Hello à tous & toutes...
HijackThis, que je fais tourner régulièrement, m'a sorti un truc que je n'avais pas vu, remarqué, avant.
Il me trouve une dll qui répond au doux nom de idqega.dll
M'interressant de plus près à cette dll, je constate que le module de scan permanant d'AntiVIR s'emble s'interresser, lui aussi, de très près à un fichier idqega.dns (même nom mais extension différente)
Est-ce que ces fichiers parlent à quelqu'un ici ? Car même mon ami gogol ne trouve rien sur la toile...
En plus, impossible à virer ces fichiers, même en mode sans échec !!!
Alors si parmis vous il y en a qui sont au fait de ces idqega .dll et .dns, n'hésitez pas, éclairez moi donc...
Tankiou par avance...
Mythrill
IDQEGA KESAKO ???
Modérateur: Modérateurs
Règles du forum
Les désinfections sont prises en charge par un groupe spécifique, tout le monde ne peut pas intervenir pour désinfecter les machines (règles).
Les procédures sont sur-mesure, ne faites pas la même chose chez vous (explications).
Un topic par machine, chacun crée le sien. 
Les désinfections sont prises en charge par un groupe spécifique, tout le monde ne peut pas intervenir pour désinfecter les machines (règles). Les procédures sont sur-mesure, ne faites pas la même chose chez vous (explications). Un topic par machine, chacun crée le sien.
37 messages
• Page 1 sur 2 • 1, 2
IDQEGA KESAKO ???
par Mythrill » 04 Aoû 2007 07:28
J'essaye d'être le plus clair possible mais je n'y arrive pas toujours. Je demande donc votre indulgence...
-
Mythrill - Libellulien Junior
- Messages: 280
- Inscription: 22 Sep 2004 10:23
- Localisation: Suisse - Genève - Carouge
par Falkra » 04 Aoû 2007 11:25
Hello Mythrill, poste le log complet, ce sera plus simple. 
si ton turc est nuisible, on le virera, s'il est nuisible et que c'est une nouvelle variant,e je ferai suivre les fichiers pour mises à jour des outils.
si ton turc est nuisible, on le virera, s'il est nuisible et que c'est une nouvelle variant,e je ferai suivre les fichiers pour mises à jour des outils.
-
Falkra - Admin libellules.ch
- Messages: 24424
- Inscription: 30 Jan 2005 13:44
- Localisation: 127.0.0.1
par Mythrill » 04 Aoû 2007 14:15
Ok, voici donc le log:
Logfile of HijackThis v1.99.1
Scan saved at 15:10:21, on 04.08.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16473)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
c:\program files\fichiers communs\logishrd\lvmvfm\LVPrcSrv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Fichiers communs\LogiShrd\LComMgr\Communications_Helper.exe
C:\Program Files\Logitech\QuickCam10\QuickCam10.exe
F:\UTILITAIRES\VirtualCloneDrive\VCDDaemon.exe
F:\BUREAUTIQUE\Microsoft ActiveSync\wcescomm.exe
C:\Program Files\Fichiers communs\LogiShrd\LComMgr\LVComSX.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\Windows Media Player\WMPNSCFG.exe
C:\PROGRA~1\MICROS~4\rapimgr.exe
F:\UTILITAIRES\Ad-Aware 2007\aawservice.exe
C:\Program Files\Fichiers communs\Logishrd\LQCVFX\COCIManager.exe
F:\IMAGERIE NUMERIQUE\Adobe Software\Photoshop Elements 5.0\PhotoshopElementsFileAgent.exe
C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\svchost.exe
F:\IMAGERIE NUMERIQUE\ProShowProducer\ScsiAccess.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\WgaTray.exe
C:\Program Files\MSN Messenger\usnsvc.exe
F:\UTILITAIRES\MailWasher Pro\MailWasher Pro\MailWasher.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Mythrill\Bureau\Utilitaires système\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.photocool.fr/Forum/search.ph ... d=newposts
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar4.dll
O2 - BHO: CoolIrisIEHelperObject.CoolIrisIEBHO - {AD0BAB4B-212D-45D7-9E5B-CB1579132715} - F:\UTILITAIRES\CoolIris\CoolIrisIEHelperObject.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: RefresherBand Class - {B24BA06E-FB7B-4757-95C2-DC01125F750E} - f:\YREFRE~1\YREFRE~1.DLL
O3 - Toolbar: ImageShack Toolbar - {6932D140-ABC4-4073-A44C-D4A541665E35} - C:\WINDOWS\ImageShackToolbar\ImageShackToolbar.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar4.dll
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [LogitechCommunicationsManager] "C:\Program Files\Fichiers communs\LogiShrd\LComMgr\Communications_Helper.exe"
O4 - HKLM\..\Run: [LogitechQuickCamRibbon] "C:\Program Files\Logitech\QuickCam10\QuickCam10.exe" /hide
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [VirtualCloneDrive] "F:\UTILITAIRES\VirtualCloneDrive\VCDDaemon.exe" /s
O4 - HKCU\..\Run: [H/PC Connection Agent] "F:\BUREAUTIQUE\Microsoft ActiveSync\wcescomm.exe"
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [LaunchList] K:\Pinnacle\Studio 11\LaunchList2.exe
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - Startup: MailWasherPro.lnk = F:\UTILITAIRES\MailWasher Pro\MailWasher Pro\MailWasher.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Locate Spot on Map by GPS - F:\IMAGERIE NUMERIQUE\IExif 2.25\IExifMap.htm
O8 - Extra context menu item: Open using &Advanced JPEG Compressor - F:\IMAGERIE NUMERIQUE\Advanced JPEG Compressor\ajcieex.htm
O8 - Extra context menu item: Ouvrir le cadre dans une nouvelle fenêtre - C:\WINDOWS\web\OpenFrame.htm
O8 - Extra context menu item: Post Image to Blog - res://C:\WINDOWS\ImageShackToolbar\ImageShackToolbar.dll/5003
O8 - Extra context menu item: Tag This Image - res://C:\WINDOWS\ImageShackToolbar\ImageShackToolbar.dll/5002
O8 - Extra context menu item: Upload All Images to ImageShack - res://C:\WINDOWS\ImageShackToolbar\ImageShackToolbar.dll/5000
O8 - Extra context menu item: Upload Image to ImageShack - res://C:\WINDOWS\ImageShackToolbar\ImageShackToolbar.dll/5001
O8 - Extra context menu item: View Exif/GPS/IPTC with IExif - F:\IMAGERIE NUMERIQUE\IExif 2.25\IExifCom.htm
O8 - Extra context menu item: Voir les cookies - C:\WINDOWS\web\showcookies.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\idqega.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\idqega.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\WINDOWS\system32\idqega.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\WINDOWS\system32\idqega.dll
O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\WINDOWS\system32\idqega.dll
O9 - Extra button: No More Cookies - {334C4A3A-7B0F-4C55-B73F-63B37865E8FA} - C:\Program Files\No More Cookies\No More Cookies.exe
O9 - Extra 'Tools' menuitem: No More Cookies - {334C4A3A-7B0F-4C55-B73F-63B37865E8FA} - C:\Program Files\No More Cookies\No More Cookies.exe
O9 - Extra button: ATI TV - {44226DFF-747E-4edc-B30C-78752E50CD0C} - C:\WINDOWS\system32\idqega.dll
O9 - Extra button: CoolIris Preferences - {449DB14A-F988-4fd8-9361-F212D7B6414B} - F:\UTILITAIRES\CoolIris\CoolIrisPreferences.exe
O9 - Extra 'Tools' menuitem: CoolIris Preferences - {449DB14A-F988-4fd8-9361-F212D7B6414B} - F:\UTILITAIRES\CoolIris\CoolIrisPreferences.exe
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - F:\BUREAU~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: @C:\WINDOWS\ImageShackToolbar\ImageShackToolbar.dll,-115 - {BB8A8834-A0A1-4d70-A21A-72FF89AA737A} - C:\WINDOWS\ImageShackToolbar\ImageShackToolbar.dll
O9 - Extra 'Tools' menuitem: ImageShack Toolbar - {BB8A8834-A0A1-4d70-A21A-72FF89AA737A} - C:\WINDOWS\ImageShackToolbar\ImageShackToolbar.dll
O11 - Options group: [INTERNATIONAL] International*
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: idqega - C:\WINDOWS\SYSTEM32\idqega.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - F:\UTILITAIRES\Ad-Aware 2007\aawservice.exe
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Unknown owner - C:\Program Files\Fichiers communs\Acronis\Schedule2\schedul2.exe (file missing)
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Adobe Active File Monitor V5 (AdobeActiveFileMonitor5.0) - Unknown owner - F:\IMAGERIE NUMERIQUE\Adobe Software\Photoshop Elements 5.0\PhotoshopElementsFileAgent.exe
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - c:\program files\fichiers communs\logishrd\lvmvfm\LVPrcSrv.exe
O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Program Files\Fichiers communs\LogiShrd\SrvLnch\SrvLnch.exe
O23 - Service: NBService - Nero AG - F:\UTILITAIRES\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: ScsiAccess - Unknown owner - F:\IMAGERIE NUMERIQUE\ProShowProducer\ScsiAccess.exe
O23 - Service: PC Tools Spyware Doctor (SDhelper) - Unknown owner - F:\UTILITAIRES\Spyware Doctor\sdhelp.exe (file missing)
O23 - Service: Spyware Terminator Clam Service (sp_clamsrv) - Unknown owner - C:\Program Files\WinClamAVShield\sp_clamsrv.exe (file missing)
O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Unknown owner - F:\UTILITAIRES\Spyware Terminator\sp_rsser.exe (file missing)
En rouge le truc bizarre et en orange des clés que je n'arrive pas à virer bien que le programme incriminé ait été désinstallé... Donc pas un réel problème en sois...
Tankiou pour le coup de main...
Mythrill
Logfile of HijackThis v1.99.1
Scan saved at 15:10:21, on 04.08.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16473)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
c:\program files\fichiers communs\logishrd\lvmvfm\LVPrcSrv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Fichiers communs\LogiShrd\LComMgr\Communications_Helper.exe
C:\Program Files\Logitech\QuickCam10\QuickCam10.exe
F:\UTILITAIRES\VirtualCloneDrive\VCDDaemon.exe
F:\BUREAUTIQUE\Microsoft ActiveSync\wcescomm.exe
C:\Program Files\Fichiers communs\LogiShrd\LComMgr\LVComSX.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\Windows Media Player\WMPNSCFG.exe
C:\PROGRA~1\MICROS~4\rapimgr.exe
F:\UTILITAIRES\Ad-Aware 2007\aawservice.exe
C:\Program Files\Fichiers communs\Logishrd\LQCVFX\COCIManager.exe
F:\IMAGERIE NUMERIQUE\Adobe Software\Photoshop Elements 5.0\PhotoshopElementsFileAgent.exe
C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\svchost.exe
F:\IMAGERIE NUMERIQUE\ProShowProducer\ScsiAccess.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\WgaTray.exe
C:\Program Files\MSN Messenger\usnsvc.exe
F:\UTILITAIRES\MailWasher Pro\MailWasher Pro\MailWasher.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Mythrill\Bureau\Utilitaires système\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.photocool.fr/Forum/search.ph ... d=newposts
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar4.dll
O2 - BHO: CoolIrisIEHelperObject.CoolIrisIEBHO - {AD0BAB4B-212D-45D7-9E5B-CB1579132715} - F:\UTILITAIRES\CoolIris\CoolIrisIEHelperObject.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: RefresherBand Class - {B24BA06E-FB7B-4757-95C2-DC01125F750E} - f:\YREFRE~1\YREFRE~1.DLL
O3 - Toolbar: ImageShack Toolbar - {6932D140-ABC4-4073-A44C-D4A541665E35} - C:\WINDOWS\ImageShackToolbar\ImageShackToolbar.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar4.dll
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [LogitechCommunicationsManager] "C:\Program Files\Fichiers communs\LogiShrd\LComMgr\Communications_Helper.exe"
O4 - HKLM\..\Run: [LogitechQuickCamRibbon] "C:\Program Files\Logitech\QuickCam10\QuickCam10.exe" /hide
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [VirtualCloneDrive] "F:\UTILITAIRES\VirtualCloneDrive\VCDDaemon.exe" /s
O4 - HKCU\..\Run: [H/PC Connection Agent] "F:\BUREAUTIQUE\Microsoft ActiveSync\wcescomm.exe"
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [LaunchList] K:\Pinnacle\Studio 11\LaunchList2.exe
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - Startup: MailWasherPro.lnk = F:\UTILITAIRES\MailWasher Pro\MailWasher Pro\MailWasher.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Locate Spot on Map by GPS - F:\IMAGERIE NUMERIQUE\IExif 2.25\IExifMap.htm
O8 - Extra context menu item: Open using &Advanced JPEG Compressor - F:\IMAGERIE NUMERIQUE\Advanced JPEG Compressor\ajcieex.htm
O8 - Extra context menu item: Ouvrir le cadre dans une nouvelle fenêtre - C:\WINDOWS\web\OpenFrame.htm
O8 - Extra context menu item: Post Image to Blog - res://C:\WINDOWS\ImageShackToolbar\ImageShackToolbar.dll/5003
O8 - Extra context menu item: Tag This Image - res://C:\WINDOWS\ImageShackToolbar\ImageShackToolbar.dll/5002
O8 - Extra context menu item: Upload All Images to ImageShack - res://C:\WINDOWS\ImageShackToolbar\ImageShackToolbar.dll/5000
O8 - Extra context menu item: Upload Image to ImageShack - res://C:\WINDOWS\ImageShackToolbar\ImageShackToolbar.dll/5001
O8 - Extra context menu item: View Exif/GPS/IPTC with IExif - F:\IMAGERIE NUMERIQUE\IExif 2.25\IExifCom.htm
O8 - Extra context menu item: Voir les cookies - C:\WINDOWS\web\showcookies.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\idqega.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\idqega.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\WINDOWS\system32\idqega.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\WINDOWS\system32\idqega.dll
O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\WINDOWS\system32\idqega.dll
O9 - Extra button: No More Cookies - {334C4A3A-7B0F-4C55-B73F-63B37865E8FA} - C:\Program Files\No More Cookies\No More Cookies.exe
O9 - Extra 'Tools' menuitem: No More Cookies - {334C4A3A-7B0F-4C55-B73F-63B37865E8FA} - C:\Program Files\No More Cookies\No More Cookies.exe
O9 - Extra button: ATI TV - {44226DFF-747E-4edc-B30C-78752E50CD0C} - C:\WINDOWS\system32\idqega.dll
O9 - Extra button: CoolIris Preferences - {449DB14A-F988-4fd8-9361-F212D7B6414B} - F:\UTILITAIRES\CoolIris\CoolIrisPreferences.exe
O9 - Extra 'Tools' menuitem: CoolIris Preferences - {449DB14A-F988-4fd8-9361-F212D7B6414B} - F:\UTILITAIRES\CoolIris\CoolIrisPreferences.exe
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - F:\BUREAU~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: @C:\WINDOWS\ImageShackToolbar\ImageShackToolbar.dll,-115 - {BB8A8834-A0A1-4d70-A21A-72FF89AA737A} - C:\WINDOWS\ImageShackToolbar\ImageShackToolbar.dll
O9 - Extra 'Tools' menuitem: ImageShack Toolbar - {BB8A8834-A0A1-4d70-A21A-72FF89AA737A} - C:\WINDOWS\ImageShackToolbar\ImageShackToolbar.dll
O11 - Options group: [INTERNATIONAL] International*
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: idqega - C:\WINDOWS\SYSTEM32\idqega.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - F:\UTILITAIRES\Ad-Aware 2007\aawservice.exe
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Unknown owner - C:\Program Files\Fichiers communs\Acronis\Schedule2\schedul2.exe (file missing)
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Adobe Active File Monitor V5 (AdobeActiveFileMonitor5.0) - Unknown owner - F:\IMAGERIE NUMERIQUE\Adobe Software\Photoshop Elements 5.0\PhotoshopElementsFileAgent.exe
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - c:\program files\fichiers communs\logishrd\lvmvfm\LVPrcSrv.exe
O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Program Files\Fichiers communs\LogiShrd\SrvLnch\SrvLnch.exe
O23 - Service: NBService - Nero AG - F:\UTILITAIRES\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: ScsiAccess - Unknown owner - F:\IMAGERIE NUMERIQUE\ProShowProducer\ScsiAccess.exe
O23 - Service: PC Tools Spyware Doctor (SDhelper) - Unknown owner - F:\UTILITAIRES\Spyware Doctor\sdhelp.exe (file missing)
O23 - Service: Spyware Terminator Clam Service (sp_clamsrv) - Unknown owner - C:\Program Files\WinClamAVShield\sp_clamsrv.exe (file missing)
O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Unknown owner - F:\UTILITAIRES\Spyware Terminator\sp_rsser.exe (file missing)
En rouge le truc bizarre et en orange des clés que je n'arrive pas à virer bien que le programme incriminé ait été désinstallé... Donc pas un réel problème en sois...
Tankiou pour le coup de main...
Mythrill
J'essaye d'être le plus clair possible mais je n'y arrive pas toujours. Je demande donc votre indulgence...
-
Mythrill - Libellulien Junior
- Messages: 280
- Inscription: 22 Sep 2004 10:23
- Localisation: Suisse - Genève - Carouge
par Falkra » 04 Aoû 2007 14:27
Re, merci.
A première vue, le gros problème est côté firewall : soit il n'y en a pas, soit tu utilises celui de XP ?
Kerio, Jetico, etc... à installer, celui de windows ne filtre que dans un sens, et pas trop bien. (tutos sur demande pas de problème), il te faut un vrai firewall, gratuit il y a du bon. ZoneAlarm free n'est plus assez costaud (le pro oui mais payant).
Il y a plein de choses là dans ce log, et PowerIE en a mis partout (légitime lui).
La DLL dont on parle n'est pas référencée nulle part comme nocive. Si c'est une nouvelle variante (ou un nom de fichier aléatoire), il faut en avoir le coeur net, j'aimerais que tu me le fasses parvenir par mail (zippé) à l'adresse que je vais t'indiquer par MP pour analyse approfondie.
C:\WINDOWS\SYSTEM32\idqega.dll donc
Spyware doctor, et spyware terminator (programme efficace mais controversé, discussions en cours non terminées), tu les a désinstallés et les inscriptions en orange sont encore là ?
A première vue, le gros problème est côté firewall : soit il n'y en a pas, soit tu utilises celui de XP ?
Kerio, Jetico, etc... à installer, celui de windows ne filtre que dans un sens, et pas trop bien. (tutos sur demande pas de problème), il te faut un vrai firewall, gratuit il y a du bon. ZoneAlarm free n'est plus assez costaud (le pro oui mais payant).
Il y a plein de choses là dans ce log, et PowerIE en a mis partout (légitime lui).
La DLL dont on parle n'est pas référencée nulle part comme nocive. Si c'est une nouvelle variante (ou un nom de fichier aléatoire), il faut en avoir le coeur net, j'aimerais que tu me le fasses parvenir par mail (zippé) à l'adresse que je vais t'indiquer par MP pour analyse approfondie.
C:\WINDOWS\SYSTEM32\idqega.dll donc
Spyware doctor, et spyware terminator (programme efficace mais controversé, discussions en cours non terminées), tu les a désinstallés et les inscriptions en orange sont encore là ?
-
Falkra - Admin libellules.ch
- Messages: 24424
- Inscription: 30 Jan 2005 13:44
- Localisation: 127.0.0.1
par Mythrill » 04 Aoû 2007 14:40
Re,
En effet, pas de firewall autre que celui de XP, et à priori pas de soucis autres que ceux de ce post, récents donc.
Oui, SpywareDoctor et SpywareTerminator désinstallés mais toujours ces inscriptions (oranges) récalcitrantes...
Je te maile la dll zippée tout de go...
En effet, pas de firewall autre que celui de XP, et à priori pas de soucis autres que ceux de ce post, récents donc.
Oui, SpywareDoctor et SpywareTerminator désinstallés mais toujours ces inscriptions (oranges) récalcitrantes...
Je te maile la dll zippée tout de go...
J'essaye d'être le plus clair possible mais je n'y arrive pas toujours. Je demande donc votre indulgence...
-
Mythrill - Libellulien Junior
- Messages: 280
- Inscription: 22 Sep 2004 10:23
- Localisation: Suisse - Genève - Carouge
par Falkra » 04 Aoû 2007 15:09
C'est ce que je redoutais, c'est bien une infection (virtumonde).
On va en venir à bout.
Télécharge VundoFix.exe (par Atribune) sur ton bureau :
http://www.atribune.org/ccount/click.php?id=4
* Double-clique VundoFix.exe pour le lancer.
* Clique sur le bouton Scan for Vundo.
* Lorsque le scan est terminé, clique sur le bouton Remove Vundo
* Une invite te demandera si tu veux supprimer les fichiers, clique YES
* Après, le bureau disparaîtra un moment, c'est normal.
* Tu verras une invite qui t'annonce que ton PC va redémarrer; clique sur OK.
* Copie/colle le contenu du rapport situé dans C:\vundofix.txt
Note: Il est possible que VundoFix se trouve face à un fichier qu'il ne peut pas supprimer. Si cela se produit, il se lancera au prochain redémarrage; il faut simplement suivre les instructions ci-dessus, à partir de "clique sur le bouton Scan for Vundo".
On va en venir à bout.
Télécharge VundoFix.exe (par Atribune) sur ton bureau :
http://www.atribune.org/ccount/click.php?id=4
* Double-clique VundoFix.exe pour le lancer.
* Clique sur le bouton Scan for Vundo.
* Lorsque le scan est terminé, clique sur le bouton Remove Vundo
* Une invite te demandera si tu veux supprimer les fichiers, clique YES
* Après, le bureau disparaîtra un moment, c'est normal.
* Tu verras une invite qui t'annonce que ton PC va redémarrer; clique sur OK.
* Copie/colle le contenu du rapport situé dans C:\vundofix.txt
Note: Il est possible que VundoFix se trouve face à un fichier qu'il ne peut pas supprimer. Si cela se produit, il se lancera au prochain redémarrage; il faut simplement suivre les instructions ci-dessus, à partir de "clique sur le bouton Scan for Vundo".
-
Falkra - Admin libellules.ch
- Messages: 24424
- Inscription: 30 Jan 2005 13:44
- Localisation: 127.0.0.1
par Falkra » 04 Aoû 2007 15:12
Autre entrée (on traitera le moment venu) ici, hiii.
Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\WINDOWS\system32\idqega.dll
Il y en a d'autres dans le log, associées à du "classique".
L'inscription est référencée légitime, mais pas le fichier... il y a un os.
Je vais faire suivre tout ça, tu as bien fait de faire signe.
Ca permettra peut-être de mettre à jour quelques références, c'est de toute façon utile.
Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\WINDOWS\system32\idqega.dll
Il y en a d'autres dans le log, associées à du "classique".
L'inscription est référencée légitime, mais pas le fichier... il y a un os.
Je vais faire suivre tout ça, tu as bien fait de faire signe.
Ca permettra peut-être de mettre à jour quelques références, c'est de toute façon utile.
-
Falkra - Admin libellules.ch
- Messages: 24424
- Inscription: 30 Jan 2005 13:44
- Localisation: 127.0.0.1
par Mythrill » 04 Aoû 2007 16:06
Pfff, quelle m@rdouille...
Là je suis en pleine sauvegarde de photos... Dès que c'est terminé je suis tes recommendations..
@+
Là je suis en pleine sauvegarde de photos... Dès que c'est terminé je suis tes recommendations..
@+
J'essaye d'être le plus clair possible mais je n'y arrive pas toujours. Je demande donc votre indulgence...
-
Mythrill - Libellulien Junior
- Messages: 280
- Inscription: 22 Sep 2004 10:23
- Localisation: Suisse - Genève - Carouge
par Falkra » 04 Aoû 2007 16:07
Ok, entre temps, j'ai demandé conseil. Il y a détournement de clés légitimes, c'est relativement rare dans ce type d'infection (virtumonde) mais pas nouveau ou pire qu'autre chose. On va t'en dépatouiller.
-
Falkra - Admin libellules.ch
- Messages: 24424
- Inscription: 30 Jan 2005 13:44
- Localisation: 127.0.0.1
par Mythrill » 04 Aoû 2007 16:10
, je n'en doute pas.... J'essaye d'être le plus clair possible mais je n'y arrive pas toujours. Je demande donc votre indulgence...
-
Mythrill - Libellulien Junior
- Messages: 280
- Inscription: 22 Sep 2004 10:23
- Localisation: Suisse - Genève - Carouge
par Mythrill » 04 Aoû 2007 16:19
Ok, sauvegarde terminée et scan terminé aussi.
Mais VundoFix ne butte pas sur idqega.dll
Mais VundoFix ne butte pas sur idqega.dll
J'essaye d'être le plus clair possible mais je n'y arrive pas toujours. Je demande donc votre indulgence...
-
Mythrill - Libellulien Junior
- Messages: 280
- Inscription: 22 Sep 2004 10:23
- Localisation: Suisse - Genève - Carouge
-
Falkra - Admin libellules.ch
- Messages: 24424
- Inscription: 30 Jan 2005 13:44
- Localisation: 127.0.0.1
par Mythrill » 04 Aoû 2007 16:24
Un nouveau rapport Hijack ?
Au fait, ton prog à viré ça: C:\windows\system32\jkhedcd.dll
Au fait, ton prog à viré ça: C:\windows\system32\jkhedcd.dll
J'essaye d'être le plus clair possible mais je n'y arrive pas toujours. Je demande donc votre indulgence...
-
Mythrill - Libellulien Junior
- Messages: 280
- Inscription: 22 Sep 2004 10:23
- Localisation: Suisse - Genève - Carouge
par Mythrill » 04 Aoû 2007 16:25
Logfile of HijackThis v1.99.1
Scan saved at 17:25:40, on 04.08.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16473)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
c:\program files\fichiers communs\logishrd\lvmvfm\LVPrcSrv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Fichiers communs\LogiShrd\LComMgr\Communications_Helper.exe
C:\Program Files\Logitech\QuickCam10\QuickCam10.exe
F:\UTILITAIRES\VirtualCloneDrive\VCDDaemon.exe
F:\BUREAUTIQUE\Microsoft ActiveSync\wcescomm.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Fichiers communs\LogiShrd\LComMgr\LVComSX.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\Windows Media Player\WMPNSCFG.exe
C:\PROGRA~1\MICROS~4\rapimgr.exe
F:\UTILITAIRES\MailWasher Pro\MailWasher Pro\MailWasher.exe
F:\UTILITAIRES\Ad-Aware 2007\aawservice.exe
F:\IMAGERIE NUMERIQUE\Adobe Software\Photoshop Elements 5.0\PhotoshopElementsFileAgent.exe
C:\Program Files\Fichiers communs\Logishrd\LQCVFX\COCIManager.exe
C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\svchost.exe
F:\IMAGERIE NUMERIQUE\ProShowProducer\ScsiAccess.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\WgaTray.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Windows NT\Accessoires\WORDPAD.EXE
C:\Documents and Settings\Mythrill\Bureau\Utilitaires système\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.photocool.fr/Forum/search.ph ... d=newposts
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar4.dll
O2 - BHO: CoolIrisIEHelperObject.CoolIrisIEBHO - {AD0BAB4B-212D-45D7-9E5B-CB1579132715} - F:\UTILITAIRES\CoolIris\CoolIrisIEHelperObject.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: RefresherBand Class - {B24BA06E-FB7B-4757-95C2-DC01125F750E} - f:\YREFRE~1\YREFRE~1.DLL
O3 - Toolbar: ImageShack Toolbar - {6932D140-ABC4-4073-A44C-D4A541665E35} - C:\WINDOWS\ImageShackToolbar\ImageShackToolbar.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar4.dll
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [LogitechCommunicationsManager] "C:\Program Files\Fichiers communs\LogiShrd\LComMgr\Communications_Helper.exe"
O4 - HKLM\..\Run: [LogitechQuickCamRibbon] "C:\Program Files\Logitech\QuickCam10\QuickCam10.exe" /hide
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [VirtualCloneDrive] "F:\UTILITAIRES\VirtualCloneDrive\VCDDaemon.exe" /s
O4 - HKCU\..\Run: [H/PC Connection Agent] "F:\BUREAUTIQUE\Microsoft ActiveSync\wcescomm.exe"
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [LaunchList] K:\Pinnacle\Studio 11\LaunchList2.exe
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - Startup: MailWasherPro.lnk = F:\UTILITAIRES\MailWasher Pro\MailWasher Pro\MailWasher.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Locate Spot on Map by GPS - F:\IMAGERIE NUMERIQUE\IExif 2.25\IExifMap.htm
O8 - Extra context menu item: Open using &Advanced JPEG Compressor - F:\IMAGERIE NUMERIQUE\Advanced JPEG Compressor\ajcieex.htm
O8 - Extra context menu item: Ouvrir le cadre dans une nouvelle fenêtre - C:\WINDOWS\web\OpenFrame.htm
O8 - Extra context menu item: Post Image to Blog - res://C:\WINDOWS\ImageShackToolbar\ImageShackToolbar.dll/5003
O8 - Extra context menu item: Tag This Image - res://C:\WINDOWS\ImageShackToolbar\ImageShackToolbar.dll/5002
O8 - Extra context menu item: Upload All Images to ImageShack - res://C:\WINDOWS\ImageShackToolbar\ImageShackToolbar.dll/5000
O8 - Extra context menu item: Upload Image to ImageShack - res://C:\WINDOWS\ImageShackToolbar\ImageShackToolbar.dll/5001
O8 - Extra context menu item: View Exif/GPS/IPTC with IExif - F:\IMAGERIE NUMERIQUE\IExif 2.25\IExifCom.htm
O8 - Extra context menu item: Voir les cookies - C:\WINDOWS\web\showcookies.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\idqega.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\idqega.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\WINDOWS\system32\idqega.dll
O9 - Extra button: No More Cookies - {334C4A3A-7B0F-4C55-B73F-63B37865E8FA} - C:\Program Files\No More Cookies\No More Cookies.exe
O9 - Extra 'Tools' menuitem: No More Cookies - {334C4A3A-7B0F-4C55-B73F-63B37865E8FA} - C:\Program Files\No More Cookies\No More Cookies.exe
O9 - Extra button: ATI TV - {44226DFF-747E-4edc-B30C-78752E50CD0C} - C:\WINDOWS\system32\idqega.dll
O9 - Extra button: CoolIris Preferences - {449DB14A-F988-4fd8-9361-F212D7B6414B} - F:\UTILITAIRES\CoolIris\CoolIrisPreferences.exe
O9 - Extra 'Tools' menuitem: CoolIris Preferences - {449DB14A-F988-4fd8-9361-F212D7B6414B} - F:\UTILITAIRES\CoolIris\CoolIrisPreferences.exe
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - F:\BUREAU~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: @C:\WINDOWS\ImageShackToolbar\ImageShackToolbar.dll,-115 - {BB8A8834-A0A1-4d70-A21A-72FF89AA737A} - C:\WINDOWS\ImageShackToolbar\ImageShackToolbar.dll
O9 - Extra 'Tools' menuitem: ImageShack Toolbar - {BB8A8834-A0A1-4d70-A21A-72FF89AA737A} - C:\WINDOWS\ImageShackToolbar\ImageShackToolbar.dll
O11 - Options group: [INTERNATIONAL] International*
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: idqega - C:\WINDOWS\SYSTEM32\idqega.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - F:\UTILITAIRES\Ad-Aware 2007\aawservice.exe
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Unknown owner - C:\Program Files\Fichiers communs\Acronis\Schedule2\schedul2.exe (file missing)
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Adobe Active File Monitor V5 (AdobeActiveFileMonitor5.0) - Unknown owner - F:\IMAGERIE NUMERIQUE\Adobe Software\Photoshop Elements 5.0\PhotoshopElementsFileAgent.exe
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - c:\program files\fichiers communs\logishrd\lvmvfm\LVPrcSrv.exe
O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Program Files\Fichiers communs\LogiShrd\SrvLnch\SrvLnch.exe
O23 - Service: NBService - Nero AG - F:\UTILITAIRES\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: ScsiAccess - Unknown owner - F:\IMAGERIE NUMERIQUE\ProShowProducer\ScsiAccess.exe
O23 - Service: PC Tools Spyware Doctor (SDhelper) - Unknown owner - F:\UTILITAIRES\Spyware Doctor\sdhelp.exe (file missing)
O23 - Service: Spyware Terminator Clam Service (sp_clamsrv) - Unknown owner - C:\Program Files\WinClamAVShield\sp_clamsrv.exe (file missing)
O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Unknown owner - F:\UTILITAIRES\Spyware Terminator\sp_rsser.exe (file missing)
Scan saved at 17:25:40, on 04.08.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16473)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
c:\program files\fichiers communs\logishrd\lvmvfm\LVPrcSrv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Fichiers communs\LogiShrd\LComMgr\Communications_Helper.exe
C:\Program Files\Logitech\QuickCam10\QuickCam10.exe
F:\UTILITAIRES\VirtualCloneDrive\VCDDaemon.exe
F:\BUREAUTIQUE\Microsoft ActiveSync\wcescomm.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Fichiers communs\LogiShrd\LComMgr\LVComSX.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\Windows Media Player\WMPNSCFG.exe
C:\PROGRA~1\MICROS~4\rapimgr.exe
F:\UTILITAIRES\MailWasher Pro\MailWasher Pro\MailWasher.exe
F:\UTILITAIRES\Ad-Aware 2007\aawservice.exe
F:\IMAGERIE NUMERIQUE\Adobe Software\Photoshop Elements 5.0\PhotoshopElementsFileAgent.exe
C:\Program Files\Fichiers communs\Logishrd\LQCVFX\COCIManager.exe
C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\svchost.exe
F:\IMAGERIE NUMERIQUE\ProShowProducer\ScsiAccess.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\WgaTray.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Windows NT\Accessoires\WORDPAD.EXE
C:\Documents and Settings\Mythrill\Bureau\Utilitaires système\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.photocool.fr/Forum/search.ph ... d=newposts
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar4.dll
O2 - BHO: CoolIrisIEHelperObject.CoolIrisIEBHO - {AD0BAB4B-212D-45D7-9E5B-CB1579132715} - F:\UTILITAIRES\CoolIris\CoolIrisIEHelperObject.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: RefresherBand Class - {B24BA06E-FB7B-4757-95C2-DC01125F750E} - f:\YREFRE~1\YREFRE~1.DLL
O3 - Toolbar: ImageShack Toolbar - {6932D140-ABC4-4073-A44C-D4A541665E35} - C:\WINDOWS\ImageShackToolbar\ImageShackToolbar.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar4.dll
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [LogitechCommunicationsManager] "C:\Program Files\Fichiers communs\LogiShrd\LComMgr\Communications_Helper.exe"
O4 - HKLM\..\Run: [LogitechQuickCamRibbon] "C:\Program Files\Logitech\QuickCam10\QuickCam10.exe" /hide
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [VirtualCloneDrive] "F:\UTILITAIRES\VirtualCloneDrive\VCDDaemon.exe" /s
O4 - HKCU\..\Run: [H/PC Connection Agent] "F:\BUREAUTIQUE\Microsoft ActiveSync\wcescomm.exe"
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [LaunchList] K:\Pinnacle\Studio 11\LaunchList2.exe
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - Startup: MailWasherPro.lnk = F:\UTILITAIRES\MailWasher Pro\MailWasher Pro\MailWasher.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Locate Spot on Map by GPS - F:\IMAGERIE NUMERIQUE\IExif 2.25\IExifMap.htm
O8 - Extra context menu item: Open using &Advanced JPEG Compressor - F:\IMAGERIE NUMERIQUE\Advanced JPEG Compressor\ajcieex.htm
O8 - Extra context menu item: Ouvrir le cadre dans une nouvelle fenêtre - C:\WINDOWS\web\OpenFrame.htm
O8 - Extra context menu item: Post Image to Blog - res://C:\WINDOWS\ImageShackToolbar\ImageShackToolbar.dll/5003
O8 - Extra context menu item: Tag This Image - res://C:\WINDOWS\ImageShackToolbar\ImageShackToolbar.dll/5002
O8 - Extra context menu item: Upload All Images to ImageShack - res://C:\WINDOWS\ImageShackToolbar\ImageShackToolbar.dll/5000
O8 - Extra context menu item: Upload Image to ImageShack - res://C:\WINDOWS\ImageShackToolbar\ImageShackToolbar.dll/5001
O8 - Extra context menu item: View Exif/GPS/IPTC with IExif - F:\IMAGERIE NUMERIQUE\IExif 2.25\IExifCom.htm
O8 - Extra context menu item: Voir les cookies - C:\WINDOWS\web\showcookies.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\idqega.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\idqega.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\WINDOWS\system32\idqega.dll
O9 - Extra button: No More Cookies - {334C4A3A-7B0F-4C55-B73F-63B37865E8FA} - C:\Program Files\No More Cookies\No More Cookies.exe
O9 - Extra 'Tools' menuitem: No More Cookies - {334C4A3A-7B0F-4C55-B73F-63B37865E8FA} - C:\Program Files\No More Cookies\No More Cookies.exe
O9 - Extra button: ATI TV - {44226DFF-747E-4edc-B30C-78752E50CD0C} - C:\WINDOWS\system32\idqega.dll
O9 - Extra button: CoolIris Preferences - {449DB14A-F988-4fd8-9361-F212D7B6414B} - F:\UTILITAIRES\CoolIris\CoolIrisPreferences.exe
O9 - Extra 'Tools' menuitem: CoolIris Preferences - {449DB14A-F988-4fd8-9361-F212D7B6414B} - F:\UTILITAIRES\CoolIris\CoolIrisPreferences.exe
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - F:\BUREAU~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: @C:\WINDOWS\ImageShackToolbar\ImageShackToolbar.dll,-115 - {BB8A8834-A0A1-4d70-A21A-72FF89AA737A} - C:\WINDOWS\ImageShackToolbar\ImageShackToolbar.dll
O9 - Extra 'Tools' menuitem: ImageShack Toolbar - {BB8A8834-A0A1-4d70-A21A-72FF89AA737A} - C:\WINDOWS\ImageShackToolbar\ImageShackToolbar.dll
O11 - Options group: [INTERNATIONAL] International*
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: idqega - C:\WINDOWS\SYSTEM32\idqega.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - F:\UTILITAIRES\Ad-Aware 2007\aawservice.exe
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Unknown owner - C:\Program Files\Fichiers communs\Acronis\Schedule2\schedul2.exe (file missing)
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Adobe Active File Monitor V5 (AdobeActiveFileMonitor5.0) - Unknown owner - F:\IMAGERIE NUMERIQUE\Adobe Software\Photoshop Elements 5.0\PhotoshopElementsFileAgent.exe
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - c:\program files\fichiers communs\logishrd\lvmvfm\LVPrcSrv.exe
O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Program Files\Fichiers communs\LogiShrd\SrvLnch\SrvLnch.exe
O23 - Service: NBService - Nero AG - F:\UTILITAIRES\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: ScsiAccess - Unknown owner - F:\IMAGERIE NUMERIQUE\ProShowProducer\ScsiAccess.exe
O23 - Service: PC Tools Spyware Doctor (SDhelper) - Unknown owner - F:\UTILITAIRES\Spyware Doctor\sdhelp.exe (file missing)
O23 - Service: Spyware Terminator Clam Service (sp_clamsrv) - Unknown owner - C:\Program Files\WinClamAVShield\sp_clamsrv.exe (file missing)
O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Unknown owner - F:\UTILITAIRES\Spyware Terminator\sp_rsser.exe (file missing)
J'essaye d'être le plus clair possible mais je n'y arrive pas toujours. Je demande donc votre indulgence...
-
Mythrill - Libellulien Junior
- Messages: 280
- Inscription: 22 Sep 2004 10:23
- Localisation: Suisse - Genève - Carouge
par Falkra » 04 Aoû 2007 16:26
Nan nan, le rapport Vundofix, même si ça ne bippe pas ici ou là, que je voie où ça en est, ce que ça a fait exactement. Sans cela, je ne peux pas faire grand chose d'ici.
Tu le trouveras dans C:\vundofix.txt où li est automatiquement sauvegardé.
Tu le trouveras dans C:\vundofix.txt où li est automatiquement sauvegardé.
-
Falkra - Admin libellules.ch
- Messages: 24424
- Inscription: 30 Jan 2005 13:44
- Localisation: 127.0.0.1
par Mythrill » 04 Aoû 2007 16:28
Suffit de dire...
VundoFix V6.5.6
Checking Java version...
Java version is 1.5.0.6
Old versions of java are exploitable and should be removed.
Scan started at 17:08:09 04.08.2007
Listing files found while scanning....
C:\windows\system32\jkhedcd.dll
Beginning removal...
Attempting to delete C:\windows\system32\jkhedcd.dll
C:\windows\system32\jkhedcd.dll Has been deleted!
Performing Repairs to the registry.
Done!
VundoFix V6.5.6
Checking Java version...
Java version is 1.5.0.6
Old versions of java are exploitable and should be removed.
Scan started at 17:16:24 04.08.2007
Listing files found while scanning....
No infected files were found.
VundoFix V6.5.6
Checking Java version...
Java version is 1.5.0.6
Old versions of java are exploitable and should be removed.
Scan started at 17:08:09 04.08.2007
Listing files found while scanning....
C:\windows\system32\jkhedcd.dll
Beginning removal...
Attempting to delete C:\windows\system32\jkhedcd.dll
C:\windows\system32\jkhedcd.dll Has been deleted!
Performing Repairs to the registry.
Done!
VundoFix V6.5.6
Checking Java version...
Java version is 1.5.0.6
Old versions of java are exploitable and should be removed.
Scan started at 17:16:24 04.08.2007
Listing files found while scanning....
No infected files were found.
J'essaye d'être le plus clair possible mais je n'y arrive pas toujours. Je demande donc votre indulgence...
-
Mythrill - Libellulien Junior
- Messages: 280
- Inscription: 22 Sep 2004 10:23
- Localisation: Suisse - Genève - Carouge
par Falkra » 04 Aoû 2007 16:35
Ok, merci.
Les autres infos sont importantes pour la suite.
Télécharge combofix (par sUBs) et sauvegarde-le sur ton bureau.
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
* Double-clique combofix.exe afin de l'exécuter et suis les instructions.
* Lorsque l'analyse sera terminée, un rapport apparaîtra.
* Copie-colle ce rapport dans ta prochaine réponse, avec un nouveau log HijackThis (fait après).
Les autres infos sont importantes pour la suite.
Télécharge combofix (par sUBs) et sauvegarde-le sur ton bureau.
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
* Double-clique combofix.exe afin de l'exécuter et suis les instructions.
* Lorsque l'analyse sera terminée, un rapport apparaîtra.
* Copie-colle ce rapport dans ta prochaine réponse, avec un nouveau log HijackThis (fait après).
-
Falkra - Admin libellules.ch
- Messages: 24424
- Inscription: 30 Jan 2005 13:44
- Localisation: 127.0.0.1
par Mythrill » 04 Aoû 2007 16:37
J'y go (d'agneau...)
J'essaye d'être le plus clair possible mais je n'y arrive pas toujours. Je demande donc votre indulgence...
-
Mythrill - Libellulien Junior
- Messages: 280
- Inscription: 22 Sep 2004 10:23
- Localisation: Suisse - Genève - Carouge
par Mythrill » 04 Aoû 2007 16:39
AntiVIR réagit à: APPL/NirCmd.1
Faux positif ???
Faux positif ???
J'essaye d'être le plus clair possible mais je n'y arrive pas toujours. Je demande donc votre indulgence...
-
Mythrill - Libellulien Junior
- Messages: 280
- Inscription: 22 Sep 2004 10:23
- Localisation: Suisse - Genève - Carouge
par Falkra » 04 Aoû 2007 16:44
Met en ignore ou désactive Avguard temporairement pour ne pas être importuné et ne pas gêner le scan.
(désactivation pendant que la fenetre d'antivir est devant, sinon c'est en boucle)
(désactivation pendant que la fenetre d'antivir est devant, sinon c'est en boucle)
-
Falkra - Admin libellules.ch
- Messages: 24424
- Inscription: 30 Jan 2005 13:44
- Localisation: 127.0.0.1
37 messages
• Page 1 sur 2 • 1, 2
Qui est en ligne
Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 3 invités
Développé par phpBB® Forum Software © phpBB Group
Traduction par phpBB-fr.com
Traduction par phpBB-fr.com
phpBB Metro Theme by PixelGoose Studio