It is parti mon kiki...

Je crains le pire...

Voilà...

Et avant que tu ne le demandes:
ComboFix 07-08-04.3 - "Mythrill" 2007-08-04 17:46:38.1 [GMT 2:00] - NTFS
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.Vrai
* Created a new restore point


((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))


C:\WINDOWS\exefld
C:\WINDOWS\system32\drivers\npf.sys
C:\WINDOWS\system32\packet.dll
C:\WINDOWS\system32\pthreadVC.dll
C:\WINDOWS\system32\wanpacket.dll
C:\WINDOWS\system32\wpcap.dll


((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))


-------\LEGACY_NM
-------\LEGACY_NPF
-------\LEGACY_WINDOWS_LOG
-------\nm
-------\NPF


((((((((((((((((((((((((( Files Created from 2007-07-04 to 2007-08-04 )))))))))))))))))))))))))))))))


2007-08-04 17:45 51,200 --a------ C:\WINDOWS\nircmd.exe
2007-08-04 17:08 <REP> d----c--- C:\VundoFix Backups
2007-08-04 10:54 <REP> d-------- C:\Program Files\Windows Installer Clean Up
2007-08-04 10:54 <REP> d-------- C:\Program Files\MSECACHE
2007-08-04 09:42 25,992 --a------ C:\WINDOWS\system32\pgdfgsvc.exe
2007-08-04 07:41 <REP> d----c--- C:\Rar$EX01.140
2007-07-29 13:34 44,239 --a--c--- C:\sound32.dll
2007-07-29 10:11 <REP> d-------- C:\DOCUME~1\Mythrill\APPLIC~1\bibble
2007-07-29 10:06 <REP> d-------- C:\Program Files\Fichiers communs\Bibble Labs
2007-07-28 23:43 <REP> d-------- C:\DOCUME~1\ADMINI~1\APPLIC~1\TuneUp Software
2007-07-28 17:06 77,824 --a------ C:\WINDOWS\system32\idqega.dll
2007-07-28 14:07 2,208 --a--c--- C:\WINDOWS\system32\tmp.reg
2007-07-21 10:20 <REP> d-------- C:\Program Files\SOTI
2007-07-18 13:01 <REP> d-------- C:\Program Files\Symantec
2007-07-14 12:29 1,021,892 ---hsc--- C:\WINDOWS\system32\nqstv.bak2
2007-07-14 09:40 <REP> d-------- C:\WINDOWS\report
2007-07-14 09:34 <REP> d-------- C:\WINDOWS\AU_Temp
2007-07-14 09:34 <REP> d-------- C:\WINDOWS\AU_Log
2007-07-14 01:31 1,021,416 ---hsc--- C:\WINDOWS\system32\nqstv.bak1
2007-07-14 00:13 <REP> d-------- C:\Program Files\proDAD
2007-07-13 23:17 <REP> d-------- C:\DOCUME~1\Mythrill\APPLIC~1\proDAD
2007-07-13 23:16 <REP> d-------- C:\Program Files\AdorageI-SAL
2007-07-13 23:16 <REP> d-------- C:\Program Files\AdorageI-GfxDatas
2007-07-06 12:21 94,208 --a--c--- C:\WINDOWS\system32\gbtoolsu.dll
2007-07-06 12:21 86,016 --a--c--- C:\WINDOWS\system32\DVResampleru.dll
2007-07-06 12:21 778,240 --a--c--- C:\WINDOWS\system32\dvframes.dll
2007-07-06 12:21 41,984 --a--c--- C:\WINDOWS\system32\futilu.dll
2007-07-06 12:21 32,256 --a--c--- C:\WINDOWS\system32\pcleUtil.dll
2007-07-06 12:21 262,144 --a--c--- C:\WINDOWS\system32\MP4FileLib.dll
2007-07-06 12:21 192,512 --a--c--- C:\WINDOWS\system32\pcleIScl.dll
2007-07-06 12:21 172,032 --a--c--- C:\WINDOWS\system32\fileiou.dll
2007-07-06 12:21 102,400 --a--c--- C:\WINDOWS\system32\pcleSplice.dll
2007-07-06 12:21 102,400 --a--c--- C:\WINDOWS\system32\CSCSaFX.dll
2007-07-06 12:21 1,577,045 --a--c--- C:\WINDOWS\system32\SaFireU.dll
2007-07-06 12:21 1,372,160 --a--c--- C:\WINDOWS\system32\dsio.dll
2007-07-06 12:21 1,191,936 --a--c--- C:\WINDOWS\system32\dialogsu.dll
2007-07-06 11:38 401,408 --a--c--- C:\WINDOWS\system32\pvmjpg30.dll
2007-07-06 11:37 930,992 -----c--- C:\WINDOWS\system32\Ltr13n.dll
2007-07-06 11:37 884,736 -----c--- C:\WINDOWS\system32\LMUIRes.dll
2007-07-06 11:37 70,144 -----c--- C:\WINDOWS\system32\lfbmp13s.dll
2007-07-06 11:37 64,512 -----c--- C:\WINDOWS\system32\lftga13s.dll
2007-07-06 11:37 409,600 -----c--- C:\WINDOWS\system32\LFCMP13s.DLL
2007-07-06 11:37 32,768 -----c--- C:\WINDOWS\system32\MLPagAx.dll
2007-07-06 11:37 306,352 -----c--- C:\WINDOWS\system32\Ltrio13n.dll
2007-07-06 11:37 2,079,232 -----c--- C:\WINDOWS\system32\LTCLR13s.dll
2007-07-06 11:37 184,320 -----c--- C:\WINDOWS\system32\RALMain.dll
2007-07-06 11:37 12,288 -----c--- C:\WINDOWS\system32\LMLRes.dll
2007-07-06 11:37 110,080 -----c--- C:\WINDOWS\system32\lfpsd13s.dll
2007-07-06 11:37 1,013,248 -----c--- C:\WINDOWS\system32\Ltwvc13n.dll
2007-07-06 11:34 57,856 --a--c--- C:\WINDOWS\system32\masd32.dll
2007-07-06 11:34 27,648 --a--c--- C:\WINDOWS\system32\ma32.dll
2007-07-06 11:34 196,096 --a--c--- C:\WINDOWS\system32\macd32.dll
2007-07-06 11:34 138,752 --a--c--- C:\WINDOWS\system32\mase32.dll
2007-07-06 11:34 136,192 --a--c--- C:\WINDOWS\system32\mamc32.dll
2007-07-06 11:34 106 --a--c--- C:\AUTOEXEC.BAT
2007-07-06 11:33 41,219 --a--c--- C:\WINDOWS\RSETPATH.exe
2007-07-06 11:32 <REP> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Pinnacle Studio
2007-07-06 11:22 <REP> d-------- C:\DOCUME~1\Mythrill\APPLIC~1\InstallShield


(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

2007-08-04 17:51 0 --a--c--- C:\WINDOWS\system32\drivers\lvuvc.hs
2007-08-04 17:51 --------- d-------- C:\DOCUME~1\Mythrill\APPLIC~1\MailWasherPro
2007-08-04 10:03 --------- d-------- C:\Program Files\Fichiers communs\ACD Systems
2007-08-04 10:03 --------- d-------- C:\DOCUME~1\Mythrill\APPLIC~1\ACD Systems
2007-08-04 10:02 10368 --a--c--- C:\WINDOWS\system32\drivers\pfc.sys
2007-08-04 10:02 --------- d-------- C:\Program Files\ACD Systems
2007-08-03 10:47 --------- d--h----- C:\Program Files\InstallShield Installation Information
2007-08-03 10:47 --------- d-------- C:\Program Files\Microsoft ActiveSync
2007-07-30 09:12 --------- d-------- C:\Program Files\Fichiers communs\Symantec Shared
2007-07-28 16:50 99904 --a--c--- C:\WINDOWS\system32\drivers\AnyDVD.sys
2007-07-28 16:49 34308 --a--c--- C:\WINDOWS\system32\Chip.dll
2007-07-26 23:48 --------- d-------- C:\Program Files\Movie Player ActiveX Control
2007-07-26 23:48 --------- d-------- C:\Program Files\Audio Capture ActiveX Control
2007-07-25 09:34 --------- d-------- C:\Program Files\Spyware Terminator
2007-07-17 12:25 --------- d-------- C:\DOCUME~1\Mythrill\APPLIC~1\phonostar-Player
2007-07-10 10:26 290816 -----c--- C:\WINDOWS\Setup1.exe
2007-07-10 09:24 --------- d-------- C:\Program Files\DivX
2007-07-10 09:24 --------- d-------- C:\Program Files\CrossLoop
2007-07-06 12:26 244448 --a--c--- C:\WINDOWS\system32\GDIPFONTCACHEV1.DAT
2007-07-04 11:39 0 --a--c--- C:\WINDOWS\system32\perfc00C.dat
2007-07-04 07:37 507258 --a--c--- C:\WINDOWS\system32\perfh00C.dat
2007-07-03 13:53 --------- dr------- C:\DOCUME~1\Mythrill\APPLIC~1\SpaceTime 3D
2007-06-29 17:15 --------- d-------- C:\DOCUME~1\Mythrill\APPLIC~1\Lavasoft
2007-06-28 22:26 99904 --a--c--- C:\WINDOWS\system32\drivers\AnyDVD.sys.bak
2007-06-28 09:30 --------- d-------- C:\Program Files\Windows Live Safety Center
2007-06-27 22:48 --------- d-------- C:\DOCUME~1\Mythrill\APPLIC~1\LaCie
2007-06-26 00:02 --------- d-------- C:\Program Files\QuickTime
2007-06-25 23:44 335 --a--c--- C:\WINDOWS\mozregistry.dat
2007-06-25 22:16 --------- d-------- C:\DOCUME~1\Mythrill\APPLIC~1\Auslogics
2007-06-20 23:08 93128 --a--c--- C:\WINDOWS\system32\ElbyCDIO.dll
2007-06-17 10:49 --------- d-------- C:\DOCUME~1\Mythrill\APPLIC~1\Spyware Terminator
2007-06-12 22:33 --------- d-------- C:\DOCUME~1\Mythrill\APPLIC~1\SOTI
2007-06-12 19:09 --------- d-------- C:\Program Files\MSN Messenger
2007-06-11 15:31 --------- d-------- C:\Program Files\Windows Live
2007-06-11 15:31 --------- d-------- C:\Program Files\Messenger Plus! Live
2007-06-08 17:01 5261824 --a--c--- C:\WINDOWS\system32\logonuiX.exe
2007-06-07 22:49 --------- d-------- C:\Program Files\Fichiers communs\Wise Installation Wizard
2007-06-04 15:18 9344 --a--c--- C:\WINDOWS\system32\drivers\NSDriver.sys
2007-06-04 15:17 8320 --a--c--- C:\WINDOWS\system32\drivers\AWRTRD.sys
2007-06-04 15:14 6272 --a--c--- C:\WINDOWS\system32\drivers\AWRTPD.sys
2007-05-16 17:13 86528 --a--c--- C:\WINDOWS\system32\dllcache\directdb.dll
2007-05-16 17:13 85504 --a--c--- C:\WINDOWS\system32\dllcache\wabimp.dll
2007-05-16 17:13 683520 --a--c--- C:\WINDOWS\system32\dllcache\inetcomm.dll
2007-05-16 17:13 683520 --a------ C:\WINDOWS\system32\inetcomm.dll
2007-05-16 17:13 510976 --a--c--- C:\WINDOWS\system32\dllcache\wab32.dll
2007-05-16 17:13 1314816 --a--c--- C:\WINDOWS\system32\dllcache\msoe.dll
2007-05-08 10:59 3583488 --a--c--- C:\WINDOWS\system32\dllcache\mshtml.dll
2006-12-31 12:41 359 --a--c--- C:\DOCUME~1\Mythrill\APPLIC~1\mdb.bin
2005-05-13 16:12:00 217,073 -csha-r C:\WINDOWS\meta4.exe
2005-10-24 10:13:58 66,560 -csha-r C:\WINDOWS\MOTA113.exe
2005-12-22 18:58:49 108 -csha-r C:\WINDOWS\neoqaz2.dll
2006-04-18 15:22:25 185,645 -csha-r C:\WINDOWS\patcher.exe
2005-07-14 10:31:20 27,648 -csha-r C:\WINDOWS\system32\AVSredirect.dll
2005-06-26 13:32:28 616,448 -csha-r C:\WINDOWS\system32\cygwin1.dll
2005-06-21 20:37:42 45,568 -csha-r C:\WINDOWS\system32\cygz.dll
2006-05-03 10:06:54 163,328 -csh--r C:\WINDOWS\system32\flvDX.dll
2004-01-24 23:00:00 70,656 -csha-r C:\WINDOWS\system32\i420vfw.dll
2005-02-28 11:16:22 240,128 -csha-r C:\WINDOWS\system32\x.264.exe
2004-01-24 23:00:00 70,656 -csha-r C:\WINDOWS\system32\yv12vfw.dll


((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))


*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" [2007-04-20 20:16]
"LogitechCommunicationsManager"="C:\Program Files\Fichiers communs\LogiShrd\LComMgr\Communications_Helper.exe" [2007-02-08 02:12]
"LogitechQuickCamRibbon"="C:\Program Files\Logitech\QuickCam10\QuickCam10.exe" [2007-02-08 02:13]
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2007-04-27 09:41]
"VirtualCloneDrive"="F:\UTILITAIRES\VirtualCloneDrive\VCDDaemon.exe" [2006-04-29 15:21]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"H/PC Connection Agent"="F:\BUREAUTIQUE\Microsoft ActiveSync\wcescomm.exe" [2006-09-10 20:46]
"msnmsgr"="C:\Program Files\MSN Messenger\msnmsgr.exe" [2007-01-19 12:55]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-19 17:09]
"swg"="C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-06-06 15:58]
"LaunchList"="K:\Pinnacle\Studio 11\LaunchList2.exe" [2007-03-21 15:41]
"WMPNSCFG"="C:\Program Files\Windows Media Player\WMPNSCFG.exe" [2006-11-03 09:59]

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"Spyware Doctor"=

C:\Documents and Settings\Mythrill\Menu D‚marrer\Programmes\D‚marrage\
MailWasherPro.lnk - F:\UTILITAIRES\MailWasher Pro\MailWasher Pro\MailWasher.exe [2004-09-29 19:06:56]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"LinkResolveIgnoreLinkInfo"=0 (0x0)
"NoResolveSearch"=1 (0x1)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"ClearRecentDocsOnExit"=00000000
"NoSaveSettings"=00000000
"NoViewOnDrive"=0 (0x0)
"NoLogoff"=0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\idqega]
idqega.dll 2007-07-28 17:06 77824 C:\WINDOWS\system32\idqega.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"LightScribeService"=2 (0x2)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"ctfmon.exe"=C:\WINDOWS\system32\ctfmon.exe

R0 sfsync02;StarForce Protection Synchronization Driver (version 2.x);C:\WINDOWS\system32\drivers\sfsync02.sys
R0 TPkd;TPkd;C:\WINDOWS\system32\drivers\TPkd.sys
R0 VClone;VClone;C:\WINDOWS\system32\DRIVERS\VClone.sys
R1 aslm75;aslm75;\??\C:\WINDOWS\system32\drivers\aslm75.sys
R1 avgio;avgio;\??\C:\Program Files\AntiVir PersonalEdition Classic\avgio.sys
R1 avipbb;avipbb;C:\WINDOWS\system32\DRIVERS\avipbb.sys
R1 PCLEPCI;PCLEPCI;\??\C:\WINDOWS\system32\drivers\pclepci.sys
R1 PQNTDrv;PQNTDrv;C:\WINDOWS\system32\drivers\PQNTDrv.sys
R1 sp_rsdrv2;Spyware Terminator Driver 2;\??\C:\WINDOWS\system32\drivers\sp_rsdrv2.sys
R2 Dnscache;Client DNS;C:\WINDOWS\System32\svchost.exe -k NetworkService
R2 HOSTNT;Hostnt;\??\C:\WINDOWS\system32\drivers\hostnt.sys
R2 MHDRV;Mhdrv;\??\C:\WINDOWS\system32\drivers\mhdrv.sys
R2 RCMHDOG;RCMHDOG;\??\C:\WINDOWS\system32\drivers\rcmhdog.sys
R2 UxTuneUp;TuneUp Design Expansion;C:\WINDOWS\System32\svchost.exe -k netsvcs
R3 avgntflt;avgntflt;\??\C:\Program Files\AntiVir PersonalEdition Classic\avgntflt.sys
R3 cmpci;C-Media PCI Audio Driver (WDM);C:\WINDOWS\system32\drivers\cmaudio.sys
R3 ElbyCDFL;ElbyCDFL;C:\WINDOWS\system32\Drivers\ElbyCDFL.sys
R3 ElbyDelay;ElbyDelay;C:\WINDOWS\system32\Drivers\ElbyDelay.sys
R3 lvpopflt;Logitech POP Suppression Filter;C:\WINDOWS\system32\DRIVERS\lvpopflt.sys
R3 lvselsus;Logitech Selective Suspend Filter;C:\WINDOWS\system32\DRIVERS\lvselsus.sys
R3 LVUVC;QuickCam Orbit/Sphere MP(UVC);C:\WINDOWS\system32\DRIVERS\lvuvc.sys
R3 MarvinBus;Pinnacle Marvin Bus;C:\WINDOWS\system32\DRIVERS\MarvinBus.sys
R3 RTL8023xp;Realtek 10/100/1000 NIC Family all in one NDIS XP Driver;C:\WINDOWS\system32\DRIVERS\Rtnicxp.sys
R3 SDVPlus;Pinnacle Studio DVplus WDM Renderer;C:\WINDOWS\system32\DRIVERS\SDVPlus.sys
S3 AdfuUd;%USB\VID_10D6&PID_1160.DeviceDesc%;C:\WINDOWS\system32\Drivers\AdfuUd.sys
S3 Amsmpu4p;Amsmpu4p;\??\C:\DOCUME~1\Mythrill\LOCALS~1\Temp\Amsmpu4p.sys
S3 driverhardwarev2;driverhardwarev2;\??\C:\Program Files\HardwareDetection\driverhardwarev2.sys
S3 idsvc;Windows CardSpace;"C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe"
S3 MSDV;Microsoft DV Camera and VCR;C:\WINDOWS\system32\DRIVERS\msdv.sys
S3 msgame;Activateur de port HID vers manette de jeu Sidewinder;C:\WINDOWS\system32\DRIVERS\msgame.sys
S3 NxFsMon;NxFsMon;\??\F:\UTILITAIRES\Cyberhawk\NxFsMon.sys
S3 NxNetMon;NxNetMon;\??\F:\UTILITAIRES\Cyberhawk\NxNetMon.sys
S3 NxSysMon;NxSysMon;\??\F:\UTILITAIRES\Cyberhawk\NxSysMon.sys
S3 Pcouffin;Low level access layer for CD devices;C:\WINDOWS\system32\Drivers\Pcouffin.sys
S3 s3m;s3m;C:\WINDOWS\system32\DRIVERS\s3m.sys
S3 sonypvs1;Sony Digital Imaging Video2;C:\WINDOWS\system32\DRIVERS\sonypvs1.sys
S3 ssmdrv;ssmdrv;C:\WINDOWS\system32\DRIVERS\ssmdrv.sys
S3 TVICHW32;TVICHW32;\??\C:\WINDOWS\system32\DRIVERS\TVICHW32.SYS
S3 usb_rndisx;USB RNDIS Adapter;C:\WINDOWS\system32\DRIVERS\usb8023x.sys
S3 vaxscsi;vaxscsi;C:\WINDOWS\system32\Drivers\vaxscsi.sys
S3 VICAMUSB;Vista Imaging USB ViCAM;C:\WINDOWS\system32\drivers\vicamusb.sys
S3 wceusbsh;Windows CE USB Serial Host Driver;C:\WINDOWS\system32\DRIVERS\wceusbsh.sys
S4 NetTcpPortSharing;Net.Tcp Port Sharing Service;"C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\SMSvcHost.exe"

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp


[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{44BBA844-CC51-11CF-AAFA-00AA00B6015C}]
rundll32.exe advpack.dll,LaunchINFSection %SystemRoot%\INF\CChat25.inf,PerUserRemove

Contents of the 'Scheduled Tasks' folder
2007-06-29 15:15:16 C:\WINDOWS\Tasks\1-Click Maintenance.job - F:\UTILITAIRES\TuneUp Utilities 2007\SystemOptimizer.exe

**************************************************************************

catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-08-04 17:50:53
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden registry entries ...

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\System]
"OODEFRAG08.00.00.01WORKSTATION"="1871539CED3B87EA7A20F3A1FA6FD25B0310D03FD53E527F0AFD4431056C2DEF2A826F63CE10709BC2E9
1D558A9379FEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74C8EDD5E5BE2F
6E6678EDD5E5BE2F6E667A6A0AC4980AC79335D575E7D6A3B9808041C72CCC5A2D62F0B3DB7B8386FAFE2C94756DEF4FDAFE590DDBA10CF8DF06C520530C
D12C760782335C1ACE20D494282ED6AC07CE1AF317865151BA757F2DC05C26ED91E10CB2956650647A3D8136BDA43BA080042D79D9D4E00D641D94E2770
756AD6D2677DB6652996F0DDC4D4A2A37B4FBE833CF8E1FC449690D97BF415DD61F5724A1A2D1987FC98D52A27AB319EECC133BA4CB23905178B55650530
700CEF751D54D967CD6704C767D53A88650314C3F71057FCE29BBA21F98821188A2AADE10AF3BB0BD4A183F1DC601C2F91FB0E17E3A12
69F2017C730141FE09C355DCC49B1E2B84BB249E4792C7E4FBA0A291E130F4061B8B8C3F8A58138B901C940A04D518AAE32EFE236D415193B95291C2CA359
F09AB9F5E1AF80DD1403DAA35E2322E68B5F1999E9A90E97CCA8814C5DC1C7E3EEC46A28266E570F2BF89621B87192B739EFB0C04D96C278E9479355E68F12
95A5B56222B75D4F3B273DF0A6C54AF9CC9A69FC79EBF326C1F429B4A928E6AB98B72B10B832C927CCE7D27E1DEC154B70EABA55DC9EE
1FDC027C59FB305BFCD5A7A4336C627212E747E23256D8BD90BB39AB265872FA02585EBF467E053B2C88CF702692D99F949A4B17A9F8AF24552EB4D09AE99
D9180966E47671A1DD020027ECCD94CB818AEE94FC88FCE5E8A8CD3059558237D1512D7BE4EDF26DE38E69634CF2730CCB2EAD3E8CE1A0772578C05CCB17
090A3E78A6A276E07C3C99DF923F3A209956D7E62562C6FEBF3B56CDFE10632D403F3662207C54B76D0D252098FC10696C99F85709043
EBC66319B65F1B0935F7586CA8358EEF04479DF222030A2DBC5264977472169405BF2DB0B20976604D5CE94FB7521236FB6AA3C9E5020FA5F12D35C1123CB
9E49FE9743AC83809C8F9EC12241766005A8265DAA1EC8C214100BD64CF3F9F6710DB0DCF47FB7D104C7291B6C82E89046A90CC2B91744893F17D5E69745
8028F672DB9BFCF20BC5106D4DF9B221D1C05D3248DF7AF5A27512D27A0B431C8EF785935204F2EBEBA8F97AC3533CEB5B1381B69C8B0
298641FE853E123D205A012B73E4618EBC4F15CBD98A9EDCEAAD43DB1DFAF756B52B332E05F5E5F547FD4376DF552AD04C9D3D59A2981663817AD0AAD8B0C
1CD26A58EC5C7022C75301EF3AC8F0F1725B3BEF1F94BDAE2CC95E7DD67A481F55DA1C43A37FB3C2B363EF5B06B219056295CFC6D3F4207B03D624FD9662D
CBBC8A81507BBB78ABE521CA82014548ED051D92F"

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************

Completion time: 2007-08-04 17:54:08 - machine was rebooted
C:\ComboFix-quarantined-files.txt ... 2007-08-04 17:53

--- E O F ---

Ok ajoute un log HJT stp.

Bien chef !!!

Logfile of HijackThis v1.99.1
Scan saved at 18:08:00, on 04.08.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16473)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
c:\program files\fichiers communs\logishrd\lvmvfm\LVPrcSrv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Fichiers communs\LogiShrd\LComMgr\Communications_Helper.exe
C:\Program Files\Logitech\QuickCam10\QuickCam10.exe
F:\UTILITAIRES\VirtualCloneDrive\VCDDaemon.exe
F:\BUREAUTIQUE\Microsoft ActiveSync\wcescomm.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\Windows Media Player\WMPNSCFG.exe
C:\Program Files\Fichiers communs\LogiShrd\LComMgr\LVComSX.exe
C:\PROGRA~1\MICROS~4\rapimgr.exe
F:\UTILITAIRES\Ad-Aware 2007\aawservice.exe
F:\IMAGERIE NUMERIQUE\Adobe Software\Photoshop Elements 5.0\PhotoshopElementsFileAgent.exe
C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Logishrd\LQCVFX\COCIManager.exe
F:\IMAGERIE NUMERIQUE\ProShowProducer\ScsiAccess.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\WgaTray.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Mythrill\Bureau\Utilitaires système\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.photocool.fr/Forum/login.php ... 15c6cd0608
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar4.dll
O2 - BHO: CoolIrisIEHelperObject.CoolIrisIEBHO - {AD0BAB4B-212D-45D7-9E5B-CB1579132715} - F:\UTILITAIRES\CoolIris\CoolIrisIEHelperObject.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: RefresherBand Class - {B24BA06E-FB7B-4757-95C2-DC01125F750E} - f:\YREFRE~1\YREFRE~1.DLL
O3 - Toolbar: ImageShack Toolbar - {6932D140-ABC4-4073-A44C-D4A541665E35} - C:\WINDOWS\ImageShackToolbar\ImageShackToolbar.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar4.dll
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [LogitechCommunicationsManager] "C:\Program Files\Fichiers communs\LogiShrd\LComMgr\Communications_Helper.exe"
O4 - HKLM\..\Run: [LogitechQuickCamRibbon] "C:\Program Files\Logitech\QuickCam10\QuickCam10.exe" /hide
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [VirtualCloneDrive] "F:\UTILITAIRES\VirtualCloneDrive\VCDDaemon.exe" /s
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKCU\..\Run: [H/PC Connection Agent] "F:\BUREAUTIQUE\Microsoft ActiveSync\wcescomm.exe"
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [LaunchList] K:\Pinnacle\Studio 11\LaunchList2.exe
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - Startup: MailWasherPro.lnk = F:\UTILITAIRES\MailWasher Pro\MailWasher Pro\MailWasher.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Locate Spot on Map by GPS - F:\IMAGERIE NUMERIQUE\IExif 2.25\IExifMap.htm
O8 - Extra context menu item: Open using &Advanced JPEG Compressor - F:\IMAGERIE NUMERIQUE\Advanced JPEG Compressor\ajcieex.htm
O8 - Extra context menu item: Ouvrir le cadre dans une nouvelle fenêtre - C:\WINDOWS\web\OpenFrame.htm
O8 - Extra context menu item: Post Image to Blog - res://C:\WINDOWS\ImageShackToolbar\ImageShackToolbar.dll/5003
O8 - Extra context menu item: Tag This Image - res://C:\WINDOWS\ImageShackToolbar\ImageShackToolbar.dll/5002
O8 - Extra context menu item: Upload All Images to ImageShack - res://C:\WINDOWS\ImageShackToolbar\ImageShackToolbar.dll/5000
O8 - Extra context menu item: Upload Image to ImageShack - res://C:\WINDOWS\ImageShackToolbar\ImageShackToolbar.dll/5001
O8 - Extra context menu item: View Exif/GPS/IPTC with IExif - F:\IMAGERIE NUMERIQUE\IExif 2.25\IExifCom.htm
O8 - Extra context menu item: Voir les cookies - C:\WINDOWS\web\showcookies.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\idqega.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\idqega.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\WINDOWS\system32\idqega.dll
O9 - Extra button: No More Cookies - {334C4A3A-7B0F-4C55-B73F-63B37865E8FA} - C:\Program Files\No More Cookies\No More Cookies.exe
O9 - Extra 'Tools' menuitem: No More Cookies - {334C4A3A-7B0F-4C55-B73F-63B37865E8FA} - C:\Program Files\No More Cookies\No More Cookies.exe
O9 - Extra button: ATI TV - {44226DFF-747E-4edc-B30C-78752E50CD0C} - C:\WINDOWS\system32\idqega.dll
O9 - Extra button: CoolIris Preferences - {449DB14A-F988-4fd8-9361-F212D7B6414B} - F:\UTILITAIRES\CoolIris\CoolIrisPreferences.exe
O9 - Extra 'Tools' menuitem: CoolIris Preferences - {449DB14A-F988-4fd8-9361-F212D7B6414B} - F:\UTILITAIRES\CoolIris\CoolIrisPreferences.exe
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - F:\BUREAU~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: @C:\WINDOWS\ImageShackToolbar\ImageShackToolbar.dll,-115 - {BB8A8834-A0A1-4d70-A21A-72FF89AA737A} - C:\WINDOWS\ImageShackToolbar\ImageShackToolbar.dll
O9 - Extra 'Tools' menuitem: ImageShack Toolbar - {BB8A8834-A0A1-4d70-A21A-72FF89AA737A} - C:\WINDOWS\ImageShackToolbar\ImageShackToolbar.dll
O11 - Options group: [INTERNATIONAL] International*
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: idqega - C:\WINDOWS\SYSTEM32\idqega.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - F:\UTILITAIRES\Ad-Aware 2007\aawservice.exe
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Unknown owner - C:\Program Files\Fichiers communs\Acronis\Schedule2\schedul2.exe (file missing)
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Adobe Active File Monitor V5 (AdobeActiveFileMonitor5.0) - Unknown owner - F:\IMAGERIE NUMERIQUE\Adobe Software\Photoshop Elements 5.0\PhotoshopElementsFileAgent.exe
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - c:\program files\fichiers communs\logishrd\lvmvfm\LVPrcSrv.exe
O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Program Files\Fichiers communs\LogiShrd\SrvLnch\SrvLnch.exe
O23 - Service: NBService - Nero AG - F:\UTILITAIRES\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: ScsiAccess - Unknown owner - F:\IMAGERIE NUMERIQUE\ProShowProducer\ScsiAccess.exe
O23 - Service: PC Tools Spyware Doctor (SDhelper) - Unknown owner - F:\UTILITAIRES\Spyware Doctor\sdhelp.exe (file missing)
O23 - Service: Spyware Terminator Clam Service (sp_clamsrv) - Unknown owner - C:\Program Files\WinClamAVShield\sp_clamsrv.exe (file missing)
O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Unknown owner - F:\UTILITAIRES\Spyware Terminator\sp_rsser.exe (file missing)

Alors... c'est grave docteur ???


J'voudrais pas être rabat-joie, mais mon ami idqega est toujours là... hi hi hi

Grave, envahissant plutôt, c'est une infection qui ramène des copains.


Télécharge AVG Anti-Spyware :
http://downloads.grisoft.cz/softw/70/filedir/inst/avgas-setup-7.5.1.43.exe

- Lance AVG Anti-Spyware et clique sur le bouton Mise à jour (barre d'outils - en haut). Sous Mise à jour manuelle clique sur Commencer la mise à jour.
- En bas, quand la mise à jour sera terminée, tu pourras lire Mise à jour effectée.
- Clique sur Analyse en haut puis sur Paramètres, clique sur Actions recommandées et choisis Quarantaine.

- Ferme AVG Anti-Spyware. Ne lance pas le scan tout de suite.

-----------------------------------------
NOTE CECI (fichier texte ou imprime, tu n'auras pas accès à internet en mode sans échec)

- Redémarre en mode Sans Échec :
au redémarrage, presse immédiatement la touche F8; tu verras un écran avec choix de démarrages apparaître. Utilisant les flèches du clavier, choisis "Mode Sans Échec" et valide avec la touche Entrée. Choisis ton compte habituel, pas Administrateur.

- Depuis le mode Sans Échec, lance AVG Anti-Spyware et clique sur le bouton analyse de la barre d'outils puis sur analyse complète du système. Le scan prendra plusieurs minutes, c'est normal il faut attendre.

- AVG Anti-Spyware affichera une liste des fichiers détectés, sur la gauche. En fin de scan, l'outil appliquera les "Actions" à appliquer automatiquement. Clique sur le bouton Appliquer toutes les actions. AVG Anti-Spyware affichera toutes les actions ont été appliquées du côté droit.

- Clique sur enregistrer le rapport, puis Enregistrer le rapport sous. Ceci génère un rapport en fichier texte. Assure-toi de le sauvegarder dans un endroit sûr (sur ton Bureau, par exemple).

- Redémarre en mode Normal et... poste le rapport.

Yep, c'est parti...

@+ donc...

La suite est prête (script semi maison).
Je m'absente (manger de temps en temps) et la suite tout à l'heure si tu es là.

Il me faudra ce rapport AVG, ensuite on passe à l'offensive concrète des fichiers infects.

Hello...

De retour, mais vu l'heure, j'ai fait une bourde...

Ben ouais, j'ai oublié de sauvegrader le rapport...

Bon, AVG avait trouvé environ 11 trucs malveillants et les a virés...

Ensuite redémarrage en mode normal, mais là, AVG butte encore sur IDQEGA qu'il me suggère de laisser. Mais moi je lui ai dit de le virer.

Alors AVG le vire et me demande de rebooter...

Et là on tombe dans une boucle sans fin:

10 PRINT "VIREZ IDQEGA"
20 IF R$<>"OUI" THEN 40
30 PRINT "OK, C'EST VIRE"
40 REBOOT

GASP !!!


Bon, là je vais me cadrer et peut-être qu'après 8 heures de sommeil, j'y verrais plus clair...

Bye (baille) donc...

Mythrill

Aïe, ne lui fais pas virer. Avg doit avoir le rapport dans sa section dédiée normalement, on doit pouvoir le récupérer.

Hello...

Voici ce qu'AVG me dit ce matin au boot de la machine:

Logiciel malveillant trouvé....

Adware.Virtumonde dans c\windowssystem32\idqega.dll

Propositions: Nettoyer et mettre en quarantaie - nettoyer - ignorer (recommandé) - ignorer et ajouter aux exceptions


Instinctivement j'aurais tendance à choisir l'option nettoyer... non ?

Si tu as appliqué la procédure plus haut, il doit déjà être en quarantaine.
Recommence au besoin.

Justement, je t'ai devancé et le scan devrait bientôt se termier (bien 2h00 d'analyse)


Voilà, terminé, mais pas de rapport généré....

ça à été mis en quarantaine et AVG me demande, once again, de rebooter...

On repart pour une boucle sans fin....

2h d'analyse c'est vraiment beaucoup, beaucoup de fichiers, éventuellement de la fragmentation. Choisis la quarantaine de préférence, et chope le rapport.

S'il en reste j'ai un script au chaud pour combofix.

Pour la fragmentation, normalement ça devrait jouer car je défragmente régulièrement, disons 1 à 2x/semaine. Pour les fichiers, j'ai pas noté le nombre analysés.

Je peux aussi te dire d'avance que quand j'aurais rebooté, AVG va tout de suite me signaler la présence de cette dll récalcitrante...

Poste le raport AVG après stp, tu fais sans doute les choix pertinents, mais je ne suis pas devant pour le voir, donc sans les rapports c'est plus dur.

Crée un fichier texte nommé CFScript.txt sur ton bureau, et contenant ceci
(code pour cette machine et cette situation)

Code: Tout sélectionner

File::
C:\WINDOWS\system32\idqega.dll

Registry::
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\idqega]

• Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture
  
  
• Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.
• Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!
  Ne touche à rien tant que le scan n'est pas terminé.
• Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
• Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

Après ça, renomme hijackthis.exe en testhjt.exe (décompresse sur le bureau et renomme)

Sans faire de rapport, tu shootes ces lignes si elles sont encore là :

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\idqega.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\idqega.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\WINDOWS\system32\idqega.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\WINDOWS\system32\idqega.dll
O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\WINDOWS\system32\idqega.dll
O9 - Extra button: ATI TV - {44226DFF-747E-4edc-B30C-78752E50CD0C} - C:\WINDOWS\system32\idqega.dll
O20 - Winlogon Notify: idqega - C:\WINDOWS\SYSTEM32\idqega.dll
(cette dernière devrait avoir dégagé)

Redémarre puis poste un rapport HijackThis.

Salut Falkra...

Désolé pour ce silence, mais cette semaine j'ai des horaires un peu à la "mords-moi-le-biiiiiip" et j'ai pas trop le temps de me consacrer à la chesse aux espions...

Je pense quà la fin de semaine ça devrait jouer pour reprendre la suite des opérations, si ça joue pour toi bien entendu...

Là en l'état j'ai pas l'impression que le PC merdouille plus que d'hab', si ce n'est AVG qui m'informe toujours au boot que la dll est encore là...

Donc si tu le veut bien, on reporte cette séance de healing à dans qques jours...


En tous cas merci 1000x du temps que tu as déjà consacré à mon souci, j'apprécie énormément...


A bientôt donc...


Mythrill

Pas de problème, il y a une vie à côté.
On reprend quand tu veux et peux.
(en espérant que tu n'atrappes rien de plus entre temps, on vérifiera)