écran bleu et reboot sans message lors de l'accès a "re

[lefreeman]

Bonjour,

ma config:

Windows xp sp1 sur un P4 2.53 avec cm p4g8x deluxe et 2 barettes de 512 en montées en dual ddr.
Je me protège habituellement avec zone alarm et avg, et je suis derrière un routeur.

Voici (en gros) l'historique du souci, si quelqu'un a la gentillesse de bien vouloir m'aider, je lui en serait vraiment reconaissant.

Hier soir j'ai betement accepté un "active x" que je croyais honnete, mais il semblerait que c'était un virus.

Dans un premier temps firefox a refusé de se lancer.
Prenant concience qu'il y avait un souci j'ai tenté de passer un coup de ccleaner : écran bleu qui reste 1 seconde puis reboot

Pas de message particulier, j'ai juste pu voir "STOP... 0x000...7F" suivi de trois codes en hexa qui sont différents a chaque reboot

J'ai donc essayé de supprimer "manuellement" ce que vide ccleaner, mais dès que j'essaye de supprimer le contenu de "documents recents" ou le contenu de "temporary internet files", écran bleu, reboot.

Le coup suivant j'ai passé un coup de spybot, il a trouvé des choses comme zlob et virtumonde (entre autres), puis vers la fin du scan, écran bleu et reboot.

J'ai viré un dossier dans program files qui avait l'air de contenir zlob.

Ensuite hijack: (je viens de le refaire pour poster le cr)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:23:05, on 14/06/2007
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)
Boot mode: Normal

Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSsystem32oneLabsvsmon.exe
C:WINDOWSExplorer.EXE
C:Program Filesone LabsoneAlarmzlclient.exe
C:WINDOWSsystem32spoolsv.exe
C:Program FilesAM BrowserAM Browser.exe
C:Program FilesGrisoftAVG Anti-Spyware 7.5guard.exe
C:WINDOWSSystem32
vsvc32.exe
C:WINDOWSSystem32svchost.exe
I:HijackThis.exe

R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = Liens
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:Program FilesGoogleGoogleToolbarNotifier2.1.1119.1736swg.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:WINDOWSSystem32msdxm.ocx
O4 - HKLM..Run: [NvCplDaemon] RUNDLL32.EXE C:WINDOWSSystem32NvCpl.dll,NvStartup
O4 - HKLM..Run: [!AVG Anti-Spyware] "C:Program FilesGrisoftAVG Anti-Spyware 7.5croutch .exe" /minimized
O4 - HKLM..Run: [ZoneAlarm Client] "C:Program Filesone LabsoneAlarmzlclient.exe"
O4 - HKLM..Run: [KernelFaultCheck] %systemroot%system32dumprep 0 -k
O4 - HKLM..Run: [MSConfig] C:WINDOWSPCHealthHelpCtrBinariesMSConfig.exe /auto
O4 - HKUSS-1-5-19..Run: [CTFMON.EXE] C:WINDOWSSystem32CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUSS-1-5-20..Run: [CTFMON.EXE] C:WINDOWSSystem32CTFMON.EXE (User 'SERVICE RESEAU')
O4 - HKUSS-1-5-18..Run: [CTFMON.EXE] C:WINDOWSSystem32CTFMON.EXE (User 'SYSTEM')
O4 - HKUS.DEFAULT..Run: [CTFMON.EXE] C:WINDOWSSystem32CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:Program FilesJavajre1.6.0_03inssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:Program FilesJavajre1.6.0_03inssv.dll
O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:Program FilesWinHTTrackWinHTTrackIEBar.dll
O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:Program FilesWinHTTrackWinHTTrackIEBar.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:Program FilesSkypeToolbarsInternet ExplorerSkypeIEPlugin.dll
O9 - Extra button: Run IMVU - {d9288080-1baa-4bc4-9cf8-a92d743db949} - C:Documents and Settings omMenu DémarrerProgrammesIMVURun IMVU.lnk
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:Program FilesSpybot - Search & DestroySDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:Program FilesSpybot - Search & DestroySDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:Program FilesMessengerMSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:Program FilesMessengerMSMSGS.EXE
O17 - HKLMSystemCCSServicesTcpip..{EE40A361-DB42-4F32-ABA0-447B2C285C91}: NameServer = 212.27.32.176,212.27.32.177
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:Program FilesGrisoftAVG Anti-Spyware 7.5guard.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:WINDOWSSystem32
vsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:WINDOWSsystem32oneLabsvsmon.exe

--
End of file - 3720 bytes


Ca n'a pas l'air de donner grand chose...


scan d'avg --> ecran bleu, reboot
scan d'ewido --> ecran bleu, reboot

Ensuite en mode sans échec:
scan d'avg --> ecran bleu, reboot
scan spybot --> ecran bleu, reboot
tentative de suppression de "documents récents" --> ecran bleu, reboot


J'ai effectué un memtest: pas de soucis


Ensuite j'ai démarré firefox en créant un nouveau profil, ca a marché.


La je viens de voir que msn refuse de se lancer , il y a un souci avec les fichiers hosts et l'outil de réparation n'arrive pas à le résoudre.

J'ai fait un scan avec le fast scan de trojan remover, il a trouvé des trucs bénins que j'ai supprimé, mais ma copie d'évaluation est expirée.


Quoi qu'il en soit a chaque foit qu'un scan arrive sur la partie concernant "documents récents" et "temporary internet files" --> ecran bleu, reboot

J'avoue être un peu au bout de ce que je sais faire, est ce que quelqu'un pourrait m'aider, svp?

edit: j'avais renomé l'exe d'avg en "croutch" lors d'une précédente attaque virale, donc il a ce nom

Merci.

[lefreeman]

Nouvel élement:

je viens de démarer avec "Bart PE", ce qui m'a permis d'effacer le contenu de "recent", "temporary internet files" et "temp".

Je réinstalle spybot et je vais voir ce que ca donne.

[etienne2000]

tu as vraiment du choper une daube sur ton pc. c'est effectivement possible que le virus se protège en plantant ton pc au moment de l'accès au dossier ou il se trouve. on verras si après l'effacement du dossier ton ordi ne plante plus.

[BARJO20]

Travaille en mode sans échec pour le nettoyage du PC, touche F8 au boot

[lefreeman]

Bon ben c'est pas gagné.

J'ai donc réinstallé et mis à jour spybot.

De temps en temps je fesait une saisie d'écran avec ce qu'il trouvait au cas ou ca plante - et ca a planté...

Toujours au même moment du scan, donc vers la fin, un peu après le 138580/158358.
J'ai regardé sur le net avant de supprimer chaque élément

J'ai donc supprimer ypfawflr.dll (lié a virtumonde)
Un raccourci vers un sécurity test (lié à smitfraud-C.gp
yabyv.dll(lié a virtumonde)
aoprndtws (clef du registre liée a virtumonde)
psqnuvo.dll (lié a Win32.Renos)
multimediaControls.chl (clef du registre liée a zlob dowloader)

Il reste deux entrées du registre que je n'ai pas vu supprimer car betement quand j'ai fait la saisie d'écran le chemin d'accès était plus large que la fenetre de spybot.

J'aurais bien mis la saisie d'écran ici mais écran bleu, reboot quand je vais sur imageshack...

Je m'demande si c'est pas un rootkit qui cause le souci.

Si vous avez des idées je suis preneur.

Merci.

[BARJO20]

Je me répète, travaille en mode sans échec et décoche tout dans l'onglet démarrage avec msconfig

[lefreeman]

On a du poster presque en même temps, désolé

Je fais ca dès que j'ai refait un scan avec antivir.

Merci pour ces pistes et conseils.

[lefreeman]

Dans ce qui démarre il n'y a que le logiciel de la carte graphique et zone alarm. (que je ne désactive pas)

En mode sans échec ca ne change rien ca continue de planter vers la fin des scans, toujours pareil.

Maintenant j'arrive a passer ccleaner.

J'ai rescané avec spybot et retrouvé ce que je n'avais pas vu - maintenant je présume que ce que j'ai vu est réglé.

La je tente un scan approfondi avec l'anti espion intégré a zone alarm, je ne sais pas si c'est pertinent mais je n'ai plus d'autres idée.


D'autres pistes et/ou logiciels a essayer, svp?

Merci.

[r@in | b0w]

Bonjour.

Une belle cochonnerie que tu as attrapé.

Au niveau log:

_ Ta version d'XP n'est pas à jour, le SP2 sera à installer au plus vite après!

_ Idem pour ta version d'Internet Explorer, cela te permettra d'avoir un navigateur un peu plus sûr!

_ Sinon, cela ne donne rien de concluant au niveau du scan.

Donc, à faire:

_ Suppression des points de Restauration système:

Tu cliques droit sur Poste de travail puis Propriétés.



Tu choisis l'onglet Restauration du système et tu décoches la ligne Restauration automatique du système.

Tu confirmes le message stipulant la suppression de tous les points de restauration.

_ Téléchargement de Sophos anti-rootkit.

Tu l'installes puis le lances et tu listes les entrées trouvées.

On te dira lesquelles éliminer ensuite.

_ Tu en profites pour faire une analyse antivirus en ligne avec Internet Explorer sur BitDefender.

Si tu as un souci avec les points de restauration ou les installations des utilitaires, tu passes en Mode sans échec comme précisé par BARJO20.

Tiens-nous au courant

Ps: scan de ton antivirus en local pertinent! A faire en Mode sans échec.

[lefreeman]

Dans le poste de travail il y a juste une croix avec "désactiver la restauration du système sur tous les lecteurs", et pas de moyen de suppression (ou alors je n'ai pas regardé la ou il faut ), mais bon c'est sélectionné.

J'ai installé anti rootkit, ca a scanné la base de registre puis le début du disque dur et un peu après avoir commencé a scanné "application data" dans
C:Documents and Settings (/alluser ou /lefreeman je n'ai pas vu exactement), écran bleu, reboot



Je retente le scan avancé de l'anti espion de zone alarm, mais cette fois en mode sans echec.

Une piste pour ce qui peut faire planter quand il se sent scanné????

Merci.

[r@in | b0w]

Re.

Pour la Restauration du système, il y a une ligne Restauration automatique du système qui est cochée.

Tu vas la décocher puis cliquer sur Appliquer et Ok.

Tu confirmes ensuite la suppression des points de restauration.

Au fait, c'est quoi ton antivirus?

[lefreeman]

Ou est-ce???



Merci.

[lefreeman]

y'a une croix "redémarrer automatiquement" dans l'onglet avancé en cliquant sur "paramètres" dans démarrage et récupération.

"redémarrer automatiquement"

Je décoche et je rescanne, on verra bien.

[lefreeman]

Du coup après l'écran bleu ca ne redémarre plus et au deuxième écran bleu j'ai pu lire ca sous les codes en hexa:




Début de vidage de la mémoire physique

Vidage de la mémoire physique terminé


Je vais jetter un oeuil sur le net, j'ai déja lu ca aujourd'hui

[lefreeman]

Reste une alerte sur une entrée du registre qui est liée a zlob dowloader - mais tout de suite après le scan plante.

Dans la mesure ou le scan prend 1h30 c'est dur de refaire le test 50 fois

J'espère qu'il y a une solution.