ALTNET,SMDATA

Question

Incident Status Location

Adware:adware/webhancer No disinfected C:\WINDOWS\LASTGOOD\whInstaller.exe
Adware:adware/keenvalue No disinfected C:\WINDOWS\SYSTEM32\DRIVERS\ETC\hosts.bho
Spyware:spyware/betterinet No disinfected C:\WINDOWS\INF\biini.inf
Adware:adware/delfinmedia No disinfected C:\keys.ini
Adware:adware/twain-tech No disinfected C:\WINDOWS\smdat32a.sys
Spyware:spyware/clipgenie No disinfected HKEY_CURRENT_USER\SOFTWARE\TRAYNOTIFIER
Adware:adware/p2pnetworking No disinfected HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\P2P NETWORKING
Adware:adware/iedriver No disinfected HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\INTERNET EXPLORER\EXTENSIONS\CMDMAPPING\{1A00C40B-DA85-4AA3-A67F-582D9347EECD}
Adware:adware/brilliantdigitalNo disinfected HKEY_CLASSES_ROOT\Interface\{48E59292-9880-11CF-9754-00AA00C00908}
Spyware:spyware/bargainbuddy No disinfected HKEY_CLASSES_ROOT\Interface\{71a27036-c7d8-11d2-bef8-525400dfb47a}
Adware:Adware/SAHAgent No disinfected C:\WINDOWS\system32\xmlparse.dll
Adware:Adware/SAHAgent No disinfected C:\WINDOWS\system32\xmltok.dll
Adware:Adware/SAHAgent No disinfected C:\WINDOWS\inf\flashtlk.inf
Spyware:Spyware/BetterInet No disinfected C:\WINDOWS\inf\biini.inf
Adware:Adware/WebHancer No disinfected C:\WINDOWS\LastGood\whInstaller.exe Bonjour,

J'ai un bins sur mon PC. Spybot me trouve un spy que je n'arrive pas à supprimer. c'est ALTNET (smdat32a).
Sur certains forum j'ai vu qu'in pouvait scanner en ligne avec Panda.
Je ne m'y connais pas trop. Quelqu'un peut il m'aider. Que dois je supprimer et que dois je laisser.

Voici mon scan et merci d'avance.

Adware:Adware/WebHancer No disinfected C:\WINDOWS\LastGood\whAgent.inf
Adware:Adware/FunWeb No disinfected C:\WINDOWS\LastGood\Downloaded Program Files\f3initialsetup1.0.0.8-2.inf
Adware:Adware/FunWeb No disinfected D:\Rafik\backups\backup-20050417-160538-245.inf

Afficher la suite

Utilisateur anonyme · Answer

Tu connais le bonjour? c est domage je t aurais bien aider !altnet = kazaa pour info, faut lire avant d installer quelque chsebye

Utilisateur anonyme · Answer

bon allez, je t aime bien quand memetélécharge hijackthis ici: http://www.hijackthis.de/downloads/hijackthis_199.zip  Dézippe le dans un dossier prévu a cet effet. Par exemple C:\hijackthis < Enregistre le bien dans c : ! Lancez le puis: clic sur "do a system scan and save logfile" (cf demo)faire un copier coller du log entier sur le forumDémo : (merci a balltrap34 pour cette réalisation)http://pageperso.aol.fr/balltrap34/demohijack.htmBon courageA+Pour l analyse ce sera demain pour ma part car je deco mais balltrap si il rode, tu as quartier libre

rafton · Answer

Slt,Désolé ça a un peu merdé ds mes copier coller

rafton · Answer

Merci. cool. mec.Bonne nuit si tu vas te coucherVoici mon log. j'ai essayé de l'utiliser car j'avais le logiciel mais je ne sais pas quoi fixer.Merci à ceux qui pourront prendre le relaisogfile of HijackThis v1.98.2Scan saved at 23:22:15, on 19/07/2005Platform: Windows XP  (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)Running processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\Explorer.EXEC:\WINDOWS\system32\spoolsv.exeC:\Program Files\AntiVirusKit\AVKService.exeC:\Program Files\AntiVirusKit\AVKWCtl.exeC:\WINDOWS\system32\drivers\KodakCCS.exeC:\Program Files\Analog Devices\SoundMAX\SMAgent.exeC:\Program Files\Analog Devices\SoundMAX\SMTray.exeC:\PROGRA~1\MESSAG~1\StartMessager.exeC:\Program Files\Analog Devices\SoundMAX\DrvLsnr.exeC:\Program Files\AntiVirusKit\AVKPOP.EXEC:\Program Files\QuickTime\qttask.exeC:\WINDOWS\System32\igfxtray.exeC:\WINDOWS\System32\hkcmd.exeC:\PROGRA~1\ACDSYS~1\DEVDET~1\DEVDET~1.EXEC:\PROGRA~1\WANADOO\TaskbarIcon.exeC:\PROGRA~1\WANADOO\CnxMon.exeC:\Program Files\Java\j2re1.4.2_04\bin\jusched.exeC:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exeC:\WINDOWS\System32\wuauclt.exeC:\Program Files\Windows NT\Accessoires\WORDPAD.EXEC:\Program Files\Wanadoo\EspaceWanadoo.exeC:\Program Files\Wanadoo\ComComp.exeC:\Program Files\Wanadoo\Watch.exeC:\Program Files\Internet Explorer\iexplore.exeC:\PROGRA~1\MICROS~2\Office10\OUTLOOK.EXEC:\Program Files\Microsoft Office\Office10\WINWORD.EXED:\Rafik\HijackThis.exeR1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.wanadoo.fr/go/page_recherche/R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.frR1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = WanadooR0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = LiensO2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dllO2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dllO2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dllO3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dllO4 - HKLM\..\Run: [Smapp] C:\Program Files\Analog Devices\SoundMAX\SMTray.exeO4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exeO4 - HKLM\..\Run: [MessagerStarter Wanadoo] C:\PROGRA~1\MESSAG~1\StartMessager.exe Messager WanadooO4 - HKLM\..\Run: [LtMoh] C:\Program Files\ltmoh\Ltmoh.exeO4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -kO4 - HKLM\..\Run: [DrvLsnr] C:\Program Files\Analog Devices\SoundMAX\DrvLsnr.exeO4 - HKLM\..\Run: [AVK Mail Checker] "C:\Program Files\AntiVirusKit\AVKPOP.EXE"O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottimeO4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exeO4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exeO4 - HKLM\..\Run: [Camera Detector] C:\PROGRA~1\ACDSYS~1\DEVDET~1\DEVDET~1.EXE -autorunO4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\WANADOO\TaskbarIcon.exeO4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\WANADOO\CnxMon.exeO4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_04\bin\jusched.exeO4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTARTO4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe"O4 - HKLM\..\Run: [CloneCDTray] "C:\Program Files\SlySoft\CloneCD\CloneCDTray.exe" /sO4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exeO4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXEO4 - Global Startup: Logiciel Kodak EasyShare.lnk = C:\Program Files\Kodak\Kodak EasyShare software\bin\EasyShare.exeO8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar3.dll/cmsearch.htmlO8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar3.dll/cmbacklinks.htmlO8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar3.dll/cmsimilar.htmlO8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar3.dll/cmcache.htmlO9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dllO9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dllO9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab28177.cabO16 - DPF: {45E83043-1F6F-4D22-A5E7-0138EA171B49} (FileSharingCtrl Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/FileSharing/fr/filesharingctrl.cabO16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/15f38e780df071174f01/netzip/RdxIE601_fr.cabO16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1101151265343O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cabO16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cabO16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cabO17 - HKLM\System\CCS\Services\Tcpip\..\{4DA8AF84-79EA-4963-9758-B06E1C682CF5}: NameServer = 80.10.246.1 80.10.246.132O17 - HKLM\System\CS1\Services\Tcpip\..\{4DA8AF84-79EA-4963-9758-B06E1C682CF5}: NameServer = 80.10.246.1 80.10.246.132

balltrap34 · Answer

salut demarre en mode sans echec pour cela tu tapote la touche f8 des le debut de l allumage du pc sans t arreter une fenetre vas souvrir tute deplace avec les fleches du clavier sur demarreren mode sans echec une fois sur le bureau il ni auras pas toutes les couleurs et autres c est normal.si f8 ne marche pas utilise la touche f5assur toi de ceciAffiche tous les fichiers et dossiers : cliquer sur démarrer/panneau de configuration/option des dossiers/affichageCocher afficher les dossiers cacher Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)" Décocher masquer les extensions dont le type est connuPuis fais "Ok" pour valider les changements.Et appliquerrecherche et supprC:\WINDOWS\LASTGOOD\whInstaller.exe et fait de meme avec les autres

Utilisateur anonyme · Answer

Consulte ceci aussi http://www.zdnet.fr/actualites/internet/0,39020774,2107733,00.htm

Utilisateur anonyme · Answer

oui

rafton · Answer

slt Balltrap,Tu m'avais déjà aider une fois. C'est cool de revenir.ça ne risque rien si je vire ts les fichiers affichés par Panda

rafton · Answer

Hello Regis,j'avais pas fais gaffe que tu m'avais répondu.je vire tout les éléments repérés par Panda

balltrap34 · Answer

re tu peut les virer attention tu en a sur C et sur D

rafton · Answer

Merci c'est fait.Par contre je n'arrive pas à trouver les fichiers commençant par :HKEY_comment dois je faire;merci

rafton · Answer

De plus en ouvrant ma messagerie j'ai remarqué que 5 nouvelles boites aux  lettre ont été crées je ne sais comment.. elle s'appellent :PSTLOADTMP001 jusqu'à 005.merci à vous

balltrap34 · Answer

se sont des fichiers de registrefait cecijv16(ancienne version gratuite) http://www.puntocr.it/index.php?module=downloads_riz&func=display&pid=3&lid=26  demo    http://pageperso.aol.fr/balltrap34/debut de demo jv 16 .htmla tu le lance tu click sur outil registre/outil/nettoyage de registre/continuer /demarrerla tu le laisse faire c est un peu longquand il a finittu selectionne les rond vert par paquet de 20 ou 30une fois que tu les a selectionner tu click sur supprimer en bas a droiteet tu continue jusqu a qu il ne reste plus de rond vert

rafton · Answer

c'est koi exactement les ronds vertsIl ne veut pas me les supprimer

balltrap34 · Answer

selectionne les seulement par petit paquet dix voir vingt

rafton · Answer

Ok c'est fait.Je ferme l'appli ?merci

balltrap34 · Answer

oui et tu rescanne pour voir les entrees si elle sont toujours detecter

rafton · Answer

Avec quoi je rescanne ?

balltrap34 · Answer

ton premier message tu la scanner avec quoi refait avec le meme

rafton · Answer

je l'ai fait avec Panda.As tu besoin aussi de mon rapport hijack ?

balltrap34 · Answer

tu me mettra les deux quand tu les auras

rafton · Answer

Merci balltrap. Je reviens demain car le scan est long et demain je me réveille à 6 heures.merci de ton aider

balltrap34 · Answer

no souci bonne nuita demain

balltrap34 · Answer

tous da bord telecharge ces programmes si tu ne les a pas et met les a jour mais et verifie que tu as les bonnes version c est imperatif

ad-aware (1)version 1.06

(ici) http://www.florensac-chasse-trap.com/ section virus
voir demo
http://pageperso.aol.fr/balltrap34/adwseflash.zip

balltrap34 · Answer

il seront plus efficassse

Rafton · Answer

Re,Après ts les scan qu'est ce que je fais pour vérifier sue je n'ai plus rien

balltrap34 · Answer

tu refait un scan comme au debut

Rafton · Answer

Les 4 fichiers nommés "HKEY_ " il les retrouve encore

balltrap34 · Answer

vas dans le registre exporte les pour sauvegardeet suppr les suspect pas les clef complete si tu c est pas trop fait aps

Rafton · Answer

Non jsais pas trop.
Mais ils st vraiment dangereux ces trucs ?
Tu veux ke je fasse un hijack pour vérifier que je n'ai rien ?

En plsu depuis que j'ai utilisé Panda, à chaque que j'ouvre outlook et ke je veux choisir ma boite, Panda m'a crée d'autres boites qui s'appellent pstload00 jusqu'à 11 c'est koi à ton avis ?

balltrap34 · Answer

tu as la cles clef complete copie colle les moi

Rafton · Answer

tiens c'est celles là :

Incident Status Location

Spyware:spyware/clipgenie No disinfected HKEY_CURRENT_USER\SOFTWARE\TRAYNOTIFIER
Adware:adware/keenvalue No disinfected HKEY_LOCAL_MACHINE\SOFTWARE\PERFECTNAV
Adware:adware/iedriver No disinfected HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\INTERNET EXPLORER\EXTENSIONS\CMDMAPPING\{1A00C40B-DA85-4AA3-A67F-582D9347EECD}
Spyware:spyware/bargainbuddy No disinfected HKEY_CLASSES_ROOT\Interface\{71a27036-c7d8-11d2-bef8-525400dfb47a}

balltrap34 · Answer

alors ouvre le bloc note et copie colle ceci
attention respecte la ligne vide au debut et a la fin ne copie pas les **

******

REGEDIT4

[-HKEY_CURRENT_USER\SOFTWARE\TRAYNOTIFIER]

[-HKEY_LOCAL_MACHINE\SOFTWARE\PERFECTNAV]

[-HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\INTERNET EXPLORER\EXTENSIONS\CMDMAPPING\{1A00C40B-DA85-4AA3-A67F-582D9347EECD}]

[-HKEY_CLASSES_ROOT\Interface\{71a27036-c7d8-11d2-bef8-525400dfb47a}]

*********

enregistre le sous le nom
hk.reg
et met tous fichiers en dessous ensuite double clik sur se reg et accepte

la redemarre et rescanne pour voir

Rafton · Answer

G pas vraiment compris
J'ai collé les éléments. Ensuite je l'enregistr où le fichier ?

"et met tous fichiers en dessous ensuite double clik sur se reg et accepte "

Et ça g pas compris ce que tu veux me faire faire

balltrap34 · Answer

sur ton bureau
quand tu veut l enregistrer une fenetre s ouvre
ok dans la case nom de fichier tu met ceci hk.reg

end essous dans la case type tu clik sur la fleche et tu met tous fichiers
ensuite tu clik sur enregistre
la tu vas sur ton bureau tu as un icone marquee hk.reg
double clik dessus et si il te demande de confirmer dit oui

redemarre et refait le sscan pour voir

la chasse et le balltrap ma vrai passion
voir site perso dans profil

Rafton · Answer

justement il me propose pas tous fichiers. J'ai :document textedocument au format rtfdocument texte ms dosdocument texte unicodec tout

balltrap34 · Answer

c est pas grave met doc texte et quand tu vas sur ton bureau clik droit dessus et renemmer et le tu met hk.reg il vas te dire peut etre qu il ne vas pas fonctionner si tu le renomme c est pas grave ne t inquiete pas la tu doit te retrouver avec un icone avec des petit carre bleue la double clik et suis la procedure

Rafton · Answer

Il refuse de me le lancer. Il me dit :
"Impossible d'importer c:\.... le fichier spécifié n'est pas un script de registre. Vous pouvez uniquement importer des fichiersdu registre binaire à partir de l'éditeur de registre"

Rafton · Answer

Tu sais koi balltrap, je vais me coucher. Il se fait tard.Taf demainDonne moi la démarche à suivre et je fais ça demainMerci de ton aide et de ta petiencea+

balltrap34 · Answer

recommence et a la place de regedit4
met ceci
Windows Registry Editor Version 5.00

cela donne ceci

******

Windows Registry Editor Version 5.00

[-HKEY_CURRENT_USER\SOFTWARE\TRAYNOTIFIER]

[-HKEY_LOCAL_MACHINE\SOFTWARE\PERFECTNAV]

[-HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\INTERNET EXPLORER\EXTENSIONS\CMDMAPPING\{1A00C40B-DA85-4AA3-A67F-582D9347EECD}]

[-HKEY_CLASSES_ROOT\Interface\{71a27036-c7d8-11d2-bef8-525400dfb47a}]

*********

enregistre le sous le nom
hk.reg
et met tous fichiers en dessous ensuite double clik sur se reg et accepte

la redemarre et rescanne pour voir

ALTNET,SMDATA

40 réponses

Votre réponse

Newsletters