Help! Services.exe infécté par un spammer (?)

Salut à vous,

j'ai un probleme avec une bestiole qui s'accroche dur!

J'utilise Avast pro 4 et depuis plusieurs heures son AshMail, me signal des envois massifs de mails depuis mon ordi,
moi, directe je vais voir l'SMTP (courrier sortant) j'active l'option "affiché les infos sur l'action exécutée", et la j'ai des messages du type:

Il y a trop de mails identiques envoyés dans un faible intervalle de temps

Expéditeur : "inah michener" <inah@excite.co.uk.com>
Destinataire : <chinaphile@chello.hu>
Sujet : Il y a trop de mails identiques envoyés dans un faible intervalle de temps

Expéditeur : "Kang Krupsdahl" <Kang481@excite.co.uk.com>
Destinataire : <chinaphile@free.fr>; <curtisn@ot.state.tx.us>
Sujet : Il y a trop de mails identiques envoyés dans un faible intervalle de temps

Expéditeur : "Vankie bourque" <Vankie_bourque@excite.co.uk.com>
Destinataire : <chinaphile@checkmate.com>; <curtisn@pmcsoftware.com>; <billing@checkmate.com>
Sujet : Il y a trop de mails identiques envoyés dans un faible intervalle de temps

etc... etc... etc... la liste est interminable

j'ai quand meme essayé de tracer tout ca: (je sais, c'est pas super utile, mais je me suis quand même bien amusé, lol)
l'expediteur et toujours le meme pseudo@excite.co.uk.com (au cas ou ca dit quelque chose à quelqu'un...)
le paquet s'arrete a Amsterdam ou londres c'est variable et je n'arrive pas a faire un ping sur ce site depuis "dos"
mais quad je le trace ca me dis que c'est italien... bref...

Je récup les donées suivantes:
------------------------------

Registrant
----------
Name: Excite Italia B.V.
ContactID: EXCI2-ITNIC
Address: Viale Guido Baccelli 70
Roma
00153
RM
IT
Created: 2007-03-01 10:40:59
Last Update: 2007-07-12 12:11:21

Admin Contact
------------------
Name: xxx xxx
ContactID: MM4849-ITNIC
Address: Excite Italia B.V.
Viale Guido Baccelli 70
Roma
00153
RM
IT
Created: 2003-02-17 00:00:00
Last Update: 2007-03-01 07:38:51

Technical Contacts
Name: Andrea Bettarini
ContactID: AB143915-ITNIC
Organization: Excite Italia B.V.
Address: Via Palermo, 24
Prato
59100
PO
IT
Created: 2007-07-12 12:11:21
Last Update: 2007-07-12 12:11:21

Network:
--------
OrgName: RIPE Network Coordination Centre
OrgID: RIPE
Address: P.O. Box 10096
City: Amsterdam
StateProv:
PostalCode: 1001EB
Country: NL

ReferralServer: whois://whois.ripe.net:43

NetRange: 82.0.0.0 - 82.255.255.255
CIDR: 82.0.0.0/8
NetName: 82-RIPE
NetHandle: NET-82-0-0-0-1
Parent:
NetType: Allocated to RIPE NCC
NameServer: NS-PRI.RIPE.NET

-------------------------------------

Bon, ok, j'arrete de faire mumuse... -_-"

Je coupe la réstoration systeme de windows (xp, sp2, Ie7, fire fox en master, firewalls routeur et windows)
en suite je passe en mode sans échec et je lance:

Un scan complet Avast, programmé au redémmarage (sans resultat)
Un scan complet spybot (sans resultat)
un scan complet Ad-aware (sans resultat)
un scan complet Spyware doctor (sans resultat)

un scan en ligne panda (sans resultat)
un scan en ligne BitDefender (sans resultat)

VirtumundoBeGone et VundoFix (qui passaient par là) toujours aucun resultat!!!

WinPatrol plus, rien à signaler (en tout cas, rien ne m'a sauté aux yeux...)

avec NetLimiter2, je vois que Services.exe (toujours en mode sans echec) me pompe 20Ko/s en upload avec au moins 200 ip de destination,
Eye on network, me le confirme 20 à 30 ko/s en upload et en continue et que c'est le seul programme en emission de donées.
je lance la commande "dos": services.msc, et la je ne trouve aucun processus suspect passant par services.exe

Apres avoir fait quelques recherches sur le net a propos des relatives infections liées à services.exe (je suspecte un processus caché en 16bits)
recherche rapide, car le ashmail de avast me bouffe 90% du processeur en non-stop)

j'ai crée donc ce message sur le forum dans l'espoir de trouver de l'aide, car je ne veux vraiment pas formater a cause d'un p**** de nuisible
utilisant le net depuis chez-moi pour le boulot je ne peux pas non plus me permettre d'infecter l'ordinateur d'un client.
et puis ces bestioles qui s'accrochent, elles ont le don de me foutre en rogne!

voila, j'esper avoir ete le plus claire possible sur mon probleme.


Et en bonus cadeau le log HijackThis (merci qui?) ^_^;
----------------------------------------------------------------

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:33:35, on 24/08/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)
Boot mode: Normal

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\csrss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
D:\WINDOWS\Explorer.EXE
D:\Program Files\Alwil Software\Avast4\ashServ.exe
D:\WINDOWS\system32\RunDLL32.exe
D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
D:\WINDOWS\Mixer.exe
D:\Program Files\Eye On Network\Eye On Network.exe
D:\PROGRA~1\BILLPS~1\WINPAT~1\winpatrol.exe
D:\WINDOWS\system32\taskswitch.exe
D:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
D:\WINDOWS\system32\ctfmon.exe
D:\Program Files\TuneUp Utilities 2007\MemOptimizer.exe
D:\Program Files\Launchy\Launchy.exe
D:\Program Files\Yahoo!\Widgets\YahooWidgetEngine.exe
D:\WINDOWS\system32\spoolsv.exe
D:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
D:\Program Files\Yahoo!\Widgets\YahooWidgetEngine.exe
D:\Program Files\Yahoo!\Widgets\YahooWidgetEngine.exe
D:\Program Files\Yahoo!\Widgets\YahooWidgetEngine.exe
D:\Program Files\NetLimiter 2 Monitor\nlsvc.exe
D:\WINDOWS\system32\nvsvc32.exe
D:\Program Files\Spyware Doctor\sdhelp.exe
D:\WINDOWS\system32\wwSecure.exe
D:\Program Files\NetLimiter 2 Monitor\NLClient.exe
D:\Program Files\Yahoo!\Widgets\YahooWidgetEngine.exe
D:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
D:\Program Files\Yahoo!\Widgets\YahooWidgetEngine.exe
D:\Program Files\Alwil Software\Avast4\ashWebSv.exe
D:\WINDOWS\System32\alg.exe
D:\WINDOWS\System32\wbem\wmiprvse.exe
D:\Program Files\Minefield\firefox.exe
D:\WINDOWS\system32\notepad.exe
D:\WINDOWS\system32\NOTEPAD.EXE
D:\WINDOWS\Explorer.EXE
D:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.01net.com/telecharger/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.01net.com/telecharger/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - D:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - D:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - D:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] D:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] D:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] D:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avast!] D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [Eye On Network] D:\Program Files\Eye On Network\Eye On Network.exe
O4 - HKLM\..\Run: [WinPatrol] D:\PROGRA~1\BILLPS~1\WINPAT~1\winpatrol.exe
O4 - HKLM\..\Run: [CoolSwitch] D:\WINDOWS\system32\taskswitch.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [ctfmon.exe] D:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [TuneUp MemOptimizer] "D:\Program Files\TuneUp Utilities 2007\MemOptimizer.exe" autostart
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: Adobe Gamma.lnk = D:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: Yahoo! Widget Engine.lnk = D:\Program Files\Yahoo!\Widgets\YahooWidgetEngine.exe
O4 - Global Startup: Launchy.lnk = D:\Program Files\Launchy\Launchy.exe
O8 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - D:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - D:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - D:\WINDOWS\bdoscandel.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {7E980B9B-8AE5-466A-B6D6-DA8CF814E78A} (MJLauncherCtrl Class) - http://messenger.zone.msn.com/EN-US/a-LUXR/mjolauncher.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{87F09E61-A2D7-41D3-AC19-640DD15DB117}: NameServer = 208.67.222.222,208.67.220.220
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - D:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - D:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Adobe LM Service - Adobe Systems - D:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - D:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - D:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - D:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - D:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: NetLimiter (nlsvc) - Locktime Software - D:\Program Files\NetLimiter 2 Monitor\nlsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - D:\Program Files\Spyware Doctor\sdhelp.exe
O23 - Service: Washer AutoComplete (wwSecSvc) - Webroot Software, Inc. - D:\WINDOWS\system32\wwSecure.exe