je sollicite vos lumières car j'ai épuisé toutes mes modestes solutions pour erradiquer ce maudit smitfraud-ctoolbar 888
détecté par spybot et aussi par avast : tous deux les suppriment mais il revient à chaque redémarrage de mon système.
Après lecture des sujets identiques sur le forum j'ai suivi les procédures mais rien à faire! je désespère    
 
je vous livre donc mon et merci d'avance pour votre aide les gars    
hijack en mode normal :
 
Logfile of HijackThis v1.99.1
Scan saved at 08:35:38, on 01/05/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
c:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
c:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\cisvc.exe
C:\WINDOWS\System32\PAStiSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\HP\HP Software Update\HPwuSchd2.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\hkcmd.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\HP\KBD\KBD.EXE
C:\Program Files\neuf telecom\neuf Box\Wizard\QuickAccess.exe
C:\Program Files\MRU-Blaster\scheduler.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Prog Telechargés 3\securité\HijackThis.exe
 
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPwuSchd2.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Raccourci vers la page des propriétés de High Definition Audio] HDAShCut.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [ccApp] "c:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Secure] C:\WINDOWS\WindowsUpdates.exe
O4 - HKLM\..\Run: [EPSON Stylus D68 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAAE.EXE /P23 "EPSON Stylus D68 Series" /O6 "USB001" /M "Stylus D68"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime Alternative\qttask.exe" -atboottime
O4 - HKCU\..\Run: [Configuration de la neuf Box] C:\Program Files\neuf telecom\neuf Box\Wizard\QuickAccess.exe
O4 - HKCU\..\Run: [ccleaner] "C:\Program Files\CCleaner\ccleaner.exe" /AUTO
O4 - Startup: MRU-Blaster Silent Clean.lnk = C:\Program Files\MRU-Blaster\mrublaster.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: MRU-Blaster Scheduler.lnk = C:\Program Files\MRU-Blaster\scheduler.exe
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - c:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - c:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - c:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
 
----------------------------------------------------------
le rapport smitfraudfix : en mode normal
 
SmitFraudFix v2.171
 
Rapport fait à  8:42:54,90, 01/05/2007
Executé à partir de C:\Prog Telecharg‚s 3\securit‚\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode sans echec
 
»»»»»»»»»»»»»»»»»»»»»»»» Process
 
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\cmd.exe
 
»»»»»»»»»»»»»»»»»»»»»»»» hosts
 
 
»»»»»»»»»»»»»»»»»»»»»»»» C:\
 
 
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS
 
 
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system
 
 
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web
 
 
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32
 
 
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles
 
 
»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\HP_Propri‚taire
 
 
»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\HP_Propri‚taire\Application Data
 
 
»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer
 
 
»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\HP_PRO~1\Favoris
 
 
»»»»»»»»»»»»»»»»»»»»»»»» Bureau
 
 
»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files  
 
 
»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues
 
 
»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau
 
 
 
»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
 
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
 
 
»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""
 
 
»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"system"=""
 
 
»»»»»»»»»»»»»»»»»»»»»»»» pe386-msguard-lzx32-huy32
 
 
 
»»»»»»»»»»»»»»»»»»»»»»»» DNS
 
HKLM\SYSTEM\CCS\Services\Tcpip\..\{1C0EEC67-E39B-4BCB-8B7C-5EE1F4068513}: DhcpNameServer=192.168.30.1 0.0.0.0
 
 
»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll
 
 
»»»»»»»»»»»»»»»»»»»»»»»» Fin
 
--------------------------------------------------------
 
et enfin àprès le nettoyage en mode sans echec :
 
SmitFraudFix v2.171
 
Rapport fait à  8:43:54,42, 01/05/2007
Executé à partir de C:\Prog Telecharg‚s 3\securit‚\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode sans echec
 
»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Avant SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
 
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
 
»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus
 
 
»»»»»»»»»»»»»»»»»»»»»»»» hosts
 
127.0.0.1 localhost
 
 
»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix
 
GenericRenosFix by S!Ri
 
 
»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés
 
 
»»»»»»»»»»»»»»»»»»»»»»»» DNS
 
HKLM\SYSTEM\CCS\Services\Tcpip\..\{1C0EEC67-E39B-4BCB-8B7C-5EE1F4068513}: DhcpNameServer=192.168.30.1 0.0.0.0
 
 
»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires
 
 
»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"system"=""
 
 
»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre
 
Nettoyage terminé.  
 
»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Après SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
 
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
 
 
»»»»»»»»»»»»»»»»»»»»»»»» Fin
--------------------------------------------------------
 
j'ai cru comprendre qu'il fallait ensuite fixer avec hijack mais  
je ne sais pas dutout quoi fixer pour éviter que cette saleté ne revienne ????  

Télécharge LopResearch.zip
http://dcangeldark.googlepages.com/LopResearch.zip
Dézippe-le sur ton Bureau.
Lance le fichier Scan.bat
Un rapport sera généré, poste son contenu ici.  
Dites moi les autres, si c'est nul ce que je fais...

Déjà une réponse ! trop rapide xmichoux
 
je te fais ça (encore un rapport ??? )
mais bon...
Rapport fait à  9:51:56,90 le 01/05/2007
 
 Le volume dans le lecteur C s'appelle DISQUE
 Le num‚ro de s‚rie du volume est 5461-FA3F
 
 R‚pertoire de C:\Documents and Settings\All Users\Application Data
 
06/01/2007  21:03    <REP>          Adobe Systems
12/11/2006  19:18              2138 QTSBandwidthCache
09/10/2006  08:59    <REP>          Apple Computer
08/10/2006  16:09    <REP>          Spybot - Search & Destroy
07/10/2006  08:50    <REP>          Adobe
20/05/2006  22:59    <REP>          Windows Genuine Advantage
05/01/2006  20:15    <REP>          Pinnacle
03/01/2005  06:39    <REP>          Symantec
03/01/2005  06:19    <REP>          InstallShield
03/01/2005  06:08    <REP>          Sonic
03/01/2005  06:06              9616 hpzinstall.log
03/01/2005  05:51    <REP>          SBSI
25/11/2004  05:25    <REP>          Microsoft
25/11/2004  05:25    <REP>          ..
25/11/2004  05:25    <REP>          .
24/11/2004  00:13                62 desktop.ini
               3 fichier(s)            11816 octets
              13 R‚p(s)     87595737088 octets libres
 Le volume dans le lecteur C s'appelle DISQUE
 Le num‚ro de s‚rie du volume est 5461-FA3F
 
 R‚pertoire de C:\Documents and Settings\Default User\Application Data
 
27/12/2005  11:43    <REP>          Apple Computer
27/12/2005  11:43    <REP>          Symantec
27/12/2005  11:43    <REP>          SampleView
25/11/2004  05:25    <REP>          Identities
25/11/2004  05:25    <REP>          Microsoft
25/11/2004  05:25    <REP>          ..
25/11/2004  05:25    <REP>          .
24/11/2004  00:13                62 desktop.ini
               1 fichier(s)               62 octets
               7 R‚p(s)     87595737088 octets libres
 Le volume dans le lecteur C s'appelle DISQUE
 Le num‚ro de s‚rie du volume est 5461-FA3F
 
 R‚pertoire de C:\Documents and Settings\HP_Propritaire
 
 Le volume dans le lecteur C s'appelle DISQUE
 Le num‚ro de s‚rie du volume est 5461-FA3F
 
 R‚pertoire de C:\Documents and Settings\HP_Propri‚taire\Application Data
 
15/04/2007  09:52    <REP>          Lavasoft
16/01/2007  09:29    <REP>          Audacity
07/01/2007  20:58    <REP>          Real
07/01/2007  11:09    <REP>          Opera
27/12/2006  21:47    <REP>          DeepBurner
12/12/2006  12:38    <REP>          Azureus
10/12/2006  11:19    <REP>          BitTorrent
09/12/2006  17:48    <REP>          utorrent
30/10/2006  10:06    <REP>          Free Download Manager
28/10/2006  09:34    <REP>          fltk.org
08/10/2006  21:01    <REP>          Webroot
07/10/2006  09:12    <REP>          Talkback
07/10/2006  09:11    <REP>          Thunderbird
25/09/2006  12:00             86562 PatchUpdate_HP_CounterReport_Update_HPSU.log
26/08/2006  11:56              2189 HPSU_48BitScanUpdate.log
26/08/2006  11:53              3351 PatchUpdate_InstantShareJPG.log
26/08/2006  11:52              4198 PatchUpdate_IZClosingDiscError.log
26/08/2006  11:50              7984 GdiplusUpgrade_MSIApproach_Wrapper.log
26/08/2006  11:48             33118 Update_HP_RedboxHprblog_HPSU.log
20/08/2006  09:06    <REP>          iMesh
25/07/2006  18:29    <REP>          Mozilla
25/07/2006  18:29    <REP>          Nvu
19/06/2006  20:04    <REP>          NASA
04/06/2006  11:21    <REP>          Anvil Studio
04/06/2006  10:42    <REP>          ACAMPREF
30/05/2006  17:52    <REP>          Babylon(2)
30/05/2006  10:58    <REP>          warez
29/05/2006  11:13    <REP>          SharpConstruct
29/05/2006  09:39    <REP>          MSNInstaller
25/05/2006  14:00    <REP>          Google
19/05/2006  10:37    <REP>          Visicom Media
03/05/2006  17:32    <REP>          uk.co.planetside
03/05/2006  07:49    <REP>          Blender Foundation
24/04/2006  15:13    <REP>          eConf
23/03/2006  12:30    <REP>          ScanSoft
01/03/2006  17:21    <REP>          Notepad++
13/01/2006  12:00    <REP>          Sun
08/01/2006  16:04    <REP>          Media Player Classic
01/01/2006  18:14    <REP>          Microsoft Web Folders
29/12/2005  15:24    <REP>          Help
27/12/2005  21:31    <REP>          muvee Technologies
27/12/2005  20:33    <REP>          AdobeUM
27/12/2005  14:20    <REP>          Macromedia
27/12/2005  14:19    <REP>          HPQ
27/12/2005  12:59    <REP>          InterVideo
27/12/2005  12:51    <REP>          HP
27/12/2005  12:38    <REP>          Sonic
27/12/2005  12:38    <REP>          Leadertech
27/12/2005  12:15    <REP>          ArcSoft
27/12/2005  12:14    <REP>          Canon
27/12/2005  12:07    <REP>          Adobe
27/12/2005  12:02    <REP>          Micro Application
27/12/2005  11:44                62 desktop.ini
27/12/2005  11:44    <REP>          Apple Computer
27/12/2005  11:44    <REP>          Identities
27/12/2005  11:44    <REP>          SampleView
27/12/2005  11:44    <REP>          Microsoft
27/12/2005  11:44    <REP>          Symantec
27/12/2005  11:44    <REP>          ..
27/12/2005  11:44    <REP>          .
               7 fichier(s)           137464 octets
              53 R‚p(s)     87595732992 octets libres
******************************************
Recherche des taches planifiées dans C:\WINDOWS\tasks
 
 Le volume dans le lecteur C s'appelle DISQUE
 Le num‚ro de s‚rie du volume est 5461-FA3F
 
 R‚pertoire de C:\WINDOWS\Tasks
 
10/11/2006  15:12               126 SesamTVMC.job
25/11/2004  06:18    <REP>          ..
25/11/2004  06:18    <REP>          .
23/11/2004  23:29                 6 SA.DAT
05/08/2004  20:00                65 desktop.ini
               3 fichier(s)              197 octets
               2 R‚p(s)  87ÿ595ÿ732ÿ992 octets libres
 
******************************************
Recherche dans Program files
 
Pas de dossiers relatifs à Lop  
******************************************
Recherche d'infections connues  
 
   
C:\WINDOWS\system32\csrss.exe Wareout possible ! faux-positif si csrss.exe !  
*************** Fin du rapport ****************
 

Salut,
Attends quelqu'un de plus coompétent que moi.
 

ok ! je te fais ça  
et je te tiens au courant merci encore

De rien, mais je te promets rien avec moi Après attends quelqu'un

Bonjour a vous deux , le problème est ici :
 
O4 - HKLM\..\Run: [Secure] C:\WINDOWS\WindowsUpdates.exe
 
Télécharge clean ( Malekal ) :  
 
http://www.malekal.com/download/clean.zip
 
décompresse-le sur ton bureau (clic droit / extraire tout) , tu obtient un dossier clean
 
Ouvre le dossier clean, double-clique sur clean.cmd choisis l'option 1 puis patiente , un rapport est généré
 
poste le rapport Clean

desolé michoux mais c'est toujours là cette salopperie    
 
je vais tenter la solution d'éric ! que je remercie aussi de m'aider c'est sympa

voilà éric  
 
 01/05/2007 a 10:40:48,45  
 
*** Recherche des fichiers dans C:  
 
*** Recherche des fichiers dans C:\WINDOWS\  
C:\WINDOWS\windowsupdates.exe FOUND  
 
*** Recherche des fichiers dans C:\WINDOWS\system32  
C:\WINDOWS\system32\mcrh.tmp FOUND  
C:\WINDOWS\system32\SpoonUninstall.exe FOUND  
 
*** Recherche des fichiers dans C:\Program Files  
*** Fin du rapport !  

Ok ,
 
redemarre en mode sans echec ( demarrer / redemarrer / tapotte sur F8 jusqu'a l'apparition du menu / monte avec les fleches sur mode sans echec / choisis ta session )
 
Ouvre le dossier clean, double-clique sur clean.cmd
Choisis l'option 2 et attend qu'il ai terminé
 
Redémarre normalement et poste le rapport
et un rapport Hijackthis

je fais ça !

Script execute en mode sans echec  
Rapport clean par Malekal_morte - http://www.malekal.com  
Script execute en mode sans echec 01/05/2007 a 10:51:50,09  
 
Microsoft Windows XP [version 5.1.2600]
 
*** Suppression des fichiers dans C:  
 
*** Suppression des fichiers dans C:\WINDOWS\  
tentative de suppression de C:\WINDOWS\windowsupdates.exe  
 
*** Suppression des fichiers dans C:\WINDOWS\system32  
tentative de suppression de C:\WINDOWS\system32\mcrh.tmp  
tentative de suppression de C:\WINDOWS\system32\SpoonUninstall.exe  
 
*** Suppression des fichiers dans C:\Program Files  
 
*** Suppression des clefs du registre effectuee..  
*** Fin du rapport !  

Je refais un scan avec spybot et je vous dit ce qui se passe !

par contre la ligne
O4 - HKLM\..\Run: [Secure] C:\WINDOWS\WindowsUpdates.exe  
est toujours présente dans hijack ???

On a pas fini !
 
 Lance Hijackthis , clique sur Do a system scan only
Coche la ligne ci-dessous (dans la petite case à gauche ) :
 
O4 - HKLM\..\Run: [Secure] C:\WINDOWS\WindowsUpdates.exe
 
Clique sur Fix checked (en bas à gauche)
 
Télécharge OTMoveIt et sauvegarde-le sur ton Bureau :
 
http://download.bleepingcomputer.c [...] MoveIt.exe
 
Double-clique sur OTMoveIt.exe afin de le lancer
Sélectionne la ligne ci dessous , puis clique droit / copier :
 

Retourne sur OTMoveIt, fais un Clique-droit sur le cadre de gauche puis choisis Coller
Clique sur MoveIt!
 
Si un fichier ou dossier ne peut être supprimé immédiatement, le logiciel te demandera de redémarrer. Accepte en cliquant sur YES
 
Poste le rapport situé dans ce dossier : C:\_OTMoveIt\MovedFiles\     <- le nom qui suit est la date de création
et un Hijackthis

Désolé les gars, mais c'est toujours là !!! je commence vraiment à désespérer  
et si je coche windowsupdate dans hijack !??? car la ligne y est toujours