svchost.exe Win32.TrojanDropper.Boaxxe / Generic Dropper.lr

Aide à la désinfection pour supprimer les virus, adwares, ransomwares, trojans.

Modérateurs : Mods Windows, Helper

finwe
Messages : 1
Inscription : 14 janv. 2010 17:20

svchost.exe Win32.TrojanDropper.Boaxxe / Generic Dropper.lr

Message par finwe »

Bonjour,

Comme je rencontre le même problème que Thié (onglets intempestifs dans FireFox vers des sites comme warofdragons.fr, fichier svchost.exe qui apparaît dans c:\windows\temp\*.tmp, etc.), je me permets d'appeler à l'aide ici.

J'ai également testé AdAware, lequel m'a détecté le processus svchost en question, qu'il a identifié comme "Win32.TrojanDropper.Boaxxe", alors que McAfee l'appelle "Generic Dropper.lr". Toujours est-il que ni l'un ni l'autre n'ont réussi à m'en débarasser. Pour agrémenter le tout, j'ai maintenant un écran bleu de la mort quand je passe l'ordi en veille. Les deux problèmes sont arrivés en même temps, hier, sans être nécessairement liés.

J'ai donc suivi les conseils de Malekal_morte et lancé Combofix, HiJackThis puis Gmer. Pas de problème avec les deux premiers mais impossible d'utiliser Gmer sans que le PC freeze à un moment où à un autre (d'autres gens ont apparemment eu ce souci). Et donc voilà :

ComboFix 10-01-13.0C - olivierh 14/01/2010 17:32:03.2.2 - x86
Microsoft® Windows Vista™ Édition Intégrale 6.0.6001.1.1252.33.1036.18.1790.903 [GMT 1:00]
Lancé depuis: c:\users\olivierh\Desktop\ComboFix.exe
AV: McAfee VirusScan Enterprise *On-access scanning disabled* (Updated) {918A2B0B-2C60-4016-A4AB-E868DEABF7F0}
SP: Windows Defender *enabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\users\olivierh\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\MagicDisc.lnk

.
((((((((((((((((((((((((((((( Fichiers créés du 2009-12-14 au 2010-01-14 ))))))))))))))))))))))))))))))))))))
.

2010-01-14 16:38 . 2010-01-14 16:38 -------- d-----w- c:\users\Default\AppData\Local\temp
2010-01-14 16:06 . 2009-10-19 14:27 156672 ----a-w- c:\windows\system32\t2embed.dll
2010-01-14 16:06 . 2009-10-19 14:24 72704 ----a-w- c:\windows\system32\fontsub.dll
2010-01-14 14:21 . 2010-01-14 14:56 -------- d-----w- C:\Symbols
2010-01-14 14:01 . 2010-01-14 14:54 -------- d-----w- c:\program files\Debugging Tools for Windows (x86)
2010-01-14 13:19 . 2010-01-14 12:52 15880 ----a-w- c:\windows\system32\lsdelete.exe
2010-01-14 13:12 . 2010-01-14 13:54 -------- d-----w- C:\symcache
2010-01-14 13:12 . 2010-01-14 13:59 -------- d-----w- c:\program files\DebugDiag
2010-01-14 12:50 . 2010-01-14 12:50 -------- dc-h--w- c:\programdata\{CFBD8779-FAAB-4357-84F2-1EC8619FADA6}
2010-01-14 12:50 . 2009-10-03 08:15 2924848 -c--a-w- c:\programdata\{CFBD8779-FAAB-4357-84F2-1EC8619FADA6}\Ad-AwareInstallation.exe
2010-01-14 12:50 . 2010-01-14 12:52 -------- d-----w- c:\programdata\Lavasoft
2010-01-14 12:50 . 2010-01-14 12:50 -------- d-----w- c:\program files\Lavasoft
2010-01-13 22:06 . 2010-01-13 22:06 1753088 ----a-w- c:\programdata\MediaBrowser\Plugins\mediainfo\mediainfo.dll
2010-01-13 22:05 . 2010-01-13 22:05 1721344 ----a-w- c:\programdata\MediaBrowser\Plugins\MediaInfoProvider.dll
2010-01-13 17:11 . 2010-01-13 21:55 -------- d-----w- c:\program files\MediaInfo
2010-01-13 17:08 . 2010-01-13 21:54 -------- d-----w- c:\program files\7-Zip
2010-01-10 15:45 . 2010-01-10 15:45 -------- d-----w- c:\program files\MediaBrowser
2010-01-10 15:34 . 2010-01-14 11:59 -------- d-----w- c:\programdata\MediaBrowser
2010-01-10 13:39 . 2010-01-10 13:40 60412320 ----a-w- c:\users\olivierh\AppData\Roaming\ArcSoft\ArcSoft TotalMedia Theatre 3(Vista Media Center)\3.0\totalmediatheatre_3.0.1.120_3.0.1.160_update_all.exe
2010-01-09 21:56 . 2010-01-13 21:54 -------- d-----w- c:\users\olivierh\AppData\Roaming\VistaCodecs
2010-01-09 21:55 . 2010-01-09 21:55 -------- d-----w- c:\program files\VistaCodecPack
2010-01-06 20:09 . 2008-01-21 02:23 10103808 ----a-w- c:\programdata\Media Center Studio\Backups\EHRES.DLL
2010-01-06 20:01 . 2010-01-06 20:09 -------- d-----w- c:\programdata\Media Center Studio
2010-01-06 19:58 . 2010-01-14 12:38 -------- d-----w- c:\users\olivierh\AppData\Local\Deployment
2010-01-06 19:58 . 2010-01-06 19:58 -------- d-----w- c:\users\olivierh\AppData\Local\Apps
2009-12-27 21:43 . 2009-12-27 21:43 653560 ----a-w- c:\programdata\Microsoft\eHome\Packages\MCESpotlight\MCESpotlight\SpotlightResources.dll

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-01-14 15:24 . 2008-01-21 08:04 669340 ----a-w- c:\windows\system32\perfh00C.dat
2010-01-14 15:24 . 2008-01-21 08:04 123350 ----a-w- c:\windows\system32\perfc00C.dat
2010-01-14 15:20 . 2009-04-30 17:37 16608 ----a-w- c:\windows\gdrv.sys
2010-01-14 15:20 . 2010-01-14 15:05 53164 ----a-w- c:\programdata\nvModes.dat
2010-01-14 15:11 . 2009-04-30 17:46 -------- d-----w- c:\programdata\NVIDIA
2010-01-13 21:54 . 2008-01-21 02:21 21560 ----a-w- c:\windows\system32\drivers\atapi.sys
2010-01-13 21:54 . 2009-05-02 12:57 -------- d-----w- c:\users\olivierh\AppData\Roaming\dvdcss
2010-01-13 21:54 . 2009-05-01 19:08 -------- d-----w- c:\users\olivierh\AppData\Roaming\vlc
2010-01-13 21:54 . 2009-07-05 13:55 -------- d-----w- c:\programdata\VistaCodecs
2009-12-04 21:00 . 2009-12-03 19:29 -------- d-----w- c:\users\olivierh\AppData\Roaming\Audacity
2009-12-03 19:28 . 2009-12-03 19:28 -------- d-----w- c:\program files\Audacity 1.3 Beta (Unicode)
2009-11-21 06:40 . 2009-12-12 12:48 916480 ----a-w- c:\windows\system32\wininet.dll
2009-11-21 06:34 . 2009-12-12 12:48 109056 ----a-w- c:\windows\system32\iesysprep.dll
2009-11-21 06:34 . 2009-12-12 12:48 71680 ----a-w- c:\windows\system32\iesetup.dll
2009-11-21 04:59 . 2009-12-12 12:48 133632 ----a-w- c:\windows\system32\ieUnatt.exe
2009-11-09 13:22 . 2009-12-12 12:50 24064 ----a-w- c:\windows\system32\nshhttp.dll
2009-11-09 13:20 . 2009-12-12 12:50 31232 ----a-w- c:\windows\system32\httpapi.dll
2009-11-09 11:04 . 2009-12-12 12:50 411136 ----a-w- c:\windows\system32\drivers\http.sys
2009-11-02 19:42 . 2009-10-03 09:47 195456 ------w- c:\windows\system32\MpSigStub.exe
2009-10-29 09:41 . 2009-11-24 20:42 2048 ----a-w- c:\windows\system32\tzres.dll
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ehTray.exe"="c:\windows\ehome\ehTray.exe" [2008-01-21 125952]
"Windows Media Center"="c:\windows\ehome\ehuihlp.dll" [2008-01-21 1499136]
"WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2008-01-21 202240]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Windows Defender"="c:\program files\Windows Defender\MSASCui.exe" [2008-01-21 1008184]
"McAfeeUpdaterUI"="c:\program files\McAfee\Common Framework\udaterui.exe" [2008-03-14 136512]
"ShStatEXE"="c:\program files\McAfee\VirusScan Enterprise\SHSTAT.EXE" [2006-11-30 112216]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-27 35696]
"Kernel and Hardware Abstraction Layer"="KHALMNPR.EXE" [2008-12-18 76304]
"RtHDVCpl"="c:\program files\Realtek\Audio\HDA\RtHDVCpl.exe" [2009-06-16 7547424]

c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
IRTranstray USB.lnk - c:\program files\IRTrans\irtranstray.exe [2008-7-10 75576]
Logitech SetPoint.lnk - c:\program files\Logitech\SetPoint\SetPoint.exe [2009-6-9 809488]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 1 (0x1)
"EnableLUA"= 0 (0x0)
"EnableUIADesktopToggle"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux"=wdmaud.drv

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
@="Service"

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]
"AntiVirusOverride"=dword:00000001
"VistaSp2"=hex(b):be,51,56,61,4a,e1,c9,01

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc\S-1-5-21-3638204236-2714290086-3826561986-1000]
"EnableNotificationsRef"=dword:00000002

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc\S-1-5-21-3638204236-2714290086-3826561986-1001]
"EnableNotificationsRef"=dword:00000001

R0 Lbd;Lbd;c:\windows\System32\drivers\Lbd.sys [14/01/2010 13:52 64288]
R1 archlp;archlp;c:\windows\System32\drivers\ArcHlp.sys [19/02/2009 13:22 127744]
R2 GEST Service;GEST Service for program management.;c:\program files\GIGABYTE\EnergySaver\GSvr.exe [30/04/2009 18:39 80392]
R2 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;c:\program files\Lavasoft\Ad-Aware\AAWService.exe [24/09/2009 12:17 1181328]
R3 NVHDA;Service for NVIDIA High Definition Audio Driver;c:\windows\System32\drivers\nvhda32v.sys [24/09/2008 16:09 45600]
.
Contenu du dossier 'Tâches planifiées'

2010-01-14 c:\windows\Tasks\Ad-Aware Update (Daily 1).job
- c:\program files\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2009-10-01 12:52]

2010-01-14 c:\windows\Tasks\Ad-Aware Update (Daily 2).job
- c:\program files\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2009-10-01 12:52]

2010-01-14 c:\windows\Tasks\Ad-Aware Update (Daily 3).job
- c:\program files\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2009-10-01 12:52]

2010-01-14 c:\windows\Tasks\Ad-Aware Update (Daily 4).job
- c:\program files\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2009-10-01 12:52]

2010-01-14 c:\windows\Tasks\Ad-Aware Update (Weekly).job
- c:\program files\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2009-10-01 12:52]

2010-01-14 c:\windows\Tasks\User_Feed_Synchronization-{8C4CC8CF-D93F-447B-B5EB-2A875235F615}.job
- c:\windows\system32\msfeedssync.exe [2009-12-12 04:59]
.
.
------- Examen supplémentaire -------
.
uStart Page = about:blank
TCP: {BD69CD49-B34F-491D-9BEB-B820435B6965} = 89.2.0.1,89.2.0.2
DPF: {F27237D7-93C8-44C2-AC6E-D6057B9A918F} - hxxps://sslvpn.tibco.com/dana-cached/sc/JuniperSetupClient.cab
FF - ProfilePath - c:\users\olivierh\AppData\Roaming\Mozilla\Firefox\Profiles\b1z9l14k.default\
FF - plugin: c:\program files\Mozilla Firefox\plugins\np-mswmp.dll
FF - plugin: c:\program files\VistaCodecPack\rm\browser\plugins\nppl3260.dll
FF - plugin: c:\program files\VistaCodecPack\rm\browser\plugins\nprpjplug.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
.
- - - - ORPHELINS SUPPRIMES - - - -

HKLM-Run-NWEReboot - (no file)



**************************************************************************
Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés:

**************************************************************************
.
Heure de fin: 2010-01-14 17:41:22
ComboFix-quarantined-files.txt 2010-01-14 16:41

Avant-CF: 23 777 832 960 octets libres
Après-CF: 23 790 739 456 octets libres

- - End Of File - - 3EB8BA8A76DE2483BE5FC360B97D43F8

----------------------------------------------------------------------------------------------------------------------

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:47:16, on 14/01/2010
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v8.00 (8.00.6001.18865)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\system32\taskeng.exe
C:\Program Files\McAfee\Common Framework\UdaterUI.exe
C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Windows\ehome\ehmsas.exe
C:\Program Files\IRTrans\irtranstray.exe
C:\Program Files\Logitech\SetPoint\SetPoint.exe
C:\Program Files\MagicDisc\MagicDisc.exe
C:\Program Files\Common Files\Logishrd\KHAL2\KHALMNPR.EXE
C:\Program Files\IRTrans\IRSERVER.EXE
C:\Program Files\McAfee\Common Framework\McTray.exe
C:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe
C:\Windows\system32\rdpclip.exe
C:\Windows\system32\conime.exe
C:\Windows\explorer.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Windows\system32\NOTEPAD.EXE
C:\Windows\explorer.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: scriptproxy - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - C:\Program Files\McAfee\VirusScan Enterprise\Scriptcl.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files\McAfee\Common Framework\udaterui.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [ShStatEXE] "C:\Program Files\McAfee\VirusScan Enterprise\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [RtHDVCpl] C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [Windows Media Center] RunDLL32.exe C:\Windows\ehome\ehuihlp.dll,BootMediaCenter
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - Global Startup: IRTranstray USB.lnk = C:\Program Files\IRTrans\irtranstray.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\SetPoint.exe
O16 - DPF: {74DBCB52-F298-4110-951D-AD2FF67BC8AB} (NVIDIA Smart Scan) - http://www.nvidia.com/content/DriverDow ... rtScan.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/s ... wflash.cab
O16 - DPF: {F27237D7-93C8-44C2-AC6E-D6057B9A918F} (JuniperSetupClient Control) - https://sslvpn.tibco.com/dana-cached/sc ... Client.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{BD69CD49-B34F-491D-9BEB-B820435B6965}: NameServer = 89.2.0.1,89.2.0.2
O23 - Service: GEST Service for program management. (GEST Service) - Unknown owner - C:\Program Files\GIGABYTE\EnergySaver\GSvr.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Program Files\Common Files\Logishrd\Bluetooth\LBTServ.exe
O23 - Service: Service McAfee Framework (McAfeeFramework) - McAfee, Inc. - C:\Program Files\McAfee\Common Framework\FrameworkService.exe
O23 - Service: McAfee McShield (McShield) - McAfee, Inc. - C:\Program Files\McAfee\VirusScan Enterprise\Mcshield.exe
O23 - Service: McAfee Task Manager (McTaskManager) - McAfee, Inc. - C:\Program Files\McAfee\VirusScan Enterprise\VsTskMgr.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe

--
End of file - 4448 bytes

Que faire, docteur ?

-O

Malekal_morte
Site Admin
Site Admin
Messages : 103398
Inscription : 10 sept. 2005 13:57
Contact :

Re: svchost.exe Win32.TrojanDropper.Boaxxe / Generic Dropper.lr

Message par Malekal_morte »

finwe a écrit :J'ai également testé AdAware, lequel m'a détecté le processus svchost en question, qu'il a identifié comme "Win32.TrojanDropper.Boaxxe", alors que McAfee l'appelle "Generic Dropper.lr". Toujours est-il que ni l'un ni l'autre n'ont réussi à m'en débarasser. Pour agrémenter le tout, j'ai maintenant un écran bleu de la mort quand je passe l'ordi en veille. Les deux problèmes sont arrivés en même temps, hier, sans être nécessairement liés.
Je ne pensais pas qu'Ad-Aware était encore capable de détecter des choses!
finwe a écrit :J'ai donc suivi les conseils de Malekal_morte et lancé Combofix, HiJackThis puis Gmer. Pas de problème avec les deux premiers mais impossible d'utiliser Gmer sans que le PC freeze à un moment où à un autre (d'autres gens ont apparemment eu ce souci).
T'as bien désactivé McAfee et Ad-Aware avant ?

Si pas mieux : tente en mode sans échec sans prise en charge du réseau : Redémarre en mode sans échec, pour cela, redémarre l'ordinateur, avant le logo Windows, tapote sur la touche F8, un menu va apparaître, choisis Mode sans échec et appuye sur la touche entrée du clavier.
Image

Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus

Les tutoriels Windows 10 du moment : Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.

Répondre

Revenir à « Supprimer/Desinfecter les virus (Trojan, Adwares, Ransomwares, Backdoor, Spywares) »