TR/spy.agent.frt ==gros problème Fermé

Question

Bonjour a tous.
après avoir longtemps essayer et parcouru ce forum de long en large pour trouver de l'aide, je me décide a faire appel a vous.
la bonne nouvelle, c'est que vous allez peut être rire.Enfin moi ça m'as pas fait rire longtemps =p
j'ai donc depuis quelques jours un virus qui devient de plus en plus embêtant.à l'heure actuelle, je ne peux plus ouvrir internet explorer (plantage direct dès l'ouverture), firefox plante une fois sur trois quand je clique sur un lien.après de nombreux scans de nombreux antivirus, je crois avoir trouvé le fichier qui pose problème :
il s'agit d'un fichier nommé kgme.jsk localisé dans "local settings".

la ou sa devient drole, c'est que non seulement lorsque je le supprime il s'efface puis réapparait (j'ai essayé avec killbox, rien a faire,j'ai essayé de le supprimer au reboot mais il semble qu'il s'efface à l'extinction de l'ordinateur pour réapparaitre a l'initialisation), mais en plus il se multiplie, rallongeant a chaque fois son extension. en cadeau je vous offre le petit screen que j'ai fait, de ce fichier pour le moins étrange ...

https://imageshack.com/

j'ai lancé un scan antivir, qui detecte le virus comme : TR/spy.agent.frt mais ne peux le supprimer.

là ou c'est encore marrant, c'est que celui qui m'embete le plus dans l'histoire, c'est mon antivirus (antivir).en effet, il detecte le virus en boucle, m'affichant ainsi des centaines de fenêtres les unes par dessus les autres, ce qui a pour effet de faire tellement lagger le pc qu'il en devient inutilisable.

j'ajoute a tous ça des problèmes de gros ralentissement de mon pc et de redirection vers d'autres sites (sites de recherches bidons ou sites potentiellement dangereux selon mon antivirus) lorsque je clique sur des liens (pas a chaque fois).

je vous poste le rapport a². merci de votre aide, j'en ai vraiment besoin là.bonne soirée !

rapport a² :
Version - a-squared Free 4.0
Dernière mise à jour : 02/04/2009 19:18:51

Paramètres des balayages :

Éléments : Mémoire, Traces, Cookies, I:\, J:\, M:\
Balaye dans les archives : Marche
Analyse heuristique : Arrêt
Balaye dans les ADS : Marche

Début du balayage :	02/04/2009 19:20:17

i:\windows\system32\bhoecart.dll 	Objets détectés : Trace.File.Suspicious!A2
I:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\1hwumi1o.default\cookies.sqlite:1237821466031250 	Objets détectés : Trace.TrackingCookie.metriweb!A2
I:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\1hwumi1o.default\cookies.sqlite:1238581083906250 	Objets détectés : Trace.TrackingCookie.count!A2

Analysé

Fichiers : 	217256
Traces : 	618087
Cookies : 	515
Processus : 	48

Objets trouvés

Fichiers : 	0
Traces : 	1
Cookies : 	2
Processus : 	0
Clés de Registre : 	0

Fin du balayage :	02/04/2009 20:25:03
Temps du balayage :	1:04:46

I:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\1hwumi1o.default\cookies.sqlite:1238581083906250	Objets Supprimés Trace.TrackingCookie.count!A2
I:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\1hwumi1o.default\cookies.sqlite:1237821466031250	Objets Supprimés Trace.TrackingCookie.metriweb!A2
i:\windows\system32\bhoecart.dll	Objets Supprimés Trace.File.Suspicious!A2

Objets Supprimés

Fichiers : 	0
Traces : 	1
Cookies : 	2

chimay8 · Answer

salut

Télécharge random's system information tool (RSIT) par random/random et sauvegarde-le sur le Bureau.
http://images.malwareremoval.com/random/RSIT.exe

Double-clique sur RSIT.exe afin de lancer RSIT.
Clique "Continue" à l'écran Disclaimer.

Si l'outil HIjackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.
Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront. Poste le contenu de log.txt (<<qui sera affiché)
ainsi que de info.txt (<<qui sera réduit dans la Barre des Tâches).

NB : Les rapports sont sauvegardés dans le dossier C:\rsit

gen-hackman · Answer

Télécharge SDFix sur ton bureau : 
ici :SDFix 
ou ici SDFix 
ou ici SDFix 

--> Double-clique sur SDFix.exe et choisis "Install" . 

Tuto 

Puis une fois l'installe faite , 

Impératif : Démarrer en mode sans echec . 

/!\ Ne jamais démarrer en mode sans échec via MSCONFIG /!\ 

Comment aller en Mode sans échec : 
1) Redémarre ton ordi . 
2) Tapote la touche F8 immédiatement, (F5 sur certains PC) juste après le "Bip" . 
3) Tu tapotes jusqu' à l'apparition de l'écran avec les options de démarrage . 
4) Choisis la première option : Sans Échec , et valide en tapant sur [Entrée] . 
5) Choisis ton compte habituel ( et pas Administrateur ). 
attention : pas de connexion possible en mode sans échec , donc copie ou imprime bien la manipe pour éviter les erreurs ... 


Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double-clique sur RunThis.bat pour lancer l'outil . 
-->Tapes Y pour lancer le script ... 
Le Fix supprime les services du virus et nettoie le registre, de ce fait un redémarrage est nécessaire , donc : 
presses une touche pour redémarrer quand il te le sera demandé . 

Le PC va mettre du temps avant de démarrer ( c'est normal ), après le chargement du Bureau presses une touche lorsque "Finished" s'affiche . 

Le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier 
C:\SDFix sous le nom "Report.txt". 

Poste ce dernier dans ta prochaine réponse

Si SDfix ne se lance pas (ça arrive!) 

* Démarrer->Exécuter 

* Copie/colle ceci : 

%systemroot%\system32\cmd.exe /K %systemdrive%\SDFix\apps\FixPath.exe 

* Clique sur ok, et valide. 

* Redémarre et essaye de nouveau de lancer SDfix.

savonette · Answer

j'ai bien lancé SDfix, depuis le redémarrage mon antivirus ne panique plus, c'est surement bon signe =)
voila le rapport :


[b]SDFix: Version 1.240 [/b]
Run by admin on 02/04/2009 at 23:41

Microsoft Windows XP [version 5.1.2600]
Running From: I:\SDFix

[b]Checking Services [/b]:


Restoring Default Security Values
Restoring Default Hosts File

Rebooting


[b]Checking Files [/b]: 

Trojan Files Found:

I:\WINDOWS\system32\~.exe - Deleted





Removing Temp Files

[b]ADS Check [/b]:
 


                                 [b]Final Check [/b]:

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-04-02 23:51:25
Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg]
"s1"=dword:2df9c43f
"s2"=dword:110480d0
"h0"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"p0"="M:\DAEMON Tools Lite\"
"h0"=dword:00000000
"khjeh"=hex:3d,01,80,c0,29,30,eb,fd,0e,bb,89,db,4c,e1,6d,05,9f,8a,99,4e,01,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,85,1e,44,b1,f3,5a,e1,76,c5,d9,e4,36,83,0b,77,84,7b,..
"khjeh"=hex:51,f7,2b,1a,ab,66,cc,e0,a5,f1,56,8f,d1,0b,b2,a0,43,5f,9f,ea,fe,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:6f,23,49,3f,d7,13,94,78,60,85,d4,c7,ac,8b,16,6a,95,f5,04,cb,4e,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41]
"khjeh"=hex:3e,15,4f,d6,06,76,0f,2e,b2,a2,e9,0b,63,4c,f9,74,a1,99,fd,52,ae,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"p0"="M:\DAEMON Tools Lite\"
"h0"=dword:00000000
"khjeh"=hex:3d,01,80,c0,29,30,eb,fd,0e,bb,89,db,4c,e1,6d,05,9f,8a,99,4e,01,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,85,1e,44,b1,f3,5a,e1,76,c5,d9,e4,36,83,0b,77,84,7b,..
"khjeh"=hex:51,f7,2b,1a,ab,66,cc,e0,a5,f1,56,8f,d1,0b,b2,a0,43,5f,9f,ea,fe,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:6f,23,49,3f,d7,13,94,78,60,85,d4,c7,ac,8b,16,6a,95,f5,04,cb,4e,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41]
"khjeh"=hex:3e,15,4f,d6,06,76,0f,2e,b2,a2,e9,0b,63,4c,f9,74,a1,99,fd,52,ae,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"p0"="M:\DAEMON Tools Lite\"
"h0"=dword:00000000
"khjeh"=hex:3d,01,80,c0,29,30,eb,fd,0e,bb,89,db,4c,e1,6d,05,9f,8a,99,4e,01,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,85,1e,44,b1,f3,5a,e1,76,c5,d9,e4,36,83,0b,77,84,7b,..
"khjeh"=hex:51,f7,2b,1a,ab,66,cc,e0,a5,f1,56,8f,d1,0b,b2,a0,43,5f,9f,ea,fe,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:6f,23,49,3f,d7,13,94,78,60,85,d4,c7,ac,8b,16,6a,95,f5,04,cb,4e,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41]
"khjeh"=hex:3e,15,4f,d6,06,76,0f,2e,b2,a2,e9,0b,63,4c,f9,74,a1,99,fd,52,ae,..

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


[b]Remaining Services [/b]:




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"I:\Documents and Settings\admin\Bureau\logiciels utiles\freezer v1.4 fr\freezer.exe"="I:\Documents and Settings\admin\Bureau\logiciels utiles\freezer v1.4 fr\freezer.exe:*:Enabled:freezer"
"I:\Program Files\Azureus\Azureus.exe"="I:\Program Files\Azureus\Azureus.exe:*:Enabled:Azureus"
"I:\Program Files\Nokia\Nokia Software Updater\nsu_ui_client.exe"="I:\Program Files\Nokia\Nokia Software Updater\nsu_ui_client.exe:*:Enabled:Nokia Software Updater"
"I:\Program Files\Fichiers communs\Nokia\Service Layer\A\nsl_host_process.exe"="I:\Program Files\Fichiers communs\Nokia\Service Layer\A\nsl_host_process.exe:*:Enabled:Nokia Service Layer Host Process "
"M:\Program Files\Firefly Studios\Stronghold 2\Stronghold2.exe"="M:\Program Files\Firefly Studios\Stronghold 2\Stronghold2.exe:*:Enabled:Stronghold2"
"M:\Program Files\Sony Ericsson\Sony Ericsson Media Manager\MediaManager.exe"="M:\Program Files\Sony Ericsson\Sony Ericsson Media Manager\MediaManager.exe:*:Enabled:Sony Ericsson Media Manager 1.1"
"I:\Program Files\Windows Live\Messenger\wlcsdk.exe"="I:\Program Files\Windows Live\Messenger\wlcsdk.exe:*:Enabled:Windows Live Call"
"I:\Program Files\Windows Live\Messenger\msnmsgr.exe"="I:\Program Files\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"I:\Program Files\Windows Live\Messenger\wlcsdk.exe"="I:\Program Files\Windows Live\Messenger\wlcsdk.exe:*:Enabled:Windows Live Call"
"I:\Program Files\Windows Live\Messenger\msnmsgr.exe"="I:\Program Files\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger"

[b]Remaining Files [/b]:


File Backups: - I:\SDFix\backups\backups.zip

[b]Files with Hidden Attributes [/b]:

Wed 22 Oct 2008       949,072 A.SHR --- I:\PROGRA~1\FILESC~1\ADVCHECK.DLL
Wed 22 Oct 2008       962,896 A.SHR --- I:\PROGRA~1\MISC~1.SUP\TOOLS.DLL
Mon 15 Sep 2008     1,562,960 A.SHR --- I:\PROGRA~1\SDHELP~1\SDHELPER.DLL
Mon 26 Jan 2009     1,740,632 A.SHR --- I:\PROGRA~1\SPYBOT~1\SDUPDATE.EXE
Mon 26 Jan 2009     5,365,592 A.SHR --- I:\PROGRA~1\SPYBOT~1\SPYBOTSD.EXE
Mon 26 Jan 2009     2,144,088 A.SHR --- I:\PROGRA~1\SPYBOT~1\TEATIMER.EXE
Tue 16 Sep 2008     1,833,296 A.SHR --- I:\PROGRA~1\TEATIM~1\TEATIMER.EXE
Sat 17 Sep 2005         4,348 ..SH. --- I:\DOCUME~1\ALLUSE~1\DRM\DRMV1.BAK
Tue 23 Aug 2005            72 A..H. --- I:\PROGRA~1\INTERA~1\INTERA~1\ITI1A.TMP
Thu 12 Mar 2009             0 A.SH. --- I:\DOCUME~1\ALLUSE~1\DRM\CACHE\INDIV01.TMP

[b]Finished![/b]

chimay8 · Answer

oui,oui!!
le poste 1 est chouette aussi...

gen-hackman · Answer

bonjour a tous c'est vrai que le post 1 il est tres bien !!!   :)

bonne journée

savonette · Answer

vous êtes en train de me dire que je dois aussi faire l'analyse proposée dans le post 1 (sachant que j'ai un rapport pour le coup maintenant, celui de SDfix et que le virus ne m'embête plus,je ne suis pas sur qu'il soit encore la) ?
si c'est important je le fais !
merci a vous en tout cas, et un grand merci a toi gen-hackman, car tu as peut etre résolu mon problème !

gen-hackman · Answer

salut oui peut etre mais qu'en partie ou que pour un temps donné suis les indication donnees plus haut quand meme

si tu avais ca ,
tu as autre chose :)

TR/spy.agent.frt ==>gros problème

7 réponses

Discussions similaires