Processus BackWeb-4448364 - spyware ?
Jean-Claude Chabanis
-
Jean-Claude CHABANIS -
Jean-Claude CHABANIS -
Bonjour.
Je viens d'installer SP-2 sur ma machine, un ordinateur Packard-Bell avec Windows XP. Le centre de sécurité me signale que le processus BackWeb-4448364 est douteux, et qu'il me le bloque. J'ai fait une recherche sur Google, qui semble confirmer qu'il s'agit d'un spyware.
Or, il fait partie de la fonction Activsurf fournie avec l'ordinateur par le constructeur.
S'agit-il réellement d'un spyware ? Si oui :
- comment s'en débarrasser ?
- Packard Bell n'est-il pas un peu "gonflé" de mettre ce genre de truc en série dans ses machines ?
Sinon, désolé de vous avoir importuné pour un faux problème.
Merci beaucoup pour votre aide.
Jean-Claude
Je viens d'installer SP-2 sur ma machine, un ordinateur Packard-Bell avec Windows XP. Le centre de sécurité me signale que le processus BackWeb-4448364 est douteux, et qu'il me le bloque. J'ai fait une recherche sur Google, qui semble confirmer qu'il s'agit d'un spyware.
Or, il fait partie de la fonction Activsurf fournie avec l'ordinateur par le constructeur.
S'agit-il réellement d'un spyware ? Si oui :
- comment s'en débarrasser ?
- Packard Bell n'est-il pas un peu "gonflé" de mettre ce genre de truc en série dans ses machines ?
Sinon, désolé de vous avoir importuné pour un faux problème.
Merci beaucoup pour votre aide.
Jean-Claude
A voir également:
- Processus BackWeb-4448364 - spyware ?
- Spyware doctor - Télécharger - Antivirus & Antimalwares
- Spyware terminator - Télécharger - Antivirus & Antimalwares
- Spyware blaster - Télécharger - Antivirus & Antimalwares
- Anti spyware gratuit - Télécharger - Antivirus & Antimalwares
- Anti spyware - Télécharger - Antivirus & Antimalwares
9 réponses
salut aparement c'est un spy
telecharge ces antispywares
(spy bot)
http://spybot.dalnet.com.fr/spybotsd13.exe
(adware SE)
http://www.ordi-netfr.org/adawarese.html
(CWshredder)
http://www.soft32.com/download_19014.html
pour ce dernier faut absolument fermer tout les programe y compris internet explorer et donc hors connexion ensuite faire fix next next
(spy sweeper )
http://www.zdnet.fr/telecharger/windows/fiche/0,39021313,11010914s,00.htm
telecharge cette antitrojan
http://www.emsisoft.net/fr/
pense a les mettre a jour avant de les lance
ensuite tu nous dit ce que ca donne
ensuite suprimez les fichier inutiles
demarrer/paneau de configuration/option internet/suprimer fichier temporaaire apres une petite fentre s'ouvre tu coche "suprimer tout le contenu hors connexion" suprime aussi les cookies et efface l'historique
@+++++++++++
telecharge ces antispywares
(spy bot)
http://spybot.dalnet.com.fr/spybotsd13.exe
(adware SE)
http://www.ordi-netfr.org/adawarese.html
(CWshredder)
http://www.soft32.com/download_19014.html
pour ce dernier faut absolument fermer tout les programe y compris internet explorer et donc hors connexion ensuite faire fix next next
(spy sweeper )
http://www.zdnet.fr/telecharger/windows/fiche/0,39021313,11010914s,00.htm
telecharge cette antitrojan
http://www.emsisoft.net/fr/
pense a les mettre a jour avant de les lance
ensuite tu nous dit ce que ca donne
ensuite suprimez les fichier inutiles
demarrer/paneau de configuration/option internet/suprimer fichier temporaaire apres une petite fentre s'ouvre tu coche "suprimer tout le contenu hors connexion" suprime aussi les cookies et efface l'historique
@+++++++++++
Bonjour.
Merci beaucoup pour ces infos. J'ai téléchargé SpyBot, SpySweeper, a²free et CWshredder. J'avais déjà AdAware.
Impossible d'utiliser SpySweeper : date de péremption passée !
J'ai tourné SpyBot et j'avais déjà tourné AdAware :
- aucun des deux ne signale backweb-4448364
- AdAware m'avait déjà signalé WinFavorites "malware", que je n'ai jamais pu éliminer car, si j'enlève les 7 clés registre et les deux exécutables (a.exe et bridge.dll, tous deux arrivés récemment dans c:\WINDOWS\system32), ça me perturbe sérieusement ma machine: arrêt automatique impossible de rundll32.exe lors de l'arrêt de la machine, recherche de bridge.dll lors du démarrage, et deuxappli Adobe (Photoshop et Premiere) ne démarrant plus. Si je n'en enlève qu'une partie, j'ai les mêmes perturbations
- SpyBot me signale le même "malware", avec les mêmes clés et fichiers, mais sous le nom de BlazeFind.Bridge. Il m' aussi signalé :
. près de 100 cookies et autant d'URL, que j'ai virés
. DivagoSurfairy -1 exécutable et 3 clés fournis avec l'ordinateur par PackardBell. Je n'y ai pas touché
. DSO Exploit - 5 clés dans Internet Settings : je les ai virées mais elles sont revenues
. Teknum Updater - 2 fichiers (update.exe et update.dat) faisant partie d'un ensemble Teknum Systems fourni avec l'ordinateur. Je n'y ai pas touché
. StatBlaster.Allfiles7 - 1 exécutable (pollall1m.exe arrivé récemment dans c:\WINDOWS\system32\) et une clé renvoyant sur bridge.dll. Je vais essayer de le virer pour voir ce que ça donne
. TwainTech - preInstt.exe arrivé récemment dans c:\WINDOWS\. Je vais essayer de le virer pour voir ce que ça donne.
Je suis preneur de tout conseil et recommandation, en particulier pour me débarrasser de WinFavorites alias BlazeFind.Bridge.
Merci encore.
Merci beaucoup pour ces infos. J'ai téléchargé SpyBot, SpySweeper, a²free et CWshredder. J'avais déjà AdAware.
Impossible d'utiliser SpySweeper : date de péremption passée !
J'ai tourné SpyBot et j'avais déjà tourné AdAware :
- aucun des deux ne signale backweb-4448364
- AdAware m'avait déjà signalé WinFavorites "malware", que je n'ai jamais pu éliminer car, si j'enlève les 7 clés registre et les deux exécutables (a.exe et bridge.dll, tous deux arrivés récemment dans c:\WINDOWS\system32), ça me perturbe sérieusement ma machine: arrêt automatique impossible de rundll32.exe lors de l'arrêt de la machine, recherche de bridge.dll lors du démarrage, et deuxappli Adobe (Photoshop et Premiere) ne démarrant plus. Si je n'en enlève qu'une partie, j'ai les mêmes perturbations
- SpyBot me signale le même "malware", avec les mêmes clés et fichiers, mais sous le nom de BlazeFind.Bridge. Il m' aussi signalé :
. près de 100 cookies et autant d'URL, que j'ai virés
. DivagoSurfairy -1 exécutable et 3 clés fournis avec l'ordinateur par PackardBell. Je n'y ai pas touché
. DSO Exploit - 5 clés dans Internet Settings : je les ai virées mais elles sont revenues
. Teknum Updater - 2 fichiers (update.exe et update.dat) faisant partie d'un ensemble Teknum Systems fourni avec l'ordinateur. Je n'y ai pas touché
. StatBlaster.Allfiles7 - 1 exécutable (pollall1m.exe arrivé récemment dans c:\WINDOWS\system32\) et une clé renvoyant sur bridge.dll. Je vais essayer de le virer pour voir ce que ça donne
. TwainTech - preInstt.exe arrivé récemment dans c:\WINDOWS\. Je vais essayer de le virer pour voir ce que ça donne.
Je suis preneur de tout conseil et recommandation, en particulier pour me débarrasser de WinFavorites alias BlazeFind.Bridge.
Merci encore.
bonjour ^_^
DSO Exploit<--inutile de s'acharner dessus c'est un bug (met cette détection en "ignoré" ) (à la prochaine version de Spybot on espère vivement que ce bug sera corrigé - ça dUre....)
http://www.secuser.com/alertes/2004/dsoexploit.htm
pour le reste essaye de faire un Hijackthis pour vouèrrr ;-)
http://www.zebulon.fr/articles/HijackThis.php
copie/colle le résultat ici si tu veux un p'tit coup de main
tu as bien la dernière version de ad-aware SE? (la 6.0 est périmée)
@+
*Devise : Je m'intéresse à l'avenir parceque
c'est là que je vais passer le reste de ma vie*
DSO Exploit<--inutile de s'acharner dessus c'est un bug (met cette détection en "ignoré" ) (à la prochaine version de Spybot on espère vivement que ce bug sera corrigé - ça dUre....)
http://www.secuser.com/alertes/2004/dsoexploit.htm
pour le reste essaye de faire un Hijackthis pour vouèrrr ;-)
http://www.zebulon.fr/articles/HijackThis.php
copie/colle le résultat ici si tu veux un p'tit coup de main
tu as bien la dernière version de ad-aware SE? (la 6.0 est périmée)
@+
*Devise : Je m'intéresse à l'avenir parceque
c'est là que je vais passer le reste de ma vie*
Bonjour
BackWeb n'est pas un spyware, c'est un dispositif de mise à jour automatique pratiquant le push. Je le considère comme introduisant une faille de sécurité dans nos systèmes.
Lire
BackWeb
Outil de download silencieux très souvent utilisé par les fournisseurs de logiciels et de matériel informatique
http://assiste.free.fr/p/internet_attaquants/backweb.php
Anti Mises à jour automatiques
Certains logiciels s'auto-mettent à jour automatiquement et en profitent pour rétablir des fonctions ou paramètres que nous avions manipulés. Par la même occasion ce sont tous nos disques durs et notre base de registre ...
http://assiste.free.fr/p/internet_contre_mesures/anti_mises_a_jour_auto.php
Pierre (aka Terdef)
BackWeb n'est pas un spyware, c'est un dispositif de mise à jour automatique pratiquant le push. Je le considère comme introduisant une faille de sécurité dans nos systèmes.
Lire
BackWeb
Outil de download silencieux très souvent utilisé par les fournisseurs de logiciels et de matériel informatique
http://assiste.free.fr/p/internet_attaquants/backweb.php
Anti Mises à jour automatiques
Certains logiciels s'auto-mettent à jour automatiquement et en profitent pour rétablir des fonctions ou paramètres que nous avions manipulés. Par la même occasion ce sont tous nos disques durs et notre base de registre ...
http://assiste.free.fr/p/internet_contre_mesures/anti_mises_a_jour_auto.php
Pierre (aka Terdef)
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
oui, tout dépends de ce qu'on veut lire, comprendre et écrire
http://assiste.free.fr/p/internet_attaquants/backweb.php
pour moi backweb est une peste, a supprimer si le logiciel qui y est relié le supporte...!
-------------------------------------------------------------------------------
BackWeb sert surtout à télécharger des données de type "informations sur leurs nouveaux produits" et à les afficher sous forme de pop-up. Il a donc, à ce titre, un comportement strictement d'adware. L'un de ses composants, iadhide3.dll, écoute ce qui se passe au clavier, à la souris et dans le lancement d'applications, travail habituel des keyloggers, même si BackWeb se défend de noter quoi que se soit, pour détecter les périodes de "pose" des utilisateurs et afficher des pop-ups publicitaires. Mais c'est là le moindre des soucis qu'il pose.
Il n'a pas encore été prouvé qu'il était malicieux mais il est très suspect dans son comportement et dans son installation à tel point que beaucoup d'observateurs le classe parmi les Spywares.
HP (Hewlett Packard) est l'un de ces fournisseurs de matériel utilisant la technologie BackWeb mais lui (et sans doute les autres mais on ne le sait pas encore) est allé tellement loin que son logiciel Internet Netropa ping régulièrement un serveur pour maintenir une connexion vivante et transmet l'usage des touches de fonction étendues des claviers type One Touch Internet Keyboard. Là, il s'agit d'un véritable keylogger.
http://assiste.free.fr/p/internet_attaquants/backweb.php
pour moi backweb est une peste, a supprimer si le logiciel qui y est relié le supporte...!
-------------------------------------------------------------------------------
BackWeb sert surtout à télécharger des données de type "informations sur leurs nouveaux produits" et à les afficher sous forme de pop-up. Il a donc, à ce titre, un comportement strictement d'adware. L'un de ses composants, iadhide3.dll, écoute ce qui se passe au clavier, à la souris et dans le lancement d'applications, travail habituel des keyloggers, même si BackWeb se défend de noter quoi que se soit, pour détecter les périodes de "pose" des utilisateurs et afficher des pop-ups publicitaires. Mais c'est là le moindre des soucis qu'il pose.
Il n'a pas encore été prouvé qu'il était malicieux mais il est très suspect dans son comportement et dans son installation à tel point que beaucoup d'observateurs le classe parmi les Spywares.
HP (Hewlett Packard) est l'un de ces fournisseurs de matériel utilisant la technologie BackWeb mais lui (et sans doute les autres mais on ne le sait pas encore) est allé tellement loin que son logiciel Internet Netropa ping régulièrement un serveur pour maintenir une connexion vivante et transmet l'usage des touches de fonction étendues des claviers type One Touch Internet Keyboard. Là, il s'agit d'un véritable keylogger.
toujours tiré du même article...:
"...Y a-t'il un seul naïf pour croire un seul instant qu'ils trient l'information et ne font remonter que ce qui les concerne ...? BackWeb est un cheval de Troie connu."
http://assiste.free.fr/p/internet_attaquants/backweb.php
"...Y a-t'il un seul naïf pour croire un seul instant qu'ils trient l'information et ne font remonter que ce qui les concerne ...? BackWeb est un cheval de Troie connu."
http://assiste.free.fr/p/internet_attaquants/backweb.php
Bonjour.
Merci beaucoup à ceux qui m'ont répondu.
J'ai bloqué Backweb... à l'aide de la fonction blocage de SP-2. J'espère que ça suffira. Sinon, je vais essayer de le virer.
J'ai viré TwainTech et Statblaster.Allfiles7 apparemment sans bobo visible. J'espère que des trucs tordus ne vont pas se produire plus tard. Je vais essayer de virer aussi les autres.
Je ne sais toujours pas comment me débarrasser de WinFavorites alias BlazeFind.Bridge. Merci pour un tuyau éventuel.
Pour répondre à dolly.dagger :
- j'ai effectivement la version 6.0 d'AdAware. Je vais donc télécharger une version plus récente puisque ma version est obsolete.
- voici ci-dessous le log Hijack.This de ma machine.
Merci beaucoup.
Logfile of HijackThis v1.98.2
Scan saved at 18:57:24, on 05/10/2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\Apps\ActivBoard\MMKeybd.exe
C:\Iomega\DriveIcons\ImgIcon.exe
C:\Norton\NORTON~1\NORTON~1\navapw32.exe
C:\apps\ActivSurf\4448364\Program\backweb-4448364.exe
C:\Hewlett-Packard\Scanner\HP Share-to-Web\hpgs2wnd.exe
C:\Program Files\Winamp\Winampa.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Iomega\AutoDisk\AD2KClient.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Hewlett-Packard\Scanner\HP Share-to-Web\hpgs2wnf.exe
C:\Program Files\SAGEM\SAGEM F@st 800-908\dslmon.exe
C:\Roxio\GoBack\GBTray.exe
C:\Apps\ActivBoard\TrayMon.exe
C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Apps\ActivBoard\OSD.exe
C:\Program Files\NETGEAR\MA111 Configuration Utility\wlancfg4.EXE
C:\Apps\ActivBoard\nhksrv.exe
C:\Norton\Deepsight analyser\ExtractorService.exe
C:\Roxio\GoBack\GBPoll.exe
C:\PROGRA~1\Iomega\System32\ActivityDisk.exe
C:\Norton\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
C:\Norton\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\slserv.exe
C:\Norton\NORTON~1\SPEEDD~1\nopdb.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\mozilla.org\Mozilla\mozilla.exe
C:\Programmes téléchargés\Anti-spyware\HijackThis.exe
C:\WINDOWS\system32\NOTEPAD.EXE
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.laposte.net
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.planetis.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.laposte.net
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = iexplore
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer fourni par Planetis
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Adobe\Acrobat Reader 6\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: bait first - {2618E98C-FFDE-8DF1-1077-9F817D8F7AC5} - C:\PROGRA~1\ONLINE~1\about16.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: brdg Class - {9C691A33-7DDA-4C2F-BE4C-C176083F35CF} - C:\WINDOWS\System32\bridge.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Norton\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Norton\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: (no name) - {48128A4C-B37B-4ECC-AE3C-035868D2ACB1} - (no file)
O3 - Toolbar: Bone help atom - {8A62AD73-42E7-7E0E-66F5-A1054FFE7EC6} - C:\PROGRA~1\ONLINE~1\about16.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [ACTIVBOARD] C:\Apps\ActivBoard\MMKeybd.exe
O4 - HKLM\..\Run: [Iomega Startup Options] C:\Iomega\Common\ImgStart.exe
O4 - HKLM\..\Run: [Iomega Drive Icons] C:\Iomega\DriveIcons\ImgIcon.exe
O4 - HKLM\..\Run: [NAV Agent] C:\Norton\NORTON~1\NORTON~1\navapw32.exe
O4 - HKLM\..\Run: [ActivSurf] C:\apps\ActivSurf\4448364\Program\backweb-4448364.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Hewlett-Packard\Scanner\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [RunDLL] rundll32.exe "C:\WINDOWS\System32\bridge.dll",Load
O4 - HKCU\..\Run: [MoneyAgent] "C:\Program Files\Microsoft Money\System\Money Express.exe"
O4 - HKCU\..\Run: [Iomega Active Disk] C:\Program Files\Iomega\AutoDisk\AD2KClient.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [Update Service] C:\PROGRA~1\FICHIE~1\TEKNUM~1\update.exe /startup
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - Startup: PowerReg SchedulerV2.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-908\dslmon.exe
O4 - Global Startup: GoBack.lnk = C:\Roxio\GoBack\GBTray.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: MA111 Configuration Utility.lnk = C:\Program Files\NETGEAR\MA111 Configuration Utility\wlancfg.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.planetis.com/
Merci beaucoup à ceux qui m'ont répondu.
J'ai bloqué Backweb... à l'aide de la fonction blocage de SP-2. J'espère que ça suffira. Sinon, je vais essayer de le virer.
J'ai viré TwainTech et Statblaster.Allfiles7 apparemment sans bobo visible. J'espère que des trucs tordus ne vont pas se produire plus tard. Je vais essayer de virer aussi les autres.
Je ne sais toujours pas comment me débarrasser de WinFavorites alias BlazeFind.Bridge. Merci pour un tuyau éventuel.
Pour répondre à dolly.dagger :
- j'ai effectivement la version 6.0 d'AdAware. Je vais donc télécharger une version plus récente puisque ma version est obsolete.
- voici ci-dessous le log Hijack.This de ma machine.
Merci beaucoup.
Logfile of HijackThis v1.98.2
Scan saved at 18:57:24, on 05/10/2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\Apps\ActivBoard\MMKeybd.exe
C:\Iomega\DriveIcons\ImgIcon.exe
C:\Norton\NORTON~1\NORTON~1\navapw32.exe
C:\apps\ActivSurf\4448364\Program\backweb-4448364.exe
C:\Hewlett-Packard\Scanner\HP Share-to-Web\hpgs2wnd.exe
C:\Program Files\Winamp\Winampa.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Iomega\AutoDisk\AD2KClient.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Hewlett-Packard\Scanner\HP Share-to-Web\hpgs2wnf.exe
C:\Program Files\SAGEM\SAGEM F@st 800-908\dslmon.exe
C:\Roxio\GoBack\GBTray.exe
C:\Apps\ActivBoard\TrayMon.exe
C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Apps\ActivBoard\OSD.exe
C:\Program Files\NETGEAR\MA111 Configuration Utility\wlancfg4.EXE
C:\Apps\ActivBoard\nhksrv.exe
C:\Norton\Deepsight analyser\ExtractorService.exe
C:\Roxio\GoBack\GBPoll.exe
C:\PROGRA~1\Iomega\System32\ActivityDisk.exe
C:\Norton\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
C:\Norton\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\slserv.exe
C:\Norton\NORTON~1\SPEEDD~1\nopdb.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\mozilla.org\Mozilla\mozilla.exe
C:\Programmes téléchargés\Anti-spyware\HijackThis.exe
C:\WINDOWS\system32\NOTEPAD.EXE
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.laposte.net
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.planetis.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.laposte.net
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = iexplore
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer fourni par Planetis
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Adobe\Acrobat Reader 6\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: bait first - {2618E98C-FFDE-8DF1-1077-9F817D8F7AC5} - C:\PROGRA~1\ONLINE~1\about16.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: brdg Class - {9C691A33-7DDA-4C2F-BE4C-C176083F35CF} - C:\WINDOWS\System32\bridge.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Norton\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Norton\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: (no name) - {48128A4C-B37B-4ECC-AE3C-035868D2ACB1} - (no file)
O3 - Toolbar: Bone help atom - {8A62AD73-42E7-7E0E-66F5-A1054FFE7EC6} - C:\PROGRA~1\ONLINE~1\about16.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [ACTIVBOARD] C:\Apps\ActivBoard\MMKeybd.exe
O4 - HKLM\..\Run: [Iomega Startup Options] C:\Iomega\Common\ImgStart.exe
O4 - HKLM\..\Run: [Iomega Drive Icons] C:\Iomega\DriveIcons\ImgIcon.exe
O4 - HKLM\..\Run: [NAV Agent] C:\Norton\NORTON~1\NORTON~1\navapw32.exe
O4 - HKLM\..\Run: [ActivSurf] C:\apps\ActivSurf\4448364\Program\backweb-4448364.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Hewlett-Packard\Scanner\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [RunDLL] rundll32.exe "C:\WINDOWS\System32\bridge.dll",Load
O4 - HKCU\..\Run: [MoneyAgent] "C:\Program Files\Microsoft Money\System\Money Express.exe"
O4 - HKCU\..\Run: [Iomega Active Disk] C:\Program Files\Iomega\AutoDisk\AD2KClient.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [Update Service] C:\PROGRA~1\FICHIE~1\TEKNUM~1\update.exe /startup
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - Startup: PowerReg SchedulerV2.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-908\dslmon.exe
O4 - Global Startup: GoBack.lnk = C:\Roxio\GoBack\GBTray.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: MA111 Configuration Utility.lnk = C:\Program Files\NETGEAR\MA111 Configuration Utility\wlancfg.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.planetis.com/
j'ai reussi a virer backweb-4448364 alias activsurf.il faut que tu aille dans demarrer,recherche ,tu tape activsurf.turegarde dans quel repertoire il es.normalement il est dans le disuqe dur c: dans programfiles sous le nom de APPS tu ouvre tu va trouver activsurf tu ouvre tous les sous dossier et tu les efface par l'interieur.tu ouvre le dernier sous menu et tu efface al'interieur et ainsi de suite ta un peu de boulot mais ca marche ,quand t u peux pas effacer pas grave tu passe a un autre et tu reviendra dessus plus tard.une fois que c'est fait le dossier activsurf ne peux pas etre effacer il faut faire un redemarrer.ci yaquelque chose que tu as pas compris fait signe
salut,ci tu trouve la reponse peut tu me la faire parvenir?mon voisin a le meme probleme et j'essaye de lui enlever mais rien a faire.meme avec les anti spyware etc....
merci d'avance
merci d'avance
re-bonjour :-)
la question est de savoir si ce programmes est vraiment indispensable au fonctionnement de HP/PackardBell - c'est un programme d'update (pour updater quoi? des skins ou autres?)
C:\apps\ActivSurf\4448364\Program\backweb-4448364.exe
backweb-8876480 - backweb-8876480.exe - Process Information
Process File : backweb-8876480 or backweb-8876480.exe
Process Name : Logitech Desktop Messenger
Description: Comes with the software for Logitech products. Automatically checks for software upgrades and new products, services, and special offerings from Logitech.
Company : Logitech
System Process : No
Security RiskNo(Virus/Trojan/Worm/Adware/Spyware ) : No
Common Errors: N/A
http://www.liutilities.com/products/wintaskspro/processlibrary/backweb-8876480/
toi c'est pas du tout la mm exe et 1 autre progr.
O4 - HKLM\..\Run: [ActivSurf] C:\apps\ActivSurf\4448364\Program\backweb-4448364.exe
http://www.windowsstartup.com/wso/detail.php?id=4256
*backweb-4448364.exe
Program Title : ActivSurf
Rating : 2 ( Not Required at Startup - Application Launcher, Microsoft Office Application )
Comments : Automatic updater for Packard Bell pc\'s; it uses idle internet time. Can be started manually from Control Panel.*
(regarde sur Google dans les logs hijack : 1 coup ça fixe - 1 coup non :-) )
---------- ---------- ------------ --------------- --------------- ----------------
C:\WINDOWS\system32\slserv.exe cette exe est bonne si tu as des pilotes (drivers) pour SiS
à fixer
O2 - BHO: bait first - {2618E98C-FFDE-8DF1-1077-9F817D8F7AC5} - C:\PROGRA~1\ONLINE~1\about16.dll <--?? bizarre et inconnu (tu fixes et si tu rencontres un problème tu reverses la ligne par le biais du Backup de l'Hijack - 2 précautions.....)
O2 - BHO: brdg Class - {9C691A33-7DDA-4C2F-BE4C-C176083F35CF} - C:\WINDOWS\System32\bridge.dll <--adware
O3 - Toolbar: (no name) - {48128A4C-B37B-4ECC-AE3C-035868D2ACB1} - (no file)
O3 - Toolbar: Bone help atom - {8A62AD73-42E7-7E0E-66F5-A1054FFE7EC6} - C:\PROGRA~1\ONLINE~1\about16.dll<--encore la dll bizarre..
la ligne 04 1) ctrl+alt+supp (pour arrêter le processus dans le gestionnaire des tâches) - 2) tu fixes (il faut suivre la procédure)
O4 - HKLM\..\Run: [RunDLL] rundll32.exe "C:\WINDOWS\System32\bridge.dll",Load
http://securityresponse.symantec.com/avcenter/venc/data/adware.winfavorites.html
O4 - HKLM\..\Run: [ActivSurf] C:\apps\ActivSurf\4448364\Program\backweb-4448364.exe <--fixe/fixe pas? (à tenter et reverser la ligne par le Backup/Hijack si problèmes quelconques...)
-------- ----------- -------------- ------------------- -------------------- ---------
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Hewlett-Packard\Scanner\HP Share-to-Web\hpgs2wnd.exe <-- ils en ont des programmes HP.. - par contre inutile de laisser ça au démarrage - (démarrer/exécuter : tapes msconfig et décoche la case)
*tu as bcp de programmes inutiles dès le démarrage de ton ordi (04)
modus operandi :
*fixe les lignes trouvées dans l'hijack
*ferme l'hijack
*reboot ton ordi
*nettoie le cache internet (cookies et temps) vide ta corbeille
*effectue un nettoyage de disque (démarrer/program./outils système/..)
(screenshot)
http://www.ordi-netfr.org/tutorialhijackthis.html
@+ (dur dur de poster entre les X bugs du serveur CCM...incroyable ce site)
*Devise : Je m'intéresse à l'avenir parceque
c'est là que je vais passer le reste de ma vie*
la question est de savoir si ce programmes est vraiment indispensable au fonctionnement de HP/PackardBell - c'est un programme d'update (pour updater quoi? des skins ou autres?)
C:\apps\ActivSurf\4448364\Program\backweb-4448364.exe
backweb-8876480 - backweb-8876480.exe - Process Information
Process File : backweb-8876480 or backweb-8876480.exe
Process Name : Logitech Desktop Messenger
Description: Comes with the software for Logitech products. Automatically checks for software upgrades and new products, services, and special offerings from Logitech.
Company : Logitech
System Process : No
Security RiskNo(Virus/Trojan/Worm/Adware/Spyware ) : No
Common Errors: N/A
http://www.liutilities.com/products/wintaskspro/processlibrary/backweb-8876480/
toi c'est pas du tout la mm exe et 1 autre progr.
O4 - HKLM\..\Run: [ActivSurf] C:\apps\ActivSurf\4448364\Program\backweb-4448364.exe
http://www.windowsstartup.com/wso/detail.php?id=4256
*backweb-4448364.exe
Program Title : ActivSurf
Rating : 2 ( Not Required at Startup - Application Launcher, Microsoft Office Application )
Comments : Automatic updater for Packard Bell pc\'s; it uses idle internet time. Can be started manually from Control Panel.*
(regarde sur Google dans les logs hijack : 1 coup ça fixe - 1 coup non :-) )
---------- ---------- ------------ --------------- --------------- ----------------
C:\WINDOWS\system32\slserv.exe cette exe est bonne si tu as des pilotes (drivers) pour SiS
à fixer
O2 - BHO: bait first - {2618E98C-FFDE-8DF1-1077-9F817D8F7AC5} - C:\PROGRA~1\ONLINE~1\about16.dll <--?? bizarre et inconnu (tu fixes et si tu rencontres un problème tu reverses la ligne par le biais du Backup de l'Hijack - 2 précautions.....)
O2 - BHO: brdg Class - {9C691A33-7DDA-4C2F-BE4C-C176083F35CF} - C:\WINDOWS\System32\bridge.dll <--adware
O3 - Toolbar: (no name) - {48128A4C-B37B-4ECC-AE3C-035868D2ACB1} - (no file)
O3 - Toolbar: Bone help atom - {8A62AD73-42E7-7E0E-66F5-A1054FFE7EC6} - C:\PROGRA~1\ONLINE~1\about16.dll<--encore la dll bizarre..
la ligne 04 1) ctrl+alt+supp (pour arrêter le processus dans le gestionnaire des tâches) - 2) tu fixes (il faut suivre la procédure)
O4 - HKLM\..\Run: [RunDLL] rundll32.exe "C:\WINDOWS\System32\bridge.dll",Load
http://securityresponse.symantec.com/avcenter/venc/data/adware.winfavorites.html
O4 - HKLM\..\Run: [ActivSurf] C:\apps\ActivSurf\4448364\Program\backweb-4448364.exe <--fixe/fixe pas? (à tenter et reverser la ligne par le Backup/Hijack si problèmes quelconques...)
-------- ----------- -------------- ------------------- -------------------- ---------
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Hewlett-Packard\Scanner\HP Share-to-Web\hpgs2wnd.exe <-- ils en ont des programmes HP.. - par contre inutile de laisser ça au démarrage - (démarrer/exécuter : tapes msconfig et décoche la case)
*tu as bcp de programmes inutiles dès le démarrage de ton ordi (04)
modus operandi :
*fixe les lignes trouvées dans l'hijack
*ferme l'hijack
*reboot ton ordi
*nettoie le cache internet (cookies et temps) vide ta corbeille
*effectue un nettoyage de disque (démarrer/program./outils système/..)
(screenshot)
http://www.ordi-netfr.org/tutorialhijackthis.html
@+ (dur dur de poster entre les X bugs du serveur CCM...incroyable ce site)
*Devise : Je m'intéresse à l'avenir parceque
c'est là que je vais passer le reste de ma vie*
