Virus win 32: evo-gen HELP!!!

[Résolu/Fermé]
Signaler
-
 miluna -
Bonjour,
depuis quelques jours, j'ai un problème de virus sur mon pc, des que je met mon anti virus (avast) en route, a la fin il me dit qu'un fichier est infecté (source: C:\ Users\fanny\appdata\roaming\VOPackage\VOsrv.exe) et lorsque j'essai de le supprimer il me demande de redémarrer mon pc pour que cela soit définitif, mais ce fichier infecté est toujours la! est-ce que quelqu'un pourrait m'aider... surtout que j'ai des bases en info mais je ne suis pas une pro....
merci d'avance

8 réponses

Messages postés
180254
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
24 258
Salut,

Tu as installé des adwares et programmes parasites sur ton PC.
Voici la procédure à suivre pour les supprimer :

Commence par ceci :

Télécharge https://www.malekal.com/adwcleaner-supprimer-virus-adwares-pup/?t=33839&start= AdwCleaner ( d'Xplode ) sur ton bureau.
Sur la page d'AdwCleaner, à droite, clic sur la disquette grise avec la flèche verte pour lancer le téléchargement.
Lance AdwCleaner, clique sur [Scanner].
Le scan peux durer plusieurs minutes, patienter.
Une fois le scan terminé, clique sur [Nettoyer]

Une fois le nettoyage terminé, un rapport s'ouvrira. Copie/colle le contenu du rapport dans ta prochaine réponse par un copier/coller.
Si cela ne fonctionne pas, utilise le site http://pjjoint.malekal.com pour héberger le rapport, donne le lien du rapport dans un nouveau message.

Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt


# AdwCleaner v3.311 - Rapport créé le 30/10/2014 à 22:16:46
# Mis à jour le 30/09/2014 par Xplode
# Système d'exploitation : Windows Vista (TM) Home Premium Service Pack 1 (32 bits)
# Nom d'utilisateur : fanny - PC-DE-FANNY
# Exécuté depuis : C:\Users\fanny\Desktop\adwcleaner_3.311.exe
# Option : Nettoyer

***** [ Services ] *****

[#] Service Supprimé : Partner Service
[#] Service Supprimé : servervo
[#] Service Supprimé : {b0c7827f-c845-429a-833b-c2a798fc4fc3}Gt
[#] Service Supprimé : {f5d136d7-adc2-4c84-85b2-e564334ab0bc}Gt

***** [ Fichiers / Dossiers ] *****

Dossier Supprimé : C:\ProgramData\Partner
Dossier Supprimé : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Wajam
Dossier Supprimé : C:\Program Files\AnyProtectEx
Dossier Supprimé : C:\Program Files\SupTab
Dossier Supprimé : C:\Program Files\Wajam
Dossier Supprimé : C:\Program Files\wse_astromenda
Dossier Supprimé : C:\Program Files\ver0BlockAndSurf
Dossier Supprimé : C:\Users\fanny\AppData\Roaming\AnyProtectEx
Dossier Supprimé : C:\Users\fanny\AppData\Roaming\Systweak
Dossier Supprimé : C:\Users\fanny\AppData\Roaming\VOPackage
Dossier Supprimé : C:\Users\fanny\AppData\Roaming\wse_astromenda
Dossier Supprimé : C:\Users\fanny\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\VOPackage
Dossier Supprimé : C:\Users\fanny\AppData\Local\Google\Chrome\User Data\Default\Extensions\pelmeidfhdlhlbjimpabfcbnnojbboma
Fichier Supprimé : C:\Windows\system32\roboot.exe
Fichier Supprimé : C:\Windows\system32\drivers\{b0c7827f-c845-429a-833b-c2a798fc4fc3}Gt.sys
Fichier Supprimé : C:\Windows\system32\drivers\{f5d136d7-adc2-4c84-85b2-e564334ab0bc}Gt.sys
Fichier Supprimé : C:\Users\fanny\AppData\Local\Google\Chrome\User Data\Default\Local Storage\chrome-extension_igdhbblpcellaljokkpfhcjlagemhgjl_0.localstorage

***** [ Tâches planifiées ] *****

Tâche Supprimée : ASP
Tâche Supprimée : BlockAndSurf Update
Tâche Supprimée : WSE_Astromenda

***** [ Raccourcis ] *****

Raccourci Désinfecté : C:\Users\Public\Desktop\Google Chrome.lnk
Raccourci Désinfecté : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk
Raccourci Désinfecté : C:\Users\fanny\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk
Raccourci Désinfecté : C:\Users\fanny\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk

***** [ Registre ] *****

Valeur Supprimée : HKCU\Software\Mozilla\Firefox\Extensions [{B4D8E21A-EDB5-4ADB-EB52-F332FD792771}]
Clé Supprimée : HKLM\SOFTWARE\Google\Chrome\Extensions\eofcbnmajmjmplflapaojjnihcjkigck
Clé Supprimée : HKLM\SOFTWARE\Google\Chrome\Extensions\pelmeidfhdlhlbjimpabfcbnnojbboma
Clé Supprimée : HKCU\Software\Google\Chrome\Extensions\pfkfdlcdbajamklbneflfbcmfgddmpae
Clé Supprimée : HKLM\SOFTWARE\Google\Chrome\Extensions\pfkfdlcdbajamklbneflfbcmfgddmpae
Valeur Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Run [BRS]
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\kt_bho_dll.dll
Clé Supprimée : HKLM\SOFTWARE\Classes\Iminent
Clé Supprimée : HKLM\SOFTWARE\Classes\kt_bho.KettleBho
Clé Supprimée : HKLM\SOFTWARE\Classes\kt_bho.KettleBho.1
Clé Supprimée : HKLM\SOFTWARE\Classes\protector_dll.protectorbho
Clé Supprimée : HKLM\SOFTWARE\Classes\protector_dll.protectorbho.1
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{28A88B70-D874-4F73-BBBA-9B2B222FB7D6}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{1AA60054-57D9-4F99-9A55-D0FBFBE7ECD3}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{4AA46D49-459F-4358-B4D1-169048547C23}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{5A4E3A41-FA55-4BDA-AED7-CEBE6E7BCB52}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{83FF80F4-8C74-4B80-B5BA-C8DDD434E5C4}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{1B14A086-710F-FB3A-F4C9-92A1447F25F7}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{4E6354DE-9115-4AEE-BD21-C46C3E8A49DB}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{FC073BDA-C115-4A1D-9DF9-9B5C461482E5}
Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{86676E13-D6D8-4652-9FCF-F2047F1FB000}
Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{A2D733A7-73B0-4C6B-B0C7-06A432950B66}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{83FF80F4-8C74-4B80-B5BA-C8DDD434E5C4}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{84FF7BD6-B47F-46F8-9130-01B2696B36CB}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{83FF80F4-8C74-4B80-B5BA-C8DDD434E5C4}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{84FF7BD6-B47F-46F8-9130-01B2696B36CB}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{68B81CCD-A80C-4060-8947-5AE69ED01199}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{E6B969FB-6D33-48D2-9061-8BBD4899EB08}
Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{2E00D31D-D171-423D-836D-1A4D7EA7F1A9}
Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}
Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{460C3D19-B3D4-4964-A550-77D263B0CCCB}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{2E00D31D-D171-423D-836D-1A4D7EA7F1A9}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{460C3D19-B3D4-4964-A550-77D263B0CCCB}
Valeur Supprimée : HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks [{84FF7BD6-B47F-46F8-9130-01B2696B36CB}]
Clé Supprimée : HKCU\Software\AnyProtect
Clé Supprimée : HKCU\Software\BRS
Clé Supprimée : HKCU\Software\InstallCore
Clé Supprimée : HKCU\Software\MyBestOffersToday
Clé Supprimée : HKCU\Software\Softonic
Clé Supprimée : HKCU\Software\systweak
Clé Supprimée : HKCU\Software\TutoTag
Clé Supprimée : HKCU\Software\Wajam
Clé Supprimée : HKCU\Software\WSE_Astromenda
Clé Supprimée : HKCU\Software\AppDataLow\Software\BlockAndSurf
Clé Supprimée : HKLM\SOFTWARE\Iminent
Clé Supprimée : HKLM\SOFTWARE\InstallCore
Clé Supprimée : HKLM\SOFTWARE\MyBestOffersToday
Clé Supprimée : HKLM\SOFTWARE\SupDp
Clé Supprimée : HKLM\SOFTWARE\systweak
Clé Supprimée : HKLM\SOFTWARE\Tutorials
Clé Supprimée : HKLM\SOFTWARE\Wajam
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Wajam
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\B2BE15D2-002F-823B-C0F8-367C4FD235F3
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\IminentToolbar
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\Wajam
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\B2BE15D2-002F-823B-C0F8-367C4FD235F3
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\DatamngrCoordinator.exe

***** [ Navigateurs ] *****

-\\ Internet Explorer v7.0.6001.18000

Paramètre Restauré : HKCU\Software\Microsoft\Internet Explorer\Main [Default_Page_URL]
Paramètre Restauré : HKLM\SOFTWARE\Microsoft\Internet Explorer\Main [Start Page]
Paramètre Restauré : HKLM\SOFTWARE\Microsoft\Internet Explorer\Main [Default_Page_URL]
Paramètre Restauré : HKLM\SOFTWARE\Microsoft\Internet Explorer\Main [Default_Search_URL]
Paramètre Restauré : HKLM\SOFTWARE\Microsoft\Internet Explorer\Main [Search Page]
Paramètre Restauré : HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURls [Tabs]

-\\ Google Chrome v38.0.2125.111

[ Fichier : C:\Users\fanny\AppData\Local\Google\Chrome\User Data\Default\preferences ]

Supprimée [Search Provider] : hxxp://www1.delta-search.com/?q={searchTerms}&affID=120519&tt=gc_&babsrc=SP_ss&mntrId=EE65001E68C8EA49
Supprimée [Search Provider] : hxxp://dts.search-results.com/sr?src=crb&appid=164&systemid=406&sr=0&q={searchTerms}
Supprimée [Search Provider] : hxxp://www.mystartsearch.com/web/?type=ds&ts=1414276725&from=tt4u&uid=HitachiXHTS542525K9SA00_080611BB6F00WDE6A57FX&q={searchTerms}
Supprimée [Search Provider] : hxxp://www.mystartsearch.com/web/?type=ds&ts=1414276725&from=tt4u&uid=HitachiXHTS542525K9SA00_080611BB6F00WDE6A57FX&q={searchTerms}
Supprimée [Search Provider] : hxxp://start.iminent.com/?appId=B69DFA08-8937-4799-94EE-1330E5A044D4&ref=toolbox&q={searchTerms}
Supprimée [Search Provider] : hxxp://astromenda.com/results.php?f=4&q={searchTerms}&a=ast_tele_14_43_ch&cd=2XzuyEtN2Y1L1QzutDtDtBtCyD0DyDtAyBzztC0E0B0FyCzytN0D0Tzu0StCtDtBzztN1L2XzutAtFyDtFtCtFyEtN1L1CzutCyEtBzytDyD1V1StN1L1G1B1V1N2Y1L1Qzu2SyC0D0A0DyCtCzy0DtGtD0FyDtDtGyDzytCtBtGtA0A0BtAtGtA0BtByB0D0FtD0B0F0CtBtA2QtN1M1F1B2Z1V1N2Y1L1Qzu2StDzytAyC0BtA0ByEtGtD0BtDyDtGyEyDtByBtG0B0FtD0AtGtA0BtAtDtByCtBtA0F0CtBtA2Q&cr=2010127624&ir=
Supprimée [Search Provider] : hxxp://www.softonic.fr/s/{searchTerms}

*************************

AdwCleaner[R0].txt - [9626 octets] - [30/10/2014 22:13:43]
AdwCleaner[S0].txt - [9102 octets] - [30/10/2014 22:16:46]

########## EOF - C:\AdwCleaner\AdwCleaner[S0].txt - [9162 octets] ##########
Messages postés
180254
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
24 258
Réinitialise tes navigateurs et ou manuellement reparamètre tes navigateurs WEB (page de démarrage, moteur de recherche etc) mais aussi supprimer/désactiver les extensions inutiles/parasites :
* Internet Explorer et modules complémentaires / moteurs de recherche : https://forum.malekal.com/viewtopic.php?t=41399&start=
* Firefox : https://www.malekal.com/reparer-firefox/?t=36057&start=
* Google Chrome : https://www.malekal.com/reparer-google-chrome/?t=35837&start=




puis :


Faire un Scan OTL - Temps : Environ 40min
=====================
OTL permet de diagnostiquer les programmes qui tournent et déceler des infections - Le programme va générer deux rapports OTL.txt et Extras.txt
Fournir les deux rapports :

Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/

* Faire un clic droit sur le lien suivant http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ puis enregistrer le lien sous.
* En haut à gauche, prendre bureau et enregistrer le fichier.
* Double-cliquez sur OTL
* En haut à droite de Analyse rapide, coche "tous les utilisateurs"
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :



netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%ALLUSERSPROFILE%\Application Data\*.dll /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\*.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles
%windir%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
services.exe
wininit.exe
/md5stop
HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
HKEY_LOCAL_MACHINE\Software\Microsoft\Command Processor /s
HKEY_CURRENT_USER\Software\Microsoft\Command Processor /s
CREATERESTOREPOINT
nslookup www.google.fr /c
ipconfig /all /c
ping www.google.fr /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs



* Clique sur le bouton Analyse.

**** Si durant le scan - OTL ne répond pas, ne touche à rien et laisse le scan se poursuivre ****

* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent).
Donne le ou les liens pjjoint qui pointent vers ces rapports ici dans une réponse.
Je répète : donne le lien du rapport pjjoint ici en réponse.

NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT DANS UN NOUVEAU MESSAGE



voila, si j"ai bien tout compris lol
http://pjjoint.malekal.com/files.php?id=20141031_z10g14s6u6e5
http://pjjoint.malekal.com/files.php?id=20141031_j15l13b15z14b15
Messages postés
180254
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
24 258
Désinstalle AdvanceElite et Java.

Relance OTL.
o sous Personnalisation (Custom Scan), copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:


:OTL
O4 - HKLM..\Run: [ConvertAd] C:\Users\fanny\AppData\Local\ConvertAd\ConvertAd.exe File not found
[2014/10/25 01:35:17 | 000,000,000 | ---D | C] -- C:\Program Files\AdvanceElite


* poste le rapport ici


Redémarre l'ordinateur

Ton Windows Vista n'est pas à jour.

Si tu as encore des détections Win32:Evo - il faudrait indiquer dans qel fichier.
========== OTL ==========
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\ConvertAd deleted successfully.
C:\Program Files\AdvanceElite\bin\TEMP folder moved successfully.
C:\Program Files\AdvanceElite\bin\plugins folder moved successfully.
C:\Program Files\AdvanceElite\bin folder moved successfully.
C:\Program Files\AdvanceElite folder moved successfully.

OTL by OldTimer - Version 3.2.69.0 log created on 10312014_185455
Messages postés
180254
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
24 258
Pour moi c'est bon,

Quelques conseils :

Installe Malwarebyte's Anti-Malware : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
Fais des scans réguliers avec, il est efficace.



Pour prévenir les sites malicieux, tu peux installer Blockulicious : https://forum.malekal.com/viewtopic.php?t=46656&start=


Pour ne plus te faire avoir.
A lire - Programmes parasites / PUPs : https://www.malekal.com/adwares-pup-protection/



1000 mercis!!!!