Des conséquences de Sasser?

judesboispropices · Septembre 15, 2008, 3:55

Bonjour à tous, voila je fais appelle à la communauté pour m’aider à résoudre mon problème de lag permanent sur mon Pc depuis l’arrivée (et la suppression) du Worm.Sasser.
Bon je vais situé un peu le truc (sans raconter ma vie pour autant) donc je suis avec une connection freeboox adsl…je déménage deux mois chez orange (dans la famille) je retourne dans mon nouveau logement fin aout je branche sur la nouvelle ligne free bim le ver Sasser qui arrive…je débranche internet pour éviter le reboot permanent je fais Hijackthis et je copie/colle le rapport sur le pc de ma compagne qui lui va bien…je supprime le Sasser tout va bien je retrouve mon pc seulement le ledemain soir carte son et vidéo qui déconne grave je réfléchis pas je formate ayant marre de tout sa…bien entendu le sasser est revenue…donc reformatage -_- je prends soins de bien installer sp2 avant de me connecter à internet je fais toutes les mises à jours windows jusqu’à la dernière…je fais toutes les manip pour detecter et supprimer le Sasser rien il est bel et bien partis de mon Pc…seulement voila maintenant j’ai des lags affreux alors qu’auparavant mon pc était une pure tuerie en terme de performances…je comprends pas le Sasser aurait -il des conséquences sur le processeur ou la carte graphique?
Le pire c’est que ce n’est pas tout le temps comme sa…parfrois il tourne du tonerre d’autres fois il lag comme jamais.
Pour vous donner une idée je veux aller sur le poste de travail…2 à 3 min…un clic droit sur le bureau…jusqu’à 5min chrono en main…je pleure.

Ma config: processeur AMD Athlon 64 processor 3800+
2.41GHz 3.00Go de ram
carte graphique 7600gt

Lors des formatages je réinstalle l’intégralité des pilotes je fais très attention à cela
A savoir qu’auparavant j’ai jamais connu de lag sur cette machine sa tournais nikel

voila j’éspère que vous pourrez m’aider à résoudre ce soucis.

bonne journée

P.S:(quand j’écris sur un forum tout est saccadé(les mots apparaissent 10sec après les avoir tapés et la connection internet va très bien le pc de ma compagne marche bien sur le net et quand le mien ne lag pas sa tourne bien)

guigui14100 · Septembre 15, 2008, 8:50

Salut
Suis cette procédure

Tu a quoi comme antivirus?

Car sa me fait peur la Sasser es un vers de 2004 alors si tu te le mange a chaque coup c'est bizarre ;)

judesboispropices · Septembre 16, 2008, 7:45

Yop j’ai fais toute la procédure nada tout est clean sur mon P.c et niveau anti virus j’ai kapersky anti-virus 7.0 mise à jour tout les jours je le trouve plutôt performant…en fait j’ai plus aucune infection mais j’ai l’impression que le sasser à bousillé quelque chose dans mon p.c

est-ce possible?

guigui14100 · Septembre 16, 2008, 8:32

Post un log hijackthis stp

Oui la plupart des virus son fait pour sa

judesboispropices · Septembre 16, 2008, 9:50

Voici le rapport

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 09:44:36, on 16/09/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RunDLL32.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\CardReader2.0\CRBroadCasting.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\CardReader2.0\OTiReader.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Documents and Settings\juju\Bureau\WoW-2.4.3.8568-to-3.0.2.8916-frFR-downloader.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.fr…
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O4 - HKLM…\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM…\Run: [nwiz] nwiz.exe /install
O4 - HKLM…\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM…\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM…\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM…\Run: [CRBroadCasting] C:\Program Files\CardReader2.0\CRBroadCasting.exe
O4 - HKLM…\Run: [AVP] “C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe”
O4 - HKCU…\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19…\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User ‘SERVICE LOCAL’)
O4 - HKUS\S-1-5-20…\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User ‘SERVICE RÉSEAU’)
O4 - HKUS\S-1-5-18…\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User ‘SYSTEM’)
O4 - HKUS.DEFAULT…\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User ‘Default user’)
O9 - Extra button: Statistiques dAnti-Virus Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\SCIEPlgn.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra ‘Tools’ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O23 - Service: Kaspersky Anti-Virus 7.0 (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: OTi Card Reader Service - Unknown owner - C:\Program Files\CardReader2.0\OTiReader.exe

–
End of file - 2911 bytes

à savoir que j’ai reformaté hier dans la soirée en pensant avoir peut-être mal installé les pilotes. Les mises à jour windonw ne sont donc pas toutes installées sur ce rapport mais l’anti sasser est installé et rien ne change de toute manière sa ne vient pas des pilotes.
Voila si tu trouve quelque chose de suspect.

guigui14100 · Septembre 16, 2008, 10:08

Il y a une possible infection vundo

Utilise sa vundofix.atribune.org…
Ouis fait un scan complet avec MBAM

judesboispropices · Septembre 16, 2008, 12:34

oki merci pour ton aide j’ai lancé le scan vundo malheuresement je dois repartir au taff je te tiens au courant dans l’après-midi

judesboispropices · Septembre 16, 2008, 3:30

donc j’ai fais les analyses aucuns virus ou fichiers infectés par quoique se soit.

après avoir fait plusieurs tests je lags beaucoup sur l’ouverture de morzilla, des installations de jeux et des lancements de jeux et de programmes, beaucoup de freeze sur le net alorsd que la connection est optimale…les freezes sur le bureau et l’accès aux fichiers sont moins fréquents voir rares (phase de test d’une demie heure)

voila si sa peut vous aider et merci d’essayer de m’aider c’est sympa

guigui14100 · Septembre 16, 2008, 10:53

Essaye ceci

DiagHelp est téléchargeable à partir de ce lien : Télécharger DiagHelp

Cliquez sur le bouton Enregistrer puis placez le fichier sur le Bureau

L’icône DiagHelp doit maintenant se trouver sur le Bureau

Faites un clic droit puis Extraire tout ou Extraire ici.

Un dossier DiagHelp doit alors être créé

Double-cliquez sur ce nouveau dossier DiagHelp

La liste des fichiers est alors accessible

Double-cliquez sur le fichier go.cmd (le .cmd peut ne pas apparaître).

Une fenêtre noire apparaît avec le menu des choix disponibles (1,2,3,Q).

Pour choisir l’action à effectuer vous devez taper le numéro 1 2 3 ou Q pour quitter.

L’option 1
* Après avoir choisi l'option 1 (touche 1 puis Entrée sur le menu), une fenêtre explicative s'ouvre.
* Lisez attentivement le contenu de la fenêtre puis appuez sur une touche pour continuer
* Lors du scan l'écran devient rouge.
* Lorsque les lignes hidden service et hidden files apparaîssent appuye sur la touche Entrée pour poursuivre le scan
* Il peut vous être demandé de transmettre un fichier contenant des éléments infectieux collectés sur votre ordinateur.
* Pour cela lisez le contenu du message, puis appuyez sur une touche, le site [upload.malekal.com...](http://upload.malekal.com) va alors s'ouvrir.
* Sur le site, cliquez sur le bouton parcourir et sélectionnez le fichier c:\upload_moi_xxxxx.zip, pour cela :
      o Cliquez sur le poste de travail
      o Double-cliquez sur le disque C
      o Sélectionnez le fichier upload_moi_xxx.zip
* Cliquez alors sur le bouton Envoyer fichier.
* Une fois l'envoie effectué, sur la fenêtre noire appuyer sur une touche pour passer à l'étape suivante.
* Le Bloc-note s'ouvre alors avec le rapport. Vous devez copier/coller le contenu sur le forum d'aide, pour cela :
      o Cliquez sur le menu Edition puis Sélectionner tout
      o Re-Cliquez sur le menu Edition puis Copier
      o Dans un nouveau message sur le forum, faites un clic droit puis Coller

Edité le 16/09/2008 à 22:54

judesboispropices · Septembre 17, 2008, 12:16

alors j’ai installé et lancer le scan avec diaghelp cela ne se déroule pas vraiment comme indiqué sur le tuto…je lance il indique “liste les derniers fichiers des répertoires windows”

ensuite "liste des fichiers .exe dans windows /temp

liste possibles fichiers de lafection Wareout

Recherche de rootkit! (merci S!Ri)

voila et après plus rien toute la nuit laissé comme sa au réveil il était toujours sur recherche de rootkit

pour ce qui est de Wareout cela métonne beaucoup jai aucuns simptômes de ce spy ware.

guigui14100 · Septembre 17, 2008, 12:45

Relance le il y a ptet eu un bug…

judesboispropices · Septembre 17, 2008, 12:46

correction…le logiciel est enfin passé au mode scan (écran rouge) j’ai upload le dossier comme indiqué sur le tuto mais j’ai un reblocage j’ai beau appuyer sur une touche il ouvre pas le rapport.

guigui14100 · Septembre 17, 2008, 12:55

Il n’est pas apparu dans la racine de ton disque dur (au début de disque système ( souvent c: ))

judesboispropices · Septembre 17, 2008, 2:08

ok c’est bon j’ai le rapport par contre j’ai pas tout saisi je le poste où? car sur le site uplaod malekal j’ai pas vu de fofo.

guigui14100 · Septembre 17, 2008, 4:48

Sur le forum clubic dans ta prochaine réponse

judesboispropices · Septembre 17, 2008, 6:45

lol ok bé le voila
DiagHelp version v1.4 - www.malekal.com…
excute le 17/09/2008 à 12:00:39,57

Liste des derniers fichies modifies/crees dans windir\system32 et prefetch
C:\WINDOWS\prefetch\MSIEXEC.EXE-2F8A8CAE.pf -->17/09/2008 12:00:39
C:\WINDOWS\prefetch\WUAUCLT.EXE-399A8E72.pf -->17/09/2008 12:00:33
C:\WINDOWS\prefetch\WSCNTFY.EXE-1B24F5EB.pf -->17/09/2008 12:00:33
C:\WINDOWS\prefetch\WMIPRVSE.EXE-28F301A9.pf -->17/09/2008 12:00:33
C:\WINDOWS\prefetch\RUNDLL32.EXE-451FC2C0.pf -->17/09/2008 12:00:33
C:\WINDOWS\prefetch\NTOSBOOT-B00DFAAD.pf -->17/09/2008 12:00:33
C:\WINDOWS\prefetch\RUNDLL32.EXE-2E5AF1D7.pf -->17/09/2008 01:17:32
C:\WINDOWS\prefetch\RUNDLL32.EXE-2A94BB85.pf -->17/09/2008 01:17:32
C:\WINDOWS\prefetch\FIREFOX.EXE-17EE503B.pf -->17/09/2008 00:15:37
C:\WINDOWS\prefetch\CMD.EXE-087B4001.pf -->17/09/2008 00:15:12

C:\WINDOWS\System32\drivers\fidbox.dat -->17/09/2008 12:00:25
C:\WINDOWS\System32\drivers\fidbox2.idx -->17/09/2008 01:20:43
C:\WINDOWS\System32\drivers\fidbox2.dat -->17/09/2008 01:20:43
C:\WINDOWS\System32\drivers\fidbox.idx -->17/09/2008 01:20:43
C:\WINDOWS\System32\drivers\kl1.sys -->15/09/2008 19:09:39
C:\WINDOWS\System32\drivers\klin.dat -->15/09/2008 19:09:31
C:\WINDOWS\System32\drivers\klick.dat -->15/09/2008 19:09:31

C:\WINDOWS\System32\smicon.ico -->17/09/2008 11:59:15
C:\WINDOWS\System32\sdicon.ico -->17/09/2008 11:59:15
C:\WINDOWS\System32\msicon.ico -->17/09/2008 11:59:15
C:\WINDOWS\System32\dficon.ico -->17/09/2008 11:59:15
C:\WINDOWS\System32\cficon.ico -->17/09/2008 11:59:15
C:\WINDOWS\System32\nvapps.xml -->17/09/2008 11:59:09
C:\WINDOWS\System32\PerfStringBackup.INI -->15/09/2008 21:31:55
C:\WINDOWS\System32\perfh00C.dat -->15/09/2008 21:31:55
C:\WINDOWS\System32\perfh009.dat -->15/09/2008 21:31:55
C:\WINDOWS\System32\perfc00C.dat -->15/09/2008 21:31:55
C:\WINDOWS\System32\perfc009.dat -->15/09/2008 21:31:55
C:\WINDOWS\System32\nscompat.tlb -->15/09/2008 19:14:59
C:\WINDOWS\System32\amcompat.tlb -->15/09/2008 19:14:59
C:\WINDOWS\System32\wpa.dbl -->15/09/2008 19:13:04
C:\WINDOWS\System32\h323log.txt -->15/09/2008 19:06:23
C:\WINDOWS\System32\lhacm.acm -->15/09/2008 19:02:41
C:\WINDOWS\System32\spupdwxp.log -->15/09/2008 18:47:15
C:\WINDOWS\System32\FNTCACHE.DAT -->15/09/2008 18:46:58
C:\WINDOWS\System32\LoopyMusic.wav -->15/09/2008 18:35:08
C:\WINDOWS\System32\BuzzingBee.wav -->15/09/2008 18:35:08
C:\WINDOWS\System32\d3d8caps.dat -->15/09/2008 18:25:13
C:\WINDOWS\System32\wmpscheme.xml -->15/09/2008 18:14:56
C:\WINDOWS\System32$winnt$.inf -->15/09/2008 18:12:12
C:\WINDOWS\System32\CONFIG.NT -->15/09/2008 18:10:07
C:\WINDOWS\System32\WindowsLogon.manifest -->15/09/2008 18:09:26

C:\WINDOWS\WindowsUpdate.log -->17/09/2008 12:00:34
C:\WINDOWS\0.log -->17/09/2008 11:59:32
C:\WINDOWS\bootstat.dat -->17/09/2008 11:59:05
C:\WINDOWS\SchedLgU.Txt -->17/09/2008 01:20:23
C:\WINDOWS\setupapi.log -->16/09/2008 21:12:00
C:\WINDOWS\KB951698.log -->16/09/2008 16:36:58
C:\WINDOWS\KB950974.log -->16/09/2008 16:36:40
C:\WINDOWS\KB951072-v2.log -->16/09/2008 16:36:31
C:\WINDOWS\KB953838.log -->16/09/2008 16:36:26
C:\WINDOWS\KB951748.log -->16/09/2008 16:34:35
C:\WINDOWS\KB950749.log -->16/09/2008 16:34:27
C:\WINDOWS\KB952954.log -->16/09/2008 16:34:10
C:\WINDOWS\spupdsvc.log -->16/09/2008 16:32:51
C:\WINDOWS\tsoc.log -->16/09/2008 16:11:57
C:\WINDOWS\tabletoc.log -->16/09/2008 16:11:57

winlogon.exe
Verified: Signed
svchost.exe
Verified: Signed
ws2_32.dll
Verified: Signed
user32.dll
Verified: Signed
tcpip.sys
Verified: Signed
ndis.sys
Verified: Signed
null.sys
Verified: Signed

ListDLLs v2.25 - DLL lister for Win9x/NT
Copyright © 1997-2004 Mark Russinovich
Sysinternals - www.sysinternals.com

explorer.exe pid: 1944
Command line: C:\WINDOWS\Explorer.EXE

Base Size Version Path
*** Loaded C:\WINDOWS\system32\kernel32.dll differs from file image:
*** File timestamp: Fri Aug 20 01:09:14 2004
*** Loaded image timestamp: Fri Aug 20 01:09:15 2004
*** Loaded C:\WINDOWS\system32\USER32.dll differs from file image:
*** File timestamp: Fri Aug 20 01:09:10 2004
*** Loaded image timestamp: Fri Aug 20 01:21:22 2004
*** Loaded C:\WINDOWS\system32\SHELL32.dll differs from file image:
*** File timestamp: Fri Aug 20 01:09:03 2004
*** Loaded image timestamp: Fri Aug 20 01:21:38 2004
*** Loaded C:\WINDOWS\system32\SHDOCVW.dll differs from file image:
*** File timestamp: Fri Aug 20 01:09:02 2004
*** Loaded image timestamp: Fri Aug 20 01:11:16 2004
0x76f80000 0x7f000 2001.12.4414.0258 C:\WINDOWS\system32\CLBCATQ.DLL
0x77000000 0xd4000 2001.12.4414.0258 C:\WINDOWS\system32\COMRes.dll
0x305e0000 0x16000 7.00.0001.0325 C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\miscr3.dll
0x30480000 0xe000 7.00.0005.0325 C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\fssync.dll
0x78130000 0x9b000 8.00.50727.0762 C:\WINDOWS\WinSxS\x86_Microsoft.VC80.CRT_1fc8b3b9a1e18e3b_8.0.50727.762_x-ww_6b128700\MSVCR80.dll
0x307e0000 0x27000 7.00.0001.0325 C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\scrchpg.dll
0x76ac0000 0x11000 3.05.2284.0000 C:\WINDOWS\system32\ATL.DLL
0x012d0000 0x2b2000 3.00.3790.2180 C:\WINDOWS\system32\msi.dll
0x164a0000 0x23000 5.02.5721.5145 C:\WINDOWS\system32\WPDShServiceObj.dll
0x109c0000 0x2c000 5.02.5721.5145 C:\WINDOWS\system32\PortableDeviceTypes.dll
0x10930000 0x49000 5.02.5721.5145 C:\WINDOWS\system32\PortableDeviceApi.dll

ListDLLs v2.25 - DLL lister for Win9x/NT
Copyright © 1997-2004 Mark Russinovich
Sysinternals - www.sysinternals.com

winlogon.exe pid: 1004
Command line: winlogon.exe

Base Size Version Path
0x01000000 0x81000 ??\C:\WINDOWS\system32\winlogon.exe
*** Loaded C:\WINDOWS\system32\kernel32.dll differs from file image:
*** File timestamp: Fri Aug 20 01:09:14 2004
*** Loaded image timestamp: Fri Aug 20 01:09:15 2004
0x74730000 0x3d000 3.525.1117.0000 C:\WINDOWS\system32\ODBC32.dll
0x20000000 0x18000 3.525.1117.0000 C:\WINDOWS\system32\odbcint.dll
0x305e0000 0x16000 7.00.0001.0325 C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\miscr3.dll
0x304d0000 0x36000 7.00.0001.0325 C:\WINDOWS\system32\klogon.dll
0x77000000 0xd4000 2001.12.4414.0258 C:\WINDOWS\system32\COMRes.dll
0x76f80000 0x7f000 2001.12.4414.0258 C:\WINDOWS\system32\CLBCATQ.DLL

Le volume dans le lecteur C n’a pas de nom.
Le numéro de série du volume est 848C-04AE

Répertoire de C:\WINDOWS\system32

19/08/2004 16:09 6 144 csrss.exe
1 fichier(s) 6 144 octets
0 Rép(s) 9 831 804 928 octets libres

Contenu de Downloaded Program Files
Le volume dans le lecteur C n’a pas de nom.
Le numéro de série du volume est 848C-04AE

Répertoire de C:\WINDOWS\Downloaded Program Files

15/09/2008 18:10 .
15/09/2008 18:10 …
15/09/2008 18:09 65 desktop.ini
14/10/1997 18:52 697 DirectAnimation Java Classes.osd
20/01/2000 15:25 1 162 Microsoft XML Parser for Java.osd
3 fichier(s) 1 924 octets

 Total des fichiers listés :
           3 fichier(s)            1 924 octets
           2 Rép(s)   9 829 228 544 octets libres

Recherche de rootkit! (Merci S!Ri)

Recherche d’infections connues

Export des clefs sensibles…

Liste des fichiers en exception sur le pare-feu XP SP2

“%windir%\system32\sessmgr.exe”="%windir%\system32\sessmgr.exe::enabled:@xpsp2res.dll,-22019"
“C:\Program Files\MSN Messenger\msnmsgr.exe”="C:\Program Files\MSN Messenger\msnmsgr.exe::Enabled:MSN Messenger 7.5"

Export de la clef SharedTaskScheduler

[SharedTaskScheduler]
“{438755C2-A8BA-11D1-B96B-00A0C90312E1}”=“Pré-chargeur Browseui”
“{8C7461EF-2B13-11d2-BE35-3078302C2030}”=“Démon de cache des catégories de composant”

exports des policies
REGEDIT4

[system]
“dontdisplaylastusername”=dword:00000000
“legalnoticecaption”=""
“legalnoticetext”=""
“shutdownwithoutlogon”=dword:00000001
“undockwithoutlogon”=dword:00000001

Export des clefs sensibles…
Rechercher adresses sensibles dans le fichier HOSTS…
catchme 0.3.1351 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, www.gmer.net…
Rootkit scan 2008-09-17 12:26:06
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden services & system hive …

scanning hidden registry entries …

scanning hidden files …

scan completed successfully
hidden services: 0
hidden files: 0

KProcCheck Version 0.2-beta1 Proof-of-Concept by SIG^2 (www.security.org.sg)

Process list by traversal of KiWaitListHead

4 - System
288 - RTHDCPL.exe
304 - CRBroadCasting.
316 - avp.exe
324 - ctfmon.exe
332 - msmsgs.exe
816 - avp.exe
892 - nvsvc32.exe
964 - csrss.exe
1004 - winlogon.exe
1048 - services.exe
1060 - lsass.exe
1220 - svchost.exe
1284 - svchost.exe
1340 - wuauclt.exe
1408 - svchost.exe
1468 - svchost.exe
1588 - alg.exe
1596 - update.exe
1616 - svchost.exe
1944 - explorer.exe
2180 - firefox.exe
2708 - msiexec.exe
2788 - msiexec.exe
2852 - taskmgr.exe
3088 - iexplore.exe
3784 - wuauclt.exe

Total number of processes = 27
NOTE: Under WinXP, this will not show all processes.

KProcCheck Version 0.2-beta1 Proof-of-Concept by SIG^2 (www.security.org.sg)

Driver/Module list by traversal of PsLoadedModuleList

804D7000 - \WINDOWS\system32\ntkrnlpa.exe
806CE000 - \WINDOWS\system32\hal.dll
BADA8000 - \WINDOWS\system32\KDCOM.DLL
BACB8000 - \WINDOWS\system32\BOOTVID.dll
BA778000 - ACPI.sys
BADAA000 - \WINDOWS\System32\DRIVERS\WMILIB.SYS
BA767000 - pci.sys
BA8A8000 - isapnp.sys
BAE70000 - pciide.sys
BAB28000 - \WINDOWS\System32\DRIVERS\PCIIDEX.SYS
BA8B8000 - MountMgr.sys
BA748000 - ftdisk.sys
BADAC000 - dmload.sys
BA722000 - dmio.sys
BAB30000 - PartMgr.sys
BA8C8000 - VolSnap.sys
BA70A000 - atapi.sys
BA6F1000 - nvata.sys
BA8D8000 - disk.sys
BA8E8000 - \WINDOWS\System32\DRIVERS\CLASSPNP.SYS
BA6D2000 - fltmgr.sys
BA6C0000 - sr.sys
BA6A9000 - KSecDD.sys
BA61C000 - Ntfs.sys
BA5EF000 - NDIS.sys
BA5D4000 - Mup.sys
BA5B7000 - kl1.sys
BAB38000 - \WINDOWS\system32\drivers\TDI.SYS
BAA28000 - \SystemRoot\System32\DRIVERS\AmdK8.sys
B9685000 - \SystemRoot\System32\DRIVERS\serial.sys
BA57B000 - \SystemRoot\System32\DRIVERS\serenum.sys
B9671000 - \SystemRoot\System32\DRIVERS\parport.sys
BAA38000 - \SystemRoot\System32\DRIVERS\i8042prt.sys
BABA0000 - \SystemRoot\System32\DRIVERS\kbdclass.sys
BABA8000 - \SystemRoot\System32\DRIVERS\mouclass.sys
BABB0000 - \SystemRoot\System32\DRIVERS\usbohci.sys
B964E000 - \SystemRoot\System32\DRIVERS\USBPORT.SYS
BABB8000 - \SystemRoot\System32\DRIVERS\usbehci.sys
BAA48000 - \SystemRoot\System32\DRIVERS\imapi.sys
BAA58000 - \SystemRoot\System32\DRIVERS\cdrom.sys
BAA68000 - \SystemRoot\System32\DRIVERS\redbook.sys
B962B000 - \SystemRoot\System32\DRIVERS\ks.sys
B9606000 - \SystemRoot\System32\DRIVERS\HDAudBus.sys
BAA78000 - \SystemRoot\System32\DRIVERS\nvnetbus.sys
B9501000 - \SystemRoot\System32\DRIVERS\NVNRM.SYS
B94AE000 - \SystemRoot\System32\DRIVERS\NVSNPU.SYS
B90EF000 - \SystemRoot\System32\DRIVERS\nv4_mini.sys
B90DB000 - \SystemRoot\System32\DRIVERS\VIDEOPRT.SYS
BABC0000 - \SystemRoot\system32\DRIVERS\klim5.sys
BAE9E000 - \SystemRoot\System32\DRIVERS\audstub.sys
BAA88000 - \SystemRoot\System32\DRIVERS\rasl2tp.sys
BA573000 - \SystemRoot\System32\DRIVERS\ndistapi.sys
B90C4000 - \SystemRoot\System32\DRIVERS\ndiswan.sys
BAA98000 - \SystemRoot\System32\DRIVERS\raspppoe.sys
B9AF9000 - \SystemRoot\System32\DRIVERS\raspptp.sys
B90B3000 - \SystemRoot\System32\DRIVERS\psched.sys
B9AE9000 - \SystemRoot\System32\DRIVERS\msgpc.sys
BABC8000 - \SystemRoot\System32\DRIVERS\ptilink.sys
BABD0000 - \SystemRoot\System32\DRIVERS\raspti.sys
B9082000 - \SystemRoot\System32\DRIVERS\rdpdr.sys
B9AD9000 - \SystemRoot\System32\DRIVERS\termdd.sys
BADD2000 - \SystemRoot\System32\DRIVERS\swenum.sys
B904E000 - \SystemRoot\System32\DRIVERS\update.sys
BAD4C000 - \SystemRoot\System32\DRIVERS\mssmbios.sys
B5FAE000 - \SystemRoot\System32\Drivers\NDProxy.SYS
B5D9C000 - \SystemRoot\System32\DRIVERS\usbhub.sys
BAE30000 - \SystemRoot\System32\DRIVERS\USBD.SYS
B5D8C000 - \SystemRoot\System32\DRIVERS\NVENETFD.sys
B4F87000 - \SystemRoot\system32\drivers\RtkHDAud.sys
B4F63000 - \SystemRoot\system32\drivers\portcls.sys
B5D6C000 - \SystemRoot\system32\drivers\drmk.sys
BAE60000 - \SystemRoot\System32\Drivers\Fs_Rec.SYS
BAEA5000 - \SystemRoot\System32\Drivers\Null.SYS
BAE62000 - \SystemRoot\System32\Drivers\Beep.SYS
B26D1000 - \SystemRoot\System32\drivers\vga.sys
BAE64000 - \SystemRoot\System32\Drivers\mnmdd.SYS
BAE66000 - \SystemRoot\System32\DRIVERS\RDPCDD.sys
B26C9000 - \SystemRoot\System32\Drivers\Msfs.SYS
B26C1000 - \SystemRoot\System32\Drivers\Npfs.SYS
B27AF000 - \SystemRoot\System32\DRIVERS\rasacd.sys
B2371000 - \SystemRoot\System32\DRIVERS\ipsec.sys
B2319000 - \SystemRoot\System32\DRIVERS\tcpip.sys
B22F1000 - \SystemRoot\System32\DRIVERS\netbt.sys
B22CF000 - \SystemRoot\System32\drivers\afd.sys
B2751000 - \SystemRoot\System32\DRIVERS\netbios.sys
B2203000 - \SystemRoot\System32\DRIVERS\rdbss.sys
B216C000 - \SystemRoot\System32\DRIVERS\mrxsmb.sys
B2138000 - ??\C:\WINDOWS\system32\drivers\klif.sys
B2731000 - \SystemRoot\System32\Drivers\Fips.SYS
B2117000 - \SystemRoot\System32\DRIVERS\ipnat.sys
B2711000 - \SystemRoot\System32\DRIVERS\wanarp.sys
B24DA000 - \SystemRoot\System32\DRIVERS\USBSTOR.SYS
B225F000 - \SystemRoot\System32\Drivers\Cdfs.SYS
ACE5C000 - \SystemRoot\System32\Drivers\dump_nvata.sys
BAE68000 - \SystemRoot\System32\Drivers\dump_WMILIB.SYS
BF800000 - \SystemRoot\System32\win32k.sys
B26A9000 - \SystemRoot\System32\watchdog.sys
ADEEE000 - \SystemRoot\System32\drivers\Dxapi.sys
BF9C1000 - \SystemRoot\System32\drivers\dxg.sys
BAF5B000 - \SystemRoot\System32\drivers\dxgthk.sys
BF9D3000 - \SystemRoot\System32\nv4_disp.dll
BAD70000 - \SystemRoot\System32\DRIVERS\ndisuio.sys
AC516000 - \SystemRoot\system32\drivers\wdmaud.sys
B166F000 - \SystemRoot\system32\drivers\sysaudio.sys
AC35A000 - \SystemRoot\System32\DRIVERS\mrxdav.sys
BAE08000 - \SystemRoot\System32\Drivers\ParVdm.SYS
AC2B7000 - \SystemRoot\System32\DRIVERS\srv.sys
AC0E6000 - \SystemRoot\System32\Drivers\HTTP.sys
ABF1B000 - \SystemRoot\System32\Drivers\Udfs.SYS
AAF2B000 - \SystemRoot\system32\drivers\kmixer.sys
BAE8C000 - \SystemRoot\System32\DRIVERS\KProcCheck.sys

Total number of drivers = 111

Liste des programmes installes

High Definition Audio Driver Package - KB888111
HijackThis 2.0.2
Hotfix for Windows XP (KB926239)
Kaspersky Anti-Virus 7.0
Kaspersky Anti-Virus 7.0
Lecteur Windows Media 11
Microsoft .NET Framework 2.0
Microsoft .NET Framework 2.0
Microsoft Compression Client Pack 1.0 for Windows XP
Microsoft User-Mode Driver Framework Feature Pack 1.0
Microsoft Visual C++ 2005 Redistributable
Mise à jour de sécurité pour Lecteur Windows Media 11 (KB936782)
Mise à jour de sécurité pour Lecteur Windows Media 11 (KB954154)
Mise à jour de sécurité pour Windows XP (KB923789)
Mise à jour de sécurité pour Windows XP (KB944338-v2)
Mise à jour pour Windows XP (KB898461)
Mozilla Firefox (2.0.0.4)
MSN Messenger 7.5
NVIDIA Drivers
OTiCardReader
Pro Cycling Manager - Season 2008 1.0.0.0
Realtek High Definition Audio Driver
TeamSpeak 2 RC2
WebFldrs XP
Windows Media Format 11 runtime
Windows Media Format 11 runtime
Windows Media Player 11
Windows XP Service Pack 2
World of Warcraft Public Test

Le volume dans le lecteur C n’a pas de nom.
Le numéro de série du volume est 848C-04AE

Répertoire de C:\Program Files

17/09/2008 12:00 .
17/09/2008 12:00 …
15/09/2008 18:36 CardReader2.0
15/09/2008 18:07 ComPlus Applications
15/09/2008 19:21 Cyanide
17/09/2008 12:27 Fichiers communs
15/09/2008 21:03 Internet Explorer
15/09/2008 18:51 Kaspersky Lab
15/09/2008 18:44 Messenger
15/09/2008 18:10 microsoft frontpage
17/09/2008 12:14 Microsoft Office
15/09/2008 18:43 Movie Maker
16/09/2008 07:48 Mozilla Firefox
15/09/2008 18:07 MSN
15/09/2008 18:07 MSN Gaming Zone
16/09/2008 19:06 MSN Messenger
15/09/2008 18:43 NetMeeting
15/09/2008 18:42 Outlook Express
15/09/2008 18:32 Realtek
15/09/2008 18:07 Services en ligne
15/09/2008 19:02 Teamspeak2_RC2
16/09/2008 09:43 Trend Micro
15/09/2008 19:14 Windows Media Connect 2
15/09/2008 19:14 Windows Media Player
15/09/2008 18:42 Windows NT
15/09/2008 18:10 xerox
0 fichier(s) 0 octets
26 Rép(s) 9 597 104 128 octets libres
Le volume dans le lecteur C n’a pas de nom.
Le numéro de série du volume est 848C-04AE

Répertoire de C:\Program Files\fichiers communs

17/09/2008 12:27 .
17/09/2008 12:27 …
16/09/2008 16:00 Blizzard Entertainment
17/09/2008 12:27 Designer
15/09/2008 18:17 InstallShield
17/09/2008 12:30 Microsoft Shared
15/09/2008 18:08 MSSoap
15/09/2008 19:04 ODBC
15/09/2008 18:08 Services
15/09/2008 19:04 SpeechEngines
15/09/2008 18:42 System
0 fichier(s) 0 octets
11 Rép(s) 9 596 862 464 octets libres
Le volume dans le lecteur C n’a pas de nom.
Le numéro de série du volume est 848C-04AE

Répertoire de C:\Program Files\fichiers communs\Microsoft Shared\Web Folders

17/09/2008 12:31 .
17/09/2008 12:31 …
17/09/2008 12:28 1033
17/09/2008 12:19 1036
15/02/2001 07:45 1 318 912 MSONSEXT.DLL
13/02/2001 10:23 58 784 MSOSV.DLL
03/06/1999 14:09 122 937 MSOWS409.DLL
07/03/2001 09:00 127 033 MSOWS40c.DLL
06/08/2000 11:04 401 462 MSVCP60.DLL
22/01/2001 05:25 69 632 PKMAXCTL.DLL
22/01/2001 05:25 872 448 PKMCDO.DLL
22/01/2001 05:25 159 744 PKMCORE.DLL
07/02/2001 11:59 106 496 PKMFORMS.DLL
12/02/2001 06:03 684 032 PKMRES.DLL
22/01/2001 05:25 28 672 PKMSSTLB.DLL
22/01/2001 05:25 40 960 PKMTEMPL.DLL
22/01/2001 05:25 24 576 PKMTRACE.DLL
22/01/2001 05:25 86 016 PKMWS.DLL
22/01/2001 05:25 237 568 PROMDEMO.DLL
22/01/2001 05:25 184 320 SECMGR.DLL
22/01/2001 05:25 323 584 VAIDDMGR.DLL
22/01/2001 05:25 32 768 VAIMEM.DLL
18 fichier(s) 4 879 944 octets
4 Rép(s) 9 596 837 888 octets libres

c:\Documents and Settings\All Users\Application Data\Kaspersky Lab Setup Files\Kaspersky Anti-Virus 7.0.1.325\French\setup.exe
c:\Documents and Settings\juju\Bureau\VundoFix.exe
c:\Documents and Settings\juju\Bureau\DiagHelp\DiagHelp\catchme.exe
c:\Documents and Settings\juju\Bureau\DiagHelp\DiagHelp\diff.exe
c:\Documents and Settings\juju\Bureau\DiagHelp\DiagHelp\dumphive.exe
c:\Documents and Settings\juju\Bureau\DiagHelp\DiagHelp\FilesInfoCmd.exe
c:\Documents and Settings\juju\Bureau\DiagHelp\DiagHelp\find2.exe
c:\Documents and Settings\juju\Bureau\DiagHelp\DiagHelp\Fport.exe
c:\Documents and Settings\juju\Bureau\DiagHelp\DiagHelp\grep.exe
c:\Documents and Settings\juju\Bureau\DiagHelp\DiagHelp\gzip.exe
c:\Documents and Settings\juju\Bureau\DiagHelp\DiagHelp\KProcCheck.exe
c:\Documents and Settings\juju\Bureau\DiagHelp\DiagHelp\LFiles.exe
c:\Documents and Settings\juju\Bureau\DiagHelp\DiagHelp\LISTDLLS.exe
c:\Documents and Settings\juju\Bureau\DiagHelp\DiagHelp\md5sums.exe
c:\Documents and Settings\juju\Bureau\DiagHelp\DiagHelp\pslist.exe
c:\Documents and Settings\juju\Bureau\DiagHelp\DiagHelp\sigcheck.exe
c:\Documents and Settings\juju\Bureau\DiagHelp\DiagHelp\streams.exe
c:\Documents and Settings\juju\Bureau\DiagHelp\DiagHelp\swreg.exe
c:\Documents and Settings\juju\Bureau\DiagHelp\DiagHelp\tar.exe
c:\Documents and Settings\juju\Local Settings\Temp_USBTMP__Setup.exe
c:\Documents and Settings\juju\Local Settings\Temp_USBTMP_\SetupUMSD.EXE
c:\Documents and Settings\All Users\Application Data\Kaspersky Lab\AVP7\Data\Updater\Temporary Files\temporaryFolder\AutoPatches\kav6\7.0.1.321\CKAHUM.dll
c:\Documents and Settings\All Users\Application Data\Kaspersky Lab\AVP7\Data\Updater\Temporary Files\temporaryFolder\AutoPatches\kav6\7.0.1.321\diffs.dll
c:\Documents and Settings\All Users\Application Data\Kaspersky Lab\AVP7\Data\Updater\Temporary Files\temporaryFolder\AutoPatches\kav6\7.0.1.321\Updater.dll
c:\Documents and Settings\All Users\Application Data\Kaspersky Lab\AVP7\Data\Updater\Temporary Files\temporaryFolder\AutoPatches\kav6\7.0.1.321\Ushata.dll
c:\Documents and Settings\All Users\Application Data\Microsoft\IdentityCRL\ppcrlconfig.dll
c:\Documents and Settings\LocalService\Application Data\Microsoft\UPnP Device Host\upnphost\udhisapi.dll

****** Fin du rapport DiagHelp
Veuillez svp envoyer le fichier C:\upload_moi_JUJU-6U1UB8AJKD.tar.gz a l’adresse upload.malekal.com…

voila perso pour moi c’est du charabia et merci encore pour ton aide si tu y vois quelque chose;)

guigui14100 · Septembre 17, 2008, 7:02

Désolé mais sa risque d’être un peu long car c’est pas trop ma tasse e thé ce logiciel

judesboispropices · Septembre 17, 2008, 7:20

no problem mec c’est déja super cool de ta part de m’aider j’attendrais le temps qu’il faut

guigui14100 · Septembre 17, 2008, 7:52

Il semble clean

A tu un cd de xp si oui lance une réparation en faisant SFC /scannow dans éxécuter Edité le 17/09/2008 à 19:53

judesboispropices · Septembre 17, 2008, 9:57

ok je ferais sa demain dans la matinée…de mon côté j’ai scan tout mes cd de pilotes et d’xp rien