Altnet, un spyware insupprimable!!!

lesespagnoles Messages postés 5 Statut Membre -  
Rumbacampus Messages postés 1244 Statut Membre -
Salut à tous,

Je suis désespéré, depuis près de 3 semaines que je suis sur le problème d'un spyware nommé Altnet que peu de monde connaît malheureusement, mais moi, je commence à lui parler souvent à celui-là, il niche dans mon pc sans bien sûr me demander l'autorisation...

Mais que voulez-vous, les virus aurait maintenant besoin de notre autorisation pour y venir y faire un tour et pourquoi s'installer durablement dans ce cas.

Allez, je reviens sur mon problème, tout a commencé il y a exactement 3 semaines, quand un de mes frangins a téléchargé Kazaa. Aucun pb pendant les 3 premiers jours.

Après, tout se complique, le pc ralentis fortement par rapport à son habitude, je fais du nettoyage personnellement (je me débrouille bien dans l'informatique) mais malheureusement, je n'ai jamais arrivé à supprimer ce spyware Altnet.

J'ai utilisé tous les logiciels du genre Spybot-Search , Ad-aware, a2, ewido, microsoft anti-spyware, etc...

il me détecte seulement ce spyware mais ne parvienne pas à l'éradiquer ou tout simplement à le supprimer de mon pc (toute MAJ faites), manip faites en mode normal et en mode sans échec.

Que me conseillez-vous de faire ? Que faire ? Se résigner ? L'affronter ? Le détruire ?

Merci de m'aider , ce spyware m'a miné le moral et l'esprit, j'aimerais bien lui montré ce que je sais faire de celui-là...

17 réponses

  1. jean38 Messages postés 2534 Date d'inscription   Statut Contributeur Dernière intervention   47
     
    salut,

    si les anti spy n'y font rien, fait ceci:

    telecharge hijackthis:
    http://www.merijn.org/files/hijackthis.zip
    Dezippe le dans un dossier prévu a cet effet.
    Par exemple C:\hijackthis

    Démo : (merci a balltrap34 pour cette réalisation)
    http://pageperso.aol.fr/balltrap34/demohijack.htm

    lance le puis:
    clic sur "do a system scan and save logfile" et pas autre chose
    fais un copier coller du log entier ici.

    a+
    0
  2. lesespagnoles Messages postés 5 Statut Membre
     
    Bonjour à tous,

    Ajouté par L'etranger (21/08/2005 à 05:08 GMT+2)
    Tu connais la branlette espagnole????
    Spybot normalement devrait lenlever!!!

    Merci pour ce genre de réponse l'étranger, au moins respectes mon pseudo.Spybot n'arrive pas à le supprimer, si tu avais bien lu mon message , tu aurais bien vu que j'ai essayé Spybot en mode normal et en mode sans échec.

    malheureusement jean louis 37, ce lien, je le connais très bien mais il n'existe pas de fichier b3projector dans Ajout/Suppression ni d'autres fichiers comme il précise (bdclean.exe), de toute façon, je n'ai vu personne arrivé à désinstaller complètement le logiciel Altnet de cette façon, tout le monde précise que tous ces fichiers n'existent pas.

    Voilà le log HijackThis:

    Logfile of HijackThis v1.99.1
    Scan saved at 11:53:44, on 21/08/2005
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Trend Micro\PC-cillin 9\Tmntsrv.exe
    C:\Program Files\Trend Micro\PC-cillin 9\PCCPFW.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\System32\igfxtray.exe
    C:\WINDOWS\System32\hkcmd.exe
    C:\Program Files\Analog Devices\SoundMAX\PmProxy.exe
    C:\WINDOWS\System32\00THotkey.exe
    C:\WINDOWS\system32\TFNF5.exe
    C:\WINDOWS\system32\TPWRTRAY.EXE
    C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb06.exe
    C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
    C:\Program Files\Trend Micro\PC-cillin 9\pccguide.exe
    C:\Program Files\Trend Micro\PC-cillin 9\PCCClient.exe
    C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
    C:\Program Files\Trend Micro\PC-cillin 9\Pop3trap.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\Messenger\msmsgs.exe
    C:\Program Files\MSN Messenger\msnmsgr.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\Documents and Settings\Cyril\Mes documents\Dossier de tous les téléchargements et installations\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.orange.fr/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://fr.rd.yahoo.com/customize/ie/defaults/su/ymsgr6/fr/*http://fr.yahoo.com
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.orange.fr/
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
    R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.tiscali.fr/
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn1\ycomp5_3_18_0.dll
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O3 - Toolbar: Yahoo! Compagnon - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn1\ycomp5_3_18_0.dll
    O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
    O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
    O4 - HKLM\..\Run: [PmProxy] C:\Program Files\Analog Devices\SoundMAX\PmProxy.exe
    O4 - HKLM\..\Run: [00THotkey] C:\WINDOWS\System32\00THotkey.exe
    O4 - HKLM\..\Run: [000StTHK] 000StTHK.exe
    O4 - HKLM\..\Run: [TFNF5] TFNF5.exe
    O4 - HKLM\..\Run: [Tpwrtray] TPWRTRAY.EXE
    O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb06.exe
    O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
    O4 - HKLM\..\Run: [pccguide.exe] "C:\Program Files\Trend Micro\PC-cillin 9\pccguide.exe"
    O4 - HKLM\..\Run: [PCCClient.exe] "C:\Program Files\Trend Micro\PC-cillin 9\PCCClient.exe"
    O4 - HKLM\..\Run: [Pop3trap.exe] "C:\Program Files\Trend Micro\PC-cillin 9\Pop3trap.exe"
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
    O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
    O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MI1933~1\Office10\EXCEL.EXE/3000
    O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Program Files\Yahoo!\Messenger\yhexbmes.dll
    O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Program Files\Yahoo!\Messenger\yhexbmes.dll
    O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
    O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O16 - DPF: Yahoo! Chess - http://download.games.yahoo.com/games/clients/y/ct2_x.cab
    O16 - DPF: Yahoo! Fleet - http://download.games.yahoo.com/games/clients/y/fltt3_x.cab
    O16 - DPF: Yahoo! Pool 2 - http://download.games.yahoo.com/games/clients/y/pote_x.cab
    O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.com/scan8/oscan8.cab
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1122472205452
    O16 - DPF: {87AF076E-D86D-4E87-ADDD-F05804E1F150} (VirginMega DownloadManager) - https://www.virginmega.fr/DownloadManager/Release/Prod/DownMan.cab
    O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
    O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5free/asinst.cab
    O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
    O16 - DPF: {D28C3640-A6D7-4668-A53C-07A9CF67D157} (CFnacComposantCtrl Object) - http://www.fnacmusic.com/telechargementFnacmusic/FnacComposant.cab
    O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab
    O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
    O23 - Service: PC-cillin PersonalFirewall (PCCPFW) - Trend Micro Inc. - C:\Program Files\Trend Micro\PC-cillin 9\PCCPFW.exe
    O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
    O23 - Service: Trend NT Realtime Service (Tmntsrv) - Trend Micro Inc. - C:\Program Files\Trend Micro\PC-cillin 9\Tmntsrv.exe

    Je vous poste aussi le rapport de Spybot (seulement les clés insupprimables détectés à chaque analyse de celui-ci) pour vous montrer que ce logiciel détecte toujours ces 6 éléments , qui sont des clés de registre insupprimable malheureusement (même avec contrôle total de la clé ou lecture seule):

    --- Search result list ---
    GoldenPalace.Casino: Réglages (Clé du registre, fixed)
    HKEY_USERS\S-1-5-21-2189336197-894288397-1248150333-1006\Software\Grand Online Casino PT

    GoldenPalace.Casino: Lien (Fichier, fixed)
    C:\Documents and Settings\Xavier\Bureau\Raccourcis Bureau non utilisés\Grand Online Casino NEW.lnk

    DSO Exploit: Data source object exploit (Modification du registre, fixed)
    HKEY_USERS\S-1-5-21-2189336197-894288397-1248150333-1006\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3

    Altnet: Root class (Clé du registre, fixing failed)
    HKEY_LOCAL_MACHINE\Software\Classes\ADM25.ADM25

    Altnet: Root class (Clé du registre, fixing failed)
    HKEY_LOCAL_MACHINE\Software\Classes\ADM25.ADM25.1

    Altnet: Root class (Clé du registre, fixing failed)
    HKEY_LOCAL_MACHINE\Software\Classes\ADM4.ADM4

    Altnet: Root class (Clé du registre, fixing failed)
    HKEY_LOCAL_MACHINE\Software\Classes\ADM4.ADM4.1

    Altnet: Root class (Clé du registre, fixing failed)
    HKEY_LOCAL_MACHINE\Software\Classes\TopSearch.TSLink

    Altnet: Root class (Clé du registre, fixing failed)
    HKEY_LOCAL_MACHINE\Software\Classes\TopSearch.TSLink.1

    InstaFink: Réglages (Clé du registre, fixed)
    HKEY_USERS\S-1-5-21-2189336197-894288397-1248150333-1006\Software\INSTAFINK

    Grand mrc pour l'aide apporté
    0
  3. jean38 Messages postés 2534 Date d'inscription   Statut Contributeur Dernière intervention   47
     
    et bien perso je ne vois rien dans ton log.

    as tu fait ma manip de nettoyage ainsi:

    A/ si tu ne les as pas, telecharge:

    Ad-Aware SE 1.06
    http://www.lavasoftusa.com/software/adaware/

    Spybot S&D 1.4

    puis Clean Up 40 :
    http://pageperso.aol.fr/balltrap34/CleanUp40.exe

    idem si tu ne l’as pas A2 free sur
    http://www.emsisoft.net/fr/software/download/

    met à jour spybot, ad aware et a2 free sur internet (tu trouves l’option dans les menus)

    mais ne lance pas les scan.

    1) clic droit sur poste de travail
    propriété
    restauration systeme
    coche desactivé puis appliquer

    2) demarrer
    panneau de configuration
    outil
    option des dossiers
    affichage,
    coche afficher dossier cachés
    decoche : masquer extension des fichiers dont le type est connu
    masquer les fichiers protégés du systeme d'exploitation.

    3) demarre en mode sans echec.
    Soit tu tapotte sur la touche F8 alancement de Windows et tu choisi sans echec (pas d’inquiétude pour l’aspect de l’ecran)

    4)execute cleanup40.exe

    tu relances tes scan ad aware
    puis spy boot
    puis a2 free
    et vire tout ce qu'ils trouvent (c'est un peu long mais tu devrais t'en sortir).

    vide ta poubelle et redemarre en mode normal, c'est à dire avant de redemarrer, tu refais les manip de départ (1) et (2) mais en recochant ... pour retrouver la config de départ.

    et dis moi ce qu'il en est.

    A+

    Jean
    0
  4. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  5. Utilisateur anonyme
     
    saut
    Fais une recherche avec la fonction rechercher de windows de ceci:
    -alnet
    -kazaa
    -bullgard

    Ensuite utilise ceci
    jv16

    (ancienne version gratuite) http://www.puntocr.it/index.php?module=downloads_riz&func=display&pid=3&lid=26
    la tu le lance tu click sur outil registre/outil/nettoyage de registre/continuer /demarrer
    la tu le laisse faire c est un peu long
    quand il a finit
    tu selectionne les rond vert par paquet de 20 ou 30
    une fois que tu les a selectionner tu click sur supprimer en bas a droite
    et tu continue jusqu a qu il ne reste plus de rond vert

    a+
    0
  6. jean38 Messages postés 2534 Date d'inscription   Statut Contributeur Dernière intervention   47
     
    exact,

    c'etait la manip suivante que j'avais preparée

    merci à Regis
    0
    1. spooky
       
      STP Jean!
      Je t'ai laissé un msg hier soir "Trojan Stwoyle". J'ai fait ce ke tu m'as dit. Le rapport est disponible. Peux tu m'indiquer la suite STP???? Je suis vraiment dans la m.....!!!
      Merci encore!!
      (Désolé de cette intrusion mais c'est urgentissime)
      0
  7. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    lol il y a deux equipes de choc ici
    regis et jean et l autre
    0
  8. Utilisateur anonyme
     
    Chacun son equipe lol
    les plus jeune ensemble: moi et jean
    et toi et moe lol

    Desole d etre venu sur le poste jean ^^ lol (je pensais que t allais oublier de le faire; excuse !)

    bon courage

    a+
    0
  9. jean38 Messages postés 2534 Date d'inscription   Statut Contributeur Dernière intervention   47
     
    a non pas d'excuse, je ne m'ofusque pas de çà au contraire, j'aime le travail en equipe, n'hesite surtout pas.
    0
  10. lesespagnoles Messages postés 5 Statut Membre
     
    slt tt le monde,

    voilà, je tiendrai à vous dire d'arrêter de m'embêter avec tous ces logiciels que vous me dites de télécharger , regarder le premier message que je poste, je précise que j'ai tous ces logiciels, ils sont tous mis à jour et toutes les versions à jour, j'ai effectué toutes les manips possibles que ce soit en mode normal qu'en mode sans échec, voilà tous les liens où j'ai exposé le même problème avec ce spyware Altnet sans succès malheureusement:

    http://forum.telecharger.01net.com/microhebdo/questions_techniques_diverses/securite/un_pc_qui_rame_et_une_barre_search-318268/messages-1.html

    http://micro-facile.forumactif.net/ftopic4.Un-virus-qui-se-renouvelle.htm

    http://assiste.forum.free.fr/viewtopic.php?t=8315&postdays=0&postorder=asc&start=0&sid=1da5336e0af3459d4e2ee5a36a0567e4

    http://www.infos-du-net.com/forum/122794-11-virus-renouvelle

    voilà, j'ai juste ces 7 clés de registre que je n'arrive à supprimer moi-même: les voici:

    --- Search result list ---
    Hotbar: Root class (Clé du registre, fixing failed)
    HKEY_LOCAL_MACHINE\Software\Classes\ShprRprts.IEButtonA

    Hotbar: Root class (Clé du registre, fixing failed)
    HKEY_LOCAL_MACHINE\Software\Classes\ShprRprts.IEButtonA.1

    Altnet: Root class (Clé du registre, fixing failed)
    HKEY_LOCAL_MACHINE\Software\Classes\ADM4.ADM4

    Altnet: Root class (Clé du registre, fixing failed)
    HKEY_LOCAL_MACHINE\Software\Classes\ADM4.ADM4.1

    Altnet: Root class (Clé du registre, fixing failed)
    HKEY_LOCAL_MACHINE\Software\Classes\TopSearch.TSLink

    Altnet: Root class (Clé du registre, fixing failed)
    HKEY_LOCAL_MACHINE\Software\Classes\TopSearch.TSLink.1

    InstaFink: Root class (Clé du registre, fixing failed)
    HKEY_LOCAL_MACHINE\Software\Classes\instafink.INSTAFINK

    voilà, ce que je recherche, c'est d'avoir les droits exclusifs pour permettre de supprimer ces clés de registre qui sont toujours détectés par mes logiciels suivant : Spybot-Search, ad-aware, ewido, microsoft anti-spyware et jv16, qui malheureusement n'arrive pas à supprimer...

    j'ai arrivé à supprimer certaines clés parce que j'étais le propriétaire de celle-ci, je vous tiens au courant pour les autres clés...

    simple question, que puis-je avoir si ces clés restent toujours dans cette base de registre

    merci de m'aider svp!!!
    0
  11. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    salut
    si tu veut que l ont ne t embete plus comme tu dit ne demande pas de l aide
    0
  12. lesespagnoles Messages postés 5 Statut Membre
     
    voilà, je tiendrai à vous dire d'arrêter de m'embêter avec tous ces logiciels

    non, je ne dis pas de ne pas m'embêter, mais avec ces logiciels, surtout que je précise bien que j'ai effectué les manips, et les liens que je vous indique le confirme.

    j'avance petit à petit avec ce logiciel Altnet, il ne me reste plus que 4 ou 5 clés de registre à supprimer de ma base de registre...

    ceux-là :

    --- Search result list ---
    DSO Exploit: Data source object exploit (Modification du registre, fixed)
    HKEY_USERS\S-1-5-21-2189336197-894288397-1248150333-1007\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3

    Altnet: Root class (Clé du registre, fixing failed)
    HKEY_LOCAL_MACHINE\Software\Classes\ADM4.ADM4.1

    Altnet: Root class (Clé du registre, fixing failed)
    HKEY_LOCAL_MACHINE\Software\Classes\TopSearch.TSLink

    Altnet: Root class (Clé du registre, fixing failed)
    HKEY_LOCAL_MACHINE\Software\Classes\TopSearch.TSLink.1

    Cydoor: Réglages utilisateur (Clé du registre, fixed)
    HKEY_USERS\S-1-5-21-2189336197-894288397-1248150333-1007\Software\Cydoor

    WhenU.WeatherCast: Groupe de programmes (Répertoire, fixed)
    C:\Documents and Settings\Nicolas\Menu Démarrer\Programmes\WeatherCast

    InstaFink: Réglages (Clé du registre, fixed)
    HKEY_USERS\S-1-5-21-2189336197-894288397-1248150333-1007\Software\INSTAFINK

    InstaFink: Root class (Clé du registre, fixing failed)
    HKEY_LOCAL_MACHINE\Software\Classes\instafink.INSTAFINK

    voilà, je vous remercie de votre et j'en suis désolé d'avoir dit d'arrêter de m'embêter.

    bonne journée à tous!!!
    0
  13. jean38 Messages postés 2534 Date d'inscription   Statut Contributeur Dernière intervention   47
     
    OK et bien travaille bien sur ton registre...

    si tu veux prendre le risque de le faire en direct, c'est ton Pb, cependant si tu ne supprimes pas les exe qui ont créé ces clés tu vas bosser pour²rien mais .... excuses nous de t'embeter et bon travail.

    Jean
    0
  14. lesespagnoles Messages postés 5 Statut Membre
     
    que sont les exes dont tu parles jean38 ?

    mrc de m'aider, bonne nuit à toi!!!
    0
  15. Rumbacampus Messages postés 1244 Statut Membre 184
     
    Bonjour tout le monde,

    Suis tous les conseils et on y arrivera.
    Certaines applications ou malwares modifient les droits d'accès aux clés.
    Pour supprimer une clef récalcitrante (bien entendu, il faut des droits d'administrateur et savoir ce qu'on fait) la sélectionner, ouvrir "éditer" "autorisations" et autoriser le "contrôle total"
    Ca devrait marcher.

    @+
    0
  16. Rumbacampus Messages postés 1244 Statut Membre 184
     
    Re

    Excuses, tu sais, j'avais pas lu les posts dans le détail

    @+
    0