infection par Smitfraud-C et Smitfraud-C.toolbar888

Bonjour à tous,
après lecture des sujets similaires postés récemment, je sollicite votre aide sur un problème d'infection très proche, il me semble, de celui de "tof6866".
voici mes 2 rapports:

1/ HijackThis
Code:

  Logfile of HijackThis v1.99.1
  Scan saved at 13:07:23, on 11/05/2007
  Platform: Windows XP SP2 (WinNT 5.01.2600)
  MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
  
  Running processes:
  C:\WINDOWS\System32\smss.exe
  C:\WINDOWS\system32\winlogon.exe
  C:\WINDOWS\system32\services.exe
  C:\WINDOWS\system32\lsass.exe
  C:\WINDOWS\system32\svchost.exe
  C:\WINDOWS\System32\svchost.exe
  C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
  C:\Program Files\Alwil Software\Avast4\ashServ.exe
  C:\WINDOWS\Explorer.EXE
  C:\WINDOWS\system32\spoolsv.exe
  C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
  C:\WINDOWS\SOUNDMAN.EXE
  C:\WINDOWS\Mixer.exe
  C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe
  C:\WINDOWS\VM_STI.EXE
  C:\WINDOWS\retadpu1000272.exe
  C:\Program Files\SuperCopier\SuperCopier.exe
  C:\Program Files\MSN Messenger\MsnMsgr.Exe
  C:\WINDOWS\system32\oodag.exe
  C:\ScanPanel\ScnPanel.exe
  C:\Program Files\Philips\Philips SPC210NC Webcam\TrayMin210.exe
  C:\Program Files\TextBridge Pro 8.0\Ereg\REMIND32.EXE
  C:\WINDOWS\system32\svchost.exe
  C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
  C:\WINDOWS\System32\svchost.exe
  C:\Program Files\Mozilla Firefox\firefox.exe
  C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe
  C:\WINDOWS\system32\svchost.exe
  C:\Documents and Settings\Vinnie\Bureau\Scanner.exe
  
  R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://download.avsmedia.com/avsvideotools.exe
  R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
  O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
  O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - C:\Program Files\BitComet\tools\BitCometBHO_1.1.3.28.dll
  O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
  O2 - BHO: (no name) - {6FE732D5-666F-4331-94BF-5AA3DA9C0B4B} - C:\WINDOWS\system32\yaywvsr.dll
  O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
  O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
  O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
  O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
  O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
  O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
  O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
  O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe"
  O4 - HKLM\..\Run: [BigDogPath] C:\WINDOWS\VM_STI.EXE Philips SPC210NC Webcam
  O4 - HKLM\..\Run: [InstantAccess] C:\PROGRA~1\TEXTBR~1.0\Bin\INSTAN~1.EXE /h
  O4 - HKLM\..\Run: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\Bin\REGIST~1.EXE
  O4 - HKLM\..\Run: [SManager] smanager.7.exe
  O4 - HKLM\..\Run: [WindowsHive] C:\WINDOWS\system32\rpcc.exe
  O4 - HKLM\..\Run: [runner1] C:\WINDOWS\retadpu1000272.exe 61A847B5BBF72813329B385475FB01F0B3E35B6638993F4661AA4EBD86D67C56389B284534F310
  O4 - HKLM\..\RunServices: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\Bin\REGIST~1.EXE
  O4 - HKCU\..\Run: [SuperCopier.exe] C:\Program Files\SuperCopier\SuperCopier.exe
  O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
  O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
  O4 - Startup: reminder-Enregistrement du produit ScanSoft.lnk = C:\Program Files\TextBridge Pro 8.0\Ereg\REMIND32.EXE
  O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
  O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe
  O4 - Global Startup: ScanPanel.lnk = C:\ScanPanel\ScnPanel.exe
  O4 - Global Startup: TrayMin210.exe.lnk = ?
  O8 - Extra context menu item: Download all links using BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddAllLink.htm
  O8 - Extra context menu item: Download all videos using BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddVideo.htm
  O8 - Extra context menu item: Download link using &BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddLink.htm
  O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
  O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
  O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
  O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
  O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
  O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
  O20 - Winlogon Notify: winzlo32 - C:\WINDOWS\SYSTEM32\winzlo32.dll
  O20 - Winlogon Notify: yaywvsr - C:\WINDOWS\SYSTEM32\yaywvsr.dll
  O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
  O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
  O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
  O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
  O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe

2/ Clean

Code:

  11/05/2007 a 14:02:05,48 
   
  *** Recherche des fichiers dans C: 
   
  *** Recherche des fichiers dans C:\WINDOWS\ 
   
  *** Recherche des fichiers dans C:\WINDOWS\system32 
  C:\WINDOWS\system32\rpcc.exe FOUND 
  C:\WINDOWS\nsreg.dat FOUND 
  C:\WINDOWS\system32\winzlo32.dll FOUND 
  C:\WINDOWS\Temp\win????.tmp.exe FOUND 
   
  *** Recherche des fichiers dans C:\Program Files 
  *** Fin du rapport !

J'en appelle donc aux conseils bienveillants de spécialistes en la matière pour interpréter ces rapports et me dicter la marche à suivre (quelles cases cocher? quelles clefs registres infectées supprimer?)...

Merci d'avance et désolé de solliciter une aide dès mon 1er poste sur ce forum.
Cordialement Vinni

ps: rapport spybot en attaché







Attachement: rapport spybot.JPG

Salut, infection vundo :


Télécharger sur le Bureau.
Vundofix
= Double-clic VundoFix.exe.
= Clic OK
=Attendre le redemarrage de Vundofix
=Clic Scan for Vundo
= le scan est assez long , à la fin
=Clic Remove Vundo
= Puis yes
= Le Bureau disparaît un moment lors de la suppression des fichiers.
=Message shutdown
=clic OK
=Redémarrage auto
=copier le rapport qui est dans C:vundofix.txt

tout d'abord merci à tous et en particulier à toi NIco93220

voici le rapport vundofix:

Code:

  VundoFix V6.3.21
  
  Checking Java version...
  
  Scan started at 15:51:51 11/05/2007
  
  Listing files found while scanning....
  
  C:\WINDOWS\system32\byxvtqq.dll
  C:\WINDOWS\system32\efccbaw.dll
  C:\WINDOWS\system32\ljjigfg.dll
  C:\WINDOWS\system32\rqrsppo.dll
  C:\WINDOWS\system32\yaywvsr.dll
  
  Beginning removal...
  
   Attempting to delete C:\WINDOWS\system32\byxvtqq.dll
  C:\WINDOWS\system32\byxvtqq.dll Has been deleted!
  
   Attempting to delete C:\WINDOWS\system32\efccbaw.dll
  C:\WINDOWS\system32\efccbaw.dll Has been deleted!
  
   Attempting to delete C:\WINDOWS\system32\ljjigfg.dll
  C:\WINDOWS\system32\ljjigfg.dll Has been deleted!
  
   Attempting to delete C:\WINDOWS\system32\rqrsppo.dll
  C:\WINDOWS\system32\rqrsppo.dll Has been deleted!
  
   Attempting to delete C:\WINDOWS\system32\yaywvsr.dll
  C:\WINDOWS\system32\yaywvsr.dll Has been deleted!
  
  Performing Repairs to the registry.
  Done!

voici également en attaché le rapport du nouveau scan spybot.
D'après ce rapport, les Smitfraud-C et Smitfraud-C.tool888 sont toujours présents.
Que dois-je faire maintenant d'après toi?
merci encore
Vinni


Attachement: rapport2 spybot.JPG

Télécharge sur ton bureau Clean (zip)
= Clic droit sur Clean.zip et Extraire ici ( ou extraire sans confirmation ou tout ou unzip)
= double-clic Dossier Clean
= double-clic Clean. ( avec comme symbole une roue dentée)
= Option 1 = taper 1
= copier/coller le rapport dans la réponse

voici donc le 2eme rapport clean

Code:

  11/05/2007 a 16:41:48,17 
   
  *** Recherche des fichiers dans C: 
   
  *** Recherche des fichiers dans C:\WINDOWS\ 
   
  *** Recherche des fichiers dans C:\WINDOWS\system32 
  C:\WINDOWS\system32\rpcc.exe FOUND 
  C:\WINDOWS\nsreg.dat FOUND 
  C:\WINDOWS\system32\winzlo32.dll FOUND 
  C:\WINDOWS\Temp\win????.tmp.exe FOUND 
   
  *** Recherche des fichiers dans C:\Program Files 
  *** Fin du rapport !

merci Nico, en espèrant que ça va te parler...

salut Nico93220

vinni : si tu peux mettre tes résultats entre spoilers

comme ceci

c'est beaucoup mieu ça évite de décalé à chaque fois .... bref c'est pour pouvoir mieu lire


redémarre en mode sans échec

lance clean.zip >> option 2

redémarre puis poste le rapport

Merci Nico et Game, et désolé pour la lisibilité, je suis pas un habitué des forums, donc j'apprends avec vous. Voici le rapport clean en mode sans echec option2


Script execute en mode sans echec
Rapport clean par Malekal_morte - http://www.malekal.com
Script execute en mode sans echec 11/05/2007 a 16:56:20,06

Microsoft Windows XP [version 5.1.2600]

*** Suppression des fichiers dans C:

*** Suppression des fichiers dans C:\WINDOWS\

*** Suppression des fichiers dans C:\WINDOWS\system32
tentative de suppression de C:\WINDOWS\system32\rpcc.exe
tentative de suppression de C:\WINDOWS\nsreg.dat
tentative de suppression de C:\WINDOWS\system32\winzlo32.dll
Impossible de supprimer C:\WINDOWS\system32\winzlo32.dll
tentative de suppression de C:\WINDOWS\Temp\win????.tmp.exe

*** Suppression des fichiers dans C:\Program Files

*** Suppression des clefs du registre effectuee..
*** Fin du rapport !

....merci

télécharger sur le bureau
Navilog1.exe
= double-clic dessus pour l'installer et le lancer
Quand installé
= taper F
= Appuyer sur une touche jusqu' arriver aux options
= Choisir option 1 ( = taper 1 )
ne pas utiliser les autres sans avis , il peut y avoir des processus légitimes

un rapport : fixnavi.txt
dans ==> C :
le copier/coller dans la réponse

merci thegame, voici le rapport fixnavi.txt


Search Navipromo version 2.0.1 commencé le 11/05/2007 à 17:10:08,76

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Poster ce rapport sur le forum pour le faire analyser !!!
!!! Ne pas lancer la partie désinfection sans l'avis d'un spécialiste !!!

Fix lancé depuis C:\Program Files\navilog1
Mise a jour le 10.05.2007 a 22h00 by IL-MAFIOSO

Executé en mode normal

*** Recherche Programmes installes ***




*** Recherche dossiers dans C:\WINDOWS ***




*** Recherche dossiers dans C:\Program Files ***




*** Recherche dossiers dans C:\Documents and Settings\All Users\Application Data ***




*** Recherche dossiers dans C:\Documents and Settings\Vinnie\Application Data ***



*** Recherche avec BlackLight Engine/F-secure ***
BlackLight Engine est un produit de F-secure, pour + d'infos :
http://www.f-secure.com/blacklight/blacklight_help.html


F-SECURE BLACKLIGHT ROOTKIT ELIMINATOR
======================================

Copyright 2005-2006 F-Secure Corporation. All rights reserved.
This is a beta version. It will expire on 1st of April, 2007.
Version information: 2.2.1061.

[+] Started on 05/11/07 at 17:10:16.
[+] Initializing ...
[+] Starting scan, press Ctrl-C to abort.
[+] Scanning for hidden items .......................................
[+] Scan complete.
[+] Summary: 0 hidden item(s) found, 0 scheduled for renaming.
[+] Exited on 05/11/07 at 17:13:01 (return code = 0).


*** Recherche fichiers ***




*** Recherche cles registre ***


Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs]



Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage]



Recherche Clé Magic Control



*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche fichiers connus:


2)Recherche Heuristique :
*
**
***
****
*****
******
*******
********


*** Analyse Terminé le 11/05/2007 à 17:13:08,48 ***


....

Alors refais un rapportHijackthis




[ Ce message a été modifié par : : Nico93220 le 11-05-2007 17:25 ]