Assiste.Forums

[ramsess]

Bonjour ...
Toujours des écrans bleu sur mon PC.

Peut etre y a t'il une vilaine bébette dans le moulin !!!



Logfile of HijackThis v1.99.1
Scan saved at 19:52:43, on 28/04/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16414)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\WINDOWS\system32\CTsvcCDA.exe
C:\WINDOWS\system32\oodag.exe
C:\Program Files\Agnitum\Outpost Firewall\outpost.exe
C:\WINDOWS\system32\SLEE81.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\Program Files\DAEMON Tools\daemon.exe
C:\Program Files\802.11 Wireless LAN\802.11g Wireless Cardbus & PCI Adapter HW.51 V1.00\WlanCU.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Mozilla Thunderbird\thunderbird.exe
C:\Program Files\eMule\emule.exe
D:\Installations\fsbl.exe
C:\Program Files\VideoLAN\VLC\vlc.exe
D:\Installations\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://sarkostique.over-blog.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll
O4 - HKLM\..\Run: [AVG7_CC] "C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe" /STARTUP
O4 - HKLM\..\Run: [OutpostFeedBack] C:\Program Files\Agnitum\Outpost Firewall\feedback.exe /dump:os_startup
O4 - HKLM\..\Run: [Outpost Firewall] C:\Program Files\Agnitum\Outpost Firewall\outpost.exe /waitservice
O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [UVS10 Preload] "C:\Program Files\Ulead Systems\Ulead VideoStudio 10\uvPL.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
O4 - Global Startup: Wireless Configuration Utility HW.51.lnk = C:\Program Files\802.11 Wireless LAN\802.11g Wireless Cardbus & PCI Adapter HW.51 V1.00\WlanCU.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Program Files\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Program Files\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra button: Réglage rapide de Outpost Firewall Pro - {44627E97-789B-40d4-B5C2-58BD171129A1} - C:\Program Files\Agnitum\Outpost Firewall\Plugins\BrowserBar\ie_bar.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {01A88BB1-1174-41EC-ACCB-963509EAE56B} (SysProWmi Class) - http://support.euro.dell.com/systemprofiler/SysPro.CAB
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupda ... 6884570046
O16 - DPF: {7584C670-2274-4EFB-B00B-D6AABA6D3850} (Microsoft RDP Client Control (redist)) -
O17 - HKLM\System\CCS\Services\Tcpip\..\{6593AB3C-F5F7-4291-96C9-9D51A46788F4}: NameServer = 212.27.53.252,212.27.54.252
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - AppInit_DLLs: c:\progra~1\agnitum\outpos~1\c:\progra~1\agnitum\outpos~1\wl_hook.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum Ltd. - C:\Program Files\Agnitum\Outpost Firewall\outpost.exe
O23 - Service: Steganos Live Encryption Engine 8.1 [Service] (SLEE_81_SERVICE) - Unknown owner - C:\WINDOWS\system32\SLEE81.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe



Le Black Light :



04/28/07 19:45:59 [Info]: BlackLight Engine 1.0.61 initialized
04/28/07 19:45:59 [Info]: OS: 5.1 build 2600 (Service Pack 2)
04/28/07 19:45:59 [Note]: 7019 4
04/28/07 19:45:59 [Note]: 7005 0
04/28/07 19:46:02 [Note]: 7006 0
04/28/07 19:46:02 [Note]: 7011 1924
04/28/07 19:46:02 [Note]: 7026 0
04/28/07 19:46:02 [Note]: 7026 0
04/28/07 19:46:06 [Note]: FSRAW library version 1.7.1021
04/28/07 19:52:19 [Note]: 2000 1012
04/28/07 19:54:10 [Note]: 7007 0


Merci !

[nickW]

Bonsoir,

Les logs ne montrent rien de "méchant".

Pourrais-tu copier en réponse la totalité des messages affichés sur cet "écran bleu"?

... avec si possible les conditions de de cet arrêt brutal:
*- à froid (dès l'allumage), ou à chaud (après plusieurs heures)
*- lorsque de nombreuses applications sont actives, ou lorsque "l'ordinateur ne fait rien" (sic)
*- lors de la navigation sur internet , ou sans rapport avec cette navigation
*- etc, etc ...


Que dit l'Observateur d'événements?
Démarrer--->Paramètres--->Panneau de configuration--->Outils d'administration--->Observateur d'événements
Voir dans Application, Sécurité et Système s'il y a des icônes rouges ou jaunes juste avant cet arrêt brutal.


A suivre,

[ramsess]

Bonjour

Voici le fichier dmp généré et un autre fichier ...

Il m'indique cela dans la fenêtre d"erreur :


BCCode : 100000d1 BCP1 : 7199DF52 BCP2 : 00000002 BCP3 : 00000000
BCP4 : 7199DF52 OSVer : 5_1_2600 SP : 2_0 Product : 768_1

Sinon j'ai un écran bleu avec IRQL LESS OR NOT EQUAL

A chaud, à froid, sans logiciel particulier plus concerné !

Rien installé de neuf comme matos depuis des lustres.

Outpost me dit qu'une erreur a été repérée quand je reboot. Mais pas sur que ca vienne de la !

Voici les fichiers erreur :

http://www.divshare.com/download/667468-20d
http://www.divshare.com/download/667469-63b

Merci !

[nickW]

Bonjour,

L'analyse du Minidump donne ce résultat:

Microsoft (R) Windows Debugger Version 6.6.0007.5
Copyright (c) Microsoft Corporation. All rights reserved.


Loading Dump File [*$*$*$*\ramsess-Mini051707-02.dmp]
Mini Kernel Dump File: Only registers and stack trace are available

Symbol search path is: rv*c:\symbols*http://msdl.microsoft.com/download/symbols
Executable search path is:
Windows XP Kernel Version 2600 (Service Pack 2) MP (2 procs) Free x86 compatible
Product: WinNt, suite: TerminalServer SingleUserTS Personal
Built by: 2600.xpsp_sp2_gdr.070227-2254
Kernel base = 0x804d7000 PsLoadedModuleList = 0x805624a0
Debug session time: Thu May 17 18:04:40.765 2007 (GMT+2)
System Uptime: 0 days 2:35:45.481
Loading Kernel Symbols
...................................................................................................................................................
Loading User Symbols
Loading unloaded module list
...........
*******************************************************************************
* *
* Bugcheck Analysis *
* *
*******************************************************************************

Use !analyze -v to get detailed debugging information.

BugCheck 100000D1, {7199df52, 2, 0, 7199df52}

Probably caused by : svchost.exe ( INVALID_CONTEXT )

Followup: MachineOwner
---------

1: kd> !analyze -v
*******************************************************************************
* *
* Bugcheck Analysis *
* *
*******************************************************************************

DRIVER_IRQL_NOT_LESS_OR_EQUAL (d1)
An attempt was made to access a pageable (or completely invalid) address at an
interrupt request level (IRQL) that is too high. This is usually
caused by drivers using improper addresses.
If kernel debugger is available get stack backtrace.
Arguments:
Arg1: 7199df52, memory referenced
Arg2: 00000002, IRQL
Arg3: 00000000, value 0 = read operation, 1 = write operation
Arg4: 7199df52, address which referenced memory

Debugging Details:
------------------


READ_ADDRESS: 7199df52

CURRENT_IRQL: 2

FAULTING_IP:
+7199df52
7199df52 ?? ???

PROCESS_NAME: svchost.exe

BUGCHECK_STR: RAISED_IRQL_FAULT

CUSTOMER_CRASH_COUNT: 2

DEFAULT_BUCKET_ID: DRIVER_FAULT

FAILED_INSTRUCTION_ADDRESS:
+7199df52
7199df52 ?? ???

SYMBOL_NAME: INVALID_CONTEXT

FOLLOWUP_NAME: MachineOwner

MODULE_NAME: svchost.exe

IMAGE_NAME: svchost.exe

DEBUG_FLR_IMAGE_TIMESTAMP: 0

STACK_COMMAND: kb

FAILURE_BUCKET_ID: RAISED_IRQL_FAULT_svchost.exe_CODE_AV_BAD_IP_INVALID_CONTEXT

BUCKET_ID: RAISED_IRQL_FAULT_svchost.exe_CODE_AV_BAD_IP_INVALID_CONTEXT

Followup: MachineOwner
---------

Un long sujet sur le forum officiel d'OutPost évoque le même problème ... sans donner de solution.
http://www.outpostfirewall.com/forum/sh ... hp?t=19450


Les conseils donnés:

1/ Mise à jour Java de Sun
Installer la nouvelle version de Java de Sun.
Puis en désinstaller toutes les versions obsolètes dont les failles sont utilisées par les "malveillants".
Page d'Assiste: http://assiste.com.free.fr/p/abc/c/anti_java.html

Version actuelle: Java Runtime Environment (JRE) 6u1
*- http://java.sun.com/javase/downloads/index.jsp (prendre le fichier jre-6u1-windows-i586.exe, 13.16 MB)
*- http://www.java.com/fr/download/windows_xpi.jsp

2/ Mise à jour Firefox
Outils---->Options---->Menu Avancé---->Onglet Mises à jour
Outils---->Modules complèmentaires---->Rechercher des mises à jour



Utilises-tu un thème particulier dans Firefox?
Si tu reprends le thème par défaut, as-tu toujours le BSOD ("écran bleu")?
Si tu utilises Firefox en "Mode sans échec" [via Démarrer---->Programmes---->Mozilla Firefox 2.0---->Mozilla Firefox (Mode sans échec)], as-tu toujours le BSOD ("écran bleu")?


Je te suggère de transmettre ton problème directement à Agnitum:
http://www.agnitum.fr/support/kb/articl ... 25&lang=fr

A suivre,

[ramsess]

Merci Nick !
C'est plus clair. On cerne le problème. Enfin tu le cernes, moi je note ! )

Je vais faire les teste adéquats et revenir ici si j'ai du nouveau.

J'ai un autre PC avec la même version de Outpost qui tourne aussi avec Firefox et jamais ce probleme ...

Je crois que mon thème est celui d'origine. rien changé ...

Affaire à suivre

Merci beaucoup pour ton aide

Cordialement