win32:Evo-gen[Susp] Résolu/Fermé

Question

Bonsoir, 
Depuis quelques jours, je reçois des alertes d'Avast, me disant que quelque chose a été bloqué.. Je regarde et en quarantaine je peux remarquer un fichier nommé "FlashPlayerUpdateService.exe", 2 minutes plus tard, nouvelle alerte la même et ça continue.. J'ai aussi été infecté par Win32:Malware-gen..
J'aimerais savoir comment me débarrasser de ça, si quelqu'un peut m'aider!
Merci beaucoup.

Malekal_morte- · Answer

Salut,


Télécharge et installe Malwarebyte : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
Mets le à jour, fais un scan rapide, supprime tout et poste le rapport ici.  
!!! Malwarebyte doit être à jour avant de faire le scan !!! 
Supprime bien ce qui est détecté : bouton supprimer sélection.

Darkneed. · Answer

Bonsoir,

1/ fais une analyse complète avec ton antivirus s'il détecte quelque chose efface tout et redémarre ton PC.
2/ télécharge MalwaresBytes Anti-Malware https://fr.malwarebytes.com/ fais une analyse rapide et efface tout ce qu'il trouve puis redémarre ton PC.

*Si le problème persiste dis le moi.

Rorcha · Answer

J'ai fais l'analyse mais mon pc à redémarré bizarrement avant qu'elle ne soit finie.. Il a encore repéré des fichiers infectés (2) et j'aide nouveau des alertes à répétition avec un win32:Agent-ARRQ[Trj] ^^"

Malekal_morte- · Answer

Voir mon message plus bas, donne le rapport Malwarebyte.

Darkneed. · Answer

Oui il faut le rapport pour voir un peu plus les détails, j'avais oublié de le préciser.

Rorcha · Answer

Oui l'analyse est en cours, je vous le poste quand c'est fin! (Merci!!)

Rorcha · Answer

Voici enfin le rapport: 

Malwarebytes Anti-Malware (Essai) 1.75.0.1300
www.malwarebytes.org

Version de la base de données: v2013.08.30.06

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 10.0.9200.16660
Se7en :: SE7EN-PC [administrateur]

Protection: Activé

30/08/2013 20:26:00
MBAM-log-2013-08-30 (21-06-20).txt

Type d'examen: Examen complet (C:\|)
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 409340
Temps écoulé: 39 minute(s), 59 seconde(s)

Processus mémoire détecté(s): 2
C:\ProgramData\PC Performer Manager\2.6.1519.190\{61d8b74e-8d89-46ff-afa6-33382c54ac73}\pcpmngr.exe (PUP.Optional.BrowserDefender.A) -> 2992 -> Aucune action effectuée.
C:\ProgramData\PC Performer Manager\2.6.1519.190\{61d8b74e-8d89-46ff-afa6-33382c54ac73}\pcpmngr.exe (PUP.Optional.BrowserDefender.A) -> 2304 -> Aucune action effectuée.

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 6
HKLM\SYSTEM\CurrentControlSet\Services\PC Performer Manager (PUP.Optional.BrowserDefender.A) -> Aucune action effectuée.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{15D2D75C-9CB2-4efd-BAD7-B9B4CB4BC693} (PUP.Optional.BrowserDefender.A) -> Aucune action effectuée.
HKCU\SOFTWARE\DataMngr_Toolbar (PUP.Optional.DataMngr) -> Aucune action effectuée.
HKCU\Software\DataMngr (PUP.Optional.DataMngr) -> Aucune action effectuée.
HKCU\Software\BabSolution\Updater (PUP.Optional.Babylon.A) -> Aucune action effectuée.
HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\WINDOWS INTERNET NAME SERVICE (Trojan.P2P) -> Aucune action effectuée.

Valeur(s) du Registre détectée(s): 3
HKCU\SOFTWARE\Microsoft\Internet Explorer\Main|bProtector Start Page (PUP.BProtector) -> Données: http://www.claro-search.com/?affID=114506&tt=4312_2&babsrc=HP_clro&mntrId=a2ad4cb4000000000000e0469ab913fb -> Aucune action effectuée.
HKCU\SOFTWARE\Microsoft\Internet Explorer\SearchScopes|bProtectorDefaultScope (PUP.BProtector) -> Données: {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} -> Aucune action effectuée.
HKLM\SYSTEM\CurrentControlSet\Services\Windows Internet Name Service|ImagePath (Trojan.P2P) -> Données: C:\Windows\system32\config\systemprofile\AppData\Local\Windows Internet Name Service\wins.exe -> Aucune action effectuée.

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 3
C:\ProgramData\IBUpdaterService (Adware.InstallBrain) -> Aucune action effectuée.
C:\Users\Se7en\AppData\Roaming\Babylon (PUP.Optional.Babylon.A) -> Aucune action effectuée.
C:\Users\Se7en\AppData\Roaming\File Scout (PUP.Optional.FileScout.A) -> Aucune action effectuée.

Fichier(s) détecté(s): 11
C:\ProgramData\PC Performer Manager\2.6.1519.190\{61d8b74e-8d89-46ff-afa6-33382c54ac73}\pcpmngr.exe (PUP.Optional.BrowserDefender.A) -> Aucune action effectuée.
C:\ProgramData\PC Performer Manager\2.6.1519.190\{61d8b74e-8d89-46ff-afa6-33382c54ac73}\uninstall.exe (PUP.Optional.BrowserDefender.A) -> Aucune action effectuée.
C:\Users\Se7en\AppData\Roaming\File Scout\filescout.exe (Trojan.PUP.Optional.FileScout.A) -> Aucune action effectuée.
C:\Users\Se7en\Documents\Disque dur externe\KEYGEN.EXE (Trojan.Agent.CK) -> Aucune action effectuée.
C:\Users\Se7en\Documents\Disque dur externe\Adobe.Creative.Suite.5.Master.Collection.Multilingual.ESD.ISO-CORE\Keygen.AI.rar (Trojan.Agent.CK) -> Aucune action effectuée.
C:\Users\Se7en\Documents\Disque dur externe\Adobe.Creative.Suite.5.Master.Collection.Multilingual.ESD.ISO-CORE\KEYGEN.EXE (Trojan.Agent.CK) -> Aucune action effectuée.
C:\Users\Se7en\Downloads\Babylon9_setup.exe (PUP.Optional.Babylon.A) -> Aucune action effectuée.
C:\ProgramData\IBUpdaterService\repository.xml (Adware.InstallBrain) -> Aucune action effectuée.
C:\Users\Se7en\AppData\Roaming\Babylon\log_file.txt (PUP.Optional.Babylon.A) -> Aucune action effectuée.
C:\Users\Se7en\AppData\Roaming\File Scout\filescout.exe (PUP.Optional.FileScout.A) -> Aucune action effectuée.
C:\Users\Se7en\AppData\Roaming\File Scout\uninst.exe (PUP.Optional.FileScout.A) -> Aucune action effectuée.

(fin)

Darkneed. · Answer

Ah voilà maintenant supprime tout et redémarre ton PC.

Rorcha · Answer

Voilà, j'ai eu un autre rapport après avoir supprimé, je vous le poste?

Darkneed. · Answer

Oui.

Rorcha · Answer

Malwarebytes Anti-Malware (Essai) 1.75.0.1300
www.malwarebytes.org

Version de la base de données: v2013.08.30.06

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 10.0.9200.16660
Se7en :: SE7EN-PC [administrateur]

Protection: Activé

30/08/2013 20:26:00
mbam-log-2013-08-30 (20-26-00).txt

Type d'examen: Examen complet (C:\|)
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 409340
Temps écoulé: 39 minute(s), 59 seconde(s)

Processus mémoire détecté(s): 2
C:\ProgramData\PC Performer Manager\2.6.1519.190\{61d8b74e-8d89-46ff-afa6-33382c54ac73}\pcpmngr.exe (PUP.Optional.BrowserDefender.A) -> 2992 -> Suppression au redémarrage.
C:\ProgramData\PC Performer Manager\2.6.1519.190\{61d8b74e-8d89-46ff-afa6-33382c54ac73}\pcpmngr.exe (PUP.Optional.BrowserDefender.A) -> 2304 -> Suppression au redémarrage.

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 6
HKLM\SYSTEM\CurrentControlSet\Services\PC Performer Manager (PUP.Optional.BrowserDefender.A) -> Mis en quarantaine et supprimé avec succès.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{15D2D75C-9CB2-4efd-BAD7-B9B4CB4BC693} (PUP.Optional.BrowserDefender.A) -> Mis en quarantaine et supprimé avec succès.
HKCU\SOFTWARE\DataMngr_Toolbar (PUP.Optional.DataMngr) -> Mis en quarantaine et supprimé avec succès.
HKCU\Software\DataMngr (PUP.Optional.DataMngr) -> Mis en quarantaine et supprimé avec succès.
HKCU\Software\BabSolution\Updater (PUP.Optional.Babylon.A) -> Mis en quarantaine et supprimé avec succès.
HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\WINDOWS INTERNET NAME SERVICE (Trojan.P2P) -> Mis en quarantaine et supprimé avec succès.

Valeur(s) du Registre détectée(s): 3
HKCU\SOFTWARE\Microsoft\Internet Explorer\Main|bProtector Start Page (PUP.BProtector) -> Données: http://www.claro-search.com/?affID=114506&tt=4312_2&babsrc=HP_clro&mntrId=a2ad4cb4000000000000e0469ab913fb -> Mis en quarantaine et supprimé avec succès.
HKCU\SOFTWARE\Microsoft\Internet Explorer\SearchScopes|bProtectorDefaultScope (PUP.BProtector) -> Données: {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} -> Mis en quarantaine et supprimé avec succès.
HKLM\SYSTEM\CurrentControlSet\Services\Windows Internet Name Service|ImagePath (Trojan.P2P) -> Données: C:\Windows\system32\config\systemprofile\AppData\Local\Windows Internet Name Service\wins.exe -> Mis en quarantaine et supprimé avec succès.

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 3
C:\ProgramData\IBUpdaterService (Adware.InstallBrain) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Se7en\AppData\Roaming\Babylon (PUP.Optional.Babylon.A) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Se7en\AppData\Roaming\File Scout (PUP.Optional.FileScout.A) -> Mis en quarantaine et supprimé avec succès.

Fichier(s) détecté(s): 11
C:\ProgramData\PC Performer Manager\2.6.1519.190\{61d8b74e-8d89-46ff-afa6-33382c54ac73}\pcpmngr.exe (PUP.Optional.BrowserDefender.A) -> Suppression au redémarrage.
C:\ProgramData\PC Performer Manager\2.6.1519.190\{61d8b74e-8d89-46ff-afa6-33382c54ac73}\uninstall.exe (PUP.Optional.BrowserDefender.A) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Se7en\AppData\Roaming\File Scout\filescout.exe (Trojan.PUP.Optional.FileScout.A) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Se7en\Documents\Disque dur externe\KEYGEN.EXE (Trojan.Agent.CK) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Se7en\Documents\Disque dur externe\Adobe.Creative.Suite.5.Master.Collection.Multilingual.ESD.ISO-CORE\Keygen.AI.rar (Trojan.Agent.CK) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Se7en\Documents\Disque dur externe\Adobe.Creative.Suite.5.Master.Collection.Multilingual.ESD.ISO-CORE\KEYGEN.EXE (Trojan.Agent.CK) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Se7en\Downloads\Babylon9_setup.exe (PUP.Optional.Babylon.A) -> Mis en quarantaine et supprimé avec succès.
C:\ProgramData\IBUpdaterService\repository.xml (Adware.InstallBrain) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Se7en\AppData\Roaming\Babylon\log_file.txt (PUP.Optional.Babylon.A) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Se7en\AppData\Roaming\File Scout\filescout.exe (PUP.Optional.FileScout.A) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Se7en\AppData\Roaming\File Scout\uninst.exe (PUP.Optional.FileScout.A) -> Mis en quarantaine et supprimé avec succès.

(fin)

Malekal_morte- · Answer

Télécharge https://www.malekal.com/adwcleaner-supprimer-virus-adwares-pup/?t=33839&start= AdwCleaner ( d'Xplode ) sur ton bureau.  
Sur la page d'AdwCleaner, à droite, clic sur la disquette grise avec la flèche verte pour lancer le téléchargement.
Lance AdwCleaner, clique sur [Scanner].
Le scan peux durer plusieurs minutes, patienter.
Une fois le scan terminé, clique sur [Nettoyer]

Une fois le nettoyage terminéi, un rapport s'ouvrira. Copie/colle le contenu du rapport dans ta prochaine réponse par un copier/coller.
Si cela ne fonctionne pas, utilise le site http://pjjoint.malekal.com pour héberger le rapport, donne le lien du rapport dans un nouveau message.

Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt

Rorcha · Answer

# AdwCleaner v3.001 - Rapport créé le 30/08/2013 à 21:20:09
# Mis à jour le 24/08/2013 par Xplode
# Système d'exploitation : Windows 7 Home Premium Service Pack 1 (64 bits)
# Nom d'utilisateur : Se7en - SE7EN-PC
# Exécuté depuis : C:\Users\Se7en\Downloads\adwcleaner.exe
# Option : Nettoyer

***** [ Services ] *****


***** [ Fichiers / Dossiers ] *****

Dossier Supprimé : C:\ProgramData\Babylon
Dossier Supprimé : C:\ProgramData\pc performer manager
Dossier Supprimé : C:\Users\Se7en\AppData\Roaming\PerformerSoft
Fichier Supprimé : C:\Windows\System32oboot64.exe
Fichier Supprimé : C:\Program Files (x86)\Mozilla Firefox\searchplugins\Babylon.xml
Fichier Supprimé : C:\Users\Se7en\AppData\Local\Google\Chrome\User Data\Default\bProtector Web Data
Fichier Supprimé : C:\Users\Se7en\AppData\Local\Google\Chrome\User Data\Default\bprotectorpreferences

***** [ Raccourcis ] *****


***** [ Registre ] *****

Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\bProtectSettings
Clé Supprimée : HKLM\SOFTWARE\Classes\Prod.cap
Clé Supprimée : HKCU\Software\a48f8db06fbe45
Clé Supprimée : HKLM\SOFTWARE\a48f8db06fbe45
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\SoftonicDownloader_pour_songr_RASAPI32
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\SoftonicDownloader_pour_songr_RASMANCS
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{9E131A93-EED7-4BEB-B015-A0ADB30B5646}
Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4D79-A620-CCE0C0A66CC9}
Clé Supprimée : HKCU\Software\BabSolution
Clé Supprimée : HKCU\Software\Softonic
Clé Supprimée : HKLM\Software\Babylon
Clé Supprimée : HKLM\Software\DataMngr

***** [ Navigateurs ] *****

-\ Internet Explorer v10.0.9200.16660

Paramètre Restauré : HKCU\Software\Microsoft\Internet Explorer\Main [Start Page]

-\ Google Chrome v28.0.1500.95

[ Fichier : C:\Users\Se7en\AppData\Local\Google\Chrome\User Data\Default\preferences ]

Supprimée : homepage
Supprimée : urls_to_restore_on_startup

*************************

AdwCleaner[R0].txt - [2530 octets] - [30/08/2013 21:18:58]
AdwCleaner[S0].txt - [2163 octets] - [30/08/2013 21:20:09]

########## EOF - C:\AdwCleaner\AdwCleaner[S0].txt - [2223 octets] ##########

Darkneed. · Answer

Parfait malwarebytes et Adw cleaner on fais le ménage, es-ce que l'alerte win32:Agent-ARRQ[Trj] est toujours là ? Si non  télécharge CCleaner https://www.ccleaner.com/ccleaner/download/standard pour tout effacer complètement et puis ça devrais être bon.

Rorcha · Answer

Je n'ai plus eu d'alertes depuis que j'ai commencé tout ça, mais j'avais déjà CCleaner sur mon pc. J'espère que cela ne reviendra pas, en tout cas merci beaucoup pour les conseils, j'en pouvais plus de ces trucs !!

Darkneed. · Answer

Ah, derien tu peux alors mettre le sujet en "résolu" ;)

Rorcha · Answer

Merciiii !

Malekal_morte- · Answer

Pour ne plus te faire avoir.
A lire - Programmes parasites / PUPs : https://www.malekal.com/adwares-pup-protection/

Win32:Evo-gen[Susp]

18 réponses

Discussions similaires