Virus non indentifie internet tres lent Fermé

Question

Bonjour, 

J'ai un virus sur mon ordinateur depuis hier mais je n'ai pas reussi à l'identifier et encore moins à le supprimer...
Le symptome: Internet très lent, j'ai l'impression d'être en 56K et encore...
J'ai vérifier avec mon PC Portable et la connection est parfaite, ça viens donc bel et bien de l'ordinateur Fixe.
J'ai remarqué un processus bizarre qui se relance dès que je le ferme, il s'agit de wemuscjakgwr5EA9341C.tmp mais cela ne donne rien sur internet, j'ai essayé un Scan Online de Trend Online Micro mais cela n'a rien changé.

Auriez-vous des conseils pour supprimer ce virus?

Merci d'avance.

Configuration: Windows XP / Internet Explorer 8.0

jlpjlp · Answer

slt

Télécharge ZHPDiag ( de Nicolas coolman ).
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html


(outil de diagnostic)

Double clique sur le fichier d'installation, puis installe le avec les paramètres par défaut ( N'oublie pas de cocher " Créer une icône sur le bureau " )

Lance ZHPDiag en double cliquant sur l'icône présente sur ton bureau (Clique droit -> Executer en tant qu'admin ( vista )

Clique sur la loupe en haut à gauche, puis laisse l'outil scanner.

Une fois le scan terminé, clique sur l'icône en forme de disquette et enregistre le fichier sur ton bureau.

Rend toi sur Cjoint : http://www.cijoint.fr/

Clique sur "Parcourir " dans la partie " Joindre un fichier[...] "

Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau

Clique ensuite sur "Cliquez ici pour déposer le fichier " et copie/colle le lien dans ton prochain message

 ou sinon pour transmettre ton rapport: 
* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer les rapports.
Donnes le liens pjjoint ici ensuite pour pouvoir être consultés.

Jean · Answer

Bonjour,

Merci de votre aide!
Voici le fichier: http://www.cijoint.fr/cjlink.php?file=cj201106/cijxp0YC13.txt 

J'attends vos ordres :)

Jean · Answer

Up svp :(

Jean · Answer

Tjr personne? 
Merci :)

jlpjlp · Answer

analyse ces deux fichiers sur virus total et colle nous les rapports
https://www.virustotal.com/gui/

C:\WINDOWS\system32\vatacu.exe 
C:\Documents and Settings\Perso\Mes documents\Téléchargements\AdvOR-0.2.0.12\AdvOR\AdvOR.exe


---------------

ensuite branches tes supports eternes (clé usb, disque dur externe...)

et colle un rapport de nettoyage avec usbfix




je me mets ceci de coté:
O4 - HKLM\..\Run: [biboh] . (.Microsoft Corporation - Win32 Cabinet Self-Extractor.) -- C:\WINDOWS\system32\vatacu.exe 
O47 - AAKE:Key Export SP - "C:\Documents and Settings\Perso\Mes documents\Téléchargements\AdvOR-0.2.0.12\AdvOR\AdvOR.exe" [Enabled] .(.Albu Cristian.) -- C:\Documents and Settings\Perso\Mes documents\Téléchargements\AdvOR-0.2.0.12\AdvOR\AdvOR.exe
[HKLM\SOFTWARE\Microsoft\Security Center] AntiVirusOverride: Modified
[HKLM\SOFTWARE\Microsoft\Security Center] AntiVirusDisableNotify: Modified
[HKLM\SOFTWARE\Microsoft\Security Center] FirewallDisableNotify: Modified
[HKLM\SOFTWARE\Microsoft\Security Center] FirewallOverride: Modified
[HKLM\SOFTWARE\Microsoft\Security Center] UpdatesDisableNotify: Modified
[MD5.F5E8FCD73B499DFA5482C353E79119F0] - (...) -- C:\DOCUME~1\Perso\LOCALS~1\Temp\wemuscjakgwr5EA9341C.tmp   [204800]

Jean · Answer

Voila déjà le rapport de vatacu.exe: http://www.cijoint.fr/cjlink.php?file=cj201106/cijQkkWZv7.txt 
Concernant Advor je l'ai supprimé, vidé la corbeille et redemarré, il n'est plus présent, donc je ne pense pas que le soucis vienne de là.

Au démarrage de l'ordi, j'ai des processus 1951.exe 2356.exe etc... qui se lance et se ferment après quelques secondes, je ne sais pas si c'est normal?

Le vatacu.exe j'ai fais la même manip que advor et après le redémarrage il est reapparu.

Merci de ton aide ;)

jlpjlp · Answer

ok

advor tu as le rapport de virus total ?

sinon peux tu faire comme demandé usbfix et nous coller le rapport

a plus

Jean · Answer

Advor je l'ai supprimé donc je n'ai pas fais de rapport virus total dsl :/

Voici le rapport usbfix: http://www.cijoint.fr/cjlink.php?file=cj201106/cijeUsQIVF.txt 

En passant ton lien usbfix ne fonctionne pas chez moi ;)

Merci encore de ton aide précieuse !

jlpjlp · Answer

ok le lien usbfix change régulièrement ..


pour usbfix je voulais un rapport de nettoyage /suppression et non de recherche  ...

Jean · Answer

Ah pardon...
Le voici: http://www.cijoint.fr/cjlink.php?file=cj201106/cijTPjti02.txt

jlpjlp · Answer

ok

analyse ce fichier sur virus total et colle nous le rapport

C:\Documents and Settings\Perso\xvlof.exe

Jean · Answer

Voila chef:
http://www.cijoint.fr/cjlink.php?file=cj201106/cijZr4eke0.txt

jlpjlp · Answer

1/
 refais un rapport de nettoyage/suppression avec usbfix



2/
puis





Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag en cliquant sur l'écusson vert)
Copie/colle les lignes en gras suivantes :

----------------------------------------------------------

O4 - HKLM\..\Run: [biboh] . (.Microsoft Corporation - Win32 Cabinet Self-Extractor.) -- C:\WINDOWS\system32\vatacu.exe
O47 - AAKE:Key Export SP - "C:\Documents and Settings\Perso\Mes documents\Téléchargements\AdvOR-0.2.0.12\AdvOR\AdvOR.exe" [Enabled] .(.Albu Cristian.) -- C:\Documents and Settings\Perso\Mes documents\Téléchargements\AdvOR-0.2.0.12\AdvOR\AdvOR.exe
[HKLM\SOFTWARE\Microsoft\Security Center] AntiVirusOverride: Modified
[HKLM\SOFTWARE\Microsoft\Security Center] AntiVirusDisableNotify: Modified
[HKLM\SOFTWARE\Microsoft\Security Center] FirewallDisableNotify: Modified
[HKLM\SOFTWARE\Microsoft\Security Center] FirewallOverride: Modified
[HKLM\SOFTWARE\Microsoft\Security Center] UpdatesDisableNotify: Modified
[MD5.F5E8FCD73B499DFA5482C353E79119F0] - (...) -- C:\DOCUME~1\Perso\LOCALS~1\Temp\wemuscjakgwr5EA9341C.tmp [204800]
C:\Documents and Settings\Perso\xvlof.exe


----------------------------------------------------------
- Clique sur l'icône représentant la lettre H (« coller les lignes Helper »)
- Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes
- Clique sur le bouton « GO » pour lancer le nettoyage,
- Copie/colle la totalité du rapport dans ta prochaine réponse



3/ télécharge malwarebyte antimalware, mets le à jour et colle un rapport d'analyse rapide avec et supprime ce qui est trouvé

4/ remets un rapport zhpdiag tout neuf et explique tes problèmes actuels


a plus

Jean · Answer

Rapport ZHPFIX:
Rapport de ZHPFix 1.12.3320 par Nicolas Coolman, Update du 20/06/2011
Fichier d'export Registre : C:\ZHPExportRegistry-21-06-2011-19-08-10.txt
Run by Perso at 21/06/2011 19:08:10
Windows XP Professional Service Pack 3 (Build 2600)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html

========== Valeur(s) du Registre ==========
SUPPRIME RunValue: biboh
SUPPRIME AAKE KeyValue: C:\Documents and Settings\Perso\Mes documents\Téléchargements\AdvOR-0.2.0.12\AdvOR\AdvOR.exe

========== Elément(s) de donnée du Registre ==========
SUPPRIME [HKLM\SOFTWARE\Microsoft\Security Center] AntiVirusOverride: Modified
SUPPRIME [HKLM\SOFTWARE\Microsoft\Security Center] AntiVirusDisableNotify: Modified
SUPPRIME [HKLM\SOFTWARE\Microsoft\Security Center] FirewallDisableNotify: Modified
SUPPRIME [HKLM\SOFTWARE\Microsoft\Security Center] FirewallOverride: Modified
SUPPRIME [HKLM\SOFTWARE\Microsoft\Security Center] UpdatesDisableNotify: Modified

========== Fichier(s) ==========
SUPPRIME c:\windows\system32\vatacu.exe
ABSENT File: c:\documents and settings\perso\mes documents\téléchargements\advor-0.2.0.12\advor\advor.exe
SUPPRIME File: C:\DOCUME~1\Perso\LOCALS~1\Temp\wemuscjakgwr5EA9341C.tmp


========== Récapitulatif ==========
2 : Valeur(s) du Registre
5 : Elément(s) de donnée du Registre
3 : Fichier(s)


========== Chemin du fichier rapport ==========
C:\Program Files\ZHPDiag\ZHPFixReport.txt


End of the scan


Rapport Malwarebyte:
Malwarebytes' Anti-Malware 1.51.0.1200
www.malwarebytes.org

Version de la base de données: 6911

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

21/06/2011 19:17:15
mbam-log-2011-06-21 (19-17-11).txt

Type d'examen: Examen rapide
Elément(s) analysé(s): 160819
Temps écoulé: 3 minute(s), 13 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 2
Elément(s) de données du Registre infecté(s): 2
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 17

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Worm.AutoRun) -> Value: Shell -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Taskman (Worm.Palevo) -> Value: Taskman -> No action taken.

Elément(s) de données du Registre infecté(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Hijack.Shell) -> Bad: (C:\RECYCLER\S-1-5-21-6718862684-8413671170-672146346-4932\djwi2kcew.exe,C:\RECYCLER\S-1-5-21-5277601500-4898355649-808954589-5709\djwi2kcew.exe,C:\RECYCLER\S-1-5-21-4277435372-4979957600-256473303-2590\djwi2kcew.exe,C:\Documents and Settings\Perso\fxmdk.exe,explorer.exe,C:\Documents and Settings\Perso\xvlof.exe) Good: (Explorer.exe) -> No action taken.
HKEY_CLASSES_ROOT\exefile\shell\open\command\(default) (Broken.OpenCommand) -> Bad: () Good: ("%1" %*) -> No action taken.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:\documents and settings\Perso\menu démarrer\programmes\démarrage\2hcc6oo.exe (Worm.Autorun) -> No action taken.
c:\documents and settings\Perso\menu démarrer\programmes\démarrage\70bxss6.exe (Worm.Autorun) -> No action taken.
c:\documents and settings\Perso\menu démarrer\programmes\démarrage\bc70dzuu6g.exe (Worm.Autorun) -> No action taken.
c:\documents and settings\Perso\menu démarrer\programmes\démarrage\brrnddzp.exe (Worm.Autorun) -> No action taken.
c:\documents and settings\Perso\menu démarrer\programmes\démarrage\g3iiduupggb.exe (Worm.Autorun) -> No action taken.
c:\documents and settings\Perso\menu démarrer\programmes\démarrage\gbssneez.exe (Worm.Autorun) -> No action taken.
c:\documents and settings\Perso\menu démarrer\programmes\démarrage\lm70njee6q.exe (Worm.Autorun) -> No action taken.
c:\documents and settings\Perso\menu démarrer\programmes\démarrage\o9k1gccxoo.exe (Worm.Autorun) -> No action taken.
c:\documents and settings\Perso\menu démarrer\programmes\démarrage\q1miiduu.exe (Worm.Autorun) -> No action taken.
c:\documents and settings\Perso\menu démarrer\programmes\démarrage\rnddzpplbb.exe (Worm.Autorun) -> No action taken.
c:\documents and settings\Perso\menu démarrer\programmes\démarrage\tkkfwwriidu.exe (Worm.Autorun) -> No action taken.
c:\documents and settings\Perso\menu démarrer\programmes\démarrage\uqqlccxooj.exe (Worm.Autorun) -> No action taken.
c:\documents and settings\Perso\local settings\Temp\0.5023941891275723.exe (Spyware.Passwords.XGen) -> No action taken.
c:\WINDOWS\Temp\wemuscjakgwr5ea9341c.tmp (Trojan.Downloader.H) -> No action taken.
c:\documents and settings\Perso\fxmdk.exe (Spyware.Passwords.XGen) -> No action taken.
c:\documents and settings\Perso\xvlof.exe (Worm.Palevo) -> No action taken.
c:\documents and settings\Perso\local settings\Temp\0.3689678618318396.exe (Exploit.Drop.2) -> No action taken.

jlpjlp · Answer

tu as supprimé ce qui a été trouvé par malwarebyte?

tu peux remettre un rapport de suppression avec usbfix en complément de Zhpdiag

et pour ce soir car je serai dispo que demain matin colle un rapport avec un des 4 premiers antivirus en ligne <-- ici   (si tu as le temps)


a plus

Virus non indentifie internet tres lent

15 réponses

Discussions similaires