Win32:Evo-gen[Susp]

Résolu/Fermé
cc85460 Messages postés 10 Date d'inscription lundi 1 décembre 2014 Statut Membre Dernière intervention 2 décembre 2014 - 1 déc. 2014 à 08:58
cc85460 Messages postés 10 Date d'inscription lundi 1 décembre 2014 Statut Membre Dernière intervention 2 décembre 2014 - 2 déc. 2014 à 15:29
Bonjour,
Avast vient de me signaler qu'il avait trouvé un rootkit. Il me dit de le supprimer et de faire un scan au démarrage après avoir redémarré l'ordinateur.
C'est ce que j'ai fait, et le même message revient a chaque fois.
Le message d'avast dit qu'il a trouvé un Rootkit :
"Nom du fichier : SVC : Updater Service.exe
Nom du rootkit : Win32 : Evo-gen[susp]
Mon ordinateur est sous windows 7.
Merci de votre aide.

18 réponses

Destrio5 Messages postés 85985 Date d'inscription dimanche 11 juillet 2010 Statut Modérateur Dernière intervention 17 février 2023 10 297
1 déc. 2014 à 08:59
Bonjour,

--> Télécharge ZHPDiag (de Nicolas Coolman).

--> Double-clique sur le fichier d'installation. Installe ZHPDiag avec les paramètres par défaut (laisse "Créer une icône sur le Bureau" coché).

--> Lance ZHPDiag en double-cliquant sur le raccourci présent sur ton Bureau.

--> Clique sur "Complet".

--> Une fois le scan terminé, un rapport est créé sur le Bureau.

--> Héberge-le sur pjjoint.malekal.com puis copie-colle le lien donné par le site dans ton prochain message.
0
cc85460 Messages postés 10 Date d'inscription lundi 1 décembre 2014 Statut Membre Dernière intervention 2 décembre 2014
1 déc. 2014 à 09:18
Bonjour Destrio5,
Merci de m'avoir répondu si rapidement, voila le lien du rapport:

https://pjjoint.malekal.com/files.php?read=ZHPDiag_20141201_r14y9o7u11d15

Merci
0
Destrio5 Messages postés 85985 Date d'inscription dimanche 11 juillet 2010 Statut Modérateur Dernière intervention 17 février 2023 10 297
1 déc. 2014 à 10:03
"O61 - LFC: 01/12/2014 - 09:10:36 ---A- . (...) -- C:\Users\claude\Downloads\adwcleaner_4.102.exe [2148864]"

--> AdwCleaner a réglé le problème ?
0
cc85460 Messages postés 10 Date d'inscription lundi 1 décembre 2014 Statut Membre Dernière intervention 2 décembre 2014
1 déc. 2014 à 10:40
non, j'ai arrêté et redémarré le pc le message apparait toujours quelques minutes après
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Destrio5 Messages postés 85985 Date d'inscription dimanche 11 juillet 2010 Statut Modérateur Dernière intervention 17 février 2023 10 297
1 déc. 2014 à 10:50
"Updater Service.exe"

--> As-tu son emplacement ?

"avast! Free Antivirus v9.0.2021"

--> Clique droit sur la boule orange et blanche d'Avast située en bas à droite et choisis Mise à jour > Programme. Il va passer à la version 10 (2015).
0
cc85460 Messages postés 10 Date d'inscription lundi 1 décembre 2014 Statut Membre Dernière intervention 2 décembre 2014
1 déc. 2014 à 11:11
non, je n'ai pas l'emplacement de "Updater Service.exe"
j'ai fait la mise a jour de avast, arrêté et redémarré, toujours ce message présent.
0
Destrio5 Messages postés 85985 Date d'inscription dimanche 11 juillet 2010 Statut Modérateur Dernière intervention 17 février 2023 10 297
1 déc. 2014 à 11:16
Ouvre Avast > Scan > Scan des virus > Quarantaine (en bas)
0
cc85460 Messages postés 10 Date d'inscription lundi 1 décembre 2014 Statut Membre Dernière intervention 2 décembre 2014
1 déc. 2014 à 12:53
Dans quarantaine je n'ai pas "Updater Service.exe"
par contre ça m'indique que le virus "Win32:Evo-gen [Susp] se trouve dans Emplacement d'origine c:\Windows\System32, Nom: ADMIN_CLASS_LIB.dll

le message est toujours présent
0
Destrio5 Messages postés 85985 Date d'inscription dimanche 11 juillet 2010 Statut Modérateur Dernière intervention 17 février 2023 10 297
1 déc. 2014 à 13:09
Ok, je ne vois rien d'intéressant dans le rapport ZHPDiag.

--> Fais un scan avec Malwarebytes' Anti-Malware, supprime tout ce qu'il trouve et poste le rapport.

Malwarebytes' Anti-Malware - Tutoriel
0
cc85460 Messages postés 10 Date d'inscription lundi 1 décembre 2014 Statut Membre Dernière intervention 2 décembre 2014
1 déc. 2014 à 15:07
j'ai fait un scan avec malwarebytes voila le rapport:

https://pjjoint.malekal.com/files.php?id=20141201_k13q6q10v11r7

et le problème est toujours présent
0
Destrio5 Messages postés 85985 Date d'inscription dimanche 11 juillet 2010 Statut Modérateur Dernière intervention 17 février 2023 10 297
1 déc. 2014 à 20:48
On va regarder avec un autre outil de diagnostic :

--> Télécharge Farbar Recovery Scan Tool (de Farbar) sur ton Bureau.

Attention : tu dois prendre la version compatible avec ton système : 32 ou 64 bits.

--> Ferme toutes les applications en cours.
--> Lance FRST (Sous Windows Vista/7/8, clic droit sur FRST > Exécuter en tant qu'administrateur).
--> Coche la case Addition.txt.
--> Clique sur Scan.
--> Une fois le scan terminé, deux rapports FRST.txt et Addition.txt seront présents sur le Bureau.
--> Héberge les deux rapports sur pjjoint.malekal.com et copie-colle les liens fournis dans ta prochaine réponse.
0
cc85460 Messages postés 10 Date d'inscription lundi 1 décembre 2014 Statut Membre Dernière intervention 2 décembre 2014
2 déc. 2014 à 07:06
0
Destrio5 Messages postés 85985 Date d'inscription dimanche 11 juillet 2010 Statut Modérateur Dernière intervention 17 février 2023 10 297
2 déc. 2014 à 07:38
Toujours rien qui ait un rapport avec l'alerte d'Avast.

Si tu fais un scan avec Avast, peut-être que tu auras l'emplacement dans la quarantaine après.
0
cc85460 Messages postés 10 Date d'inscription lundi 1 décembre 2014 Statut Membre Dernière intervention 2 décembre 2014
2 déc. 2014 à 12:05
Bon je vais essayer d'être assez clair, j'ai fait plusieurs scans avec avast et j'ai pu trouver le chemin de ServiceLayer.exe, enfin presque, je m'explique.
Le chemin indiqué etait le suivant:

C:\Program Files\Pc Connectivity Solution\Service Layer.exe

Le soucis est qu' en étant dans le dossier Pc Connectivity Solution il n'y avait pas le fichier Service Layer.exe, même en affichant les fichiers cachés.
J'ai fait une recherche sur le web sur Pc Connectivity Solution et il s'avère que cela fait partie de PC Suite pour connecter les téléphones portables.
J'ai donc tout simplement désinstallé Pc Connectivity Solution et tout est rentré dans l'ordre.
Passé avast qui n'a rien détecté du tout et le message détectant un rootkit a disparu.

Encore merci a toi Destrio5, tu m'as permis de trouver la solution
0
Destrio5 Messages postés 85985 Date d'inscription dimanche 11 juillet 2010 Statut Modérateur Dernière intervention 17 février 2023 10 297
2 déc. 2014 à 12:12
Je me doutais que c'était un faux positif mais comme je n'avais pas beaucoup d'info sur le fichier, difficile d'être sûr.

Merci d'avoir pris le temps d'expliquer.

Pour finir :


1/

---> Télécharge et installe CCleaner.
* Lance-le. Va dans Options puis Avancé et décoche la case Effacer uniquement les fichiers temporaires de Windows datant de plus de 24 heures.
* Va dans Nettoyeur, choisis Analyse. Une fois terminé, lance le nettoyage.


2/

---> Télécharge DelFix sur ton Bureau puis lance-le.
* Coche Purger la restauration système et laisse Supprimer les outils de désinfection coché.
* Clique sur Exécuter.
* Poste le rapport.


==Prévention==

Un dossier sur la prévention et sécurité sur Internet est disponible ici.
0
cc85460 Messages postés 10 Date d'inscription lundi 1 décembre 2014 Statut Membre Dernière intervention 2 décembre 2014
2 déc. 2014 à 14:33
0
Destrio5 Messages postés 85985 Date d'inscription dimanche 11 juillet 2010 Statut Modérateur Dernière intervention 17 février 2023 10 297
2 déc. 2014 à 15:11
Ok pour DelFix.

Bonne fin de journée ;)
0
cc85460 Messages postés 10 Date d'inscription lundi 1 décembre 2014 Statut Membre Dernière intervention 2 décembre 2014
2 déc. 2014 à 15:29
De rien c'est moi qui te remercie
0