Bonsoir à tous,
 
Je viens chercher l'aide d'experts pour si possible, m'éviter un formatage    
J'ai remarqué depuis une petite semaine des ralentissements de mon PC, qui se traduisent par des pages internet longues (plus que d'habitude) à ouvrir, Firefox assez lent, et les ventilos qui tournent en continue, même quand aucun programme ne tourne    
 
D'ailleurs, lors d'un gros ralentissement, j'ai Antivir qui m'a indiqué à plusieurs reprises des "rootkit" qui tenter d'accéder à la machine, que j'ai bien sur refuser. J'ai donc passé Spybot (mis à jour) et un scan Antivir sur la bécane, d'abord en normal où ce fut tellement long que j'ai annulé, pour le faire ensuite en mode sans echec, où les 2 programmes ne m'ont rie indiqué d'anormal.
 
Pourtant, je suis persuadé d'être infecté, car je sens la bécane lente, notamment au démarrage, alors que j'ai reduit les logiciels au demarrage au minimum.
 
Pour gagner du temps, comme je sais qu'on le demande souvent, j'ai lancé HiJackThis en mode sans echec, voici le rapport obtenu :
http://www.cijoint.fr/cj201003/cijZYsXHqO.txt
 
(Le portail dufpy.com sur IE, je ne connais pas ... donc je pense que ca sent pas bon.. bien que j'avais deja ce site AVANT les ralentissements..)
 
J'espere que certains d'entre vous sauront m'aider, je leur serai très reconnaissant !    
 
Merci d'avance.
 
(merci glops31 ! )

bonsoir
 
il y a en effet la présence d'une infection sur ton Pc, il s'agit d'un trojan "Win32/Bredolab.X"  
 
tu vas pour commencer, utiliser un logiciel antimalware généraliste et très éfficace,que tu pourras conserver sur ton ordinateur et utiliser régulièrement
 

• Télécharge Malwarebytes antimalware  
• Tu auras ICI un tutoriel à ta disposition pour l'installer et l'utiliser correctement.
• Fais la mise à jour du logiciel (elle se fait normalement à l'installation)
• Lance une analyse complète en cliquant sur "Exécuter un examen complet"
• Sélectionne les disques que tu veux analyser et cliques sur "Lancer l'examen"
• L'analyse peut durer un bon moment.....
• Une fois l'analyse terminée, clique sur "OK" puis sur "Afficher les résultats"
• Vérifie que tout est bien coché et clique sur "Supprimer la sélection" => et ensuite sur "OK"
• Un rapport va s'ouvrir dans le bloc note... héberge le sur "cijoint.fr" avant de me poster les liens
• Il est possible que certains fichiers devront être supprimés au redémarrage du PC... Fais le en cliquant sur "oui" à la question posée

merci glops!
 
Je fais ça et je te poste le résultat
 
Par curiosité, à quoi vois tu qu'il s'agit de ce malware ?

 
 
O4 - Startup: winesm32.exe  
 
cette ligne là en est une trace caractéristique  

Enfin fini!
Voila le rapport obtenu :  
http://www.cijoint.fr/cj201003/cijJ9L7bOT.txt
 
J'ai refais un Hijackthis derriere, la ligne que tu as mentionné et toujours là merci d'avance!

bonjour
 
nous allons maintenant faire une analyse plus complète de ton ordinateur pour cela:
 

• Télécharge Random's system information tool  ,(RSIT) et enregistre le sur ton bureau.
• Sauvegarde tout travail en cours et fermes toutes les fenêtre actives avant de lancer RSIT  
• Double clique sur RSIT.exe pour lancer l'outil. (il est possible que le .exe ne soit pas visible sur ton ordinateur)  
• Sous vista ,clique droit sur le fichier et choisis "Exécuter en tant qu'administrateur".  
• Clique sur "continue" à l'écran Disclaimer.
• Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera et tu devras accepter la licence.  
• Une fois le scan fini , deux rapports vont être générés, un seul va apparaitre,c'est le log.txt, le second info.txt sera ouvert mais dans la barre des tâches.  

les deux rapports sont enregistrés sur ton disque dur, à la racine de C:\
 
voici les chemins d'accès=> C:\RSIT\log.txt & C:\RSIT\info.txt
 
héberge les sur ci-joint.fr et poste moi le/les liens
 
ne poste pas les rapports sur ce forum.
 
Rappel: (CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller)
 
 
Les nouvelles variantes de ce malware s'accompagnant d'un rootkit et conformémént à la détection d'Antivir,voici ce que tu vas faire ensuite
 
 
    /!\ Il faut impérativement désactiver tous tes logiciels de protection pour utiliser ce programme/!\
 
    • Rends toi sur cette page, et clique sur "Download EXE" pour télécharger Gmer (sous un nom aléatoire, pour éviter qu'il soit bloqué par une infection)
    • Lance Gmer
    • Dans l'onglet "Rootkit", clique sur "Scan" puis patiente.
    • A la fin, clique sur "Save" et enregistre le rapport sur ton Bureau.
    • Héberge le rapport sur ce site, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum.

Merci pour ta rapidité glops!  
 
Je ne pourrais pas voir cela avant ce soir, étant au boulot toute la journée. Quoi qu'il en soit, dès que j'ai fais tout cela, je te poste ici les rapports via cjoint  
 
Encore merci pour ton aide

Merci encore glops, voilà les 2 rapports suite à RSIT :
 
info.txt : http://www.cijoint.fr/cj201003/cijOxWDCTk.txt
log.txt : http://www.cijoint.fr/cj201003/cijJIHSFix.txt
 
Je fais la suite à présent  
 
Merci d'avance!

bonjour
 
OK pour les rapports,si tu ne l'as pas encore fait laisse tomber Gmer
 
suite à des infos que j'ai eu sur cette infection ,j'aimerais que tu refasses un scan + suppression avec Malwarebytes et que tu me montres le rapport comme tu l'as déjà fait.
 
ensuite si il est toujours là nous  changerons de stratégie,tu feras ce qui suit,toujours avec les logs de protection désactivés.
 
 
/!\ A l'attention de ceux qui passent sur ce sujet/!\
 
Le logiciel qui suit n'est pas à utiliser à la légère et peut faire des dégâts s'il est mal utilisé ! Ne le faites que si un helper du forum qui connait bien cet outil vous l'a recommandé.
 
Désactive tous tes logiciels de protection
 
* clique sur glops31.exe pour télécharger"comboFix", enregiste le fichier sur ton bureau
* j'ai moi même renommé le fichier pour qu'il ne soit pas bloqué par l'infection
* Double-clique sur "glops31.exe" afin de le lancer.
* Il va te demander d'installer la console de récupération : accepte.
* Ne touche à rien pendant le scan.
* Lorsque la recherche sera terminée, un rapport apparaîtra.héberge ce rapport (C:\Combofix.txt) sur cijoint.fret poste moi le lien dans ta prochaine réponse.
 
tutoriel officiel de ComboFix

Merci glops J'ai fais une analyse avec gmer, voici le rapport :
http://www.cijoint.fr/cj201003/cijYQEORtT.txt
 
Je refait un passage de Malware Bytes et te redonne le rapport  
 
A noter que je trouve deja le pc moins lent depuis le premier passage Malware Bytes.
 
Encore merci!

TRES IMPORTANT
avant de faire le scan avec MBAM faire la mise à jour =>ce malware vient d'être ajouté

Merci glops  
 
Hier soir j'ai bien mis à jour MBAM et lancé une analyse, mais elle est extrèmement longue quand je ne suis pas en mode sans echec
 
Je vais donc la relancer ce soir en mode sans echec, (le logiciel avait d'ailleurs deja détecté un malware) et je te tiens au courant dès qu'un rapport sort
 
Encore merci de ta patience.

même si c'est long je préfèrerais en mode normal
A+

Ah.. je tenterai en laissant le pc toute la nuit alors  
 
Merci encore!

Voici le rapport MBAM glops :
 
http://www.cijoint.fr/cj201003/cijqxnhZXP.txt
 
Je vais faire un coup de ComboFix a présent  
 
Merci!

ComboFix ne veut point se lancer  
J'obtiens l'erreur suivante à l'execution :
 

salut
Laisse tomber comboFix ,je pense savoir pourquoi il ne marche pas  
 
Ce scan de MBAM n'a duré qu'une petite heure alors que tu m'annonçais une longueur énorme
 
il y a quelque chose qui m'échappe, n'as tu fais qu'un seul scan? n'as tu pas un autre rapport si tu ouvres l'onglet rapport en fonction des dates celui ci étant le dernier
n'y en a t'il pas un autre entre le premier et celui-ci.
as tu à un moment donné supprimé une sélection trouvée par MBAM  et redémarrer par exemple? puis refais un scan et poster le dernier rapport....  
 
bref,ce rapport est clean, ce qui veut dire que le  "winesm32.exe" a été supprimé,mais je voudrais quand même revoir un hijackthis, ou rsit  "log.txt"  stp
 
comment se comporte ton PC?
 
Bon week-end  
 
   

Je t'explique : du mercredi soir j'ai lancé un scan MBAM, qui été très très long et que j'ai stoppé en cours de scan. ll y avait deja un malware detecté.  
 
Vendredi matin j'ai lancé le scan, mon ordi a tourné toute la journée et au soir, je t'ai donc mis le scan qui en a résulté. Ce qui m'etonne c'est que durant ce second scan, plu de malware détecté! Donc aurait-il été supprimé durant le premier scan interrompu ? Je vais refaire un scan Hijackthis et rsit et je te poste ici ce qu'il en est
 
Encore merci, le pc tourne bien je trouve, en tout cas plus de ralentissement Merci glops!

Voici le log.txt issue de RSIT
 
http://www.cijoint.fr/cj201003/cij3nzEKMP.txt
 
Merci !

je suis désolé mais tout n'est pas clean dans ce rapport même si le fichier  "winesm32.exe" a été supprimé
 
pour continuer tu vas faire ceci:
 

• Télécharge ZHPDiag
• Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin.
• Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
• Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
• Héberge le rapport ZHPDiag.txt sur ce site, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum.

Merci de ta patience glops
 
Voilà le rapport ZHPDiag obtenu : http://www.cijoint.fr/cj201003/cijpDL1IrP.txt
 
à quel niveau vois tu encore des malwares ?

il y a un fichier douteux dans system32
 
note:ZHPFix peut être activé soit à partir de ZHPDiag  en cliquant sur l'icône  
soit à partir du raccourci sur le Bureau.
Il se lance par double clic sous Xp, par clic droit et "exécuter en tant qu'administrateur sous Vista et Seven.
 

• Lance ZHPFix par un clic-droit --> Exécuter en temps qu'administrateur
• Clique sur l'icône représentant la lettre H (« coller les lignes Helper »)
• Copie/colle toutes les lignes contenues dans ce document et place les dans ZHPFix
• Clique sur « Tous », puis sur « Nettoyer »
• héberge ensuite la totalité du  rapport obtenu sur cijoint.fr et poste moi le lien dans ta prochaine réponse.

il faudra ensuite faire une vérification de ton disque dur et de tes supports amovibles ,comme clés usb et HDD externes...
 
 
 

Premierement, le resultat d'analyse MBAM  
 
http://www.cijoint.fr/cj201003/cijs26Rs7h.txt
 
Je m'attaque à ZHP a présent et te tiens au courant
 
Merci encore cher glops!

ZHPFix a donné ceci : http://www.cijoint.fr/cj201003/cij34Ut4Rx.txt
 
Et j'ai copié collé ce qu'il mettait à l'ecran : http://www.cijoint.fr/cj201003/cijqDa8xQC.txt
 
Merci encore!  
 

Très bien,  tu vas maintenant faire ceci:
 
Ferme toutes tes applications et enregistre le travail en cours.
 
Munis toi de tous tes supports amovibles (clés usb,disque durs externes,etc...)
 

• Télécharge UsbFix (créé par El Desaparecido & C_XX) et enregistre-le sur ton bureau
• tutoriel recherche
• Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) succeptibles d'avoir été infectés sans les ouvrir
• Double clic sur le raccourci UsbFix sur ton bureau, l'installation se fera automatiquement
• Choisi l'option 1 (recherche)
• Laisse travailler l'outil
• Ensuite héberge  le rapport UsbFix.txt qui apparaîtra sur ce site et poste moi le lien qui te sera fourni
• Note : le rapport UsbFix.txt est sauvegardé a la racine du disque

Important: Ne poste pas le rapport directement sur ce forum
 
    * Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
              Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
              Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus
     
 
 
 
 
 

Cela ne veut pas se lancer erreur de version de windows  
 

cela ne m'étonne pas ,ta version de XP y est pour quelque chose ,je suis désolé ,je ne peux pas poursuivre cette désinfection sur ce système  
 
si tu as un autre PC avec une version de Windows valide ,je t'invite à ouvrir un autre sujet ,nous pourrons désinfecter tes supports USB dessus et en même temps analyser ce PC