[Résolu] Appsdata VoiceMail virus sur PC

[Pascal110463]

Bonjour,

 

J'ai reçu hier sur mon PC (Windows 7) un mail de prétendumment appsdata me disant que j'avais un voicemail. J'ai malheureusement cliqué sur le lien proposé. Depuis, mon antivirus Avast me signale qu'il bloque des pages dangereuses alors que je surfe sur firefox. Il mentionne notamment:

 

C:\Users\Pascal\Appsdata\....\VoiceMail_Paris.exe

C:\Windows\SysWOW64\svchost.exe

 

Depuis, j'ai fait:

- 1 scan complet avec Avast: 4 fichiers vérolés, puis mis en quarantaine

- 2 fois Malwarebytes, 151 éléments dangereux, puis supprimés

 

Depuis, Avast signale toujours des problèmes identiques et le système essaye de lancer 'Antivirus Security Pro' qui a tout l'air d'un faux antivirus payant.

 

Quelqu'un peut-il m'aider ?

Merci d'avance,

Pascal

Modifié le 3 octobre 2013 par Pascal110463

[pear]

Bonjour,

 

Lancez cet outil de diagnostic:

Téchargement de Zhpdiag

Double-cliquer sur ZHPDiag.exe pour installer l'outil
Il devrait y avoir 3 icônes sur le bureau ou dans le fichier d'installation de Zhpdiag.


Sous XP, double clic sur l'icône ZhpDiag
Sous Vista/7/8, faire un clic droit et Exécuter en tant qu'administrateur



Cliquez sur le bouton
en haut, à droite et choisissez Tous
Pour éviter un blocage, décochez 045 et 061

Clic sur la Loupe en haut, à gauche pour lancer le scan
Postez le rapport ZhpDiag.txt qui apparait sur le bureau.
Si le rapport n'apparaissait pas:
Dans Zhpdiag, en haut à gauche ->3°bouton(Coller dans le presse papier)
Vous collez dans le bloc-notes que vous enregistrez sur le bureau

Comment poster les rapports
Cliquez sur ce bouton en haut, à droite
Appuyez sur Parcourir et chercher le rapport ,
Cliquer sur Envoyer
>> dans la page suivante -->
Cliquer Pjjoint Uploader ,,
une adresse http//.. sera créée
Copier /coller cette adresse dans votre prochain message.

[Pascal110463]

Merci pour la réponse,

 

Je vais faire ce que vous me demandez dans la soirée, ou au plus tard demain.

 

J'ai essayé de m'en sortir seul d'abord car mon PC est mon outil de travail. Voici ce qui s'est passé depuis mon 1er message:

 

Je ne pouvais plus lancer firefox ou IE, Avast me bombardait de messages et le système me proposait de lancer Antivirus Security Pro. J'ai donc lancé Malwarebytes Anti Rootkit depuis une clé USB, MBAR a trouvé 7 éléments infectés, le rapport s'achevait ainsi:

 

Infected: C:\Users\Pascal\AppData\Local\gwlcmsjc.exe --> [Trojan.Ransom.BV]
Infected: C:\Users\Pascal\AppData\Local\gwlcmsjc.exe --> [Trojan.Ransom.BV]
Infected: C:\ProgramData\3Xn7Xgn3\3Xn7Xgn3.exe --> [Trojan.Ransom.BV]
Infected: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|AS2014 --> [Trojan.Ransom.BV]
Infected: C:\Users\Pascal\Desktop\Antivirus Security Pro support.url --> [Rogue.AntiVirusSecurity]
Infected: C:\Users\Pascal\Desktop\Antivirus Security Pro.lnk --> [Rogue.AntiVirusSecurity]
Infected: HKCU\CONTROL PANEL\DON'T LOAD|wscui.cpl --> [Hijack.SecurityCenter]
Scan finished
Creating System Restore point...
Cleaning up...
Removal scheduling successful. System shutdown needed.
System shutdown occurred

 

Depuis, je peux surfer à nouveau via Firefox ou IE, je pense donc que le pbm est résolu, je vais néanmoins lancer ZHPDiag pour auditer mon système, si cela vous va.

 

Merci,

 

Pascal

[Pascal110463]

J'ai généré le rapport ZHPDiag mais sur la dernière version, je ne vois pas cette flèche bleue vers le bas?

 

j'ai donc mis le rapport sur le lien suivant:

 

http://cjoint.com/?CJcvBiOHqBy

[pear]

Commencez par restaurer à une adate antérieure au problème .

 

Ensuite:

 

Télécharger RogueKiller (by tigzy) sur le bureau
En fonction de votre système ,choisissez la version 32 ou 64 bits
Quitter tous les programmes
Lancer RogueKiller.exe.
En cas de blocage Renommer RogueKiller.exe -> winlogon.exe
Patienter le temps du Prescan ...
Cliquer sur Scan.
Cliquer sur Rapport et copier/coller le contenu

Nettoyage

Dans l'onglet "Registre", décocher les lignes que vous avez volontairement modifiées
(Si vous n'avez rien modifié ,vous n'avez donc pas de raison valable d'en décocher. )
Cliquer sur Suppression.
Note. Le bouton Suppression ne sera pas accessible tant que le scan n'aura pas été fait
Suppression ne suffit pas .Faites la suite
Cliquer sur Host RAZ. Cliquer sur Rapport [/b]et copier/coller le contenu
Cliquer sur Proxy RAZ. Cliquer sur Rapport [/b]et copier/coller le contenu
Cliquer sur DNS RAZ. Cliquer sur Rapport[/b]etcopier/coller le contenu
Cliquer sur Racc. RAZ. Cliquer sur Rapport[/b] et copier coller le contenu du notepad
Sauf avis contraire, ne touchez pas aux index SSDT
Dans l'onglet Driver,pour réparer les index SSDT suivants en faisant un clic droit sur leur ligne => Restaurer SSDT
(Liste des index)

Il y aura 6 rapports à fournir après le nettoyage.

 

puis cette procédure:

 

1)Si vous avez Adwcleaner depuis quelque temps, désinstallez le et installez la dernière version
Télécharger AdwCleaner
Sous Vista et Windows 7-> Exécuter en tant qu'administrateur

Cliquez sur Recherche et postez le rapport généré C:\AdwCleaner[R1].txt

Afin de ne pas fausser les rapports,Recherche et Suppression ne doivent être lancés qu'une seule fois
NettoyageA faire sans délai
Relancez AdwCleaner avec droits administrateur
Cliquez sur Suppression et postez le rapport C:\AdwCleaner[s1].txt

2)Télécharger Junkware Removal Tool de thisisu
OS:Windows XP/Vista/7/8
Utilisable sur systèmes 32-bits et 64-bits

Clquez sur Jrt.exe avec droits administrateur.
Si votre antvirus râle,Vous le signalez comme acceptable dans les exceptions de votre antivirus

Une fenêtre noire s'ouvre qui vous dit de cliquer une touche pour lancer le scan.

L'outil va prendre quelques minutes pour fouiller votre machine.
Patientez jusqu'à l'apparition de Jrt.txt dont vous posterez le contenu.

3)Téléchargez MBAM
Avant de lancer Mbam
Vous devez d'abord désactiver vos protections mais vous ne savez pas comment faire
Cliquer ici
Branchez tous les supports amovibles avant de faire ce scan (clé usb/disque dur externe etc)
Exécuter avec droits d'administrateur.
Sous Vista , désactiver l'Uac

Double cliquez sur l'icône Download_mbam-setup.exe pour lancer le processus d'installation.
Enregistrez le sur le bureau .
Fermer toutes les fenêtres et programmes
Suivez les indications (en particulier le choix de la langue et l'autorisation d'accession à Internet)
N'apportez aucune modification aux réglages par défaut et, en fin d'installation,
Vérifiez que les options Update/Mises à jour et Launch/Exécuter soient cochées

MBAM démarrera automatiquement et enverra un message demandant de mettre à jour le programme avant de lancer une analyse.
cliquer sur OK pour fermer la boîte de dialogue..
Dans l'onglet "mise à jour", cliquez sur le bouton Recherche de mise à jour:

Si le pare-feu demande l'autorisation de connecter MBAM, acceptez

Une fois la mise à jour terminée, allez dans l'onglet Recherche.

Sélectionnez "Exécuter un examen complet"
Cliquez sur "Rechercher"
.L' analyse prendra un certain temps, soyez patient !
A la fin , un message affichera :
L'examen s'est terminé normalement.
Et un fichier Mbam.log apparaitra


Sélectionnez tout et cliquez sur Supprimer la sélection ,
MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
puis ouvrir le Bloc-notes et y copier le rapport d'analyse qui peut être retrouvé sous l'onglet Rapports/logs.
Copiez-collez ce rapport dans la prochaine réponse.

4) Nouveau Zhpdiag

Double-cliquer sur ZHPDiag.exe pour installer l'outil
Il devrait y avoir 3 icônes sur le bureau ou dans le fichier d'installation de Zhpdiag.


Sous XP, double clic sur l'icône ZhpDiag
Sous Vista/7, faire un clic droit et Exécuter en tant qu'administrateur


Cliquez sur le bouton
en haut, à droite et choisissez Tous
Pour éviter un blocage, décochez 045 et 061

Clic sur la Loupe en haut, à gauche pour lancer le scan
Postez le rapport ZhpDiag.txt qui apparait sur le bureau

Comment poster les rapports
Cliquez sur ce bouton en haut, à droite
Appuyez sur Parcourir et chercher le rapport ,
Cliquer sur Envoyer
>> dans la page suivante -->
Cliquer Pjjoint Uploader ,,
une adresse http//.. sera créée
Copier /coller cette adresse dans votre prochain message.

[Pascal110463]

Merci de la réponse,

 

Le problème est réglé désormais comme je l'ai expliqué hier à 19h07, je souhaitais juste un diagnostic de votre part sur le rapport ZHPDiag que j'ai posté hier à 21h34, si c'est possible.

 

Si vous n'avez pas le temps, je comprendrai bien entendu.

 

Pascal

[pear]

Voici ce que voit Zhpdiag:

---\\ Scan Additionnel (O88)Database Version : 12932 - (02/10/2013)Clés trouvées (Keys found) : 2Valeurs trouvées (Values found) : 0Dossiers trouvés  (Folders found) : 4Fichiers trouvés  (Files found) : 4[HKCU\Software\AppDataLow\Software\ConduitSearchScopes]   =>Toolbar.Conduit[HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{16CC3586-3547-4025-9E2F-F04C365D8B90}]   =>Hijacker.EazelC:\Program Files (x86)\Conduit   =>Toolbar.ConduitC:\Program Files (x86)\SearchProtect   =>Toolbar.ConduitC:\Users\Pascal\AppData\Roaming\SearchProtect   =>Toolbar.ConduitC:\Users\Pascal\AppData\LocalLow\Conduit   =>Toolbar.Conduit[HKCU\Software\Conduit]   =>Toolbar.Conduit^[HKLM\Software\Wow6432Node\Conduit]   =>Toolbar.Conduit^C:\Users\Pascal\AppData\Local\Temp\nss1AF7.tmp.tb01NE.dll   =>Toolbar.Conduit^~ Additionnel Scan: 367366 Items scanned in 00mn 29sC'est à supprimer par Adwcleaner

[Pascal110463]

OK, je pense que c'est OK maintenant, je pense qu'on peut mettre le sujet en 'résolu'.

 

Merci beaucoup pour votre disponibilité!

 

Pascal

[Invité Notpa]

Bonsoir Pascal,

 

Pour signaler un sujet comme résolu, ajouter le mot [Résolu] dans le titre de ton sujet comme suit…



[1] En bas du premier message de ton sujet, clique sur Modifier
[2] En bas de l'éditeur qui s'ouvre, clique sur Utiliser l'éditeur complet
[3] En haut de l'éditeur complet, ajoute [Résolu] au titre de ton sujet.
[4] Clique sur le bouton Enregistrer le message modifié pour valider.

Cordialement

Notpa

[pear]

Comme vous voulez.

Il vous reste portant des toolbars à supprimer.

Modifié le 3 octobre 2013 par pear