écran bleu récurrent Fermé

Question

Bonjour, 

Régulièrement, j'ai droit à l'écran bleu et redémarrage de la machine.
Ce matin, l'ouverture de Firefox ouvre sur une page du site de Windows m'indiquant le message suivant :
Erreur d''arrêt (écran bleu) déclenchée par un périphérique ou un pilote.
j'ai donc effectué un ZHPDiag, disponible à l'adresse suivante :
http://www.cijoint.fr/cjlink.php?file=cj201110/cijkKB8jCn.txt
D'avance, merci de votre aide.
Fred

Configuration: Windows XP / Firefox 7.0.1

g3n-h@ckm@n · Answer

salut

&#9654 Télécharge Reload_TDSSKiller

&#9654 Lance le 

choisis : lancer le nettoyage

l'outil va automatiquement télécharger la derniere version puis 

TDSSKiller va s'ouvrir , clique sur "Start Scan"

Si TDSS.tdl2 est détecté l''option delete sera cochée par défaut.
Si TDSS.tdl3 est détecté assure toi que Cure est bien cochée.
Si TDSS.tdl4(\HardDisk0\MBR) est détecté assure toi que Cure est bien cochée.
Si Suspicious file est indiqué, laisse l''option cochée sur Skip 
Si Rootkit.Win32.ZAccess.* est détecté règle sur "cure" en haut , et "delete" en bas

une fois qu'il a terminé , redemarre s'il te le demande pour finir de nettoyer

sinon , ferme tdssKiller et le rapport s'affichera sur le bureau

&#9654 Copie/Colle son contenu dans ta prochaine réponse.

fredjouan · Answer

Merci pour ta réponse. Ci-joint le rapport :
17:58:16.0781 2732	TDSS rootkit removing tool 2.6.3.0 Oct  1 2011 13:14:27
17:58:37.0828 2732	Perform update action was selected
17:58:37.0828 3656	Deinitialize success
Fred

g3n-h@ckm@n · Answer

manque un gros bout !

fredjouan · Answer

ci-joint le rapport complet :
http://www.cijoint.fr/cjlink.php?file=cj201110/cijeDxCntZ.txt
en fait, le rapport qui s'affiche sur le bureau ne fait que trois lignes !
Pour le rapport complet, il faut garder le logiciel ouvert et cliquer sur rapport.
Fred

g3n-h@ckm@n · Answer

desactive ton antivirus
desactive Windows defender si présent
desactive ton pare-feu

Ferme toutes tes appilications en cours

telecharge et enregistre ceci sur ton bureau :

Pre_Scan

si le lien ne fonctionne pas :

http://www.archive-host.com

s'il n'est pas sur ton bureau coupe-le de ton dossier telechargements et colle-le sur ton bureau

Avertissement: Il y aura une extinction du bureau pendant le scan --> pas de panique. 

une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan.txt" sur le bureau.

si 'outil est bloqué par l'infection utilise cette version : Version .pif

si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

si l'outil semble ne pas avoir fonctionné renomme-le winlogon , ou change son extension en .com ou .scr

 Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler 

Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra sur le bureau en fin de scan

&#9654&#9654&#9654 NE LE POSTE PAS SUR LE FORUM (il est trop long)

clique sur ce lien : http://www.cijoint.fr/

&#9654 Clique sur Parcourir et cherche le fichier ci-dessus.

&#9654 Clique sur Ouvrir.

&#9654 Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

est ajouté dans la page.

&#9654 Copie ce lien dans ta réponse. 

si ton bureau ne reapparait pas => ctrl+alt+supp , gestionnaire des taches => onglet fichier => nouvelle tache puis tape explorer

fredjouan · Answer

Voilà, le processus s'est déroulé normalement. Le rapport :
http://www.cijoint.fr/cjlink.php?file=cj201110/cijDLvPyLu.txt
Fred

g3n-h@ckm@n · Answer

fais glisser une icone n'importe quel fichier sur Pre_scan , pre_script va apparaitre

Lance Pre_script , une page vierge va s'ouvrir.

selectionne tout le texte en gras ci-dessous, puis (clic droit/copier ou ctrl+c) :
___________________________________________________
Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]  
""=-      
"NeroFilterCheck"=-
[-HKEY_LOCAL_MACHINE\Software\BrowserChoice]

File::
C:\WINDOWS\iun6002.exe 
C:\WINDOWS\SET3.tmp  
C:\WINDOWS\SET4.tmp    
C:\WINDOWS\SET8.tmp       
C:\Documents and Settings\Fred\EurekaLog      
C:\Documents and Settings\Fred\Application Data\SAS7_000.DAT      

Folder::
C:\68bfe9c609d9a89129     
C:\Documents and Settings\Fred\Local Settings\Application Data\Installer2452      
C:\Documents and Settings\Fred\Local Settings\Application Data\Installer3832       

attrib          
___________________________________________________

colle-le ensuite (clic droit/coller ou ctrl+V) dans la page vierge.

puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte

des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille 

poste le contenu du rapport qui s'ouvrira

si ton bureau ne reapparait pas => ctrl+alt+supp , gestionnaire des taches => onglet fichier => nouvelle tache puis tape explorer

fredjouan · Answer

Le rapport de pre-script ci-dessous :
http://www.cijoint.fr/cjlink.php?file=cj201110/cijNyGbo8P.txt
Fred

g3n-h@ckm@n · Answer

desolé erreur de script refais-en un avec ca en gras entre les lignes dedans , y'a une fonction qui n'a pas fonctionné:

______________________________
attrib::
______________________________

fredjouan · Answer

ci-dessous le nouveau rapport :
http://www.cijoint.fr/cjlink.php?file=cj201110/cijEOnT3Qx.txt
Fred

g3n-h@ckm@n · Answer

que contient ceci ?

C:\Documents and Settings\Fred\EurekaLog

fredjouan · Answer

C'est un dossier vide.
Fred

g3n-h@ckm@n · Answer

j'ai pris ca pour un fichier => poubelle

fredjouan · Answer

Bonjour g3n-h@ckm@n,
Dois-je faire d'autres manoeuvres ?
Sinon, un grand merci pour ton aide.
Très cordialement,
Fred

g3n-h@ckm@n · Answer

relance zhpdiag , coche tout au tournevis puis heberge le rapport sur cijoint.fr puis donne le lien

fredjouan · Answer

Lorsque je coche tout, zhpdiag plante, j'ai essayé deux fois.
Ci dessous le rapport avec les coches par défaut :
http://www.cijoint.fr/cjlink.php?file=cj201110/cijFPpJDbV.txt
Fred

g3n-h@ckm@n · Answer

Fais analyser le(s) fichier(s) suivants sur Virustotal :

Virus Total

    clique sur "Parcourir" et trouve puis selectionne ce(s) fichier(s) :

C:\PhysicalDisk0_MBR.bin    

    * Clique maintenant sur Envoyer le fichier. et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
    * Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
    * Lorsque l'analyse est terminée colle le lien de(s)( la) page(s)  dans ta prochaine réponse.

fredjouan · Answer

Voici le lien :
http://www.virustotal.com/file-scan/report.html?id=4f9d296db36213f4ddab2ed32fd4f7630081e406f3ea350ce86b30926a0d00cf-1317902745
Fred

g3n-h@ckm@n · Answer

il bloque à quel niveau quand tu coches tout ?

fredjouan · Answer

La fenêtre du logiciel devient toute blanche et lorsque je clique sur le bouton de fermeture, un message s'affiche m'indiquant que le logiciel ne répond pas.
Ensuite, un message apparaît me demandant d'envoyer un rapport sur l'incident,  ce que je ne fais pas.
Fred

g3n-h@ckm@n · Answer

pourquoi tu ne le fais pas ?

fredjouan · Answer

En général, cela ne résout rien, c'est juste un rapport que l'on envoie à Microsoft.
Fred

g3n-h@ckm@n · Answer

ben oui mais si tu les envoie pas ils font comment pour t'envoyer la mise à jour de compatibilité avec tes logiciels defaillants ?

fredjouan · Answer

Bonjour g3n-h@ckm@n, 
Pardonne-moi, je n'avais probablement pas été assez patient hier, j'ai relancé le processus ce matin et il s'est terminé correctement (zhpdiag). 
Voici donc le lien : 
http://www.cijoint.fr/cjlink.php?file=cj201110/cijGCSxkrg.txt 
Plates excuses... 
A propos des rapports de plantage, j'enverrai dorénavant les rapports (j'étais vraiment persuadé que cela ne servait pas à grand-chose).
Fred

fredjouan · Answer

Ci-dessous le rapport zhpfix :
http://www.cijoint.fr/cjlink.php?file=cj201110/cijI4roG2U.txt
Fred

g3n-h@ckm@n · Answer

pourquoi tu as deplacé les keygens  ?

s'ils sont infectieux (ce dont je ne doute pas) , tu vas revenir toutes les semaines

fredjouan · Answer

Non, je ne les ai pas déplacés. Après une recherche, ils sont dans le dossier quarantaine de zhpfix.
Je les mets à la poubelle ?
Fred

g3n-h@ckm@n · Answer

les ecrans bleus sont toujours presents ?

fredjouan · Answer

Pour l'instant, pas d'écran bleu...
Fred

g3n-h@ckm@n · Answer

fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.


&#9654 Télécharge ici :

Malwarebytes  

&#9654 Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'installe ) et mets le à jour .

relance malwarebytes en suivant scrupuleusement ces consignes :

! Déconnecte toi et ferme toutes applications en cours !

&#9654 Lance Malwarebyte's .

Fais un examen dit "Complet" .

&#9654 Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
&#9654 à la fin tu cliques sur "résultat" .
&#9654 Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .

&#9654 Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !


&#9654 Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date)

fredjouan · Answer

Bonjour,
Bon, j'ai deux disques dur C et E.
 MB plantait sur le disque E. J'ai donc fait une analyse de C, rapport ci-dessous :
http://www.cijoint.fr/cjlink.php?file=cj201110/cijD0VzKa7.txt
J'ai ensuite effectué un gros nettoyage sur E (qui me sert de stockage de masse, sauvegardes,... et qui était avant le disque principal), à l'aide de Tuneup . J'ai viré le dossier windows, program file,...
J'y ai découvert des dossiers zzzzzzz que je ne peux ni détruire ni accéder...
J'ai relancé MB sur E, et MB plante maintenant sur des clés de registre HKLM/software/...
Je ne sais pas trop quoi faire maintenant (mais je n'ai plus d'écran bleu)
Fred

g3n-h@ckm@n · Answer

bizarre tu n'as pas de clés de registre dans E:\ normalement.....

fredjouan · Answer

oui, je sais, c'est étrange...
J'ai fait une photo des dossiers du disque E:
http://www.cijoint.fr/cjlink.php?file=cj201110/cijmoBt0NB.jpg
Il reste des dossiers dans Windows que je ne peux pas enlever :
E:\WINDOWS\system32\Macromed\Flash\Flash10l.ocx, par exemple et :
E:\ZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZ\update\ avec l'indication, au survol du dossier : "Dossier vide" ! Impossible de l'ouvrir, impossible de le détruire.
Peut-être faut-il en rester là ?
Fred

g3n-h@ckm@n · Answer

essaie avec Unlocker :)

https://www.clubic.com/telecharger-fiche20237-unlocker.html

fredjouan · Answer

j'ai installé Unlocker et détruit pas mal de dossiers. Mais il les met à la poubelle.
Et la poubelle ne veut pas se vider, donc Unlocker s'active et met les dossiers... à la poubelle !
Fred

g3n-h@ckm@n · Answer

ccleaner ne peut pas vider ta corbeille ? au pire => en mode sans echec

fredjouan · Answer

bonjour,
en effet, CCleaner a bien vidé la corbeille. Les deux disques sont maintenant propres, je te remercie beaucoup de ton aide.
très cordialement,
Fred

g3n-h@ckm@n · Answer

refais un complet sur tous les disques avec mbam je veux en avoir le coeur net :)

fredjouan · Answer

Bonjour,
J'ai donc refait un scan des deux disques durs. En ce qui concerne le disque C: pas de problème, mais quand il arrive sur le disque E: il plante sur
E:\ BOOT BAK
C'est peut-être du au secteur d'amorce qui était foutu sur ce disque (c'est d'ailleurs la raison pour laquelle je l'avais changé).
Fred

écran bleu récurrent

39 réponses

Discussions similaires