Bonjour, Depuis quelques temps, j'ai remarqué un fort ralentissement sur mon pc. En investiguant un peu, je suis tombé nez à nez avec ce fameux SMITFRAUD-C ! Voilà 2 jours et 2 nuits, que j'essaye de l'éliminer, mais mes tentatives restent a ce jours, encore, infructueuses.. Après avoir écumé des dizaines de forums/réponses, je suis un peu désespéré.. C'est pourquoi je viens à vous pour m'instruire sur la façon d'éliminer ce virus. Le problème est que ce virus possède beaucoup de composantes différentes. A chaque recherche, je suis tombé sur des versions différentes de ce virus, c'est pourquoi mes tentatives restent vaines.. Voici les programmes dont je me suis munis pour essayer de l'éliminer : - Regcleaner - Spybot Search and Destroy - HijackThis - CCleaner - SmitfraudFix - Malwarebytes Mon anti-virus: AVG 7.5 Mon firewall: KerioPersonnal Firewall 4 Lorsque j'examine mon pc à l'aide de Spybot, j'obtiens ce rapport : (SBI $107DE8FE) Réglages Autorun (autoload) HKEY_USERS\DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Autoload (SBI $107DE8FE) Fichier de programme C:\Documents and Settings\LocalService\ctfmon.exe (SBI $107DE8FE) Réglages Autorun (autoload) HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Autoload (SBI $107DE8FE) Réglages Autorun (autoload) HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Autoload Donc que je fais la procédure pour les éliminer mais celui-ci m'indique qu'il n'a pas réussi a éliminer un élément : (SBI $107DE8FE) Réglages Autorun (autoload) HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Autoload Spybot me dit qu'il le fera au prochain démarrage du pc. Une fois redémarré, spybot se lance au redémarrage.. Mais celui-ci me redonne le même rapport que le précedent. C'est à dire, que les 4 éléments sont toujours là mais qu'en plus lors de la re-destruction de ceci, il n'arrive toujours pas a détruire l'élément précédent. ((SBI $107DE8FE) Réglages Autorun (autoload) HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Autoload) Petite précision, il ya des jours où je trouve 6 éléments.. J'ai essayé de faire ces manipulations en mode Sans-échec. Le rapport de Spybot me donne seulement 3 éléments : (SBI $107DE8FE) Réglages Autorun (autoload) HKEY_USERS\S-1-5-21-1417001333-1202660629-1343024091-1004\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Autoload (SBI $107DE8FE) Fichier de programme C:\Documents and Settings\LocalService\ctfmon.exe (SBI $107DE8FE) Réglages Autorun (autoload) HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Autoload Par contre, j'arrive a les éliminer entièrement. Mais lorsque je redémarre, ces 3 éléments sont toujours là.. J'ai essayé de les éliminer directement dans la base de registre, mais ils se regénerent a chaque fois que je rallume mon pc. J'ai tenté de nettoyer mon système à l'aide SmitfraudFix, mais ça n'a rien changé. J'ai nettoyé mon système avec Regcleaner ainsi que CCleaner. Le virus est SMITFRAUD-C.GP, il infecte CTFMON.EXE et il s'introduit dans la base de registre dans tout les fichiers RUN : autoload. J'ai aussi un problème avec mon aniti-virus, à chaque scan / chaque redémarrage , il trouve un trojan : FTP34.dll A chaque fois, il me dit qu'il l'a éliminé. Mais il est toujours là. Je ne sais si ces problèmes sont liés. Mais toutes mes application .exe sont condamnées : C:\Program Files\Internet Explorer\iexplorer.exe Windows ne parvient pas à accéder au périphérique, au chemin d'accès ou au fichier spécifié. Vous ne disposez peut-être pas des autorisations appropriées pour avoir accès à l'élément. Tout est extrêmenet lent. Mes icônes ne servent plus a rien. Je ne peux pas accéder à mon panneau de configuration.. Et mon fond d'écran reste désespérément bleu!!! Voici mon rapport HiJackThis: HijackThis v1.99.1 Scan saved at 03:00:30, on 03/07/2008 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\drivers\spools.exe C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe C:\WINDOWS\system32\NOTEPAD.EXE C:\Documents and Settings\Cathy\Bureau\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe O4 - HKLM\..\Run: [Microsoft Critical Services] svhhost.exe O4 - HKLM\..\Run: [ntuser] C:\WINDOWS\system32\drivers\spools.exe O4 - HKLM\..\Run: [autoload] C:\Documents and Settings\Cathy\cftmon.exe O4 - HKLM\..\RunServices: [Microsoft Critical Services] svhhost.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [ntuser] C:\WINDOWS\system32\drivers\spools.exe O4 - HKCU\..\Run: [autoload] C:\Documents and Settings\Cathy\cftmon.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/... O20 - Winlogon Notify: WBSrv - C:\PROGRA~1\Stardock\OBJECT~1\WINDOW~1\wbsrv.dll O20 - Winlogon Notify: WgaLogon - WgaLogon.dll (file missing) O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe O23 - Service: Schedule - Unknown owner - C:\WINDOWS\system32\drivers\spools.exe Voici mon rapport Malwarebytes: (Qui détecte FTP34.DLL) Malwarebytes' Anti-Malware 1.19 Version de la base de données: 913 Windows 5.1.2600 Service Pack 1 14:52:48 02/07/2008 mbam-log-7-2-2008 (14-52-44).txt Type de recherche: Examen complet (C:\) Eléments examinés: 88124 Temps écoulé: 1 hour(s), 16 minute(s), 24 second(s) Processus mémoire infecté(s): 0 Module(s) mémoire infecté(s): 1 Clé(s) du Registre infectée(s): 0 Valeur(s) du Registre infectée(s): 0 Elément(s) de données du Registre infecté(s): 0 Dossier(s) infecté(s): 0 Fichier(s) infecté(s): 3 Processus mémoire infecté(s): (Aucun élément nuisible détecté) Module(s) mémoire infecté(s): C:\WINDOWS\system32\ftp34.dll (Trojan.DNSChanger) -> No action taken. Clé(s) du Registre infectée(s): (Aucun élément nuisible détecté) Valeur(s) du Registre infectée(s): (Aucun élément nuisible détecté) Elément(s) de données du Registre infecté(s): (Aucun élément nuisible détecté) Dossier(s) infecté(s): (Aucun élément nuisible détecté) Fichier(s) infecté(s): C:\WINDOWS\system32\ftp34.dll (Trojan.DNSChanger) -> No action taken. C:\Documents and Settings\Cathy\ftp34.dll (Trojan.DNSChanger) -> No action taken. C:\Documents and Settings\LocalService\ftp34.dll (Trojan.DNSChanger) -> No action taken. Voici le rapport de SmitfraudFix: Rapport fait à 3:10:02,75, 03/07/2008 Executé à partir de C:\Documents and Settings\Cathy\Bureau OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT Le type du système de fichiers est NTFS Fix executé en mode sans echec »»»»»»»»»»»»»»»»»»»»»»»» Process C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\drivers\spools.exe C:\WINDOWS\System32\cmd.exe »»»»»»»»»»»»»»»»»»»»»»»» hosts »»»»»»»»»»»»»»»»»»»»»»»» C:\ »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32 »»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Cathy »»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Cathy\Application Data »»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer »»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\Cathy\Favoris »»»»»»»»»»»»»»»»»»»»»»»» Bureau »»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files »»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues »»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau »»»»»»»»»»»»»»»»»»»»»»»» IEDFix !!!Attention, les clés qui suivent ne sont pas forcément infectées!!! IEDFix Credits: Malware Analysis & Diagnostic Code: S!Ri »»»»»»»»»»»»»»»»»»»»»»»» VACFix !!!Attention, les clés qui suivent ne sont pas forcément infectées!!! VACFix Credits: Malware Analysis & Diagnostic Code: S!Ri »»»»»»»»»»»»»»»»»»»»»»»» 404Fix !!!Attention, les clés qui suivent ne sont pas forcément infectées!!! 404Fix Credits: Malware Analysis & Diagnostic Code: S!Ri »»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler !!!Attention, les clés qui suivent ne sont pas forcément infectées!!! SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll »»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs !!!Attention, les clés qui suivent ne sont pas forcément infectées!!! [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows] "AppInit_DLLs"="wbsys.dll" »»»»»»»»»»»»»»»»»»»»»»»» Winlogon !!!Attention, les clés qui suivent ne sont pas forcément infectées!!! [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Userinit"="C:\\WINDOWS\\system32\\userinit.exe," "System"="" »»»»»»»»»»»»»»»»»»»»»»»» Rustock »»»»»»»»»»»»»»»»»»»»»»»» DNS HKLM\SYSTEM\CCS\Services\Tcpip\..\{B7FDC1B7-A853-4E8A-9701-50CC4FD05D0D}: DhcpNameServer=192.168.1.1 HKLM\SYSTEM\CS1\Services\Tcpip\..\{B7FDC1B7-A853-4E8A-9701-50CC4FD05D0D}: DhcpNameServer=192.168.1.1 HKLM\SYSTEM\CS3\Services\Tcpip\..\{B7FDC1B7-A853-4E8A-9701-50CC4FD05D0D}: DhcpNameServer=192.168.1.1 HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1 HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1 HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1 »»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll »»»»»»»»»»»»»»»»»»»»»»»» Fin Voili voilou ! Merci d'avance a ceux qui auront pris le temps de me lire et a ceux qui pourront m'aider.

Forum Virus

Trouvez des solutions pour détecter et éliminer les menaces, des astuces pour prévenir les infections, et discutez des dernières menaces en ligne

Newsletters

Actu du jour

Voir un exemple