Infection Win32:Evo-gen sous Windows 7

[rineone]

Bonjour,

j'etais a la recherche d'un driver d'une vieille imprimante et j'ai malheureusement failli a tous mes principe, j'ai tente l'installation et paf, un malware vient d'infecter mon pc, il s'est mis a installer qques applis que je n'arrive pas a desinstaller (cf. image en pj).
J'ai lance l'analyse avec Malwarebytes, il a trouve 742 fichiers qu'il a mis en quarantaine (cf. resultats en pj)
Mais une seconde analyse retrouve beaucoup d'autres malwares au nombre de 41. (cf. resultats en pj)

J'ai auparavant fait qques scans avec Avast (pas votre prefere je sais ) et il detecte a chaque fois Win32:Evo-gen, mais apres les avoir mis en quarantaine, d'autres reapparaissent...

Je fais donc appel a vos competences pour me diriger vers une solution qui me permettrait d'eradiquer ce fameux Evo-gen ainsi que de desinstaller les applications ininstallables classiquement...

Un grand merci par avance
-----

[rineone]

Info supplementaire,

apres la seconde analyse et nettoyage de Malwarebytes, il ne reste apparemment plus qu'une seule application qui ne s'est pas desinstallee, c'est "accelerer PC" (cf image en PJ). Lorsque j'essaie de la desinstaller (via panneau de configuration ou via Puran Utilities), le desintalleur est bien ouvert dans la barre des taches, mais sa fenetre est hors ecran, un clic droit dans la barre des taches sur son incone ne propose que "fermer la fenetre" donc impossible d'acceder au wizard...
Connaissez-vous un moyen de desintaller une application de maniere forcee sans lancement du wizard ?

Une troisieme analyse de Malwarebytes ne trouve plus que 2 malwares, une 4eme analyse encore 2 : dois-je lancer un autre outil de diagnostic/nettoyage ?

Merci

[rineone]

un 5eme analyse ne trouve plus aucun malware, cela veut-il dire que c'est bon ? ou dois-je lancer un autre outil ?

Il ne me reste plus que cette application "Accelerer PC" que je n'arrive pas a desinstaller.

Merci par avance

[xsun]

bonsoir

Passe ces deux outils en mode scanner/rechercher


***

=> AdwCleaner- Scanner:

/!\ Ne passe l'outil qu'une seule fois afin de ne pas fausser le rapport /!\

• Télécharge AdwCleaner de Xplode et enregistre le fichier sur ton Bureau
• Ferme toutes les applications, y compris ton navigateur
• Double-clique sur l'icône AdwCleaner.exe pour lancer l'installation
  /!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
• Sur le menu principal, clique sur Scanner
• Les éléments détectés s'affichent dans les différents onglets. Clique sur Rapport
• Un rapport AdwCleaner(R).txt s'ouvre. Poste ce rapport dans ta prochaine réponse
  Le rapport se trouve sous C:\AdwCleaner(S).txt

Aide en image pour AdwCleaner


Dans un souci de confidentialité, les rapports doivent être postés en "pièce-jointe"

***

ZHPCleaner-Scanner

/!\ Ne passe l'outil qu'une seule fois afin de ne pas fausser le rapport /!\

• Télécharge ZHPCleaner de Nicolas Coolman en cliquant sur le bouton bleu "Télécharger" et enregistre-le sur le Bureau
• Ferme toutes les applications, y compris le navigateur
• Double-clique sur l'icône ZHPCleaner.exe
  /!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
• Accepte, après l'avoir lu, l'accord de licence en cliquant sur J'accepte
• Clique sur le bouton Scanner
  
• Poste le rapport obtenu ZHPCleaner.txt qui s'affiche.
  
  Tutoriel d'utilisation ZHPCleaner en images

Dans un souci de confidentialité, les rapports doivent être postés en "pièce-jointe"

***

Deux rapports attendus
--> C:\AdwCleaner(S).txt --> mode scanner/rechercher
--> ZHPCleaner.txt --> mode scanner/rechercher

[A voir en vidéo sur Futura]

[rineone]

Bonjour,
un grand merci pour votre reactivite, voici les rapports ADWCleaner ne PJ

[rineone]

et ceux de ZHP en PJ.

thanks

[rineone]

et le dernier que j'avais oublie, je crois...

merci !

[rineone]

Oups, ai-je fais une erreur en allant plus loin que scanner ? Je viens seulement de Bien relire tes conseils

[xsun]

re

l'erreur effectivement est que tu n'as pas fait ce qui était demandé ...mode scanner (dit deux fois)...
(Un faux positif est toujours possible, malgré le gros gros travail des développeurs de ces outils)

ça quand même l'air d'être ok

A suivre:

/!\ Ne passe l'outil qu'une seule fois afin de ne pas fausser le rapport /!\

choisis ci-dessous la version compatible avec ton système (32 bits ou 64 bits)
et Important, Enregistre FRST sur ton Bureau

• Télécharge FRST 32 bits de Farbar
• Télécharge FRST 64 bits de Farbar

Clique sur ce lien si tu ne sais pas: Comment savoir quelle version 32 bits ou 64 bits est exécutée sur mon système ?


Sous Internet Explorer et Edge, le filtre SmartScreen peut déclencher une alerte. Cliquer sur Actions ou Informations complémentaires puis sur Exécuter quand même

• Ferme toutes les applications, y compris ton navigateur
• Double-clique sur FRST.exe et clique sur Oui pour accepter le Disclaimer
  /!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
• Sur le menu principal, clique sur Analyser et patiente le temps de l'analyse
• A la fin du scan, un rapport FRST.txt s'ouvre.
• A son premier lancement, l'outil va aussi créer un fichier nommé Addition.txt

Dans un souci de confidentialité, les rapports doivent être postés en "pièce-jointe"

*****


tu as donc deux rapports à fournir
--> FRST.txt
--> Addition.txt

[rineone]

oui, mea culpa, voici les rapports de FRST en PJ, merci !

[rineone]

et le second fichier FRST.txt est trop grand : FRST.txt - Votre fichier de 278,1 Ko octets dépasse la limite du forum de 195,3 Ko pour ce type de fichier.

[rineone]

le voici en zip, merci

[xsun]

re

c'est un ordi personnel ou d'entreprise ?

et peux tu m'expliquer ceci:

127.0.0.1 activate.adobe.com
127.0.0.1 practivate.adobe.com
127.0.0.1 ereg.adobe.com
127.0.0.1 activate.wip3.adobe.com
...etc...

[rineone]

Hello,

c'est un PC perso que ma comnpagne utilise pour son auto-boulot de temps en temps, j'imagine que ce qui concerne Adobe c'est pour InDesign et Photoshop. En outre, lors de l'achat de ce PC etait installe par defaut Acrobat, peut-etre une raison aussi...

merci

[xsun]

re

ok pour le pc perso

Pour la modification du fichier hosts, cela permet de supprimer le processus d'activation en ligne ............
et par principe, charte et légalité, je ne continue pas pour ce genre de pratique, afin de ne pas cautionner

Tu as donc deux choix:

--> sois garder, car je ne suis pas de la police et donc tu fais ce que tu veux avec ton ordi
--> sois tout supprimer et refaire FRST pour de nouveaux rapports (FRST.txt et Addition.txt)

[rineone]

Bonsoir, je veux bien supprimer, mais quoi ? Les applications Adobe ou les entrées dans ce fameux fichier hosts (où le trouve-t-on ? Et quelles entrées ? Toutes qui contiennent le mot Adobe ?). C'est un collègue de ma femme qui les a installées il y a qques années, je n'ai pas contrôlé...
Merci

[xsun]

re

je te crois

désinstalle via le panneau de configuration/désinstaller un programme:

--> Adobe Illustrator CS6
--> Adobe InDesign CS4
--> Adobe Photoshop CS
--> Adobe Photoshop Elements 6.0

Pour le fichier hosts, on le fera mais demain

[rineone]

Yes je fais ça demain soir et reposterai les nouveaux rapports, merci, bonne soirée

[xsun]

re

je te fais confiance, sinon tu n'aurais pas continuer de répondre

***

FRST - Correctif :


désinstalle via le panneau de configuration/désinstaller un programme: (si un programme ne veut pas se désinstaller ou bien absent de la liste, passes à la suite)

--> Adobe Shockwave Player 11.5 (pas à jour = faille de sécurité)


/!\ Ne passe l'outil qu'une seule fois afin de ne pas fausser le rapport /!\

• Ouvre le Bloc-notes (Démarrer => Tous les programmes => Accessoires => Bloc-notes)
  
• Copie/colle la totalité du contenu du lien ci-dessous dans le Bloc-notes (trop grand pour le placer ici)
  --> de start (inclus dans le copié) à end (inclus dans le copié)

--> http://textup.fr/143174QB

• Enregistre le fichier au même endroit que FRST= ton bureau /!\Important/!\ sous le nom fixlist.txt
• Ferme toutes les applications, y compris ton navigateur
  [li]Double-clique sur FRST.exe
  /!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
• Sur le menu principal, clique une seule fois sur Corriger et patiente le temps de la correction
• L'outil va créer un rapport de correction Fixlog.txt. Poste ce rapport dans ta réponse

Redémarre ton ordinateur s'il ne le fait pas automatiquement


Dans un souci de confidentialité, les rapports doivent être postés en "pièce-jointe"


/!\ Ce script a été établi pour cet utilisateur, il ne doit, en aucun cas, être appliqué sur un autre système, au risque de provoquer de graves dysfonctionnement et endommager Windows /!\

[rineone]

Hello,
j'ai bien desinstalle les applis Adobe suivantes :

• indesign
• illustrator
• Photoshop elements

Mais impossible de desinstaller Photoshop (msg d'erreur en PJ)

J'ai mis a jour shockwave vers la version 12.2

J'ai aussi lance la correction de FRST et joint le log...

merci

[xsun]

re

laisse faire pour Photoshop

As tu encore des problèmes ?
Avast te détecte encore quelque chose ?

[rineone]

bonsoir,

je viens de lancer une analyse complete et avast a trouver une menace (cf en PJ)

merci

[rineone]

En fait en regardant le chemin complet du fichier, il est dans la Quarantaine de ZHP...

[xsun]

re


Il est inactif dans la quarantaine

Si tu veux quand même le supprimer:

• Ouvre le Bloc-notes (Démarrer => Tous les programmes => Accessoires => Bloc-notes)
  
• Copie/colle la totalité du contenu de la zone Code ci-dessous dans le Bloc-notes
  --> de start (inclus dans le copié) à end (inclus dans le copié)

Code:

start
CreateRestorePoint:
CloseProcesses:
C:\Users\admin\AppData\Roaming\ZHP
EmptyTemp:
end

• Enregistre le fichier au même endroit que FRST= ton bureau /!\Important/!\ sous le nom fixlist.txt
• Ferme toutes les applications, y compris ton navigateur
• Double-clique sur FRST.exe
  /!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
• Sur le menu principal, clique une seule fois sur Corriger et patiente le temps de la correction
• L'outil va créer un rapport de correction Fixlog.txt. Poste ce rapport dans ta réponse

Redémarre ton ordinateur s'il ne le fait pas automatiquement


Dans un souci de confidentialité, les rapports doivent être postés en "pièce-jointe"


***

Télécharge DelFix (de Xplode) sur ton bureau.

• Ferme toutes tes fenêtres, puis double clique sur DelFix.exe pour le lancer.
  (Utilisateur de Vista/Windows 7/windows 8.1, faites un clic droit -> "Exécuter en tant qu'administrateur")
• laisse l'option "Supprimer les outils de désinfection" cochée
• coche aussi l'option "Purger la restauration système" <-- /!\ important /!\
• Clique sur le bouton "Exécuter"
• Laisse travailler l'outil.

Le rapport est enregistré à la base de ton disque dur, (C:\DelFix.txt généralement)

Dans un souci de confidentialité, les rapports doivent être postés en "pièce-jointe"

***

deux rapports attendus
--> Fixlog.txt
--> DelFix.txt

[rineone]

Bonsoir,
nettoyage effectue, rapport en PJ
Doit-on effectuer d'autres nettoyages ?
merci

[xsun]

re

Doit-on effectuer d'autres nettoyages

oui, les points de restauration et les outils utilisés .... et en ce sens, est toujours attendu le rapport Delfix

[rineone]

le voici le voila,
merci

[xsun]

re

c'est ok pour le rapport Delfix

Plus de soucis ?

[rineone]

Bonsoir,

tout semble etre rentre dans l'ordre.

Un grand merci pour ton aide !!!

[xsun]

re

A titre d'information,

Tu es la meilleure protection pour ton pc , en suivant quelques conditions:

--> Tenir à jour son système (windows, navigateurs, java, Adobe Reader, Flash player, etc ...)=> Qu'est-ce qu'une faille de sécurité?

--> D'une manière générale, vérifier/décocher les cases qui proposent d'ajouter des logiciels additionnels dans les programmes d'installation , lire ici aussi

--> P2P, crack, keygen .... <= Attention ...

--> Il faut éviter de télécharger des applications sur des plateformes comme Softonic et O1.net (ou toute autre plateforme, sans faire une recherche préalable sur le site en question) qui repackent les logiciels et les redistribuent avec des indésirables, tout simplement pour gagner de l'argent, alors que l'auteur de l'application la distribue gratuitement.
/!\ Toujours privilégier le téléchargement d'une application sur le site de l'éditeur /!\

--> Sauvegarder ses données régulièrement (photos, documents,etc ...) sur un autre support (DVD, disque dur externe ...) avant qu'il ne soit trop tard (ordinateur qui tombe en panne, malware de type Ransomware, ...etc...) .... ou bien faire des images systèmes régulières


***

bon surf