Hello les gens,    
 
Voilà, depuis hier soir j'ai un gros soucis et je ne sais pas comment m'en dépetrer. Des fenetres intempestives apparaissent et apparemment elles viennent de mon PC et pas d'internet. Un message apparait : security center - Do you want to block this suspicious software. Et le "logiciel" Malware Defense s'est installé sans que je le veuille maintenant impossible de le désinstaller. J'ai scanner mon PC à plusieurs reprises avec Avast mais rien n'y fait.
 
Bref, je n'arrive pas à m'en dépétrer ... Si quelqu'un connait ce problème qu'il me fasse signe.

Bonjour,
 
Comme tu t'en es rendu compte, Malware Defense est un Rogue => arnaque qui essayera de te pousser à acheter des produits pourris.
 
Les alertes de Security Center sont fausses elles aussi.
 
Utilise Malwarebytes Antimalware (MBAM) pour supprimer l'infection :
 
• Télécharge et installe Malwarebytes' Anti-Malware  
• Veille à ce que la case "Mettre à jour Malwarebytes" soit cochée  
• Une fois installé, lance MBAM et va dans l'onglet "Recherche", coche "Exécuter un examen Complet" puis fais "Rechercher"
• A la fin du scan, clique sur Afficher les résultats
• Coche tous les éléments détectés puis clique sur Supprimer la sélection (sans risques)
• Enregistre le rapport, et pense à vider la quarantaine
• S'il t'est demandé de redémarrer l'odinateur, accepte
• Pour finir, poste dans ta prochaine réponse le rapport apparaissant après la suppression stp
 
 
Pour info, Malware Defense s'installe sans l'accord de l'utilisateur, via des exploits sur des sites piégés et des faux codecs

Il y a d'autres solutions?
Parce que le programme indiqué s'installe pas chez moi.
Je peux plus non plus lancer mon antivirus.

Un message d'erreur particulier ?
 
Du style : " .... n'est pas une application Win32 valide " ?

Non, rien du tout. Rien ne démarre quand je fais un double-clic.

Je vois juste le sablier pendant 2 secondes et puis plus rien.

Je vois.
 
Dans ce cas, essaie de simplement renommer le fichier mbam-setup.exe en berlin.exe, par exemple.
 
Ensuite double-clique dessus et vois s'il s'installe mieux.

Ça marche pas non plus.

Je suis tombée là-dessus par hasard, est-ce que ces instructions sont pertinentes, est-ce que je peux essayer ça?
http://www.libellules.ch/phpBB2/ma [...] 34491.html

Ok, Malware Defense est un peu plus corriace que ce que je pensais... En fait, il doit empêcher l'installation de MBAM (qui est à ma connaissance le seul qui traite cette infection efficacement), donc il va falloir neutraliser les processus responsables avant de pouvoir utiliser MBAM.
 

• Supprime le fichier le fichier d'installation de Malwarebytes pour l'instant, et télécharge rkill
• Double-clique sur le fichier d'exécution pour lancer rkill qui scannera ton ordi automatiquement
• Laisse le faire et patiente le temps qu'il arrête les processus néfastes, il se fermera automatiquement quand il aura fini

/!\ Ne redémarre pas ton ordi entre temps car les processus vont se relancer sinon /!\
 
Ensuite, une fois que rkill sera fermé, tu peux retélécharger malwarebytes sur ce lien :
 
http://download.bleepingcomputer.c [...] -setup.exe
 
Ferme toutes tes applications, y compris ton navigateur, puis retente l'installation (fais le scan complet si ça a fonctionné) et dis-moi ce que ça a donné.

 
Hum, non je ne pense pas.
 
Florinator lui dit que le rogue est parti, alors qu'il est toujours là après le passage d'OTM :
 
O4 - HKCU\..\Run: [Malware Defense] "C:\Program Files\Malware Defense\mdefense.exe" -noscan
 
En plus il te faut quelqu'un pour écrire ton script.
 
Je préfère la méthode de rkill, on va essayer ça et on verra ensuite

J'avais pas essayé non plus, mais j'avais cru à un moment que t'étais parti, alors je regardais aussi ailleurs. Merci énormément pour ton aide!

Bon, j'ai téléchargé rkill. Quand je le lance, ça me dit juste que rkill va arrêter les malwares connus, j'ai un écran bleu pendant une fraction de seconde, puis la barre des tâches se rétablit et plus rien. Tu parlais d'attendre le temps nécessaire pour que rkill scanne l'ordinateur, donc il semblerait qu'il y ait un problème avec rkill aussi, non?

J'ai quand même réessayé ensuite malwarebytes à tout hasard, mais pas de changement, ça s'installe toujours pas.

Hum, je viens de tester rkill.
 
Donc, il y a bien une fenêtre noire qui s'ouvre, avec ce que tu disais dedans. Ensuite, chez moi le Bureau disparaît pendant quelques secondes et réapparaît peu après => la fenêtre noire est fermée à ce moment là, ce qui indique que rkill a terminé.
 
Tu as quel système d'exploitation?
 
(C'est maintenant que je vais devoir partir en fait, mais je serai là à partir de 14h )

Windows XP.
Oui, ça correspond, rkill paraît avoir terminé, mais je m'étonnais juste parce que tu avais dit de patienter et c'est juste une affaire de quelques secondes.
 
Mais l'autre application démarre toujours pas.

Re,
 
En fait, je pense avoir oublié une étape.
 
Supprime MBAM, ensuite relance rkill comme tu l'as déjà fait.
 
Quand il aura fini, retélécharge MBAM (sur mon dernier lien), mais cette fois renomme le fichier d'installation en "explorer.exe" (sans les guillaumets) avant de l'exécuter.
 
Ensuite lance explorer.exe (donc le MBAM que tu as renommé) et dis-moi.

Miracle, ça s'est installé cette fois!
Bon, je lance le scan complet et je donnerai des nouvelles.
Vielen, vielen Dank!

Ah, enfin =P
 
Veille à ce que MBAM soit à jour avant de faire le scan
 
Si tu y arrives, normalement c'est fini pour Malware Defense
 
N'hésite pas à poster le rapport de MBAM qui s'affichera après suppression aussi.

On dirait que ça a marché, il a fallu redémarrer pour effacer quelques fichiers, mais mon Antivirus est en tout cas de retour et les fichiers qui restaient à effacer après reboot n'ont plus l'air d'être là.
 
Voilà le log:
========================
Malwarebytes' Anti-Malware 1.42
Datenbank Version: 3454
Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.13
 
30.12.2009 15:38:24
mbam-log-2009-12-30 (15-38-24).txt
 
Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 250873
Laufzeit: 27 minute(s), 54 second(s)
 
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 1
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 2
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 1
Infizierte Dateien: 7
 
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
 
Infizierte Speichermodule:
C:\Programme\Malware Defense\mdext.dll (Trojan.FakeAlert) -> Delete on reboot.
 
Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Malware Defense (Rogue.MalwareDefense) -> Quarantined and deleted successfully.
 
Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\settdebugx.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\malware defense (Rogue.MalwareDefense) -> Quarantined and deleted successfully.
 
Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
 
Infizierte Verzeichnisse:
C:\Programme\malware Defense (Rogue.MalwareDefense) -> Delete on reboot.
 
Infizierte Dateien:
C:\Programme\Malware Defense\mdext.dll (Trojan.FakeAlert) -> Delete on reboot.
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\settdebugx.exe (Rogue.Installer) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\Installer.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\wscsvc32.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Programme\Malware Defense\uninstall.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\krl32mainweq.dll (Trojan.DNSChanger) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Besitzer\Desktop\explorer.exe (Heuristics.Reserved.Word.Exploit) -> Quarantined and deleted successfully.

Hum, ok. Mais j'ai peur qu'il ne l'ait supprimé que partiellement.
 
Peux-tu faire une utiliser ce logiciel de diagnostic stp? Ca me permettra de vérifier :
 
• Télécharge Random's System Information Tool (RSIT) de random/random, et enregistre le sur ton Bureau.
• Double clique sur RSIT.exe pour lancer l'outil.  
• Clique sur ' Continue ' à l'écran Disclaimer.
• Si l'outil HijackThis n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.
• Une fois le scan terminé, deux rapports vont apparaître : ne les poste pas directement ici (une règle de ce forum l'interdit). A la place, suis ce tuto pour héberger le rapport ailleurs et poste le lien qui est donné stp.

Merci, je vais faire ça,
Il faut que j'efface le log que je viens de poster aussi?

Non, je pense que c'est ok pour le log de MBAM, il peut rester
 
Les deux que tu vas avoir avec RSIT sont nettement plus longs, et les Modos trouvent que ça peut nuir à la lisibilité du sujet... donc on les fait héberger

Voilà le lien:
http://www.toofiles.com/fr/oip/doc [...] 1_log.html

Le Security Center est toujours pas activé, ça a pas l'air rentré dans la normale, en effet...

On va utiliser ComboFix. Et si besoin, on fera un script de suppression par la suite.
 
/!\ A l'attention de ceux qui lisent ce sujet /!\
 
Le logiciel qui suit doit être utilisé avec précaution et peut faire des dégâts s'il est mal utilisé ! Ne le faites que si une personne du forum qui connait bien cet outil vous l'a recommandé.
 
/!\ Désactive tous les logiciels de protection sur Pc (antivirus, pare-feu, antispyware etc) car ils risquent de gêner l'outil /!\
 
• Télécharge ComboFix (de sUBs) et enregistre-le sur le Bureau (pas ailleurs, sinon il ne foncitonnera pas)
• Ferme toutes tes applications (y compris ton navigateur) et double-clique sur le fichier exécutable présent sur le Bureau  
• Lance le scan, puis laisse travailler l'outil jusqu'au bout sans rien faire d'autre et sans l'interrompre (peu importe le temps que cela peut prendre). Il faut éviter aussi de cliquer dans la fenêtre de ComboFix.
• Il est possible que ComboFix fasse redémarrer ton ordi pour relancer un scan au démarrage => laisse-le faire jusqu'au bout
• Lorsque la recherche sera terminée, ComboFix te le dira et un rapport apparaîtra. Poste ce dernier (C:\Combofix.txt) dans ta prochaine réponse stp.
 
Tutoriel officiel de Combofix : http://www.bleepingcomputer.com/co [...] r-combofix

C'est en train de tourner, j'avais bien désactivé l'antivirus, mais Combofix a redémarré l'ordi et AntiVir Guard a réagi pendant l'Autoscan en signalant un troyen.
Qu'est-ce que je dois faire? J'ose toucher à rien pour l'instant puisque tu avais dit de ne même pas cliquer. Le scan est bloqué, Antivir me demande s'il faut interdire l'accès à ce fichier, l'effacer, le mettre en quarantaine, etc.

Donc, tu écris depuis un autre ordi? Si c'est le cas, c'est rassurant
 
Regarde si ComboFix arrive à continuer malgré l'intervention d'Antivir.
 
S'il reste bloqué, alors dis à Antivir d'autoriser ou d'ignorer le fichier (selon ce qu'il propose)... de façon à ce que ComboFix puisse poursuivre normalement. Ensuite, si tout va bien, tu n'auras qu'à patienter un peu.

Oui, j'avais posté le dernier message d'un autre ordi.
 
"Ignorer" ne débloquait rien, mais la mise en quarantaine lui a permis de poursuivre.
 
Voilà le log:
http://www.toofiles.com/fr/oip/doc [...] bofix.html
 
(Je ne sais comment te remercier pour ta patience...)

Pas de soucis, tu pourras me dire merci à la fin quand ce sera vraiment fini
 
Ok pour le rapport de Combo. Je me suis apperçu un peu plus tôt dans la journée que Malware Defense était accompagné d'un rootkit (indétectable par le système), et le rapport de ComboFix vient de le confirmer. Le rootkit a été correctement nettoyé : => c:\windows\system32\drivers\H8SRTmvplewbgrx.sys, c'est c'est dernier qui empêchait MBAM de s'installer.
 
Je pense que le PC devrait se porter mieux maintenant, et normalement ton Security Center devrait pouvoir refonctionner. J'attends que tu me confirmes ça.
 
Tu peux peut-être retenter un scan complet avec Malwarebytes anti-malware en attendant (maintenant qu'il n'y a plus la présence du rootkit).
 
J'ai vu une petite infection dans ton rapport RSIT aussi (la barre d'outils AskBar), mais on verra ça ce soir ou demain

Oui, le Security Center marche.
 
J'ai refait un scan avec Malwarebytes, ça a pris des plombes par rapport à la première fois, il a encore trouvé quelques fichiers infectés:
http://www.toofiles.com/fr/oip/doc [...] 49-24.html

Ok ^^
 
Les fichiers trouvés par MBAM sont des fichiers infectieux qui se trouvent dans les points de restauration (qu'on va prendre le soin de purger à la fin). Et le premier élément trouvé correspondait à la quarantaine de ComboFix.
 
Je t'ai fait un script de suppression, pour être sûr que tous les fichiers de Malware Defense sont supprimés, et qu'il n'a pas laissé des traces dans le registre.
 
Mais je n'ai pas trop l'habitude de le faire avec un système d'exploitation en allemand, donc je vais avoir besoin de toi pour me traduire un chemin qui sera utilisé dans le script
 
Que donnerait le chemin suivant en allemand?
 
C:\Documents and Settings\Besitzer\Menu Démarrer\Programmes
 
C'est le chemin exact qui est nécessaire, donc si jamais tu avais un doute, tu peux suivre le chemin et voir ce qui s'affichera dans la barre d'adresse.

C'est:
C:\Dokumente und Einstellungen\Besitzer\Startmenü\Programme

Ne sachant pas si mon sauveur Adaron est parti ou juste absent quelques jours, je me demandais s'il y a un risque à utiliser mon ordi dans cet état? Et s'il ne revient pas, est-ce que quelqu'un pourrait me dire en gros ce que je peux faire rendue à ce stade/où je pourrais trouver de l'aide pour finir de "désinfecter" mon système? Merci d'avance pour toute aide.

Bonjour,
 
Et bonne année
 
En fait je me suis juste absenté le temps des fêtes, et un petit contre-temps m'a empêché de prévenir. Normalement, je vais pouvoir poursuivre cet aprem. En attendant, tu peux utiliser ton PC mais avec prudence (pas d'installation de programmes douteux, éviter de transférer des fichiers si possible etc).
 
A très bientôt.

Pas de problème, il y a pas urgence, je repasserai régulièrement. Je suis déjà confuse en voyant le mal que tu t'es donné, j'aurais très bien compris que tu en aies marre, c'était pas un reproche. Merci pour tout!

Re encore une fois.
 
Toutes mes excuses pour l'attente, mais j'étais particulièrement occupé au boulot cette semaine. En tout cas, j'ai pu vérifier certaines infos concernant ton problème d'ordi, et finalement il n'y aura pas besoin que je te fasse utiliser un script de suppression
 
Si jamais tu as encore des restes associés à Malware Defense (raccourcis, liens etc), tu peux les supprimer manuellement sans problèmes.
 
On va pouvoir continuer
 
Il y a un fichier suspect sur ton ordi, il va falloir le faire analyser en ligne :
 
• Rends toi sur le site http://www.virustotal.com/fr/  
• Clique sur Parcourir, et navigue jusqu'au fichier suivant et valide : C:\WINDOWS\system32\winsys2.exe          
• Clique sur "Envoyer le fichier" : s'il a déjà été analysé, demande une nouvelle analyse.  
• Fais un copier/coller du rapport sur le forum et poste-le ensuite directement ici stp.  
 
Si tu ne trouves pas le fichier, fais ceci :  
• Menu Démarrer --> Panneau de configuration --> Options des dossiers --> Affichage  
• Coche "Afficher les fichiers et dossiers cachés", décoche "Masquer les extensions de fichiers connus", décoche "Masquer les fichiers protégés du Système", puis valide.  
• Tu pourras à nouveau masquer les fichiers cachés une fois la manipulation terminée, si tu le souhaites.
 
P.S : Pas de soucis pour le reste, je t'aiderai jusqu'au bout.

Voilà le rapport (j'espère que c'est pas trop long, sinon je le mettrai sur toofiles):
 
Antivirus   Version   Dernière mise à jour   Résultat
a-squared 4.5.0.48 2010.01.06 -
AhnLab-V3 5.0.0.2 2010.01.06 -
AntiVir 7.9.1.122 2009.12.31 -
Antiy-AVL 2.0.3.7 2010.01.06 -
Authentium 5.2.0.5 2010.01.06 -
Avast 4.8.1351.0 2010.01.06 -
AVG 8.5.0.430 2010.01.04 -
BitDefender 7.2 2010.01.06 -
CAT-QuickHeal 10.00 2010.01.05 -
ClamAV 0.94.1 2010.01.06 -
Comodo 3478 2010.01.05 -
DrWeb 5.0.1.12222 2010.01.06 -
eSafe 7.0.17.0 2010.01.05 -
eTrust-Vet 35.1.7218 2010.01.06 -
F-Prot 4.5.1.85 2010.01.05 -
F-Secure 9.0.15370.0 2010.01.06 -
Fortinet 4.0.14.0 2010.01.06 -
GData 19 2010.01.06 -
Ikarus T3.1.1.79.0 2010.01.06 -
Jiangmin 13.0.900 2010.01.06 -
K7AntiVirus 7.10.939 2010.01.05 -
Kaspersky 7.0.0.125 2010.01.06 -
McAfee 5852 2010.01.05 -
McAfee+Artemis 5852 2010.01.05 -
McAfee-GW-Edition 6.8.5 2010.01.06 -
Microsoft 1.5302 2010.01.06 -
NOD32 4748 2010.01.06 -
Norman 6.04.03 2010.01.06 -
nProtect 2009.1.8.0 2010.01.06 -
Panda 10.0.2.2 2010.01.06 -
PCTools 7.0.3.5 2010.01.06 -
Prevx 3.0 2010.01.06 -
Rising 22.29.02.06 2010.01.06 -
Sophos 4.49.0 2010.01.06 -
Sunbelt 3.2.1858.2 2010.01.06 -
Symantec 20091.2.0.41 2010.01.06 -
TheHacker 6.5.0.3.136 2010.01.06 -
TrendMicro 9.120.0.1004 2010.01.06 -
VBA32 3.12.12.1 2010.01.05 -
ViRobot 2010.1.6.2124 2010.01.06 -
VirusBuster 5.0.21.0 2010.01.06 -
Information additionnelle
File size: 208896 bytes
MD5...: 27949ccd505a6be082d15547b1dff90d
SHA1..: 569f27f34d53ec7f3eb0151108f3d4f0b4e54140
SHA256: 7c47e876766ecd62aad68812a40f30bad56a32d994cc16a116b8d3c4ea30ee82
ssdeep: 3072:AQNGGM2V/Oa49QFb+s6+6WKYy2YJfGnFGY2IKmistUtcQrvkpTQ7:APGlk5
9QFbj6+6oyjJfrY2IKHbrMm
PEiD..: -
PEInfo: PE Structure information
 
( base data )
entrypointaddress.: 0x10214
timedatestamp.....: 0x478ff7fe (Fri Jan 18 00:51:10 2008)
machinetype.......: 0x14c (I386)
 
( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x20996 0x21000 6.65 2bd762b046ea4317483b547ed7ae2d7f
.rdata 0x22000 0x7cfe 0x8000 4.90 1f93dbb50db9c21acda7c7c1888d93e8
.data 0x2a000 0x8fd4 0x3000 3.31 2bc8669cfae0847f14f5e0b842c89897
CONST 0x33000 0x1f 0x1000 0.09 e1c91d3ead8e57dca21253f563c750c1
.rsrc 0x34000 0x48a8 0x5000 4.41 46abb0b06f7f2c3453dea7320e86064f
 
( 8 imports )
> MADCHOOK.DLL: InjectLibraryA, UninjectLibraryA
> KERNEL32.dll: SetErrorMode, HeapAlloc, HeapFree, HeapReAlloc, VirtualAlloc, RtlUnwind, GetCommandLineA, GetProcessHeap, GetStartupInfoA, RaiseException, ExitProcess, HeapSize, VirtualFree, HeapDestroy, HeapCreate, GetStdHandle, TerminateProcess, SetUnhandledExceptionFilter, IsDebuggerPresent, Sleep, FreeEnvironmentStringsA, GetEnvironmentStrings, FreeEnvironmentStringsW, GetEnvironmentStringsW, SetHandleCount, GetFileType, QueryPerformanceCounter, GetTickCount, GetSystemTimeAsFileTime, GetACP, GetConsoleCP, GetConsoleMode, LCMapStringA, LCMapStringW, GetStringTypeA, GetStringTypeW, SetStdHandle, WriteConsoleA, GetConsoleOutputCP, WriteConsoleW, GetOEMCP, GetCPInfo, CreateFileA, GetCurrentProcess, GetThreadLocale, FlushFileBuffers, SetFilePointer, WriteFile, ReadFile, GlobalFlags, WritePrivateProfileStringA, InterlockedIncrement, TlsFree, DeleteCriticalSection, LocalReAlloc, TlsSetValue, TlsAlloc, InitializeCriticalSection, GlobalHandle, GlobalReAlloc, EnterCriticalSection, TlsGetValue, LeaveCriticalSection, LocalAlloc, GlobalGetAtomNameA, GlobalFindAtomA, lstrcmpW, FreeResource, GetCurrentProcessId, GlobalAddAtomA, CloseHandle, GetCurrentThread, GetCurrentThreadId, ConvertDefaultLocale, GetModuleFileNameA, EnumResourceLanguagesA, GetLocaleInfoA, lstrcmpA, GlobalDeleteAtom, FreeLibrary, InterlockedDecrement, GetModuleFileNameW, GetModuleHandleA, GlobalFree, GlobalAlloc, GlobalLock, GlobalUnlock, FormatMessageA, LocalFree, FindResourceA, LoadResource, LockResource, SizeofResource, MulDiv, SetLastError, GetProcAddress, LoadLibraryA, lstrlenA, CompareStringA, GetVersionExA, GetVersion, GetLastError, WideCharToMultiByte, MultiByteToWideChar, InterlockedExchange, UnhandledExceptionFilter
> USER32.dll: UnregisterClassA, LoadCursorA, GetSysColorBrush, EndPaint, BeginPaint, ReleaseDC, GetDC, ClientToScreen, GrayStringA, DrawTextExA, DrawTextA, TabbedTextOutA, ShowWindow, SetWindowTextA, IsDialogMessageA, RegisterWindowMessageA, SendDlgItemMessageA, WinHelpA, GetCapture, GetClassLongA, GetClassNameA, SetPropA, GetPropA, RemovePropA, SetFocus, GetWindowTextA, GetForegroundWindow, GetTopWindow, GetMessagePos, MapWindowPoints, SetForegroundWindow, UpdateWindow, GetMenu, CreateWindowExA, GetClassInfoExA, GetClassInfoA, RegisterClassA, GetSysColor, AdjustWindowRectEx, CopyRect, PtInRect, GetDlgCtrlID, DefWindowProcA, CallWindowProcA, SetWindowLongA, SetWindowPos, SystemParametersInfoA, GetWindowPlacement, GetWindowRect, GetWindow, GetDesktopWindow, SetActiveWindow, CreateDialogIndirectParamA, DestroyWindow, IsWindow, GetDlgItem, GetNextDlgTabItem, EndDialog, DrawIcon, SendMessageA, GetWindowThreadProcessId, GetWindowLongA, GetLastActivePopup, IsWindowEnabled, MessageBoxA, SetCursor, SetWindowsHookExA, CallNextHookEx, GetMessageA, TranslateMessage, DispatchMessageA, GetActiveWindow, DestroyMenu, GetMessageTime, IsIconic, GetClientRect, SetTimer, KillTimer, LoadIconA, EnableWindow, GetSystemMetrics, GetSubMenu, GetMenuItemCount, GetMenuItemID, GetMenuState, UnhookWindowsHookEx, PostQuitMessage, PostMessageA, IsWindowVisible, GetKeyState, PeekMessageA, GetCursorPos, ValidateRect, SetMenuItemBitmaps, GetMenuCheckMarkDimensions, LoadBitmapA, GetFocus, GetParent, ModifyMenuA, EnableMenuItem, CheckMenuItem
> GDI32.dll: SetWindowExtEx, ScaleWindowExtEx, DeleteDC, GetStockObject, PtVisible, ScaleViewportExtEx, SetViewportExtEx, OffsetViewportOrgEx, SetViewportOrgEx, SelectObject, Escape, ExtTextOutA, TextOutA, GetDeviceCaps, DeleteObject, SetMapMode, RestoreDC, SaveDC, GetObjectA, SetBkColor, SetTextColor, GetClipBox, CreateBitmap, RectVisible
> WINSPOOL.DRV: ClosePrinter, DocumentPropertiesA, OpenPrinterA
> ADVAPI32.dll: RegQueryValueA, RegEnumKeyA, RegDeleteKeyA, RegOpenKeyA, RegOpenKeyExA, RegQueryValueExA, RegCreateKeyExA, RegSetValueExA, RegCloseKey
> SHLWAPI.dll: PathFindFileNameA, PathFindExtensionA
> OLEAUT32.dll: -, -, -
 
( 0 exports )
RDS...: NSRL Reference Data Set
-
sigcheck:
publisher....:
copyright....: Copyright (C) 2003
product......: DOT Application
description..: DOT MFC Application
original name: DOT.EXE
internal name: DOT
file version.: 1, 0, 0, 2
comments.....:
signers......: -
signing date.: -
verified.....: Unsigned
trid..: Win64 Executable Generic (54.6%)
Win32 Executable MS Visual C++ (generic) (24.0%)
Windows Screen Saver (8.3%)
Win32 Executable Generic (5.4%)
Win32 Dynamic Link Library (generic) (4.8%)
pdfid.: -

Ok, ici il semble légitime.
 
On va passer à la suite et s'occuper de la barre d'outils néfaste présente sur l'ordi => la AskBar.
 
Pour t'en débarasser, utilise dans l'ordre ces deux outils (on nettoyera tous les outils de désinfection à la fin) :
 
 
1) ToolbarSD
 

• Télécharge ToolbarSD (de Team IDN) sur ton Bureau
• Lance l'installation du programme en exécutant le fichier téléchargé.
• Double-clique maintenant sur le raccourci de Toolbar-S&D.
• Sélectionne la langue souhaitée en tapant la lettre de ton choix (F pour français) puis en validant avec la touche Entrée.
• Choisi directement l'option 2 (Suppression) et patiente jusqu'à la fin de la recherche.

/!\ Ne ferme pas la fenêtre pendant la suppression /!\
 

• Un rapport apparaît à la fin (C:\TB.txt), poste-le dans ta prochaine réponse stp

 
2) Ad-Remover  
 

• Rends-toi à cette adresse afin de télécharger AD-Remover (créé par C_XX) : http://forum-aide-contre-virus.be/ [...] mover.html
• Clique sur TELECHARGER et enregistre l'outil sur le Bureau.
• Double clique sur le fichier d'installation de AD-Remover, le programme s'installera automatiquement.  
• Une fois lancé, au menu principal choisi l'option "L" et tape sur Entrée pour valider
• Laisse travailler l'outil jusqu'au bout.
• Le rapport (C:\Ad-report.log) s'affichera à la fin, poste-le dans ta prochaine réponse stp.

*Note :
Process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

Voilà TB.txt:
   -----------\\  ToolBar S&D 1.2.9   XP/Vista
 
   Microsoft Windows XP Home Edition ( v5.1.2600 ) Service Pack 3
   X86-based PC ( Multiprocessor Free : AMD Athlon(tm) 64 X2 Dual Core Processor 5600+ )
   BIOS : Default System BIOS
   USER : Besitzer ( Administrator )
   BOOT : Normal boot
   Antivirus : AntiVir Desktop 9.0.1.32 (Activated)
   C:\ (Local Disk) - NTFS - Total:48 Go (Free:9 Go)
   D:\ (Local Disk) - NTFS - Total:100 Go (Free:48 Go)
   E:\ (CD or DVD) - CDFS - Total:0 Go (Free:0 Go)
   F:\ (CD or DVD) - CDFS - Total:0 Go (Free:0 Go)
   G:\ (CD or DVD) - CDFS - Total:0 Go (Free:0 Go)
   H:\ (CD or DVD) - CDFS - Total:0 Go (Free:0 Go)
   I:\ (CD or DVD) - CDFS - Total:0 Go (Free:0 Go)
   J:\ (CD or DVD)
   K:\ (CD or DVD)
   M:\ (Network Disk) - FAT - Total:9 Go (Free:3 Go)
 
   "C:\ToolBar SD" ( MAJ : 22-08-2009|18:42 )
   Option : [2] ( 06.01.2010|16:28 )
 
   -----------\\ SUPPRESSION
 
   Supprime! - C:\Programme\AskBarDis\bar
   Supprime! - C:\Programme\AskBarDis\unins000.dat
   Supprime! - C:\Programme\AskBarDis\unins000.exe
   Supprime! - C:\Programme\AskBarDis
 
   -----------\\  Recherche de Fichiers / Dossiers ...
 
 
   -----------\\  Extensions
 
   (Besitzer) - {a7c6cf7f-112c-4500-a7ea-39801a327e5f} => fireftp
   (Besitzer) - {d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d} => adblockplus
   (Besitzer) - {2ab1b709-ba03-4361-abf9-c50b964ff75d} => signatureswitch
   (Besitzer) - {3ed8cc52-86fc-4613-9026-c1ef969da4c3} => mboximport
   (Besitzer) - {e2fda1a4-762b-4020-b5ad-a41df1933103} => calendar-ca
   (Besitzer) - {e2fda1a4-762b-4020-b5ad-a41df1933103} => calendar-cs
   (Besitzer) - {e2fda1a4-762b-4020-b5ad-a41df1933103} => calendar-da
   (Besitzer) - {e2fda1a4-762b-4020-b5ad-a41df1933103} => calendar-de
   (Besitzer) - {e2fda1a4-762b-4020-b5ad-a41df1933103} => calendar-en-US
   (Besitzer) - {e2fda1a4-762b-4020-b5ad-a41df1933103} => calendar-es-AR
   (Besitzer) - {e2fda1a4-762b-4020-b5ad-a41df1933103} => calendar-es-ES
   (Besitzer) - {e2fda1a4-762b-4020-b5ad-a41df1933103} => calendar-eu
   (Besitzer) - {e2fda1a4-762b-4020-b5ad-a41df1933103} => calendar-fr
   (Besitzer) - {e2fda1a4-762b-4020-b5ad-a41df1933103} => calendar-ga-IE
   (Besitzer) - {e2fda1a4-762b-4020-b5ad-a41df1933103} => calendar-hu
   (Besitzer) - {e2fda1a4-762b-4020-b5ad-a41df1933103} => calendar-is
   (Besitzer) - {e2fda1a4-762b-4020-b5ad-a41df1933103} => calendar-it
   (Besitzer) - {e2fda1a4-762b-4020-b5ad-a41df1933103} => calendar-ja-JP-mac
   (Besitzer) - {e2fda1a4-762b-4020-b5ad-a41df1933103} => calendar-ja
   (Besitzer) - {e2fda1a4-762b-4020-b5ad-a41df1933103} => calendar-ka
   (Besitzer) - {e2fda1a4-762b-4020-b5ad-a41df1933103} => calendar-ko
   (Besitzer) - {e2fda1a4-762b-4020-b5ad-a41df1933103} => calendar-lt
   (Besitzer) - {e2fda1a4-762b-4020-b5ad-a41df1933103} => calendar-nb-NO
   (Besitzer) - {e2fda1a4-762b-4020-b5ad-a41df1933103} => calendar-nl
   (Besitzer) - {e2fda1a4-762b-4020-b5ad-a41df1933103} => calendar-nn-NO
   (Besitzer) - {e2fda1a4-762b-4020-b5ad-a41df1933103} => calendar-pl
   (Besitzer) - {e2fda1a4-762b-4020-b5ad-a41df1933103} => calendar-pt-BR
   (Besitzer) - {e2fda1a4-762b-4020-b5ad-a41df1933103} => calendar-pt-PT
   (Besitzer) - {e2fda1a4-762b-4020-b5ad-a41df1933103} => calendar-ro
   (Besitzer) - {e2fda1a4-762b-4020-b5ad-a41df1933103} => calendar-ru
   (Besitzer) - {e2fda1a4-762b-4020-b5ad-a41df1933103} => calendar-sk
   (Besitzer) - {e2fda1a4-762b-4020-b5ad-a41df1933103} => calendar-sl
   (Besitzer) - {e2fda1a4-762b-4020-b5ad-a41df1933103} => calendar-sv-SE
   (Besitzer) - {e2fda1a4-762b-4020-b5ad-a41df1933103} => calendar-uk
   (Besitzer) - {e2fda1a4-762b-4020-b5ad-a41df1933103} => calendar-zh-CN
   (Besitzer) - {e2fda1a4-762b-4020-b5ad-a41df1933103} => calendar-zh-TW
   (Besitzer) - {e2fda1a4-762b-4020-b5ad-a41df1933103} => calendar
   (Besitzer) - {e2fda1a4-762b-4020-b5ad-a41df1933103} => lightning-ca
   (Besitzer) - {e2fda1a4-762b-4020-b5ad-a41df1933103} => lightning-cs
   (Besitzer) - {e2fda1a4-762b-4020-b5ad-a41df1933103} => lightning-da
   (Besitzer) - {e2fda1a4-762b-4020-b5ad-a41df1933103} => lightning-de
   (Besitzer) - {e2fda1a4-762b-4020-b5ad-a41df1933103} => lightning-en-US
   (Besitzer) - {e2fda1a4-762b-4020-b5ad-a41df1933103} => lightning-es-AR
   (Besitzer) - {e2fda1a4-762b-4020-b5ad-a41df1933103} => lightning-es-ES
   (Besitzer) - {e2fda1a4-762b-4020-b5ad-a41df1933103} => lightning-eu
   (Besitzer) - {e2fda1a4-762b-4020-b5ad-a41df1933103} => lightning-fr
   (Besitzer) - {e2fda1a4-762b-4020-b5ad-a41df1933103} => lightning-ga-IE
   (Besitzer) - {e2fda1a4-762b-4020-b5ad-a41df1933103} => lightning-hu
   (Besitzer) - {e2fda1a4-762b-4020-b5ad-a41df1933103} => lightning-is
   (Besitzer) - {e2fda1a4-762b-4020-b5ad-a41df1933103} => lightning-it
   (Besitzer) - {e2fda1a4-762b-4020-b5ad-a41df1933103} => lightning-ja-JP-mac
   (Besitzer) - {e2fda1a4-762b-4020-b5ad-a41df1933103} => lightning-ja
   (Besitzer) - {e2fda1a4-762b-4020-b5ad-a41df1933103} => lightning-ka
   (Besitzer) - {e2fda1a4-762b-4020-b5ad-a41df1933103} => lightning-ko
   (Besitzer) - {e2fda1a4-762b-4020-b5ad-a41df1933103} => lightning-lt
   (Besitzer) - {e2fda1a4-762b-4020-b5ad-a41df1933103} => lightning-nb-NO
   (Besitzer) - {e2fda1a4-762b-4020-b5ad-a41df1933103} => lightning-nl
   (Besitzer) - {e2fda1a4-762b-4020-b5ad-a41df1933103} => lightning-nn-NO
   (Besitzer) - {e2fda1a4-762b-4020-b5ad-a41df1933103} => lightning-pl
   (Besitzer) - {e2fda1a4-762b-4020-b5ad-a41df1933103} => lightning-pt-BR
   (Besitzer) - {e2fda1a4-762b-4020-b5ad-a41df1933103} => lightning-pt-PT
   (Besitzer) - {e2fda1a4-762b-4020-b5ad-a41df1933103} => lightning-ro
   (Besitzer) - {e2fda1a4-762b-4020-b5ad-a41df1933103} => lightning-ru
   (Besitzer) - {e2fda1a4-762b-4020-b5ad-a41df1933103} => lightning-sk
   (Besitzer) - {e2fda1a4-762b-4020-b5ad-a41df1933103} => lightning-sl
   (Besitzer) - {e2fda1a4-762b-4020-b5ad-a41df1933103} => lightning-sv-SE
   (Besitzer) - {e2fda1a4-762b-4020-b5ad-a41df1933103} => lightning-uk
   (Besitzer) - {e2fda1a4-762b-4020-b5ad-a41df1933103} => lightning-zh-CN
   (Besitzer) - {e2fda1a4-762b-4020-b5ad-a41df1933103} => lightning-zh-TW
   (Besitzer) - {e2fda1a4-762b-4020-b5ad-a41df1933103} => lightning
 
 
   -----------\\  [..\Internet Explorer\Main]
 
   [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
   "Local Page"="C:\\WINDOWS\\system32\\blank.htm"
   "Start Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome"
   "Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
 
   [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
   "Default_Page_URL"="http://go.microsoft.com/fwlink/?LinkId=69157"
   "Default_Search_URL"="http://go.microsoft.com/fwlink/?LinkId=54896"
   "Search Page"="http://go.microsoft.com/fwlink/?LinkId=54896"
   "Start Page"="http://www.msn.com/"
   "Search Bar"="http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm"
 
 
   --------------------\\  Recherche d'autres infections
 
   --------------------\\  Cracks & Keygens ..
 
   C:\DOKUME~1\Besitzer\Eigene Dateien\Downloads\Foxit_PDF_Editor_v2.0.1011\Crack
   C:\DOKUME~1\Besitzer\Eigene Dateien\Downloads\Foxit_PDF_Editor_v2.0.1011\Crack\pedkey.txt
 
 
 
   1 - "C:\ToolBar SD\TB_1.txt" - 06.01.2010|16:30 - Option : [2]
 
   -----------\\  Fin du rapport a 16:30:03,28

Et l'autre:
.
======= LOGFILE OF AD-REMOVER 1.1.4.6_G | ONLY XP/VISTA/7 =======
.
Updated by C_XX on 05.01.2010 at 18:50
Contact: AdRemover.contact@gmail.com
Website: http://pagesperso-orange.fr/NosTools/ad_remover.html
.
Launch at: 16:32:34, 06.01.2010 | Normal Boot | Option: CLEAN
Executed from: C:\PROGRA~1\AD-REM~1\
Operating system: Microsoft® Windows XP™  Service Pack 3 v5.1.2600
Computer Name: USER-0C95867EEA | Current user: Besitzer
 
.
============== NEUTRALIZED ELEMENT(S) ==============
.
 
 
(!) -- Temp files deleted.
 
.
HKCU\software\appdatalow\AskBarDis
HKCU\software\AskBarDis
HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{3041D03E-FD4B-44E0-B742-2D9B88305F98}  
HKLM\software\AskBarDis
HKLM\Software\Classes\CLSID\{0702a2b6-13aa-4090-9e01-bcdc85dd933f}
HKLM\Software\Classes\CLSID\{622fd888-4e91-4d68-84d4-7262fd0811bf}
HKLM\Software\Classes\CLSID\{b0de3308-5d5a-470d-81b9-634fc078393b}
HKLM\Software\Classes\Interface\{FED621D1-59B0-11D0-9C47-00A0C90F29FC}
HKLM\Software\Classes\TypeLib\{4B1C1E16-6B34-430E-B074-5928ECA4C150}
.
============== Added scan ==============
.
.
* Mozilla FireFox Version 3.5.6 [de] *
.
 ProfilePath: smqa1sut.default (Besitzer)
.
(Besitzer, prefs.js) Browser.download.dir, D:\Downloads
(Besitzer, prefs.js) Browser.download.lastDir, C:\Dokumente und Einstellungen\Besitzer\Eigene Dateien
(Besitzer, prefs.js) Browser.startup.homepage, hxxp://www.google.fr
(Besitzer, prefs.js) Extensions.enabledItems, {d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}:1.1.2,{CF40ACC5-E1BB-4aff-AC72-04C2F616BCA7}:1.5.2.35,{446c03e0-2c35-11db-a98b-0800200c9a67}:0.5,{a7c6cf7f-112c-4500-a7ea-39801a327e5f}:1.0.7,{77b819fa-95ad-4f2c-ac7c-486b356188a9}:1.5.20090525,{CAFEEFAC-0015-0000-0012-ABCDEFFEDCBA}:5.0.12,{CAFEEFAC-0016-0000-0011-ABCDEFFEDCBA}:6.0.11,{CAFEEFAC-0016-0000-0013-ABCDEFFEDCBA}:6.0.13,{CAFEEFAC-0016-0000-0014-ABCDEFFEDCBA}:6.0.14,jqs@sun.com:1.0,{20a82645-c095-46ed-80e3-08825760534b}:0.0.0,{972ce4c6-7e08-4474-a285-3208198ce6fd}:3.5.6
.  
.
* Internet Explorer Version 7.0.5730.13 *
.
[HKEY_CURRENT_USER\..\Internet Explorer\Main]
.
Do404Search: 01000000
Local Page: C:\WINDOWS\system32\blank.htm
Show_ToolBar: yes
Start Page: hxxp://fr.msn.com/
Enable Browser Extensions: yes
Default_search_url: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Default_page_url: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
.
[HKEY_LOCAL_MACHINE\..\Internet Explorer\Main]
.
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Delete_Temp_Files_On_Exit: yes
Local Page: %SystemRoot%\system32\blank.htm
Start Page: hxxp://fr.msn.com/
Search Bar: hxxp://search.msn.com/spbasic.htm
.
[HKEY_LOCAL_MACHINE\..\Internet Explorer\ABOUTURLS]
.
Tabs: res://ieframe.dll/tabswelcome.htm
.
===================================
.
3086 Byte(s) - C:\Ad-Report-CLEAN[1].log  
.
0 File(s) - C:\DOKUME~1\Besitzer\LOKALE~1\Temp  
1 File(s) - C:\WINDOWS\Temp  
3 File(s) - C:\WINDOWS\Prefetch  
.
17 File(s) - C:\PROGRA~1\AD-REM~1\BACKUP
0 File(s) - C:\PROGRA~1\AD-REM~1\QUARANTINE  
.
End at: 16:38:42 | 06.01.2010 - CLEAN[1]
.
============== E.O.F ==============
.

Très bien !
 
Il me semble que c'est ok, mais poste un nouveau rapport avec RSIT (normalement le dernier ) pour vérification s'il te plaît ^^
 
Si tout va bien, on va finaliser ça, et je te donnerai aussi quelques conseils pour mieux connaître les infections qui circulent et les éviter

Et tant qu'on y est, tu peux également utiliser UsbFix pour vérifier la présence d'éventuelles infections de supports amovibles, comme ça on aura tout vérifié :
 
• Télécharge UsBFix et enregistre-le sur le Bureau
 
/!\ Branche toutes tes sources de données externes à ton PC, (clé USB, disque dur externe, lecteur MP3 etc...) susceptibles d'avoir été infectées sans les ouvrir  
 
• Double-clique sur le raccourci UsbFix présent sur ton Bureau  
• Dès l'apparition du menu principal tape F (pour français) et valide en tapant sur Entrée.  
• Au menu suivant, choisi directement l'option 2 ( Suppression )
• Ton bureau va disparaître et le pc va redémarrer (c'est normal).  
• Au redémarrage, UsbFix va scanner automatiquement ton ordi, laisse travailler l'outil jusqu'au bout.  
• Un rapport UsbFix.txt apparaîtra en même temps que le Bureau, sinon tu le trouveras dans C:\UsbFix.txt  => poste le dans ta prochaine réponse s'il te plaît
 
• UsbFix te proposera également d'uploader un dossier compressé à cette adresse : http://forum-aide-contre-virus.be/ [...] ichier.php  
 
Ce dossier a été créé par UsbFix et est enregistré sur ton bureau. L'envoyer à l'adresse indiquée aide l'auteur de UsbFix dans ses recherches afin de rendre l'outil meilleur (facultatif).

J'ai fait RSIT, mais il n'y a qu'un seul nouveau fichier cette fois (log.txt), c'est normal? Le voilà:
http://www.toofiles.com/fr/oip/doc [...] 6_log.html