Virus non indentifie internet tres lent

Jean -  
jlpjlp Messages postés 52399 Statut Contributeur sécurité -
Bonjour,

J'ai un virus sur mon ordinateur depuis hier mais je n'ai pas reussi à l'identifier et encore moins à le supprimer...
Le symptome: Internet très lent, j'ai l'impression d'être en 56K et encore...
J'ai vérifier avec mon PC Portable et la connection est parfaite, ça viens donc bel et bien de l'ordinateur Fixe.
J'ai remarqué un processus bizarre qui se relance dès que je le ferme, il s'agit de wemuscjakgwr5EA9341C.tmp mais cela ne donne rien sur internet, j'ai essayé un Scan Online de Trend Online Micro mais cela n'a rien changé.

Auriez-vous des conseils pour supprimer ce virus?

Merci d'avance.

15 réponses

  1. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    slt

    Télécharge ZHPDiag ( de Nicolas coolman ).
    https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

    (outil de diagnostic)

    Double clique sur le fichier d'installation, puis installe le avec les paramètres par défaut ( N'oublie pas de cocher " Créer une icône sur le bureau " )

    Lance ZHPDiag en double cliquant sur l'icône présente sur ton bureau (Clique droit -> Executer en tant qu'admin ( vista )

    Clique sur la loupe en haut à gauche, puis laisse l'outil scanner.

    Une fois le scan terminé, clique sur l'icône en forme de disquette et enregistre le fichier sur ton bureau.

    Rend toi sur Cjoint : http://www.cijoint.fr/

    Clique sur "Parcourir " dans la partie " Joindre un fichier[...] "

    Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau

    Clique ensuite sur "Cliquez ici pour déposer le fichier " et copie/colle le lien dans ton prochain message

    ou sinon pour transmettre ton rapport:
    * Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer les rapports.
    Donnes le liens pjjoint ici ensuite pour pouvoir être consultés.
    0
  2. Jean
     
    Bonjour,

    Merci de votre aide!
    Voici le fichier: http://www.cijoint.fr/cjlink.php?file=cj201106/cijxp0YC13.txt

    J'attends vos ordres :)
    0
  3. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  4. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    analyse ces deux fichiers sur virus total et colle nous les rapports
    https://www.virustotal.com/gui/

    C:\WINDOWS\system32\vatacu.exe
    C:\Documents and Settings\Perso\Mes documents\Téléchargements\AdvOR-0.2.0.12\AdvOR\AdvOR.exe

    ---------------

    ensuite branches tes supports eternes (clé usb, disque dur externe...)

    et colle un rapport de nettoyage avec usbfix

    je me mets ceci de coté:
    O4 - HKLM\..\Run: [biboh] . (.Microsoft Corporation - Win32 Cabinet Self-Extractor.) -- C:\WINDOWS\system32\vatacu.exe
    O47 - AAKE:Key Export SP - "C:\Documents and Settings\Perso\Mes documents\Téléchargements\AdvOR-0.2.0.12\AdvOR\AdvOR.exe" [Enabled] .(.Albu Cristian.) -- C:\Documents and Settings\Perso\Mes documents\Téléchargements\AdvOR-0.2.0.12\AdvOR\AdvOR.exe
    [HKLM\SOFTWARE\Microsoft\Security Center] AntiVirusOverride: Modified
    [HKLM\SOFTWARE\Microsoft\Security Center] AntiVirusDisableNotify: Modified
    [HKLM\SOFTWARE\Microsoft\Security Center] FirewallDisableNotify: Modified
    [HKLM\SOFTWARE\Microsoft\Security Center] FirewallOverride: Modified
    [HKLM\SOFTWARE\Microsoft\Security Center] UpdatesDisableNotify: Modified
    [MD5.F5E8FCD73B499DFA5482C353E79119F0] - (...) -- C:\DOCUME~1\Perso\LOCALS~1\Temp\wemuscjakgwr5EA9341C.tmp [204800]
    0
  5. Jean
     
    Voila déjà le rapport de vatacu.exe: http://www.cijoint.fr/cjlink.php?file=cj201106/cijQkkWZv7.txt
    Concernant Advor je l'ai supprimé, vidé la corbeille et redemarré, il n'est plus présent, donc je ne pense pas que le soucis vienne de là.

    Au démarrage de l'ordi, j'ai des processus 1951.exe 2356.exe etc... qui se lance et se ferment après quelques secondes, je ne sais pas si c'est normal?

    Le vatacu.exe j'ai fais la même manip que advor et après le redémarrage il est reapparu.

    Merci de ton aide ;)
    0
  6. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    ok

    advor tu as le rapport de virus total ?

    sinon peux tu faire comme demandé usbfix et nous coller le rapport

    a plus
    0
  7. Jean
     
    Advor je l'ai supprimé donc je n'ai pas fais de rapport virus total dsl :/

    Voici le rapport usbfix: http://www.cijoint.fr/cjlink.php?file=cj201106/cijeUsQIVF.txt

    En passant ton lien usbfix ne fonctionne pas chez moi ;)

    Merci encore de ton aide précieuse !
    0
  8. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    ok le lien usbfix change régulièrement ..

    pour usbfix je voulais un rapport de nettoyage /suppression et non de recherche ...
    0
  9. Jean
     
    Ah pardon...
    Le voici: http://www.cijoint.fr/cjlink.php?file=cj201106/cijTPjti02.txt
    0
  10. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    ok

    analyse ce fichier sur virus total et colle nous le rapport

    C:\Documents and Settings\Perso\xvlof.exe
    0
  11. Jean
     
    Voila chef:
    http://www.cijoint.fr/cjlink.php?file=cj201106/cijZr4eke0.txt
    0
  12. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    1/
    refais un rapport de nettoyage/suppression avec usbfix

    2/
    puis

    Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag en cliquant sur l'écusson vert)
    Copie/colle les lignes en gras suivantes :

    ----------------------------------------------------------

    O4 - HKLM\..\Run: [biboh] . (.Microsoft Corporation - Win32 Cabinet Self-Extractor.) -- C:\WINDOWS\system32\vatacu.exe
    O47 - AAKE:Key Export SP - "C:\Documents and Settings\Perso\Mes documents\Téléchargements\AdvOR-0.2.0.12\AdvOR\AdvOR.exe" [Enabled] .(.Albu Cristian.) -- C:\Documents and Settings\Perso\Mes documents\Téléchargements\AdvOR-0.2.0.12\AdvOR\AdvOR.exe
    [HKLM\SOFTWARE\Microsoft\Security Center] AntiVirusOverride: Modified
    [HKLM\SOFTWARE\Microsoft\Security Center] AntiVirusDisableNotify: Modified
    [HKLM\SOFTWARE\Microsoft\Security Center] FirewallDisableNotify: Modified
    [HKLM\SOFTWARE\Microsoft\Security Center] FirewallOverride: Modified
    [HKLM\SOFTWARE\Microsoft\Security Center] UpdatesDisableNotify: Modified
    [MD5.F5E8FCD73B499DFA5482C353E79119F0] - (...) -- C:\DOCUME~1\Perso\LOCALS~1\Temp\wemuscjakgwr5EA9341C.tmp [204800]
    C:\Documents and Settings\Perso\xvlof.exe


    ----------------------------------------------------------
    - Clique sur l'icône représentant la lettre H (« coller les lignes Helper »)
    - Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes
    - Clique sur le bouton « GO » pour lancer le nettoyage,
    - Copie/colle la totalité du rapport dans ta prochaine réponse

    3/ télécharge malwarebyte antimalware, mets le à jour et colle un rapport d'analyse rapide avec et supprime ce qui est trouvé

    4/ remets un rapport zhpdiag tout neuf et explique tes problèmes actuels

    a plus
    0
  13. Jean
     
    Rapport ZHPFIX:
    Rapport de ZHPFix 1.12.3320 par Nicolas Coolman, Update du 20/06/2011
    Fichier d'export Registre : C:\ZHPExportRegistry-21-06-2011-19-08-10.txt
    Run by Perso at 21/06/2011 19:08:10
    Windows XP Professional Service Pack 3 (Build 2600)
    Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html

    ========== Valeur(s) du Registre ==========
    SUPPRIME RunValue: biboh
    SUPPRIME AAKE KeyValue: C:\Documents and Settings\Perso\Mes documents\Téléchargements\AdvOR-0.2.0.12\AdvOR\AdvOR.exe

    ========== Elément(s) de donnée du Registre ==========
    SUPPRIME [HKLM\SOFTWARE\Microsoft\Security Center] AntiVirusOverride: Modified
    SUPPRIME [HKLM\SOFTWARE\Microsoft\Security Center] AntiVirusDisableNotify: Modified
    SUPPRIME [HKLM\SOFTWARE\Microsoft\Security Center] FirewallDisableNotify: Modified
    SUPPRIME [HKLM\SOFTWARE\Microsoft\Security Center] FirewallOverride: Modified
    SUPPRIME [HKLM\SOFTWARE\Microsoft\Security Center] UpdatesDisableNotify: Modified

    ========== Fichier(s) ==========
    SUPPRIME c:\windows\system32\vatacu.exe
    ABSENT File: c:\documents and settings\perso\mes documents\téléchargements\advor-0.2.0.12\advor\advor.exe
    SUPPRIME File: C:\DOCUME~1\Perso\LOCALS~1\Temp\wemuscjakgwr5EA9341C.tmp

    ========== Récapitulatif ==========
    2 : Valeur(s) du Registre
    5 : Elément(s) de donnée du Registre
    3 : Fichier(s)

    ========== Chemin du fichier rapport ==========
    C:\Program Files\ZHPDiag\ZHPFixReport.txt

    End of the scan

    Rapport Malwarebyte:
    Malwarebytes' Anti-Malware 1.51.0.1200
    www.malwarebytes.org

    Version de la base de données: 6911

    Windows 5.1.2600 Service Pack 3
    Internet Explorer 8.0.6001.18702

    21/06/2011 19:17:15
    mbam-log-2011-06-21 (19-17-11).txt

    Type d'examen: Examen rapide
    Elément(s) analysé(s): 160819
    Temps écoulé: 3 minute(s), 13 seconde(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 0
    Valeur(s) du Registre infectée(s): 2
    Elément(s) de données du Registre infecté(s): 2
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 17

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre infectée(s):
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Worm.AutoRun) -> Value: Shell -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Taskman (Worm.Palevo) -> Value: Taskman -> No action taken.

    Elément(s) de données du Registre infecté(s):
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Hijack.Shell) -> Bad: (C:\RECYCLER\S-1-5-21-6718862684-8413671170-672146346-4932\djwi2kcew.exe,C:\RECYCLER\S-1-5-21-5277601500-4898355649-808954589-5709\djwi2kcew.exe,C:\RECYCLER\S-1-5-21-4277435372-4979957600-256473303-2590\djwi2kcew.exe,C:\Documents and Settings\Perso\fxmdk.exe,explorer.exe,C:\Documents and Settings\Perso\xvlof.exe) Good: (Explorer.exe) -> No action taken.
    HKEY_CLASSES_ROOT\exefile\shell\open\command\(default) (Broken.OpenCommand) -> Bad: () Good: ("%1" %*) -> No action taken.

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    c:\documents and settings\Perso\menu démarrer\programmes\démarrage\2hcc6oo.exe (Worm.Autorun) -> No action taken.
    c:\documents and settings\Perso\menu démarrer\programmes\démarrage\70bxss6.exe (Worm.Autorun) -> No action taken.
    c:\documents and settings\Perso\menu démarrer\programmes\démarrage\bc70dzuu6g.exe (Worm.Autorun) -> No action taken.
    c:\documents and settings\Perso\menu démarrer\programmes\démarrage\brrnddzp.exe (Worm.Autorun) -> No action taken.
    c:\documents and settings\Perso\menu démarrer\programmes\démarrage\g3iiduupggb.exe (Worm.Autorun) -> No action taken.
    c:\documents and settings\Perso\menu démarrer\programmes\démarrage\gbssneez.exe (Worm.Autorun) -> No action taken.
    c:\documents and settings\Perso\menu démarrer\programmes\démarrage\lm70njee6q.exe (Worm.Autorun) -> No action taken.
    c:\documents and settings\Perso\menu démarrer\programmes\démarrage\o9k1gccxoo.exe (Worm.Autorun) -> No action taken.
    c:\documents and settings\Perso\menu démarrer\programmes\démarrage\q1miiduu.exe (Worm.Autorun) -> No action taken.
    c:\documents and settings\Perso\menu démarrer\programmes\démarrage\rnddzpplbb.exe (Worm.Autorun) -> No action taken.
    c:\documents and settings\Perso\menu démarrer\programmes\démarrage\tkkfwwriidu.exe (Worm.Autorun) -> No action taken.
    c:\documents and settings\Perso\menu démarrer\programmes\démarrage\uqqlccxooj.exe (Worm.Autorun) -> No action taken.
    c:\documents and settings\Perso\local settings\Temp\0.5023941891275723.exe (Spyware.Passwords.XGen) -> No action taken.
    c:\WINDOWS\Temp\wemuscjakgwr5ea9341c.tmp (Trojan.Downloader.H) -> No action taken.
    c:\documents and settings\Perso\fxmdk.exe (Spyware.Passwords.XGen) -> No action taken.
    c:\documents and settings\Perso\xvlof.exe (Worm.Palevo) -> No action taken.
    c:\documents and settings\Perso\local settings\Temp\0.3689678618318396.exe (Exploit.Drop.2) -> No action taken.
    0
  14. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    tu as supprimé ce qui a été trouvé par malwarebyte?

    tu peux remettre un rapport de suppression avec usbfix en complément de Zhpdiag

    et pour ce soir car je serai dispo que demain matin colle un rapport avec un des 4 premiers antivirus en ligne <-- ici (si tu as le temps)

    a plus
    0
    1. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
       
      alors ?
      0