je sollicite vos lumières car j'ai épuisé toutes mes modestes solutions pour erradiquer ce maudit smitfraud-ctoolbar 888
détecté par spybot et aussi par avast : tous deux les suppriment mais il revient à chaque redémarrage de mon système.
Après lecture des sujets identiques sur le forum j'ai suivi les procédures mais rien à faire! je désespère

je vous livre donc mon et merci d'avance pour votre aide les gars
hijack en mode normal :

Logfile of HijackThis v1.99.1
Scan saved at 08:35:38, on 01/05/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
c:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
c:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\cisvc.exe
C:\WINDOWS\System32\PAStiSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\HP\HP Software Update\HPwuSchd2.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\hkcmd.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\HP\KBD\KBD.EXE
C:\Program Files\neuf telecom\neuf Box\Wizard\QuickAccess.exe
C:\Program Files\MRU-Blaster\scheduler.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Prog Telechargés 3\securité\HijackThis.exe

O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPwuSchd2.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Raccourci vers la page des propriétés de High Definition Audio] HDAShCut.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [ccApp] "c:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Secure] C:\WINDOWS\WindowsUpdates.exe
O4 - HKLM\..\Run: [EPSON Stylus D68 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAAE.EXE /P23 "EPSON Stylus D68 Series" /O6 "USB001" /M "Stylus D68"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime Alternative\qttask.exe" -atboottime
O4 - HKCU\..\Run: [Configuration de la neuf Box] C:\Program Files\neuf telecom\neuf Box\Wizard\QuickAccess.exe
O4 - HKCU\..\Run: [ccleaner] "C:\Program Files\CCleaner\ccleaner.exe" /AUTO
O4 - Startup: MRU-Blaster Silent Clean.lnk = C:\Program Files\MRU-Blaster\mrublaster.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: MRU-Blaster Scheduler.lnk = C:\Program Files\MRU-Blaster\scheduler.exe
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - c:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - c:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - c:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

----------------------------------------------------------
le rapport smitfraudfix : en mode normal

SmitFraudFix v2.171

Rapport fait à 8:42:54,90, 01/05/2007
Executé à partir de C:\Prog Telecharg‚s 3\securit‚\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode sans echec

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\HP_Propri‚taire


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\HP_Propri‚taire\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\HP_PRO~1\Favoris


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files


»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau



»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"system"=""


»»»»»»»»»»»»»»»»»»»»»»»» pe386-msguard-lzx32-huy32



»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip\..\{1C0EEC67-E39B-4BCB-8B7C-5EE1F4068513}: DhcpNameServer=192.168.30.1 0.0.0.0


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin

--------------------------------------------------------

et enfin àprès le nettoyage en mode sans echec :

SmitFraudFix v2.171

Rapport fait à 8:43:54,42, 01/05/2007
Executé à partir de C:\Prog Telecharg‚s 3\securit‚\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode sans echec

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Avant SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus


»»»»»»»»»»»»»»»»»»»»»»»» hosts

127.0.0.1 localhost


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés


»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip\..\{1C0EEC67-E39B-4BCB-8B7C-5EE1F4068513}: DhcpNameServer=192.168.30.1 0.0.0.0


»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"system"=""


»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

Nettoyage terminé.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Après SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin
--------------------------------------------------------

j'ai cru comprendre qu'il fallait ensuite fixer avec hijack mais
je ne sais pas dutout quoi fixer pour éviter que cette saleté ne revienne ????

Déjà une réponse ! trop rapide xmichoux

je te fais ça (encore un rapport ??? )
mais bon...
Rapport fait à 9:51:56,90 le 01/05/2007

Le volume dans le lecteur C s'appelle DISQUE
Le num‚ro de s‚rie du volume est 5461-FA3F

R‚pertoire de C:\Documents and Settings\All Users\Application Data

06/01/2007 21:03 <REP> Adobe Systems
12/11/2006 19:18 2138 QTSBandwidthCache
09/10/2006 08:59 <REP> Apple Computer
08/10/2006 16:09 <REP> Spybot - Search & Destroy
07/10/2006 08:50 <REP> Adobe
20/05/2006 22:59 <REP> Windows Genuine Advantage
05/01/2006 20:15 <REP> Pinnacle
03/01/2005 06:39 <REP> Symantec
03/01/2005 06:19 <REP> InstallShield
03/01/2005 06:08 <REP> Sonic
03/01/2005 06:06 9616 hpzinstall.log
03/01/2005 05:51 <REP> SBSI
25/11/2004 05:25 <REP> Microsoft
25/11/2004 05:25 <REP> ..
25/11/2004 05:25 <REP> .
24/11/2004 00:13 62 desktop.ini
3 fichier(s) 11816 octets
13 R‚p(s) 87595737088 octets libres
Le volume dans le lecteur C s'appelle DISQUE
Le num‚ro de s‚rie du volume est 5461-FA3F

R‚pertoire de C:\Documents and Settings\Default User\Application Data

27/12/2005 11:43 <REP> Apple Computer
27/12/2005 11:43 <REP> Symantec
27/12/2005 11:43 <REP> SampleView
25/11/2004 05:25 <REP> Identities
25/11/2004 05:25 <REP> Microsoft
25/11/2004 05:25 <REP> ..
25/11/2004 05:25 <REP> .
24/11/2004 00:13 62 desktop.ini
1 fichier(s) 62 octets
7 R‚p(s) 87595737088 octets libres
Le volume dans le lecteur C s'appelle DISQUE
Le num‚ro de s‚rie du volume est 5461-FA3F

R‚pertoire de C:\Documents and Settings\HP_Propritaire

Le volume dans le lecteur C s'appelle DISQUE
Le num‚ro de s‚rie du volume est 5461-FA3F

R‚pertoire de C:\Documents and Settings\HP_Propri‚taire\Application Data

15/04/2007 09:52 <REP> Lavasoft
16/01/2007 09:29 <REP> Audacity
07/01/2007 20:58 <REP> Real
07/01/2007 11:09 <REP> Opera
27/12/2006 21:47 <REP> DeepBurner
12/12/2006 12:38 <REP> Azureus
10/12/2006 11:19 <REP> BitTorrent
09/12/2006 17:48 <REP> utorrent
30/10/2006 10:06 <REP> Free Download Manager
28/10/2006 09:34 <REP> fltk.org
08/10/2006 21:01 <REP> Webroot
07/10/2006 09:12 <REP> Talkback
07/10/2006 09:11 <REP> Thunderbird
25/09/2006 12:00 86562 PatchUpdate_HP_CounterReport_Update_HPSU.log
26/08/2006 11:56 2189 HPSU_48BitScanUpdate.log
26/08/2006 11:53 3351 PatchUpdate_InstantShareJPG.log
26/08/2006 11:52 4198 PatchUpdate_IZClosingDiscError.log
26/08/2006 11:50 7984 GdiplusUpgrade_MSIApproach_Wrapper.log
26/08/2006 11:48 33118 Update_HP_RedboxHprblog_HPSU.log
20/08/2006 09:06 <REP> iMesh
25/07/2006 18:29 <REP> Mozilla
25/07/2006 18:29 <REP> Nvu
19/06/2006 20:04 <REP> NASA
04/06/2006 11:21 <REP> Anvil Studio
04/06/2006 10:42 <REP> ACAMPREF
30/05/2006 17:52 <REP> Babylon(2)
30/05/2006 10:58 <REP> warez
29/05/2006 11:13 <REP> SharpConstruct
29/05/2006 09:39 <REP> MSNInstaller
25/05/2006 14:00 <REP> Google
19/05/2006 10:37 <REP> Visicom Media
03/05/2006 17:32 <REP> uk.co.planetside
03/05/2006 07:49 <REP> Blender Foundation
24/04/2006 15:13 <REP> eConf
23/03/2006 12:30 <REP> ScanSoft
01/03/2006 17:21 <REP> Notepad++
13/01/2006 12:00 <REP> Sun
08/01/2006 16:04 <REP> Media Player Classic
01/01/2006 18:14 <REP> Microsoft Web Folders
29/12/2005 15:24 <REP> Help
27/12/2005 21:31 <REP> muvee Technologies
27/12/2005 20:33 <REP> AdobeUM
27/12/2005 14:20 <REP> Macromedia
27/12/2005 14:19 <REP> HPQ
27/12/2005 12:59 <REP> InterVideo
27/12/2005 12:51 <REP> HP
27/12/2005 12:38 <REP> Sonic
27/12/2005 12:38 <REP> Leadertech
27/12/2005 12:15 <REP> ArcSoft
27/12/2005 12:14 <REP> Canon
27/12/2005 12:07 <REP> Adobe
27/12/2005 12:02 <REP> Micro Application
27/12/2005 11:44 62 desktop.ini
27/12/2005 11:44 <REP> Apple Computer
27/12/2005 11:44 <REP> Identities
27/12/2005 11:44 <REP> SampleView
27/12/2005 11:44 <REP> Microsoft
27/12/2005 11:44 <REP> Symantec
27/12/2005 11:44 <REP> ..
27/12/2005 11:44 <REP> .
7 fichier(s) 137464 octets
53 R‚p(s) 87595732992 octets libres
******************************************
Recherche des taches planifiées dans C:\WINDOWS\tasks

Le volume dans le lecteur C s'appelle DISQUE
Le num‚ro de s‚rie du volume est 5461-FA3F

R‚pertoire de C:\WINDOWS\Tasks

10/11/2006 15:12 126 SesamTVMC.job
25/11/2004 06:18 <REP> ..
25/11/2004 06:18 <REP> .
23/11/2004 23:29 6 SA.DAT
05/08/2004 20:00 65 desktop.ini
3 fichier(s) 197 octets
2 R‚p(s) 87ÿ595ÿ732ÿ992 octets libres

******************************************
Recherche dans Program files

Pas de dossiers relatifs à Lop
******************************************
Recherche d'infections connues


C:\WINDOWS\system32\csrss.exe Wareout possible ! faux-positif si csrss.exe !
*************** Fin du rapport ****************

ok ! je te fais ça
et je te tiens au courant merci encore

Bonjour a vous deux , le problème est ici :

O4 - HKLM\..\Run: [Secure] C:\WINDOWS\WindowsUpdates.exe

Télécharge clean ( Malekal ) :

http://www.malekal.com/download/clean.zip

décompresse-le sur ton bureau (clic droit / extraire tout) , tu obtient un dossier clean

Ouvre le dossier clean, double-clique sur clean.cmd choisis l'option 1 puis patiente , un rapport est généré

poste le rapport Clean

voilà éric

01/05/2007 a 10:40:48,45

*** Recherche des fichiers dans C:

*** Recherche des fichiers dans C:\WINDOWS\
C:\WINDOWS\windowsupdates.exe FOUND

*** Recherche des fichiers dans C:\WINDOWS\system32
C:\WINDOWS\system32\mcrh.tmp FOUND
C:\WINDOWS\system32\SpoonUninstall.exe FOUND

*** Recherche des fichiers dans C:\Program Files
*** Fin du rapport !

je fais ça !

Je refais un scan avec spybot et je vous dit ce qui se passe !

On a pas fini !

Lance Hijackthis , clique sur Do a system scan only
Coche la ligne ci-dessous (dans la petite case à gauche ) :

O4 - HKLM\..\Run: [Secure] C:\WINDOWS\WindowsUpdates.exe

Clique sur Fix checked (en bas à gauche)

Télécharge OTMoveIt et sauvegarde-le sur ton Bureau :

http://download.bleepingcomputer.c [...] MoveIt.exe

Double-clique sur OTMoveIt.exe afin de le lancer
Sélectionne la ligne ci dessous , puis clique droit / copier :

Retourne sur OTMoveIt, fais un Clique-droit sur le cadre de gauche puis choisis Coller
Clique sur MoveIt!

Si un fichier ou dossier ne peut être supprimé immédiatement, le logiciel te demandera de redémarrer. Accepte en cliquant sur YES

Poste le rapport situé dans ce dossier : C:\_OTMoveIt\MovedFiles\ <- le nom qui suit est la date de création
et un Hijackthis

Suis la procédure indiquée , pour ce qui est de ton message avec Spybot , c'est ce qu'on appelle un faux positif ( il confond quelque chose de legitime avec une infection ) tu en as l'explication ici :

http://forums.spybot.info/showthread.php?t=8670

mais continu quand même ce que j'ais dit cette chose est mauvaise !

Pas grave , reposte un Hijackthis

pour moi , c'est propre

un petit netoyage avec AVG

Télécharge puis installe AVG Anti-Spyware :

http://www.ewido.net/en/download/

Fais les mises à jour mais ne lance pas de scan tout de suite

Redémarre en mode sans échec

Relance AVG

Choisis l'onglet Analyse
Puis l'onglet Paramètres
Sous la question Comment réagir ? clique sur Actions recommandées et choisis Quarantaine
Reclique sur l'onglet Analyse puis fais Analyse complète du système

a la fin de l'analyse ,si un fichier est infecté clique sur Appliquer toutes les actions

Clique sur Enregistrer le rapport puis sur Enregistrer le rapport sous ( enregistre sur ton Bureau )

Redémarre normalement

Poste le rapport AVG

génial !! sauvé super plus rien dans la bécanne, de plus, le pc démarre plus vite, et il me semble plus rapide ! trop cool
merci les gars vous êtes géniaux
en plus j'ai appris pleins de trucs sur la sécurité
c'est sympa de donne un peu de votre temps
merci encore.

j'espère ne plus avoir à vous embêter