probleme pub intempestives

[guillaume31]

bonjours a vous et encore merci pour ce forum

ayant de gros probleme de pub intempestives sur IE 7(une page blanche IE plus une page de site quelquonque)

et que aucun de mes antivirus ne trouve quelque chose (kapersky 7 et windows defender)

je vous envoie donc mon rapport

en vous remerciant d avance pour votre aide

 

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 18:37:03, on 28/01/2008

Platform: Windows Vista (WinNT 6.00.1904)

MSIE: Internet Explorer v7.00 (7.00.6000.16575)

Boot mode: Normal

 

Running processes:

C:\Users\guillaume\AppData\Local\hqnmzrp.exe

C:\Program Files (x86)\HP\Digital Imaging\bin\hpqtra08.exe

C:\Program Files (x86)\Google\Google Updater\GoogleUpdater.exe

C:\Program Files (x86)\HP\HP Software Update\hpwuSchd2.exe

C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe

C:\Program Files (x86)\TomTom HOME 2\HOMERunner.exe

C:\Program Files (x86)\HP\Digital Imaging\bin\hpqSTE08.exe

C:\Program Files (x86)\Internet Explorer\iexplore.exe

C:\Program Files (x86)\Trend Micro\HijackThis\HijackThis.exe

 

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

F2 - REG:system.ini: UserInit=userinit.exe

O1 - Hosts: ::1 localhost

O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O4 - HKLM\..\Run: [HP Software Update] C:\Program Files (x86)\HP\HP Software Update\HPWuSchd2.exe

O4 - HKLM\..\Run: [AVP] "C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe"

O4 - HKLM\..\Run: [TomTomHOME.exe] "C:\Program Files (x86)\TomTom HOME 2\HOMERunner.exe" -s

O4 - HKCU\..\Run: [hqnmzrp] c:\users\guillaume\appdata\local\hqnmzrp.exe hqnmzrp

O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files (x86)\Windows Media Player\WMPNSCFG.exe

O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files (x86)\HP\Digital Imaging\bin\hpqtra08.exe

O4 - Global Startup: Outil de mise à jour Google.lnk = C:\Program Files (x86)\Google\Google Updater\GoogleUpdater.exe

O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~2\MICROS~1\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Statistiques d’Anti-Virus Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 7.0\SCIEPlgn.dll

O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - http://fichiers.touslesdrivers.com/fichier...on_2_0_4_12.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shoc...ash/swflash.cab

O20 - AppInit_DLLs: C:\PROGRA~2\KASPER~1\KASPER~1.0\r3hook.dll,C:\PROGRA~2\KASPER~1\KASPER~1.0\adialhk.dll

O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)

O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Kaspersky Lab - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe

O23 - Service: @dfsrres.dll,-101 (DFSR) - Unknown owner - C:\Windows\system32\DFSR.exe (file missing)

O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files (x86)\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)

O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)

O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)

O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe

O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)

O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)

O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)

O23 - Service: @%SystemRoot%\system32\SLsvc.exe,-101 (slsvc) - Unknown owner - C:\Windows\system32\SLsvc.exe (file missing)

O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)

O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)

O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)

O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)

O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)

O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)

O23 - Service: @%ProgramFiles%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)

 

--

End of file - 5608 bytes

[Lien Rag]

Bonjour

 

Désactive le contrôle des comptes utilisateurs (tu le réactiveras après ta désinfection):

 

- Va dans démarrer puis panneau de configuration

- Double Clique sur l'icône "Comptes d'utilisateurs"

- Clique ensuite sur désactiver et valide.

 

Télécharge maintenant Navilog1 depuis-ce lien :

 

http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe

 

Enregistrer la cible (du lien) sous... et enregistre-le sur ton bureau.

Ensuite double clique sur navilog1.exe pour lancer l'installation.

Une fois l'installation terminée, Fais un Clic-droit sur le raccourci Navilog1 présent sur ton bureau et choisis "Exécuter en tant qu'administrateur".

 

Au menu principal, Fais le choix 1

Laisse toi guider et patiente.

Patiente jusqu'au message :

*** Analyse Termine le ..... ***

Appuie sur une touche le blocnote va s'ouvrir.

Copie-colle l'intégralité du rapport dans une réponse.

Referme le blocnote

Le rapport fixnavi.txt est en outre sauvegardé dans %systemdrive%.

[guillaume31]

re coucou

désolé mais apres avoir suivi a la lettre les consigne d installation ca me marque

 

PROCESS.EXE INTROUVABLE dans la fenetre executer au moment ou ca doit lancer le scan

 

j ai désinstaller puis réinstaller plusieurs fois mais meme résultat

 

que puis je faire

 

merci d avance

[Lien Rag]

fais analyser depuis ton PC ce fichier

 

c:\users\guillaume\appdata\local\hqnmzrp.exe

 

pour cela , rends toi sur ce site :click here

[guillaume31]

voici donc le resultat et en effet apres plusieurs recherches j avais aussi constaté qu il sagissait de ce fichier mais impossible de le supprimer car navilog ne fonctionne pas chez moi

que faire donc?

 

Fichier hqnmzrp.exe reçu le 2008.01.30 12:00:25 (CET)

Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE

 

 

Résultat: 2/32 (6.25%)

en train de charger les informations du serveur...

Votre fichier est dans la file d'attente, en position: 1.

L'heure estimée de démarrage est entre 38 et 54 secondes.

Ne fermez pas la fenêtre avant la fin de l'analyse.

L'analyseur qui traitait votre fichier est actuellement stoppé, nous allons attendre quelques secondes pour tenter de récupérer vos résultats.

Si vous attendez depuis plus de cinq minutes, vous devez renvoyer votre fichier.

Votre fichier est, en ce moment, en cours d'analyse par VirusTotal,

les résultats seront affichés au fur et à mesure de leur génération.

Formaté Impression des résultats

Votre fichier a expiré ou n'existe pas.

Le service est en ce moment, stoppé, votre fichier attend d'être analysé (position : ) depuis une durée indéfinie.

 

Vous pouvez attendre une réponse du Web (re-chargement automatique) ou taper votre e-mail dans le formulaire ci-dessous et cliquer "Demande" pour que le système vous envoie une notification quand l'analyse sera terminée.

Email:

 

 

Antivirus Version Dernière mise à jour Résultat

AhnLab-V3 2008.1.30.11 2008.01.30 -

AntiVir 7.6.0.57 2008.01.30 -

Authentium 4.93.8 2008.01.30 -

Avast 4.7.1098.0 2008.01.30 -

AVG 7.5.0.516 2008.01.30 -

BitDefender 7.2 2008.01.30 -

CAT-QuickHeal 9.00 2008.01.29 -

ClamAV 0.91.2 2008.01.30 -

DrWeb 4.44.0.09170 2008.01.30 -

eSafe 7.0.15.0 2008.01.28 -

eTrust-Vet 31.3.5497 2008.01.30 -

Ewido 4.0 2008.01.29 -

FileAdvisor 1 2008.01.30 -

Fortinet 3.14.0.0 2008.01.30 -

F-Prot 4.4.2.54 2008.01.29 -

F-Secure 6.70.13260.0 2008.01.30 -

Ikarus T3.1.1.20 2008.01.29 -

Kaspersky 7.0.0.125 2008.01.30 -

McAfee 5218 2008.01.29 -

Microsoft 1.3109 2008.01.28 -

NOD32v2 2835 2008.01.30 -

Norman 5.80.02 2008.01.29 -

Panda 9.0.0.4 2008.01.29 Adware/NaviPromo

Prevx1 V2 2008.01.30 Heuristic: Suspicious Self Modifying EXE

Rising 20.29.22.00 2008.01.30 -

Sophos 4.25.0 2008.01.30 -

Sunbelt 2.2.907.0 2008.01.30 -

Symantec 10 2008.01.30 -

TheHacker 6.2.9.201 2008.01.28 -

VBA32 3.12.2.6 2008.01.29 -

VirusBuster 4.3.26:9 2008.01.29 -

Webwasher-Gateway 6.6.2 2008.01.30 -

 

Information additionnelle

File size: 302080 bytes

MD5: a6163e59ed622f97a8f9f1bbecdc8e72

SHA1: aeba792df17a06173a4407206c75dafe15658cbd

PEiD: Armadillo v1.71

Prevx info: http://info.prevx.com/aboutprogramtext.asp...C27CB003424CD41

[Lien Rag]

Télécharge OTMoveIt (de Old_Timer) sur ton Bureau.

 

[*]Double-clique sur OTMoveIt.exe pour le lancer.

[*]Assure toi que la case "Unregister Dll's and Ocx's" soit bien cochée !!!

[*]Copie le texte qui se trouve dans l'encadré ci-dessous, et colle le dans le cadre de gauche de OTMoveIt nommé Paste List of Files/Folders to be moved.

 

c:\users\guillaume\appdata\local\hqnmzrp.exe

 

[*]Clique sur MoveIt! pour lancer la suppression.

[*]Si OTMoveIt propose de redémarrer ton PC, accepte.

[*]Lorsque un résultat apparaît dans le cadre Results, clique sur Exit.

 

[*]Dans ta future réponse, envoie le rapport de OTMoveIt situé sur C:\_OTMoveIt\MovedFiles.

[guillaume31]

voici donc le rapport comme demandé

 

c:\users\guillaume\appdata\local\hqnmzrp.exe moved successfully.

 

Created on 01/31/2008 10:54:41

[Lien Rag]

Telecharge AVGanti-spy

 

Avant tout: Mise à jour ( via l'onglet & connexion internet): si la maj ne fonctionne pas fais le scan qd meme

 

puis lance un scan complet

 

post le rapport AVG aprés suppression des éléments qu'il aura trouvé

[guillaume31]

AVG Anti-Spyware - Rapport d'analyse

---------------------------------------------------------

 

+ Créé à: 13:40:28 01/02/2008

 

+ Résultat de l'analyse:

 

 

 

C:\Users\guillaume\AppData\Roaming\Microsoft\Windows\Cookies\Low\guillaume@adtech[1].txt -> TrackingCookie.Adtech : Nettoyé.

C:\Users\guillaume\AppData\Roaming\Microsoft\Windows\Cookies\Low\guillaume@advertising[1].txt -> TrackingCookie.Advertising : Nettoyé.

C:\Users\guillaume\AppData\Roaming\Microsoft\Windows\Cookies\Low\guillaume@atdmt[1].txt -> TrackingCookie.Atdmt : Nettoyé.

C:\Users\guillaume\AppData\Roaming\Microsoft\Windows\Cookies\Low\guillaume@estat[1].txt -> TrackingCookie.Estat : Nettoyé.

C:\Users\guillaume\AppData\Roaming\Microsoft\Windows\Cookies\Low\guillaume@ssl-hints.netflame[2].txt -> TrackingCookie.Netflame : Nettoyé.

C:\Users\guillaume\AppData\Roaming\Microsoft\Windows\Cookies\guillaume@ssl-hints.netflame[1].txt -> TrackingCookie.Netflame : Nettoyé.

C:\Users\guillaume\AppData\Roaming\Microsoft\Windows\Cookies\Low\guillaume@weborama[1].txt -> TrackingCookie.Weborama : Nettoyé.

C:\Users\guillaume\AppData\Roaming\Microsoft\Windows\Cookies\Low\guillaume@m.webtrends[2].txt -> TrackingCookie.Webtrends : Nettoyé.

 

 

Fin du rapport

[IL-MAFIOSO]

Bonjour,

 

Je ne fais que passer :

 

PROCESS.EXE INTROUVABLE dans la fenetre executer au moment ou ca doit lancer le scan

Certains antivirus considère PROCESS.EXE comme un fichier indésirable et donc le supprime.

 

Désinstalle Navilog1. Avant de le retélécharger et installer, désactive temporairement ton Antivirus. Une fois installé, lance le comme lien rag t'as demandé. Réactive ton AV à la fin du scan.

 

Bonne continuation.