951-3980233579-2647426404-1000\Software\Settings]|[DiskCleaner.DayAfterLastUsedFile] : 30
    [HKU\S-1-5-21-914421951-3980233579-2647426404-1000\Software\Settings]|[DiskCleaner.IgnoreRegisteredExtensions] : 1
    [HKU\S-1-5-21-914421951-3980233579-2647426404-1000\Software\Settings]|[DiskCleaner.IgnoreReadOnlyFiles] : 1
    [HKU\S-1-5-21-914421951-3980233579-2647426404-1000\Software\Settings]|[DiskCleaner.IgnoreSystemFiles] : 1
    [HKU\S-1-5-21-914421951-3980233579-2647426404-1000\Software\Settings]|[DiskCleaner.IgnoreUsedFiles] : 1
    [HKU\S-1-5-21-914421951-3980233579-2647426404-1000\Software\Settings]|[DiskCleaner.IgnoreEmptyFiles] : 1
    [HKU\S-1-5-21-914421951-3980233579-2647426404-1000\Software\Settings]|[DiskCleaner.QuickScan] : 1
    [HKU\S-1-5-21-914421951-3980233579-2647426404-1000\Software\Settings]|[DiskCleaner.WarnRunningApps] : 0
    [HKU\S-1-5-21-914421951-3980233579-2647426404-1000\Software\Settings]|[DiskCleaner.Collections] : 0x1600000049791B00
    [HKU\S-1-5-21-914421951-3980233579-2647426404-1000\Software\Settings]|[DiskCleaner.Masks] : 0xB300000005E2108000480F0080310000000000000000000000000000
    [HKU\S-1-5-21-914421951-3980233579-2647426404-1000\Software\Settings]|[RegistryCleaner.UseIgnoreList] : 1
    [HKU\S-1-5-21-914421951-3980233579-2647426404-1000\Software\Settings]|[RegistryCleaner.ScanCDDriveReferences] : 0
    [HKU\S-1-5-21-914421951-3980233579-2647426404-1000\Software\Settings]|[RegistryCleaner.ScanRemovableMediaReferences] : 0
    [HKU\S-1-5-21-914421951-3980233579-2647426404-1000\Software\Settings]|[RegistryCleaner.ScanUserMenuShortcuts] : 1
    [HKU\S-1-5-21-914421951-3980233579-2647426404-1000\Software\Settings]|[RegistryCleaner.ScanCommonMenuShortcuts] : 1
    [HKU\S-1-5-21-914421951-3980233579-2647426404-1000\Software\Settings]|[RegistryCleaner.ScanRecentFolderShortcuts] : 1
    [HKU\S-1-5-21-914421951-3980233579-2647426404-1000\Software\Settings]|[RegistryCleaner.ScanOfficeRecentFolderShortcuts] : 1
    [HKU\S-1-5-21-914421951-3980233579-2647426404-1000\Software\Settings]|[RegistryCleaner.ScanDesktopShortcuts] : 1
    [HKU\S-1-5-21-914421951-3980233579-2647426404-1000\Software\Settings]|[RegistryCleaner.ScanCommonDesktopShortcuts] : 1
    [HKU\S-1-5-21-914421951-3980233579-2647426404-1000\Software\Settings]|[RegistryCleaner.ScanQuickLaunchShortcuts] : 1

    ¤¤¤¤¤¤¤¤¤¤ | Deletion | Drivers | Services

    Service : MFEAVFK Not actif
    Service : MFEHIDK Not actif
    Service : MFESMFK Not actif

    Deleted : [HKLM\..\ControlSet001\..\Root\LEGACY_MFEAVFK]
    Deleted : [HKLM\..\ControlSet002\..\Root\LEGACY_MFEAVFK]
    Deleted : [HKLM\..\CurrentControlSet\..\Root\LEGACY_MFEAVFK]
    Deleted : [HKLM\..\ControlSet001\..\Root\LEGACY_MFEHIDK]
    Deleted : [HKLM\..\ControlSet002\..\Root\LEGACY_MFEHIDK]
    Deleted : [HKLM\..\CurrentControlSet\..\Root\LEGACY_MFEHIDK]
    Deleted : [HKLM\..\ControlSet001\..\Root\LEGACY_MFESMFK]
    Deleted : [HKLM\..\ControlSet002\..\Root\LEGACY_MFESMFK]
    Deleted : [HKLM\..\CurrentControlSet\..\Root\LEGACY_MFESMFK]

    ¤

    ¤¤¤¤¤¤¤¤¤¤ | Registry Deletions

    Key Deleted : HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}
    Key Deleted : HKU\S-1-5-21-914421951-3980233579-2647426404-1000\Software\SweetIM
    Key Deleted : HKLM\Software\SweetIM
    Key Deleted : HKLM\Software\Wow6432Node\SweetIM
    Key Deleted : HKCR\Installer\Products\4EA42A62D9304AC4784BF238120633FF

    ¤

    C:\Windows\syswow64\REN14CB.tmp : Not Found !
    C:\Windows\syswow64\REN14CC.tmp : Not Found !
    C:\Windows\Ìõ6 : Not Found !

    ¤¤¤¤¤¤¤¤¤¤ | MBR

    Windows Version: Windows 7 Home Premium Edition
    Windows Information: Service Pack 1 (build 7601), 64-bit
    Base Board Manufacturer: Sony Corporation
    BIOS Manufacturer: American Megatrends Inc.
    System Manufacturer: Sony Corporation
    System Product Name: VPCEA1S1E
    Logical Drives Mask: 0x0000003c

    Analysis of file "C:\Pre_Scan\MBR.bin":
    Windows 7 MBR code detected

    64 bits Not supported by MBR.exe , Dump : C:\Pre_Scan\MBR.Bin

    ¤

    ¤¤¤¤¤¤¤¤¤¤ | Disk cleaning

    Disk cleaned

    ¤

    End : 14:59:45

    ¤¤¤¤¤¤¤¤¤¤ ( EOF ) ¤¤¤¤¤¤¤¤¤¤
    0
  14. g3n-h@ckm@n
     
    tu as vu ? ca marche mieux hein ? lol !

    mets malwarebytes à jour fais un scan complet , supprime tout ce qu il trouve puis poste le rapport
    0
  15. Moon
     
    Malwarebytes Anti-Malware 1.70.0.1100
    www.malwarebytes.org

    Version de la base de données: v2013.01.28.04

    Windows 7 Service Pack 1 x64 NTFS
    Internet Explorer 9.0.8112.16421
    Moon :: MOON-VAIO [administrateur]

    28/01/2013 15:21:14
    MBAM-log-2013-01-28 (18-23-54).txt

    Type d'examen: Examen complet (C:\|D:\|E:\|F:\|)
    Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
    Options d'examen désactivées: P2P
    Elément(s) analysé(s): 404353
    Temps écoulé: 2 heure(s), 51 minute(s), 6 seconde(s)

    Processus mémoire détecté(s): 0
    (Aucun élément nuisible détecté)

    Module(s) mémoire détecté(s): 0
    (Aucun élément nuisible détecté)

    Clé(s) du Registre détectée(s): 0
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre détectée(s): 0
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre détecté(s): 0
    (Aucun élément nuisible détecté)

    Dossier(s) détecté(s): 0
    (Aucun élément nuisible détecté)

    Fichier(s) détecté(s): 1
    C:\Users\Moon\Desktop\winlogon.exe (Heuristics.Reserved.Word.Exploit) -> Aucune action effectuée.

    (fin)
    0
  16. g3n-h@ckm@n
     
    ok encore des soucis ou on fait le menage ?
    0
  17. Moon
     
    Je pense que ca va ! En fait, j'ai déjà eu un adware mais c'était instalcore.gen il y a 3 ou 4 mois, du coup je me demande si j'ai pas une faille ou quelque chose comme cela ou est-ce que c'est lié au site que je consulte ?
    0
  18. Moon
     
    Ton site est en maintenance ! Je l'avais déjà fait tout ca, je fais super attention en plus, à force, je commence à maitriser ! lol.
    0
  19. g3n-h@ckm@n
     
    j'ai jamais mis mon site en maintenantce c'est quoi cette histoire ?

    ah ben non chez moi il fonctionne ....

    ¤¤¤¤¤¤¤¤¤¤ Pre_Scan_Concept ¤¤¤¤¤¤¤¤¤¤
    0
    1. jacques.gache Messages postés 34829 Statut Contributeur sécurité 1 645
       
      il vient juste de se débloqué !!!
      0
  20. Moon
     
    Suis en train de mettre tout à jour, et j'ai désactivé JAVA et Firefox me dit qu'il est réputé pour etre vulnérable ! Du coup, je le laisse toujours désactivé ?
    0
  • 1
  • 2