[Réglé] Win32:Evo-gen virus ( COMMENT LE SUPPRIMER)

[Demoizelle]

Bonsoir tout le monde ; j'ai un petit problème ; à chaque fois que j'allume mon pc , Avast détecte ce virus Win32:Evo-gen
j'allais le supprimer en suivant les guides proposés sur internet , mais comme je ne m'y connais pas trop , je préfère que quelqu'un m'aide , merci .

[guugues]

Salut Demoizelle et bienvenue !

j'allais le supprimer en suivant les guides proposés sur internet , mais comme je ne m'y connais pas trop , je préfère que quelqu'un m'aide , merci .

Et tu fais bien !
Je vais te prendre en charge pour la désinfection, mais d'abord, je vais te demander de prendre connaissance de ces quelques règles :

La désinfection ne sera terminée que lorsque je le dirai. Merci de continuer jusqu'au bout, même si les symptômes apparents ont disparu.

Les outils que je te demanderai de télécharger devront être enregistrés sur ton bureau : aide en images
(merci à H.A.W.X).

Tous les rapports devront être joints sur le forum comme mentionné dans ce tutoriel.

Ne suis pas plusieurs procédures de désinfection sur différents forums, au risque d'endommager ton système d'exploitation.

Ne fais rien de ta propre initiative.

Je suis bénévole : je ne pourrai donc pas toujours te répondre de suite.

Nous allons réaliser un diagnostic de ton PC :


OTL – Analyse :

• Télécharge OTL sur ton bureau.
• Ferme toutes les applications en cours, puis lance OTL.

Sous Windows Vista/Seven/8, clique droit sur OTL puis Exécuter en tant qu'administrateur

• Coche les cases Tous les utilisateurs, Recherche Lop et Recherche Purity.
• Si ton Windows est en 64 bit, la case Avec analyses 64 bit doit être cochée par défaut :

• Copie le contenu du cadre ci-dessous en cliquant sur Tout sélectionner, clique-droit sur la zone sélectionnée puis choisis Copier :

Code: Tout sélectionner

netsvcs
msconfig
safebootminimal
safebootnetwork
drivers32
activex
/md5start
afd.sys
atapi.sys
ipsec.sys
netbt.sys
tcpip.sys
explorer.exe
wininit.exe
winlogon.exe
userinit.exe
kernel32.dll
rpcss.dll
svchost.exe
services.exe
/md5stop
%temp%\.exe /s
%SYSTEMDRIVE%\*.exe
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\System32\config\*.sav
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\syswow64\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\syswow64\drivers\*.sys /lockedfiles
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKLM\SOFTWARE\Microsoft\Internet Explorer\MAIN\FeatureControl|FEATURE_BROWSER_EMULATION /rs
HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Main\FeatureControl|feature_enable_ie_compression /rs
HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\Main\FeatureControl|feature_enable_ie_compression /rs
nslookup www.google.fr /c
SAVEMBR:0
CREATERESTOREPOINT

• Puis colle-le sous la catégorie Personnalisation d’OTL.
• Clique sur le bouton Analyse en haut à gauche puis patiente quelques instants. A la fin du scan, deux rapports s'ouvriront : OTL.txt et Extras.txt. Ceux-ci sont présents sur ton bureau.
• Joins ces 2 rapports dans ta prochaine réponse en suivant ce tutoriel.

------------------------------------------------------

Sont donc attendus les 2 rapports de OTL.

[Demoizelle]

Merci d'avoir répondu
Voici les 2 rapports

Extras.Txt

OTL.Txt

[guugues]

Re !

J'ai analysé tes rapports et j'ai un doute sur quelque chose : ta version de Windows est-elle officielle/légale ?
Car, lorsque je vois ces fichiers dans le rapport :

fichiers.txt

J'ai un doute.
J'attends ta réponse.

++

[Demoizelle]

Re ,j'en ai aucune idée , lorsque j'ai acheté le pc portable windows était déjà installé :/

[guugues]

Salut !

Télécharge la pièce jointe fichiers.txt de mon message précédent et dis moi si les lignes qui sont dedans te parlent stp (moi, je vois entre autre un activateur de clé pour Windows 7 ...)

Fais ensuite les manipulations suivantes :


1- Désactive temporairement Avast :

→ Clique-droit sur l'icône d'avast dans la barre des tâches → Gestion des Agents avast! → Désactiver pour 10 minutes.


2- WinChk0:

• Télécharge WinChk0 sur ton bureau.
• Lance WinChk0.

Sous Windows Vista/Seven/8, clique droit sur WinChk0 puis Exécuter en tant qu'administrateur

• Clique sur le bouton Exécuter.

• Une fois le scan terminé, un rapport va s'ouvrir automatiquement.
• Celui-ci est disponible ici : C:\WinChk.txt.
• Joins ce rapport dans ta prochaine réponse en suivant ce tutoriel.

-------------------------------------------------------------

Est donc attendu le rapport de WinChk0.

[Demoizelle]

Pour les lignes ça ne me dis absolument rien , désolée

par contre voici le rapport

WinChk.txt

[guugues]

Ok pour le rapport, ta version de Windows est légale. Après je me demande pourquoi cet activateur de clé (illégal) est présent sur le pc...


Tout d'abord, résides-tu en Algérie ?


Ton PC est infecté par des PUP / Adwares, qui ont les caractéristiques d'afficher des pubs intempestives, de collecter tes habitudes de navigation et d'installer des toolbars , car tu n'es pas assez vigilant(e) lors de l'installation de logiciels gratuits, qui proposent souvent ces PUP / Adwares pré-cochés pour l'installation.

Afin d'éviter ce genre d'infections, quelques recommandations :

En cas de téléchargements de logiciels, les effectuer uniquement via les sites officiels des éditeurs.

Ne télécharge pas tes logiciels sur des sites comme Softonic ou 01.net.

Prendre connaissance de ce qui est indiqué lors de l'installation de logiciels : s'assurer de décocher les éventuelles cases pré-sélectionnées.

1- Désinstallation des PUP / Adwares / logiciels inutiles via le panneau de configuration :


Désinstalle les logiciels suivants via : Démarrer → Panneau de configuration → Programmes → Programmes et fonctionnalités :

• SoftwareUpdater (PUP)
• YAC (Rogue)

Si certains ne veulent pas se désinstaller, ce n'est pas grave, passe aux suivants.


2- AdwCleaner – Nettoyage :

• Télécharge AdwCleaner sur ton bureau.
• Lance AdwCleaner.

Sous Windows Vista/Seven/8, clique droit sur AdwCleaner puis Exécuter en tant qu'administrateur

• Clique sur le bouton Scanner.

• Une fois le scan terminé, clique sur le bouton Nettoyer.
• Accepte le message d'informations en cliquant sur OK.
• Il te sera demandé de redémarrer l'ordinateur : accepte en cliquant sur OK.
• Une fois le PC redémarré, un rapport s'ouvrira automatiquement.
• Celui-ci est disponible ici : C:\AdwCleaner\AdwCleaner[S0].txt.
• Joins ce rapport dans ta prochaine réponse en suivant ce tutoriel.

3- Junkware Removal Tool :

• Télécharge Junkware Removal Tool sur ton bureau.
• Lance Junkware Removal Tool.

Sous Windows Vista/Seven/8, clique droit sur JRT puis Exécuter en tant qu'administrateur

• Lorsque la fenêtre suivante apparaît, appuie sur n'importe quelle touche de ton clavier pour lancer l'outil :

• Le nettoyage commence. Le bureau est susceptible de disparaître, c'est normal. Laisse travailler l'outil.
• Un rapport va s'ouvrir automatiquement.
• Celui-ci est présent sur ton bureau sous le nom de JRT.txt.
• Joins ce rapport dans ta prochaine réponse en suivant ce tutoriel.

4- OTL – Correction :

• Relance OTL.

Sous Windows Vista/Seven/8, clique droit sur OTL puis Exécuter en tant qu'administrateur

• Télécharge la pièce jointe suivante sur ton bureau :

Demoizelle.txt

• Ouvre le fichier Demoizelle.txt puis copie toutes les lignes qui sont dedans, de :OTL à [emptytemp].

• Colle ensuite les lignes précédemment copiées dans la catégorie Personnalisation d'OTL.

• Ferme toutes les applications en cours, y compris Internet.
• Puis clique sur le bouton Correction. Patiente.
• S'il t'est demandé de redémarrer le PC : accepte.
• Le rapport est sauvegardé ici : C:\_OTL\MovedFiles\ sous la forme date_heure.log.
• Joins ce rapport dans ta prochaine réponse en suivant ce tutoriel.

---------------------------------------------------------------------------

Sont donc attendus les rapports de AdwCleaner, JRT et OTL.

[Demoizelle]

Pour répondre à ta question ; oui j'habite en Algérie .
je comprends mieux maintenant ;j'ai téléchargé plusieurs logiciels à partir de 01.net
je vais procéder à la désinstallation , & je poste les rapports

Merci

[Demoizelle]

Alors j'ai désinstallé les 2 logiciels . & j'ai les 2 rapports

AdwCleaner[S0].txt

JRT.txt

mais je n'arrive pas à faire la correction , ça me met ( le programme ne répond pas .... )

[guugues]

Salut !

J'avais pas vu que tu avais édité ton message.

Redémarre ton PC et refais la procédure avec OTL.
Si ça bloque toujours, redémarre le PC en mode sans échec comme indiqué dans ce tutoriel et refais la procédure avec OTL.

[Demoizelle]

Bonsoir,
Donc j'ai refais la correction & ça bloque à nouveau & en-dessous de personnalisation ça me met processing prc file not found*

j'aurai une petite question à te poser , je viens de remarquer la présence de certains fichiers ( ntuser) & des raccourcis de fichiers cachés ( je crois) est-ce normal .? vu qu'avant je n'avait pas ça dans mes documents

[guugues]

je viens de remarquer la présence de certains fichiers ( ntuser) & des raccourcis de fichiers cachés ( je crois) est-ce normal .? vu qu'avant je n'avait pas ça dans mes documents

Tu n'y touches pas. ça doit être OTL qui affiche les fichiers cachés le temps de la suppression.

Ok, j'ai modifié le script de correction. Fais ceci :


OTL – Correction :

• Relance OTL.

Sous Windows Vista/Seven/8, clique droit sur OTL puis Exécuter en tant qu'administrateur

• Télécharge la pièce jointe suivante sur ton bureau :

Demoizelle2.txt

• Ouvre le fichier Demoizelle2.txt puis copie toutes les lignes qui sont dedans, de :OTL à [emptytemp].

• Colle ensuite les lignes précédemment copiées dans la catégorie Personnalisation d'OTL.

• Ferme toutes les applications en cours, y compris Internet.
• Puis clique sur le bouton Correction. Patiente.
• S'il t'est demandé de redémarrer le PC : accepte.
• Le rapport est sauvegardé ici : C:\_OTL\MovedFiles\ sous la forme date_heure.log.
• Joins ce rapport dans ta prochaine réponse en suivant ce tutoriel.

[Demoizelle]

02082014_182642.log

C'est bon les fichiers ont disparu

[guugues]

Très bien !

Avast émet-il encore des alertes ?

On continue :


Malwarebytes Anti-Malware :

• Télécharge Malwarebytes Anti-Malware sur ton bureau.
• Le fichier mbam-setup apparaît sur ton bureau : lance-le pour installer le logiciel.

Sous Windows Vista/Seven/8, clique droit sur mbam-setup puis Exécuter en tant qu'administrateur

• Lors de l'installation, pense à décocher la case Activer l'essai gratuit de Malwarebytes Anti-Malware PRO.
• Veille également à ce que la case Mettre à jour Malwarebytes Anti-Malware soit cochée.
• Les mises à jour se lancent et le logiciel démarre.
• Si tu possèdes déjà ce logiciel, pense à le mettre à jour via l'onglet Mise à jour puis Rechercher des mises à jour.
• Dans l'onglet Paramètres, configure-le comme ci-dessous:

• Puis dans l'onglet Recherche, coche la case Exécuter un examen complet puis clique sur Rechercher.
• Sélectionne tous les lecteurs (tu peux également brancher tes médias amovibles) et clique sur Rechercher.

• L'analyse peut prendre un certain temps. Laisse travailler l'outil sans l’interrompre.
• Lorsque l'analyse est terminée, clique sur OK puis sur Afficher les résultats.
• Si des infections sont trouvées, assure-toi que tout est coché et clique sur Supprimer la sélection puis sur OK.
• Un rapport va s'ouvrir automatiquement.
• S'il l'outil te demande de redémarrer le PC, accepte de suite.
• Joins le rapport dans ta prochaine réponse en suivant ce tutoriel.
• Pour joindre le rapport, après avoir cliqué sur le bouton Choisissez un fichier, colle la ligne suivante dans le cadre Nom du fichier :

Code: Tout sélectionner

C:\Users\HP\AppData\Roaming\Malwarebytes\Malwarebytes' Anti-Malware\Logs

• Puis clique sur le bouton Ouvrir : tu pourras alors sélectionner le rapport mbam-log-date(heure).txt et le joindre, comme expliqué dans le tutoriel.

-------------------------------------------------------------------

Est donc attendu le rapport de MBAM.