Virus AdWare.BackWeb.a

Résolu
Sylvie -  
afideg Messages postés 10466 Date d'inscription   Statut Contributeur sécurité Dernière intervention   -
Bonjour,

Mon ordinateur a detecté un virus appelé AdWare.BackWeb.a dans le ficher d'archive C:\Documents and Settings\Sylvie\Local Settings\Temps\ins1.tmp\core.zip\rummer.exe
Que dois-je faire?
J'en est 4 de la meme forme

Merci d'avance pour vos réposes.
Configuration: Windows XP
Internet Explorer 6.0

10 réponses

  1. Sylvie
     
    J'ai regardé ton conseil , sa a l'air bien compliqué , peux tu etre plus precis , je ne suis pas une experte en informatique . Mon anti virus est " iQon" ta solution est' elle compatible avec cet anti Virus ? Ces lui qui a détecté ces AdWare et sur le rapport d'examen a marqué " Virus détecté " AdWare. BackWeb.a ( Not a Virus)" Le fichier a été ignoré.
    Je me répète un peu mais je suis pas une experte dans le domaine
    Merci pour ta prochaine rèponse
    Sylvie
    0
  2. bioman93 Messages postés 336 Statut Membre 4
     
    Ce n'est pas du tout complqqué je t'assure , tu télécharge le logiciel Hijackthis

    https://www.commentcamarche.net/telecharger/securite/11747-hijackthis/ quand tu as fini de le télécharger tu clique sur l'icone Hiackthis et tu cliques sur Do a system scan and save a logfile a la fin du scan le bloc note va s'ouvrir tu fais un copier coller de tout son contenu.

    Oui Hijackthis est compatible avec n'importe quel Anti virus , mais parcontre le nom de ton anti virus m'intrigue , tu l'a télécharger où?

    Voilà voilou :)
    0
    1. Sylvie
       
      Merci
      Tu me dit je fait un copier coller de tout son contenu , je fais copier sa OK mais le coller où?
      Mon anti virus est l'anti virus de mon PC
      Om pc est un iQon et c'est le anti virus qui équipé le PC

      A plus

      Sylvie
      0
  3. bioman93 Messages postés 336 Statut Membre 4
     
    OK , tu fais un copier et tu colle sur le forum ;)
    0
    1. Sylvie
       
      Merci pour tous ses renseignements
      J'èspére que je vais m'en sortir

      Merci

      Sylvie
      0
    2. Sylvie
       
      Logfile of HijackThis v1.99.1
      Scan saved at 16:00:09, on 10/03/2007
      Platform: Windows XP SP2 (WinNT 5.01.2600)
      MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

      Running processes:
      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\system32\LEXBCES.EXE
      C:\WINDOWS\system32\spoolsv.exe
      C:\WINDOWS\system32\LEXPPS.EXE
      C:\WINDOWS\eHome\ehRecvr.exe
      C:\WINDOWS\eHome\ehSched.exe
      C:\WINDOWS\System32\svchost.exe
      C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
      C:\PROGRA~1\IQONAN~1\ONLNSVC.EXE
      C:\PROGRA~1\IQONAN~1\scanwscs.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\system32\dllhost.exe
      C:\WINDOWS\Explorer.EXE
      C:\WINDOWS\ehome\ehtray.exe
      C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
      C:\Program Files\iTunes\iTunesHelper.exe
      C:\Program Files\QuickTime\qttask.exe
      C:\WINDOWS\system32\igfxtray.exe
      C:\WINDOWS\system32\hkcmd.exe
      C:\WINDOWS\system32\igfxpers.exe
      C:\PROGRA~1\IQONAN~1\emlproxy.exe
      C:\WINDOWS\eHome\ehmsas.exe
      C:\PROGRA~1\IQONAN~1\UPSCHD.EXE
      C:\Program Files\iPod\bin\iPodService.exe
      C:\PROGRA~1\IQONAN~1\SCANMSG.EXE
      C:\PROGRA~1\IQONAN~1\OnlineNT.EXE
      C:\WINDOWS\RTHDCPL.EXE
      C:\WINDOWS\system32\ctfmon.exe
      C:\Program Files\Windows Media Player\WMPNSCFG.exe
      C:\Program Files\SAGEM WiFi manager\WLANUTL.exe
      C:\Program Files\MSN Messenger\msnmsgr.exe
      C:\Program Files\MSN Messenger\usnsvc.exe
      C:\WINDOWS\system32\igfxsrvc.exe
      C:\Program Files\Internet Explorer\iexplore.exe
      C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
      C:\Documents and Settings\Sylvie\Bureau\hijackthis_hijackthis_1.99.1_anglais_17891.exe

      R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.iqon.ie
      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
      O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
      O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
      O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
      O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
      O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
      O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
      O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
      O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE
      O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
      O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
      O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
      O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
      O4 - HKLM\..\Run: [Email Protection] C:\PROGRA~1\IQONAN~1\emlproxy.exe
      O4 - HKLM\..\Run: [Scanner Reminder] C:\PROGRA~1\IQONAN~1\remind.exe
      O4 - HKLM\..\Run: [Update Scheduler] C:\PROGRA~1\IQONAN~1\UPSCHD.EXE /CHECK
      O4 - HKLM\..\Run: [On-Line Protection] C:\PROGRA~1\IQONAN~1\CATEYE.EXE
      O4 - HKLM\..\Run: [Messenger] C:\PROGRA~1\IQONAN~1\SCANMSG.EXE
      O4 - HKLM\..\Run: [Startup Scan] C:\PROGRA~1\IQONAN~1\Sensor.EXE /LOADRUN
      O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
      O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
      O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
      O4 - HKLM\..\RunOnce: [Startup Scan] C:\PROGRA~1\IQONAN~1\Sensor.EXE /check
      O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
      O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
      O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
      O4 - Global Startup: Utilitaire réseau pour SAGEM Wi-Fi 11g USB adapter.lnk = ?
      O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
      O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
      O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
      O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
      O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
      O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
      O14 - IERESET.INF: START_PAGE_URL=http://www.iqon.ie
      O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
      O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
      O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
      O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll
      O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
      O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
      O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
      O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
      O23 - Service: NT Online Protection - Unknown owner - C:\PROGRA~1\IQONAN~1\ONLNSVC.EXE
      O23 - Service: iQon Helper Service WSC (ScanWscS) - Unknown owner - C:\PROGRA~1\IQONAN~1\scanwscs.exe


      Voila j'ai fais se que tu m'a dit , mais j'ai peur que se ne sois pas ca ; lol
      0
  4. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  5. afideg Messages postés 10466 Date d'inscription   Statut Contributeur sécurité Dernière intervention   602
     
    up
    0
    1. Sylvie
       
      sa veux dire quoi up?
      0
  6. bioman93 Messages postés 336 Statut Membre 4
     
    Ne t'occupe pas du Up , c'est pour faire remonter le sujet mais tinquiète pas je suis là , Si c'est celà :) je suis entrain d'analyser ton log ..
    0
  7. bioman93 Messages postés 336 Statut Membre 4
     
    Ton log à l'air sain :)

    Relance HijackThis, choisis " do a scan only" coche la case devant les lignes ci-dessous et clique en bas sur "fix checked"

    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)


    Je te conseille de télécharge et installe AVG anti spyware https://www.avg.com/en-ww/free-antivirus-download , une fois que tu as lancé AVG , lance la mise à jour en cliquant sur sur Mise à jour dès que c'est terminer , ferme le programe .

    2) Démarre en mode sans echec
    https://blog.sosordi.net/

    3) vas sur Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :
    Cocher la case : Afficher les fichiers et dossiers cachés

    Décocher la case : Masquer les extensions des fichiers dont le type est connu

    Décocher la case : Masquer les fichiers protégés du système d'exploitation

    cliquer sur "Appliquer"

    cliquer sur le bouton "Appliquer à tous les dossiers" / OK

    4) Vas ici C:\Documents and Settings\Sylvie\Local Settings\Temps\ et vide tous ce qu'il ya dans ce dossier

    5)lance AVG AS puis choisis l'onglet Analyse
    Puis l'onglet Paramètres
    Sous la question Comment réagir ?, clique sur Actions recommandées et choisis Quarantaine
    Reclique sur l'onglet Analyse puis réalise une Analyse complète du système

    Si un fichier infecté est détecté en fin d'analyse
    Clique sur Appliquer toutes les actions

    Clique sur Enregistrer le rapport puis sur Enregistrer le rapport sous
    Enregistre ce fichier texte sur ton bureau

    6) Démarre en mode normal et fais un copié collé sur le forum du rapport d'AVG comme avec Hijackthis ;)

    Si tu as des questions n'hesites pas ;)

    A++
    0
    1. Sylvie
       
      ok merci
      tout est rentrer dans l'odre
      Je te remercie encore
      0
  8. afideg Messages postés 10466 Date d'inscription   Statut Contributeur sécurité Dernière intervention   602
     
    Salut et merci bioman

    Oui, "up" c'est usuellement pour pouvoir suivre le topic ( il se retrouve ainsi dans " mes interventions ".

    ;)
    Al.

    Pour info :
    1)- alcmtr ALCMTR.EXE [ X ] Realtek AC97 Audio - Event Monitor. "Sypware" file used surreptitiously monitor one's actions. It is not a sinister one, like remote control programs, but it is being used by Realtek to gather data about customers
    2)- Télécharge : ATF-Cleaner
    < http://www.atribune.org/ccount/click.php?id=1 >
    Tuto < http://mickael.barroux.free.fr/securite/tutoatfcleaner.html >
    Beaucoup plus complet que seulement " ..\Local Settings\temps\ "
    AdWare.BackWeb.a ne se limite pas toujours à ce seul emplacement. Alors, tant qu'à faire ?.

    Pardon.
    0
  9. bioman93 Messages postés 336 Statut Membre 4
     
    @ afideg
    Oui mais recherche bien , ALCMTR.EXE n'est pas forcement un spyware ;)

    @Sylvie , je crois que tu n'a pas réaliser les logs ^^ tu as vu que c'étais assez long tu as lacher prise vrais ou faux? Ne te décourage pas , fais ce que je t'ai dis et post les logs stp pour que tu sois débarassé défintivement de ton Adware :)

    A++
    0
  10. afideg Messages postés 10466 Date d'inscription   Statut Contributeur sécurité Dernière intervention   602
     
    Salut bioman

    Oui mais.
    Nous avons "tous" pris le pli de le faire fixer; voire suppimer.
    Because " it is being used by Realtek to gather data about customers "

    Pour ce drôle " d'antivirus ", il y a une similitude ici :
    < http://www.infos-du-net.com/forum/174452-11-adware-backweb-programme-logitech-clavier-souris >

    Et sans pare-feu, ....

    Bonne nuit.
    Al.
    0