[OK] ecran bleu + bug

Sécurité et insécurité. Virus, Trojans, Spywares, Failles etc. …

Modérateur: Modérateurs et Modératrices

Règles du forum
Assiste.com a suspendu l'assistance à la décontamination après presque 15 ans sur l'ancien forum puis celui-ci. Voir :

Procédure de décontamination 1 - Anti-malware
Décontamination anti-malwares

Procédure de décontamination 2 - Anti-malware et antivirus (La Manip)
La Manip - Procédure standard de décontamination

Entretien périodique d'un PC sous Windows
Entretien périodique d'un PC sous Windows

Protection des navigateurs, de la navigation et de la vie privée
Protéger le navigateur, la navigation et la vie privée

[OK] ecran bleu + bug

Messagede Frenchies » 03 Mar 2007, 17:18

Bonjour à tous,

J'ai de gros problèmes avec mon ordinateur depuis 15 jours.

Ma configuration:

- windows XP Home SP1
- AMD Athlon XP 1,47Ghz
- carte mère : Gigabyte Technology Co., Ltd. 7ZXE 1.x
- carte graphique : GeForce2 MX200

Logiciels de prévention:

- Antivir
- Spybot S&D
- Ad-aware
- Regcleaner
- MRU-Blaster

Problemes :

J'ai un message STOP qui apparait régulièrement (écran bleu affichant "***stop : 0x0000008E (0xC00..., 0xBF..., 0xF..., 0x000...)".
Puis : "win32k.sys - adress BF811L9A Datastamp 4341dcff"
Puis : "vidage de la mémoire physique"

Souvent, avant que le message STOP ne tombe, mon ordinateur bug! Il ne m'ouvre plus ma fenetre de connexion! Il ne veux plus redémarer ou s'arréter! etc...

En parallèle:

Mon antivirus Antivir m'a trouvé un trojan : TR/Crypt.XPACK.Gen
Je l'ai mis en quarantaine.

Log Hijackthis:

Sur mon log Hijackthis, je vois qu'il y a plein de lignes qui n'existaient pas au moment où mon ordinateur fonctionnait bien. Notamment, les lignes "4" de programmes de démarage.

---------------------

Logfile of HijackThis v1.99.1
Scan saved at 16:53:49, on 03/03/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Browser Mouse\Browser Mouse\1.0\lwbwheel.exe
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [LWBMOUSE] C:\Program Files\Browser Mouse\Browser Mouse\1.0\lwbwheel.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKCU\..\Run: [ZA] C:\Program Files\Zone Labs\ZoneAlarm\zonealarm.exe
O4 - Global Startup: DSLMON.lnk = ?
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Analyser avec LeechGet - file://C:\Program Files\LeechGet 2005\\Parser.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Télécharger en utilisant l'assistant LeechGet - file://C:\Program Files\LeechGet 2005\\Wizard.html
O8 - Extra context menu item: Télécharger en utilisant LeechGet - file://C:\Program Files\LeechGet 2005\\AddUrl.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O16 - DPF: fdjeux - https://www.fdjeux.net/classes/fdjeux.cab
O16 - DPF: Interface Chat Voila - http://chat7.x-echo.com/version5/Applet/vchatsign.cab
O16 - DPF: Interface Chat Wanadoo - http://chat14.x-echo.com/version6/Applet/wchatsign.cab
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/ms ... b31267.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Me ... b31267.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v ... 1823320671
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005 ... scan53.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Me ... b31267.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMe ... loader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZI ... b32846.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/So ... b31267.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

---------------------------

Merci de m'aider!

Bonne soirée à tous

Frenchies
Windows XP SP2 - Intel celeron 1,30 GHz - Intel 82852/82855
Frenchies
 
Messages: 62
Inscription: 04 Jan 2006, 09:31

Messagede nickW » 03 Mar 2007, 23:26

Bonsoir,

Création d'un autre log:

Note: Ces manips doivent être effectuées en ayant ouvert une session avec les droits "Administrateur" (ne pas utiliser le profil utilisateur nommé "Administrateur" visible en mode sans échec).


BlackLight (de F-Secure)
Télécharger BlackLight depuis la page:
https://europe.f-secure.com/blacklight/try.shtml
(clic sur le bouton bleu "I accept", puis sur "Download Blacklight Beta graphical user interface version")
Enregistrer le fichier sur le Bureau.

Double-cliquer sur le fichier blbeta.exe et accepter la licence (cocher le bouton devant "I accept the agreement").
Cliquer sur Next puis sur Scan
Attendre (jusqu'à 10 mn).
Pendant le scan, il y a affichage de la liste des dossiers balayés.

En fin d'exécution, le résultat s'affiche.
Cliquer sur Close
NE PAS choisir l'option 2 "Cleaning/Rename" maintenant: il faut analyser le rapport!

Il y a eu création sur le Bureau d'un fichier rapport nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres)

Envoyer le contenu de ce fichier en réponse.

A suivre,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Messagede Frenchies » 04 Mar 2007, 12:22

Bonjour NickW et les autres,

Voici le contenu du fichier fsbl.xxxxxxxxx ! Ce dernier n'était pas sur le bureau, mais dans le répertoire où j'ai placé blacklight.

03/04/07 12:03:33 [Info]: BlackLight Engine 1.0.55 initialized
03/04/07 12:03:33 [Info]: OS: 5.1 build 2600 (Service Pack 1)
03/04/07 12:03:33 [Note]: 7019 4
03/04/07 12:03:33 [Note]: 7005 0
03/04/07 12:04:00 [Note]: 7006 0
03/04/07 12:04:01 [Note]: 7011 1136
03/04/07 12:04:01 [Note]: 7026 0
03/04/07 12:04:01 [Note]: 7026 0
03/04/07 12:04:08 [Note]: FSRAW library version 1.7.1021
03/04/07 12:10:49 [Note]: 2000 1012
03/04/07 12:11:16 [Note]: 7007 0


A bientôt.

Frenchies
Windows XP SP2 - Intel celeron 1,30 GHz - Intel 82852/82855
Frenchies
 
Messages: 62
Inscription: 04 Jan 2006, 09:31

Messagede Frenchies » 04 Mar 2007, 17:04

Les messages bleus ne sont pas a chaque fois les même. Dernièrement, sur l'écran bleu, on pouvait lire : PAGE_FAULT_IN_NONPAGED_AREA
Windows XP SP2 - Intel celeron 1,30 GHz - Intel 82852/82855
Frenchies
 
Messages: 62
Inscription: 04 Jan 2006, 09:31

Messagede nickW » 04 Mar 2007, 21:25

Bonsoir,

Je reste très logique:
Télécharger BlackLight depuis la page:
.................
Enregistrer le fichier sur le Bureau.
.................
Il y a eu création sur le Bureau d'un fichier rapport nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres)



Dans le dossier C:\WINDOWS\Minidump vois-tu des fichiers Mini****.dmp dont la date correspond à celles des plantages?


Que dit l'Observateur d'événements?
Démarrer--->Paramètres--->Panneau de configuration--->Outils d'administration--->Observateur d'événements
Voir dans Application, Sécurité et Système s'il y a des icônes rouges ou jaunes dont la date et l'heure correspondent à des plantages.

A suivre,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Messagede Frenchies » 04 Mar 2007, 21:49

Bonsoir NickW,

Concernant, ma remarque sur l'emplacement du fichier de blacklight. J'ai juste signifié ça au cas où ça aurait eu de l'importance.

Dans le dossier Minidump :

Je trouve 2 fichiers Mini****** qui datent d'aujourd'hui. Mais je ne peux pas certifier qu'ils soient de la même heure que les plantages.
(aujourd'hui, mon PC a planté 2 voir 3 fois. Je ne sais plus exactement).

Dans Observateur d'évènement :

Dans "Application" et "systeme" il y a énormément d'îcones rouges et jaunes. Maintenant, c'est pareil, je ne peux pas affirmer qu'elles dates de la même heure que les plantages.

A titre d'information, j'ai recopié une des erreurs :

"DCOM a reçu l'erreur "le service ne peut pas etre demarré car il est desactivé ou qu'aucun periphérique ne lui est associé. "lors de la mise en route du service Imapiservice avec les arguments "-service" pour demarrer le serveur:
{520CCA63-51A5-11D3-9144-00104BA11C5E}"
Windows XP SP2 - Intel celeron 1,30 GHz - Intel 82852/82855
Frenchies
 
Messages: 62
Inscription: 04 Jan 2006, 09:31

Messagede nickW » 04 Mar 2007, 23:49

Bonsoir,

Commençons par l'étude des fichiers de vidage mémoire (alias dump).

Impossible de les copier sur le forum: ils sont illisibles.

Il faut donc que tu les déposes sur un serveur, pour que je puisse les récupérer pour analyse.

Manip:
*- Aller sur: http://www.yousendit.com/
(Javascript doit être activé)
*- Dans le panneau de gauche (Send a file now)
*- Dans les zones Recipient email et Your email, saisir n'importe quoi avec un @ dedans. Exemple: abc@def.com et abcdef@def.com
*- Décocher la case située devant Remember my email
*- Dans la zone Select a file (Max Size 100 MB), cliquer sur le bouton "Parcourir..." et aller jusqu'au fichier Mini*****.dmp (dans le dossier C:\Windows\Minidump)
*- Dans la zone 3, cliquer sur le bouton vert "Send It"
*- Il y aura affichage d'une nouvelle page dans laquelle tu trouveras un lien (sous "Here is the link for the file you uploaded:")
Envoyer ce lien en réponse.

(manip à répéter pour chacun des deux fichiers Mini*****.dmp).

A suivre,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Messagede Frenchies » 05 Mar 2007, 10:45

Bonjour,

Au moment de la manip, j'ai pu constater qu'il y avait désormais 4 fichiers dump*****.

Voici, les liens où ils se trouvent:

http://download.yousendit.com/7F9C4D2A11032D12
http://download.yousendit.com/926E6E50598CAB95
http://download.yousendit.com/BFE172C42D776ACA
http://download.yousendit.com/D4C8012D7042D261

Bon courage

merci

Frenchies

PS : je suis encore chez moi jusque demain midi, mais après je serai absent 15 à 20 jours pour raison professionnel.
Je reprendrai le sujet, après.
Windows XP SP2 - Intel celeron 1,30 GHz - Intel 82852/82855
Frenchies
 
Messages: 62
Inscription: 04 Jan 2006, 09:31

Messagede Frenchies » 05 Mar 2007, 19:28

Bonsoir,

Petites précisions:

J'ai l'impression que les plantages ont systématiquement lieu lorsque je suis connecté à internet.

Je suis abonné chez cegetel, connecté avec modem USB Sagem Fast 800 (entre parenthèse, j'ai quotidiennement des problèmes de synchronisation, qui seraient dues au fait que je me trouve en bout de ligne : 5600 m).

Peut être que les plantages en cours de connexion à internet ont une explication.

Merci :wink:

Frenchies
Windows XP SP2 - Intel celeron 1,30 GHz - Intel 82852/82855
Frenchies
 
Messages: 62
Inscription: 04 Jan 2006, 09:31

Messagede nickW » 06 Mar 2007, 11:08

Bonjour,

L'analyse des trois logs (le 4ème est vide!) ne permet pas de déterminer la cause exacte:
Mini030407-1

*******************************************************************************
* *
* Bugcheck Analysis *
* *
*******************************************************************************

Use !analyze -v to get detailed debugging information.

BugCheck 50, {e24f00e9, 1, e24f3d9b, 1}


Could not read faulting driver name
Probably caused by : ntoskrnl.exe ( nt!KiTrap0E+b8 )

Followup: MachineOwner
---------
.......


1/ Test mémoire.
Il faudrait réaliser un test des barrettes mémoire.
Voir Memtest86+ 1.70
http://www.memtest.org/

2/ Observateur d'événements.
*- Dans le dossier C:\WINDOWS\Minidump, noter la date et l'heure de création du dernier fichier Mini****.dmp

*- Aller dans l'Observateur d'événements:
Démarrer--->Paramètres--->Panneau de configuration--->Outils d'administration--->Observateur d'événements

*- sélectionner Application, dans le menu (en haut) cliquer sur l'icône représentant une page imprimée avec une flèche -> (Exporte la liste), donner un nom explicite au fichier et cliquer sur enregistrer.
Ouvrir le fichier texte ainsi enregistré et copier en réponse les lignes qui concernent les cinq minutes qui précèdent les date & heure que tu viens de noter seulement.
*- faire de même avec Sécurité.
*- faire même avec Système.

(attention: les logs ainsi créés sont cumulatifs, ils sont souvent très gros, et peuvent afficher des informations d'il y a plusieurs mois! Il est très important de n'envoyer que ce qui concerne la période demandée).

A suivre,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Suivante

Retourner vers Sécurité (Contamination - Décontamination)

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 9 invités