/!\ SmitFraud-C.GP /!\

Bonjour,

Depuis quelques temps, j'ai remarqué un fort ralentissement sur mon pc. En investiguant un peu, je suis tombé nez à nez avec ce fameux SMITFRAUD-C ! Voilà 2 jours et 2 nuits, que j'essaye de l'éliminer, mais mes tentatives restent a ce jours, encore, infructueuses.. Après avoir écumé des dizaines de forums/réponses, je suis un peu désespéré.. C'est pourquoi je viens à vous pour m'instruire sur la façon d'éliminer ce virus.

Le problème est que ce virus possède beaucoup de composantes différentes. A chaque recherche, je suis tombé sur des versions différentes de ce virus, c'est pourquoi mes tentatives restent vaines..

Voici les programmes dont je me suis munis pour essayer de l'éliminer :
- Regcleaner
- Spybot Search and Destroy
- HijackThis
- CCleaner
- SmitfraudFix
- Malwarebytes

Mon anti-virus: AVG 7.5
Mon firewall: KerioPersonnal Firewall 4

Lorsque j'examine mon pc à l'aide de Spybot, j'obtiens ce rapport :

(SBI $107DE8FE) Réglages Autorun (autoload)
HKEY_USERS\DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Autoload

(SBI $107DE8FE) Fichier de programme
C:\Documents and Settings\LocalService\ctfmon.exe

(SBI $107DE8FE) Réglages Autorun (autoload)
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Autoload

(SBI $107DE8FE) Réglages Autorun (autoload)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Autoload

Donc que je fais la procédure pour les éliminer mais celui-ci m'indique qu'il n'a pas réussi a éliminer un élément :

(SBI $107DE8FE) Réglages Autorun (autoload)
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Autoload

Spybot me dit qu'il le fera au prochain démarrage du pc. Une fois redémarré, spybot se lance au redémarrage.. Mais celui-ci me redonne le même rapport que le précedent. C'est à dire, que les 4 éléments sont toujours là mais qu'en plus lors de la re-destruction de ceci, il n'arrive toujours pas a détruire l'élément précédent.
((SBI $107DE8FE) Réglages Autorun (autoload)
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Autoload)

Petite précision, il ya des jours où je trouve 6 éléments..

J'ai essayé de faire ces manipulations en mode Sans-échec.
Le rapport de Spybot me donne seulement 3 éléments :

(SBI $107DE8FE) Réglages Autorun (autoload)
HKEY_USERS\S-1-5-21-1417001333-1202660629-1343024091-1004\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Autoload

(SBI $107DE8FE) Fichier de programme
C:\Documents and Settings\LocalService\ctfmon.exe

(SBI $107DE8FE) Réglages Autorun (autoload)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Autoload

Par contre, j'arrive a les éliminer entièrement. Mais lorsque je redémarre, ces 3 éléments sont toujours là..
J'ai essayé de les éliminer directement dans la base de registre, mais ils se regénerent a chaque fois que je rallume mon pc.

J'ai tenté de nettoyer mon système à l'aide SmitfraudFix, mais ça n'a rien changé.
J'ai nettoyé mon système avec Regcleaner ainsi que CCleaner.

Le virus est SMITFRAUD-C.GP, il infecte CTFMON.EXE et il s'introduit dans la base de registre dans tout les fichiers RUN : autoload.

J'ai aussi un problème avec mon aniti-virus, à chaque scan / chaque redémarrage , il trouve un trojan : FTP34.dll
A chaque fois, il me dit qu'il l'a éliminé. Mais il est toujours là.

Je ne sais si ces problèmes sont liés. Mais toutes mes application .exe sont condamnées :
C:\Program Files\Internet Explorer\iexplorer.exe
Windows ne parvient pas à accéder au périphérique, au chemin d'accès ou au fichier spécifié. Vous ne disposez peut-être pas des autorisations appropriées pour avoir accès à l'élément.

Tout est extrêmenet lent. Mes icônes ne servent plus a rien. Je ne peux pas accéder à mon panneau de configuration..
Et mon fond d'écran reste désespérément bleu!!!

Voici mon rapport HiJackThis:

HijackThis v1.99.1
Scan saved at 03:00:30, on 03/07/2008
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\drivers\spools.exe
C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Documents and Settings\Cathy\Bureau\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [Microsoft Critical Services] svhhost.exe
O4 - HKLM\..\Run: [ntuser] C:\WINDOWS\system32\drivers\spools.exe
O4 - HKLM\..\Run: [autoload] C:\Documents and Settings\Cathy\cftmon.exe
O4 - HKLM\..\RunServices: [Microsoft Critical Services] svhhost.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [ntuser] C:\WINDOWS\system32\drivers\spools.exe
O4 - HKCU\..\Run: [autoload] C:\Documents and Settings\Cathy\cftmon.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/...
O20 - Winlogon Notify: WBSrv - C:\PROGRA~1\Stardock\OBJECT~1\WINDOW~1\wbsrv.dll
O20 - Winlogon Notify: WgaLogon - WgaLogon.dll (file missing)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: Schedule - Unknown owner - C:\WINDOWS\system32\drivers\spools.exe


Voici mon rapport Malwarebytes: (Qui détecte FTP34.DLL)

Malwarebytes' Anti-Malware 1.19
Version de la base de données: 913
Windows 5.1.2600 Service Pack 1

14:52:48 02/07/2008
mbam-log-7-2-2008 (14-52-44).txt

Type de recherche: Examen complet (C:\)
Eléments examinés: 88124
Temps écoulé: 1 hour(s), 16 minute(s), 24 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 1
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 3

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
C:\WINDOWS\system32\ftp34.dll (Trojan.DNSChanger) -> No action taken.

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\WINDOWS\system32\ftp34.dll (Trojan.DNSChanger) -> No action taken.
C:\Documents and Settings\Cathy\ftp34.dll (Trojan.DNSChanger) -> No action taken.
C:\Documents and Settings\LocalService\ftp34.dll (Trojan.DNSChanger) -> No action taken.


Voici le rapport de SmitfraudFix:

Rapport fait à 3:10:02,75, 03/07/2008
Executé à partir de C:\Documents and Settings\Cathy\Bureau
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode sans echec

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\drivers\spools.exe
C:\WINDOWS\System32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Cathy


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Cathy\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\Cathy\Favoris


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files


»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau



»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"="wbsys.dll"


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Rustock



»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip\..\{B7FDC1B7-A853-4E8A-9701-50CC4FD05D0D}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{B7FDC1B7-A853-4E8A-9701-50CC4FD05D0D}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS3\Services\Tcpip\..\{B7FDC1B7-A853-4E8A-9701-50CC4FD05D0D}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin



Voili voilou !

Merci d'avance a ceux qui auront pris le temps de me lire et a ceux qui pourront m'aider.