Supprimer RAV Endpoint Protection et VPN by RAV : éliminer Stub.exe (SONAR.AM.C!g19) sur Windows 10/11

Votre antivirus signale Stub.exe (SONAR.AM.C!g19) et RAV Endpoint Protection / « VPN by RAV » refusent la désinstallation ? Suivez ce guide détaillé pour éliminer Stub.exe et supprimer définitivement RAV sous Windows 10/11, sans laisser de traces.

Vue d’ensemble du problème

Plusieurs utilisateurs constatent l’impossibilité de désinstaller RAV Endpoint Protection et VPN by RAV. À chaque tentative de suppression, Norton détecte un exécutable déposé dans le dossier temporaire utilisateur, typiquement C:\Users\<nom>\AppData\Local\Temp\Stub.exe, identifié comme SONAR.AM.C!g19. Même après une première neutralisation par Malwarebytes d’un PUP (par ex. PUP.Optional.DotSetuplo), Stub.exe réapparaît au redémarrage ou à l’ouverture de session.

Objectif : supprimer de façon fiable Stub.exe, désinstaller complètement RAV Endpoint Protection et VPN by RAV, puis assainir le système pour empêcher toute ré‑apparition.

Plan d’action rapide (vue synthétique)

Étape	Action	Pourquoi	Durée estimée
Démarrer en mode sans échec	Désactiver le lancement des services tiers	Empêche Stub.exe de se relancer et verrouille sa suppression	5–10 min
Scans anti‑malware	Norton/Malwarebytes + Microsoft Defender Offline	Élimine les composants persistants avant désinstallation	30–90 min
Désinstaller RAV/VPN	appwiz.cpl ou Paramètres > Applications	Retire l’application source et ses services	5–15 min
Réparer Windows	sfc + DISM	Corrige les fichiers altérés	10–30 min
Clean Boot	msconfig + Gestionnaire des tâches	Empêche toute ré‑exécution furtive	5–10 min
Contrôles persistance	Tâches planifiées, services, clés Run	Supprime les mécanismes d’auto‑réinstallation	10–25 min

Avant de commencer : sécurité, sauvegardes et prérequis

• Compte Administrateur requis.
• Sauvegarde des fichiers importants (Documents/Images/Projets) sur un disque externe ou un espace cloud.
• Point de restauration : recherchez « Créer un point de restauration » > Protéger le lecteur système > Créer. En cas d’échec, poursuivez (les commandes DISM/SFC restent disponibles).
• Chiffrement : si BitLocker est activé, conservez la clé de récupération. Après certains redémarrages, elle peut être demandée.
• Déconnexion réseau (recommandé pendant la phase de nettoyage) : coupez le Wi‑Fi et débranchez l’Ethernet pour empêcher tout re‑téléchargement de Stub.exe.

Solution validée pendant la session (récapitulatif)

1. Redémarrer en mode sans échec (services tiers stoppés, empêche Stub.exe de se relancer).
2. Scanner à fond (Norton, Malwarebytes, Microsoft Defender Offline) et mettre en quarantaine/supprimer toute détection.
3. Désinstaller RAV Endpoint Protection et VPN by RAV via appwiz.cpl.
4. Réparer les fichiers système avec sfc et DISM.
5. Effectuer un Clean Boot pour neutraliser les relances au démarrage.
6. Redémarrer en mode normal, lancer un dernier scan, vérifier l’absence de RAV/Stub.exe.

Étapes détaillées pas à pas

Démarrer Windows en mode sans échec

Méthode 1 (simple, Windows 10/11) :

1. Appuyez sur Win+I > Mise à jour et sécurité > Récupération > Démarrage avancé > Redémarrer maintenant.
2. Menu bleu > Dépannage > Options avancées > Paramètres > Redémarrer.
3. Au redémarrage, pressez 4 (Mode sans échec) ou 5 (Mode sans échec avec mise en réseau si vous avez besoin d’Internet pour mettre à jour vos signatures antivirus).

Méthode 2 (via msconfig) :

1. Win+R > tapez msconfig > onglet Démarrer > cochez Démarrage sécurisé > Minimal > OK > Redémarrer.
2. Important : une fois l’intervention terminée, revenez décocher Démarrage sécurisé pour reprendre un démarrage normal.

Effectuer des scans anti‑malware exhaustifs

• Norton : effectuez un Scan complet et supprimez tout élément détecté (dont SONAR.AM.C!g19).
• Malwarebytes : lancez une Analyse des menaces. Supprimez/ mettez en quarantaine les PUP (e.g. PUP.Optional.DotSetuplo) et redémarrez si demandé.
• Microsoft Defender Offline :
  1. Ouvrez Sécurité Windows > Protection contre les virus et menaces.
  2. Choisissez Options d’analyse > Analyse Microsoft Defender hors ligne > Analyser maintenant (l’ordinateur redémarre et scanne avant Windows, très efficace contre la persistance).

Lorsque tous les scanners reviennent propres ou ne montrent que des éléments résiduels bénins, passez à la désinstallation.

Désinstaller RAV Endpoint Protection et VPN by RAV

1. Win+R > tapez appwiz.cpl pour ouvrir Programmes et fonctionnalités.
2. Repérez RAV Endpoint Protection et VPN by RAV > double‑cliquez > Désinstaller/Remove.
3. Si un assistant demande un redémarrage, acceptez puis revenez en mode sans échec si nécessaire pour poursuivre le nettoyage.
4. Si la désinstallation échoue, consultez la section « Cas particuliers » ci‑dessous (utilitaire dédié, mode administrateur élevé, etc.).

Nettoyer les fichiers et dossiers résiduels

Après désinstallation, supprimez les répertoires et fichiers liés à RAV s’ils existent encore :

Emplacement	Accès rapide	Que faire
C:\Program Files\RAV* ou C:\Program Files (x86)\RAV*	Explorateur > barre d’adresse	Supprimer le dossier
C:\ProgramData\RAV*	Afficher les éléments cachés	Supprimer le dossier
%LocalAppData%\RAV*, %AppData%\RAV*	Win+R > %LocalAppData%, %AppData%	Supprimer les restes
%Temp% (où apparaît Stub.exe)	Win+R > %temp%	Supprimer le contenu du dossier Temp

Astuce PowerShell (admin) : pour vider Temp et supprimer des dossiers restants (sans forcer la suppression de fichiers système), exécutez :

# Vider le dossier Temp utilisateur
Remove-Item "$env:TEMP\*" -Recurse -Force -ErrorAction SilentlyContinue

# Supprimer dossiers RAV s'ils existent

$paths = @(
"C:\Program Files\RAV",
"C:\Program Files (x86)\RAV",
"C:\ProgramData\RAV",
"$env:LOCALAPPDATA\RAV",
"$env:APPDATA\RAV"
)
foreach ($p in $paths) { if (Test-Path $p) { Remove-Item $p -Recurse -Force -ErrorAction SilentlyContinue } } </code></pre>

<h3>Réparer les fichiers système Windows</h3>
<p>Ouvrez l’<em>Invite de commandes (Admin)</em> ou <em>PowerShell (Admin)</em> puis exécutez, dans cet ordre :</p>
<pre><code>sfc /scannow
DISM /Online /Cleanup-Image /CheckHealth
DISM /Online /Cleanup-Image /ScanHealth
DISM /Online /Cleanup-Image /RestoreHealth
</code></pre>
<p><code>SFC</code> vérifie et restaure les fichiers système. <code>DISM</code> répare l’image de Windows en s’appuyant sur le magasin de composants. Redémarrez si des corrections ont été appliquées.</p>

<h3>Effectuer un démarrage sélectif (Clean Boot)</h3>
<ol>
  <li><kbd>Win</kbd>+<kbd>R</kbd> &gt; <code>msconfig</code> &gt; onglet <em>Services</em> &gt; cochez <em>Masquer tous les services Microsoft</em> &gt; <em>Désactiver tout</em>.</li>
  <li>Onglet <em>Démarrage</em> &gt; <em>Ouvrir le Gestionnaire des tâches</em> &gt; désactivez les éléments non Microsoft suspectés (entrées liées à RAV, ReasonLabs, VPN, inconnues).</li>
  <li><em>Appliquer</em> &gt; <em>OK</em> &gt; <em>Redémarrer</em>.</li>
</ol>
<p>Le Clean Boot empêche le ré‑lancement automatique de composants potentiellement persistants au prochain démarrage normal.</p>

<h3>Contrôler et neutraliser la persistance (avancé mais utile)</h3>
<p><strong>1) Tâches planifiées</strong></p>
<ol>
  <li>Ouvrez <em>Planificateur de tâches</em> &gt; <em>Bibliothèque du Planificateur</em> et inspectez les tâches portant des noms liés à <em>RAV</em>, <em>Reason</em>, <em>VPN</em>, <em>Stub</em>.</li>
  <li>Supprimez celles qui pointent vers des exécutables supprimés ou des chemins suspects (par ex. vers <code>%Temp%\*</code>).</li>
</ol>
<p><em>PowerShell (admin)</em> pour repérer rapidement :</p>
<pre><code class="language-powershell">Get-ScheduledTask | Where-Object {$_.TaskName -match 'RAV|Reason|VPN|Stub'} | Format-Table TaskName, State
# Pour supprimer une tâche précise :
# Unregister-ScheduledTask -TaskName "NomDeLaTache" -Confirm:$false
</code></pre>

<p><strong>2) Services Windows</strong></p>
<ol>
  <li><kbd>Win</kbd>+<kbd>R</kbd> &gt; <code>services.msc</code> &gt; recherchez des services RAV/Reason/VPN.</li>
  <li>Si un service pointe vers un chemin supprimé ou non signé, arrêtez‑le, mettez‑le en <em>Désactivé</em>, puis supprimez‑le si nécessaire.</li>
</ol>
<p><em>PowerShell (admin)</em> :</p>
<pre><code class="language-powershell">Get-Service | Where-Object {$_.Name -match 'RAV|Reason|VPN|Stub'} | Format-Table Name, Status, StartType
# Suppression (avec prudence) :
# sc.exe delete "NomDuService"
</code></pre>

<p><strong>3) Clés de démarrage automatique (Run/RunOnce)</strong></p>
<p>Vérifiez ces clés registre :</p>
<ul>
  <li><code>HKCU\Software\Microsoft\Windows\CurrentVersion\Run</code></li>
  <li><code>HKLM\Software\Microsoft\Windows\CurrentVersion\Run</code> (et leurs équivalents <code>\RunOnce</code>)</li>
</ul>
<p><em>Invite de commandes (admin)</em> :</p>
<pre><code>reg query HKCU\Software\Microsoft\Windows\CurrentVersion\Run
reg query HKLM\Software\Microsoft\Windows\CurrentVersion\Run
</code></pre>
<p>Si une entrée relance <code>Stub.exe</code> ou un binaire de RAV, supprimez‑la :</p>
<pre><code>reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Run" /v NomDeLaValeur /f
reg delete "HKLM\Software\Microsoft\Windows\CurrentVersion\Run" /v NomDeLaValeur /f
</code></pre>
<p><em>Conseil</em> : exportez d’abord la clé (<code>reg export</code>) pour pouvoir revenir en arrière si besoin.</p>

<p><strong>4) Événements WMI (rare mais possible)</strong></p>
<p>Dans certains cas, la persistance passe par des abonnements WMI. Pour auditer :</p>
<pre><code class="language-powershell">Get-WmiObject -Namespace root\subscription -Class __EventFilter
Get-WmiObject -Namespace root\subscription -Class __EventConsumer
Get-WmiObject -Namespace root\subscription -Class __FilterToConsumerBinding
</code></pre>
<p>Supprimez uniquement ce qui est clairement lié à RAV/Stub et non à Windows/éditeurs connus.</p>

<h3>Redémarrer en mode normal et valider</h3>
<ol>
  <li>Assurez‑vous que <em>Démarrage sécurisé</em> est bien <strong>désactivé</strong> dans <code>msconfig</code>.</li>
  <li>Redémarrez Windows normalement.</li>
  <li>Exécutez un <strong>dernier scan complet</strong> (au moins un outil) pour confirmer : aucune détection de <code>Stub.exe</code> ni de composants RAV.</li>
  <li>Vérifiez dans <em>Programmes et fonctionnalités</em> : RAV/VPN by RAV n’apparaissent plus.</li>
</ol>

<h2>Informations complémentaires et bonnes pratiques</h2>
<ul>
  <li><strong>Utilitaire de désinstallation dédié</strong> : si vous disposez d’un désinstalleur officiel de l’éditeur, exécutez‑le en <em>mode sans échec</em>. Il nettoie souvent les clés Registre et dossiers résiduels.</li>
  <li><strong>Nettoyage manuel</strong> : après désinstallation, supprimez les dossiers RAV (<code>Program Files</code>, <code>ProgramData</code>, <code>AppData</code>) et videz <code>%Temp%</code>.</li>
  <li><strong>Autoruns (Sysinternals)</strong> : puissant pour visualiser tous les points d’exécution automatique (Run, Services, Tâches, WMI, LSP, etc.). Décochez puis supprimez les entrées manifestement liées à RAV/Stub.</li>
  <li><strong>Sauvegarde &amp; mises à jour</strong> : gardez Windows et vos définitions antivirus à jour. Activez la <em>Protection contre les applications potentiellement indésirables (PUA/PUP)</em> si disponible dans votre suite de sécurité.</li>
</ul>

<h2>Signes de réussite et points de contrôle</h2>
<ul>
  <li><strong>Plus aucune alerte</strong> Norton/Malwarebytes/Microsoft Defender relative à <code>Stub.exe</code> ou <code>SONAR.AM.C!g19</code>.</li>
  <li><strong>Pas d’élément RAV/VPN by RAV</strong> dans <em>Programmes et fonctionnalités</em> ni <em>Paramètres &gt; Applications</em>.</li>
  <li><strong>Aucune tâche planifiée, service ou entrée Run</strong> portant un nom lié à RAV, ReasonLabs, VPN, <code>Stub</code>.</li>
  <li><strong>Dossiers résiduels vides</strong> ou supprimés (<code>Program Files</code>, <code>ProgramData</code>, <code>AppData</code>, <code>%Temp%</code>).</li>
</ul>

<h2>Tableau mémo : emplacements et clés à vérifier</h2>
<table>
  <thead>
    <tr>
      <th>Type</th>
      <th>Chemin/Emplacement</th>
      <th>À vérifier</th>
    </tr>
  </thead>
  <tbody>
    <tr>
      <td>Fichier temporaire</td>
      <td><code>%LocalAppData%\Temp\Stub.exe</code></td>
      <td>Supprimer s’il réapparaît après redémarrage</td>
    </tr>
    <tr>
      <td>Dossier app</td>
      <td><code>C:\Program Files\RAV*</code> / <code>(x86)</code></td>
      <td>Absence du dossier après désinstallation</td>
    </tr>
    <tr>
      <td>Données app</td>
      <td><code>C:\ProgramData\RAV*</code></td>
      <td>Supprimer restes et logs si présents</td>
    </tr>
    <tr>
      <td>Profil utilisateur</td>
      <td><code>%AppData%\RAV*</code>, <code>%LocalAppData%\RAV*</code></td>
      <td>Supprimer les sous‑dossiers</td>
    </tr>
    <tr>
      <td>Run HKCU</td>
      <td><code>HKCU\...\Run</code></td>
      <td>Aucune entrée lançant RAV/VPN/Stub</td>
    </tr>
    <tr>
      <td>Run HKLM</td>
      <td><code>HKLM\...\Run</code></td>
      <td>Aucune entrée lançant RAV/VPN/Stub</td>
    </tr>
    <tr>
      <td>Services</td>
      <td><code>services.msc</code></td>
      <td>Rien de RAV/ReasonLabs/VPN actif</td>
    </tr>
    <tr>
      <td>Tâches</td>
      <td><em>Planificateur de tâches</em></td>
      <td>Pas de tâche pointant vers <code>%Temp%</code> ou un binaire supprimé</td>
    </tr>
  </tbody>
</table>

<h2>Cas particuliers et solutions</h2>
<ul>
  <li><strong>La désinstallation échoue avec un message d’erreur</strong> : relancez en <em>mode sans échec</em>, exécutez l’assistant en <em>Administrateur</em>. Si un utilitaire officiel de désinstallation est disponible, utilisez‑le.</li>
  <li><strong><code>Stub.exe</code> réapparaît</strong> malgré tout : recherchez une <em>tâche planifiée</em> ou une <em>entrée Run</em> qui le dépose. Passez une analyse <em>Microsoft Defender Offline</em> à nouveau et refaites le contrôle WMI.</li>
  <li><strong>Accès refusé à un dossier</strong> : prenez possession (onglet <em>Sécurité</em> &gt; <em>Avancé</em> &gt; propriétaire) puis supprimez. Évitez de supprimer des dossiers système Windows.</li>
  <li><strong>Connexion réseau altérée après nettoyage</strong> : réinitialisez la pile TCP/IP :
    <pre><code>netsh int ip reset
netsh winsock reset
ipconfig /flushdns

Redémarrez ensuite.

Le système reste lent : vérifiez le Gestionnaire des tâches (onglet Processus et Démarrage). Désactivez les entrées superflues et exécutez DISM/SFC de nouveau si besoin.

FAQ

Qu’est‑ce que Stub.exe ?

Un « stub » est souvent un exécutable léger chargé de déposer, télécharger ou relancer un composant principal. Dans ce contexte, il est placé dans %Temp% et déclenche une alerte comportementale (SONAR.AM.C!g19 côté Norton). Même si l’éditeur d’origine n’est pas forcément malveillant, son comportement peut être assimilé à un PUP/loader.

Pourquoi revient‑il après suppression ?

À cause d’un mécanisme de persistance (tâche planifiée, service, clé Run, abonnement WMI). La combinaison mode sans échec + scans hors ligne + suppression des points de démarrage empêche cette réapparition.

Dois‑je garder Norton et Malwarebytes ensemble ?

Oui, pour le temps du nettoyage. Évitez toutefois d’activer simultanément plusieurs protections résidentes à long terme : conservez une seule solution principale et gardez l’autre comme scanner à la demande.

Le Clean Boot est‑il différent du mode sans échec ?

Oui. Le mode sans échec démarre Windows avec un minimum de pilotes/services. Le Clean Boot démarre Windows normalement mais avec tous les services non‑Microsoft et éléments de démarrage désactivés. On les utilise souvent l’un après l’autre pour éradiquer la persistance.

Que faire si je vois des restes de RAV dans le Registre ?

Exportez la clé concernée, supprimez la valeur résiduelle et redémarrez. Si vous n’êtes pas à l’aise, utilisez un désinstalleur officiel ou un outil d’inspection comme Autoruns pour décocher puis supprimer proprement l’entrée.

Prévention : éviter les installations furtives

• Décocher les installations « recommandées » lors d’installateurs tiers. Privilégier l’option Personnalisée et lisez chaque étape.
• Conserver Windows à jour et activer, si disponible, la protection PUA/PUP de votre antivirus.
• Éviter les cracks et bundles douteux ; télécharger les logiciels depuis leurs sources officielles.
• Limiter les droits administrateur au quotidien ; utiliser un compte standard et élever les droits uniquement quand nécessaire.

Résumé exécutable (si vous manquez de temps)

1. Redémarrez en mode sans échec.
2. Lancez des scans complets (Norton/Malwarebytes) puis un scan Microsoft Defender Offline.
3. Désinstallez RAV Endpoint Protection et VPN by RAV via appwiz.cpl.
4. Supprimez les dossiers résiduels et videz %Temp%.
5. Exécutez sfc et DISM.
6. Activez un Clean Boot, redémarrez, vérifiez tâches/services/Run.
7. Redémarrez en mode normal et faites un dernier scan. C’est terminé si rien ne réapparaît.

Checklist finale

• RAV/VPN by RAV absents de la liste des programmes.
• Pas d’alertes sur Stub.exe (SONAR.AM.C!g19 ou équivalent).
• Planificateur/Services/Run/WMI nettoyés.
• Dossiers Program Files, ProgramData, AppData, %Temp% vidés des restes RAV.
• Windows réparé (SFC/DISM OK), performances normales.

---

Annexe : commandes utiles (référence rapide)

Objectif	Commande
Vider le dossier Temp	Remove-Item "$env:TEMP\*" -Recurse -Force (PowerShell)
Réparer fichiers système	sfc /scannow
Réparer image Windows	DISM /Online /Cleanup-Image /RestoreHealth
Lister tâches suspectes	Get-ScheduledTask | ? {$_.TaskName -match 'RAV|Reason|VPN|Stub'}
Lister services suspects	Get-Service | ? {$_.Name -match 'RAV|Reason|VPN|Stub'}
Afficher clés Run	reg query HKCU\...\Run / reg query HKLM\...\Run
Nettoyer pile réseau	netsh int ip reset + netsh winsock reset

---

En appliquant rigoureusement cette procédure (mode sans échec, scans, désinstallation, réparation, Clean Boot et contrôle de persistance), vous éliminez Stub.exe et supprimez durablement RAV Endpoint Protection / VPN by RAV d’un PC Windows.