| Voir le sujet précédent :: Voir le sujet suivant |
| Auteur |
Message |
!aur3n7
Dépanneur
Inscrit le: 11 Oct 2005
Messages: 1328
|
 Posté le: 16 Jan 2007 à 0:27 Sujet du message: |
 |
|
on va essayer de jeter un oeil
- Télécharge Hijackthis de Merjin.
- Dézippe le dans un dossier ou sur ton bureau.
-- Clique Droit sur Hijackthis.exe :
-> Choisis "Renommer"
-> Tape Scanner.exe puis valide.
- Lance l'application
- Choisis l'option "Do a system scan and save a logfile"
-- Le Bloc-Notes s'ouvre :
-> Edition / Sélectionner Tout
-> Edition / Copier
- Colle le rapport ici. |
|
| Revenir en haut de page |
|
 |
mickael44
Administrateur
Inscrit le: 05 Juin 2005
Messages: 5837
Localisation: Rennes / Ille Et Vilaine
|
| Posté le: 16 Jan 2007 à 1:51 Sujet du message: |
|
|
Le rapport HijackThis va pouvoir nous apporter des éléments de réponse.
J'ai épluché un peu le net et j'ai trouvé quelque chose d'interessant à propos de ntoskrnl.exe. Si ce dernier est listé en tant que processus dans le gestionnaire des tache, ceci est l'oeuvre d'un virus 
Pour ma part, je suis plutôt partagé, virus qui se cache bien comme le dit Laurent ... problème matériel ...
A voir
@+ |
|
| Revenir en haut de page |
|
|
Aikanaro
Inscrit le: 14 Jan 2007
Messages: 19
|
| Posté le: 16 Jan 2007 à 18:51 Sujet du message: |
|
|
ntoskrnl.exe ne figure pas dans les processus et je ne l'y ai jamais vu (je regarde mes processus assez souvent.)
J'ai évidemment déjà regardé Hijackthis ... et tout m'a semblé parfaitement normal, m'enfin.
voilà quand même :
| Code: |
Log supprimé - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
|
|
|
| Revenir en haut de page |
|
|
Aikanaro
Inscrit le: 14 Jan 2007
Messages: 19
|
| Posté le: 17 Jan 2007 à 23:19 Sujet du message: |
|
|
Zalut !
De la nouveauté, en voici en voilà.
1) J'ai restauré le fichier ntoskrnl.exe
...
Ca n'a rien changé (youpi !)
2) Au redémarrage, j'ai très vivement ouvert mon gestionnaire de tâches ... et ôh mon Dieu, qu'ai-je vu !
Oui, ce salaud de xlfnvh.exe !
Image ici
Il n'est resté qu'un bref instant.
J'ai donc re-redémarré pour le revoir ... mais d'un autre oeil.
Dès le démarrage, j'ai courru vers Hijackthis.
image 2 ici
Je me suis donc dirigé vers C:\Windows\System32\ ... Et là ... rien.
Pas un seul xlnvh à l'horizon.
Bon alors, spyware menant à une crise de paranoïa virale n'ayant pas le moindre lien avec mes redémarrages intempestifs ou terrible virus moderne tout droit sorti d'un star trek ? |
|
| Revenir en haut de page |
|
|
!aur3n7
Dépanneur
Inscrit le: 11 Oct 2005
Messages: 1328
|
| Posté le: 17 Jan 2007 à 23:38 Sujet du message: |
|
|
Bonsoir,
Pour le fichier xlfnvh.exe et sa ligne dans le rapport Hijacthis ne sont que des traces d'une ancienne infection par le rootkit de Navipromo.
si l'infection était encore active la ligne serait invisible dans le rapport Hijacthis ainsi que les fichiers lors d'un démarrage en mode normal. (seul le mode sans echec permet de faire afficher cette ligne et un scanner de rootkit pour voir les fichiers.
Par précaution on va tout de même s'assurer que l'infection ne soit pas encore présente (sous un autre nom)
=> Télécharge F-Secure Blacklight : (F-Secure) https://europe.f-secure.com/blacklight/try.shtml
* Clique en bas sur I accept
-- Dans la nouvelle fenêtre sur le lien Download Blacklight Beta graphical user interface version
-- Met le sur ton bureau
* Lance-le en double-cliquant sur le fichier blbeta.exe
-- Accepte la licence (après l'avoir lue), puis clique sur Scan
note : Ce scan peut prendre un certain temps il faut donc être patient
-- Une fois le scan terminé clique sur Next
important : N'utilise pas la fonction rename ou cleaning pour le moment.
-- Un rapport sera généré dans le même dossier que blbeta.exe (bureau) et se présente sous le nom fsbl-bxxxx.log (les xxxx sont des chiffres).
-- Fais un copier coller du contenu de ce fichier dans ta prochaine réponse.
note : si besoin un tutoriel est consultable ici http://www.malekal.com/tutorial_f-secure_BlackLight.html |
|
| Revenir en haut de page |
|
|
Aikanaro
Inscrit le: 14 Jan 2007
Messages: 19
|
| Posté le: 18 Jan 2007 à 0:01 Sujet du message: |
|
|
Bon okay, je me suis peut-être emporté trop vite.
... Il a rien trouvé.
Ca donne ca :
| Code: |
01/17/07 22:40:20 [Info]: BlackLight Engine 1.0.55 initialized
01/17/07 22:40:20 [Info]: OS: 5.1 build 2600 (Service Pack 2)
01/17/07 22:40:20 [Note]: 7019 4
01/17/07 22:40:20 [Note]: 7005 0
01/17/07 22:40:27 [Note]: 7006 0
01/17/07 22:40:27 [Note]: 7011 1680
01/17/07 22:40:27 [Note]: 7026 0
01/17/07 22:40:27 [Note]: 7026 0
01/17/07 22:40:33 [Note]: FSRAW library version 1.7.1021
01/17/07 22:46:31 [Note]: 7007 0
|
xlnvh.exe veut bien apparaître avec ses copains en .dat, lorsque j'autorise l'affichage des fichiers systèmes dans les options ...
Brêf, sinon j'ai eu aujourd'hui deux nouveaux blue screen encore plus palpitant ... youpi ...
Le premier m'indiquant IRQL_NOT_LESS_ON_EQUAL
Dump :
| Code: |
BugCheck 1000000A, {ca135638, 2, 1, 804e6d61}
Probably caused by : win32k.sys ( win32k!vSolidFillRect1+108 )
Followup: MachineOwner |
et le second Machine check exception
Dump :
| Code: |
BugCheck 9C, {0, 8054da70, 84324000, 136}
Probably caused by : Unknown_Image ( ANALYSIS_INCONCLUSIVE )
Followup: MachineOwner |
... L'habituel 9C à quelques différences près
| Code: |
| PROCESS_NAME: explorer.exe |
C'est à rendre fou un fou. |
|
| Revenir en haut de page |
|
|
!aur3n7
Dépanneur
Inscrit le: 11 Oct 2005
Messages: 1328
|
|
| Revenir en haut de page |
|
|
Aikanaro
Inscrit le: 14 Jan 2007
Messages: 19
|
| Posté le: 18 Jan 2007 à 17:51 Sujet du message: |
|
|
Oui, il est à jour.
 |
|
| Revenir en haut de page |
|
|
Aikanaro
Inscrit le: 14 Jan 2007
Messages: 19
|
| Posté le: 18 Jan 2007 à 18:13 Sujet du message: |
|
|
| Citation: |
| Sinon il est aussi possible (du fait que cela se passe avec beaucoup d'application) que ce soit une barette mémoire HS |
Non.
J'ai testé avec une autre ram ca redémarre toujours ...
Je vais essayer avec une autre carte graphique prochainement. |
|
| Revenir en haut de page |
|
|
Lenouvdu44
Administrateur
Inscrit le: 01 Aoû 2005
Messages: 4919
Localisation: Grenoble
|
| Posté le: 18 Jan 2007 à 20:44 Sujet du message: |
|
|
Il reboot toujours même en ayant fait ce que je t'avais demandé en tout début (ce qui est de décocher une case qui fait qu'à chaque erreur il reboot) ?
Si oui, ce n'est pas matériel, ou si oui, c'est à cause de température.
Si cela avait été quelconque problème matériel, nous aurions eu des écrans bleu à chaque fois.
Les premières informations que tu m'as donné ne sont pas asser précise, les parenthèses aurait pu m'aider, mais les 0x50 ne sont pas tout le temps la cause de barette defectueuse, et cela arrive même régulièrement. Il suffit que le système soit légèrement instable.
En quelques sorte, je suis sur à 95% (précis hein  ) que cela ne vient pas d'un problème matériel outre les températures. Télécharges Everest et donne nous toutes les températures disponible, on verra ensuite.
Pour ta carte graphique, sur à 99% que cela ne vient pas d'elle, essaie quand même d'autre drivers, mais ne va pas faire d'achat.
_________________
L'nouv qui devient L'vieux |
|
| Revenir en haut de page |
|
|
Aikanaro
Inscrit le: 14 Jan 2007
Messages: 19
|
| Posté le: 18 Jan 2007 à 23:37 Sujet du message: |
|
|
| Citation: |
| Il reboot toujours même en ayant fait ce que je t'avais demandé en tout début (ce qui est de décocher une case qui fait qu'à chaque erreur il reboot) ? |
Oui, j'avais déjà essayé et il reboot toujours.
| Citation: |
| Si oui, ce n'est pas matériel, ou si oui, c'est à cause de température. |
... J'ai plusieurs fois contrôlé la vitesse du processeur après un reboot et elle m'a semblé parfaitement honête, m'enfin je vais quand même voir avec everest ...
J'ai eu 4 ou 5 écrans bleus différents, j'ai aussi eu :
0x04E (PFN_LIST_CORRUPT)
0x08E
IRQL_NOT_LESS EXCEPTION
Machine check exception |
|
| Revenir en haut de page |
|
|
Lenouvdu44
Administrateur
Inscrit le: 01 Aoû 2005
Messages: 4919
Localisation: Grenoble
|
| Posté le: 19 Jan 2007 à 21:15 Sujet du message: |
|
|
Note nous tout correctement, les parenthèses me sont très utiles ...
_________________
L'nouv qui devient L'vieux |
|
| Revenir en haut de page |
|
|
Aikanaro
Inscrit le: 14 Jan 2007
Messages: 19
|
| Posté le: 20 Jan 2007 à 15:41 Sujet du message: |
|
|
Hmm le problème c'est que j'ai pas excessivement de détails, j'ai noté quelques mots des blue screen quand ils sont survenus ...
Mais sinon, j'ai les super dumps ! |
|
| Revenir en haut de page |
|
|
Lenouvdu44
Administrateur
Inscrit le: 01 Aoû 2005
Messages: 4919
Localisation: Grenoble
|
| Posté le: 20 Jan 2007 à 16:14 Sujet du message: |
|
|
Ok, ça me va aussi, c'est limite encore mieux ^^ prends mon msn, je serais co demain (ce soir, fiesta sorry ^^) ou mets les en liens sur dtpc, ou post les directement.
_________________
L'nouv qui devient L'vieux |
|
| Revenir en haut de page |
|
|
Kane 13
Inscrit le: 04 Déc 2005
Messages: 1490
Localisation: J'habite dans le sud de ma chambre
|
| Posté le: 20 Jan 2007 à 19:03 Sujet du message: |
|
|
Bon, faut pas que tu t'inquiètes, il y a toujours une solution à tous les problèmes ...
Je suis sûr que nos petites têtes vont vite trouvé la cause de ton problème
_________________
 |
|
| Revenir en haut de page |
|
|
Ajouter à : 
|
|
Ce que nous vous conseillons :
