× Aidez la recherche contre le COVID-19 avec votre ordi ! Rejoignez l'équipe PC Astuces Folding@home
 > Tous les forums > Forum Sécurité
 Page bleue au démarrageSujet résolu
Ajouter un message à la discussion
Page : [1] 
Page 1 sur 1
Ch3mist
  Posté le 23/05/2007 @ 17:56 
Aller en bas de la page 
Petit astucien

Bonjour a tous,

Voici le probléme : j'ai rebooter mon pc et au démarrage une page bleu s'affiche qui fait redémarrer mon pc.Je ne peut pas le booter en mode normal mais en mode sans échec avec prise en charge réseau sa fonctionne!pour quelle(s) raison(s)?

Merci pour vos réponses.

Publicité
Anonyme
 Posté le 23/05/2007 à 18:06 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Nouvel astucien

Bonjour Ch3mist,

afin de voir tout cela, essaye d' appliquer le pré-nettoyage d' un Pc infecté en téléchargeant Hijackthis et Avg antispyware, puis utilise-les et poste les rapports (voir lien dans ma signature).

Si tu as des soucis, reportes-toi à Comment faire pour...parC4TEUR et n' hésites pas à poser des questions.

nardino
 Posté le 23/05/2007 à 18:42 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Grand Maître astucien

Bonsoir,

Débranches tous tes périphériques autre que le clavier et la souris pour déterminer s'il s"agit d'un problème de cet ordre-là.

Si cela fonctionne , tu rajoutes tes périphériques un à un pour voir lequel est en cause.

Ch3mist
 Posté le 23/05/2007 à 20:47 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Re,

merci pour vos réponses..Alors :

nardino j'ai débranché les différents périphériques mais sa ne fonctionne toujours pas,la page bleu persiste.

Fred j'ai téléchargé AVG Anti Spyware (pour vista) mais a la fin de l'installation une fenetre m'indique le message suivant : (désolé capture d'image impossible ,a cause du mode sans échec?je passe par imageshack)

Local Machine : installation failed

Installation:

Error: action failed for file avgmfx86.sys:starting service....

ce service ne peut pas etre démarré en mode sans échec (1084)

De plus,a l'ouverture de win une autre fenetre s'affiche :

Windows a récupéré d'un arret non planifié?

[...]

Détails:

Signature du probléme :

Nom d'événement du probléme: BlueScreen

Version du systéme:6.0.6000.2.0.0.256.1

Identificateur de paramétres régionaux : 1036

---------------------------------------------------------------

Informations supplémentaires sur le problème:

[...]

---------------------------------------------------------------

Fichiers aidant à décrire le problème :

C:\Windows\Minidump\Mini052307-04.dmp

C:\Users\Ch3mist\AppData\Local\Temp\WER-194718-0.sysdata.xml

C:\Users\Ch3mist\AppData\Local\Temp\WERE540.tmp.version.txt

_________________________________________________________________

Je laisse quand méme un rapport Hijackthis :

Logfile of HijackThis v1.99.1
Scan saved at 20:46:12, on 23/05/2007
Platform: Unknown Windows (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16386)

Running processes:
C:\Windows\Explorer.EXE
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Users\Ch3mist\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://snowtigers.net/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Microsoft Service Host Managment] scvhost.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\RunServices: [Microsoft Service Host Managment] scvhost.exe
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\RunOnce: [NeroHomeFirstStart] C:\Program Files\Common Files\Ahead\Lib\NMFirstStart.exe
O8 - Extra context menu item: &D&ownload &with BitComet - res://C:\Users\Ch3mist\Desktop\BitComet.exe/AddLink.htm
O8 - Extra context menu item: &D&ownload all video with BitComet - res://C:\Users\Ch3mist\Desktop\BitComet.exe/AddVideo.htm
O8 - Extra context menu item: &D&ownload all with BitComet - res://C:\Users\Ch3mist\Desktop\BitComet.exe/AddAllLink.htm
O10 - Unknown file in Winsock LSP: c:\windows\system32\nlaapi.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\napinsp.dll
O11 - Options group: [INTERNATIONAL] International*
O13 - Gopher Prefix:
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: @%SystemRoot%\ehome\ehstart.dll,-101 (ehstart) - Unknown owner - %windir%\system32\svchost.exe (file missing)
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
O23 - Service: @%SystemRoot%\system32\qwave.dll,-1 (QWAVE) - Unknown owner - %windir%\system32\svchost.exe (file missing)
O23 - Service: @%SystemRoot%\system32\seclogon.dll,-7001 (seclogon) - Unknown owner - %windir%\system32\svchost.exe (file missing)
O23 - Service: @%ProgramFiles%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - %ProgramFiles%\Windows Media Player\wmpnetwk.exe (file missing)

nardino
 Posté le 23/05/2007 à 20:52 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Grand Maître astucien

Bonsoir.

Rien d'anormal dans ce rapport.

Dans Orbe-Rechercher ou Exécuter si as le bouton, tape sfc*/scannow, il est possible que le DVD d'installation te soit demandé.

* symbolise un espace et ne doit pas être tapé.



Modifié par nardino le 23/05/2007 20:53
Anonyme
 Posté le 23/05/2007 à 20:53 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Nouvel astucien

Re,

je reviens après.

nardino



Modifié par Anonyme le 23/05/2007 23:01
Ch3mist
 Posté le 23/05/2007 à 21:18 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien
Ok,l'analyse du système a été éffectué,il m'a pas demandé le dvd

Modifié par Ch3mist le 23/05/2007 21:31
nardino
 Posté le 23/05/2007 à 21:34 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Grand Maître astucien

Re,

Cela a-t-il été bénéfique ?

Ch3mist
 Posté le 23/05/2007 à 21:40 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien
arrff aucun changement..
Publicité
Qc_001
 Posté le 23/05/2007 à 21:59 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

nardino a écrit :

Rien d'anormal dans ce rapport.

Bonsoir

O4 - HKLM\..\Run: [Microsoft Service Host Managment] scvhost.exe

O4 - HKLM\..\RunServices: [Microsoft Service Host Managment] scvhost.exe

Ceci est tout nouveau. Probablement une variante de Ciadoor (trojan qui installe une porte dérobée).

Description d'une ancienne variante ici :

http://www.sophos.com/security/analyses/trojciadoorg.html

Sous XP, Ciadoor est connu pour désactiver le Centre de Sécurité, cmd, regedit, le gestionnaire des tâches... Sous Vista, impossible de savoir sans le tester, mais ça semble être la galère sur ta bécane, Ch3mist

Nos outils automatisés actuels qui traitent ce genre d'infections ne tournent pas sous Vista. Vous devrez faire la désinfection manuellement...

Bonne continuation.

Ch3mist
 Posté le 23/05/2007 à 22:14 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

aie tant que sa???

Comment faire la désinfection manuellement?

comme tu dis sous vista sa n'a pas l'air possible actuellement de le faire détecter par Sophos.

Qc_001>tu penses qu'il ya a un rootkit dissimulé sur ma machine?

Sa a l'air plus grave que ce que je pensais



Modifié par Ch3mist le 23/05/2007 22:27
nardino
 Posté le 23/05/2007 à 22:42 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Grand Maître astucien

Bonsoir.

D'abord merci à Qc_001 d'avoir lever le lièvre qui m'avait échappé pour cause de lecture trop rapide. (scvhost est pourtant un classique des malwares.)

Il semble qu'il soit possible de venir à bout de la chose avec A2Free.

Il est compatible avec Vista.

a-squared (a2) -

Faire le scan en mode sabs échec .

Cela ne coûte rien de tester.

D'autre part, trouvé ici

C:\Windows\System\wsock32.sys
C:\Windows\System\ckl009.dat

A supprimer.



Modifié par nardino le 23/05/2007 22:43
Qc_001
 Posté le 23/05/2007 à 23:24 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Rebonsoir

Y-a-t-il un rootkit derrière tout ça ? Fort possible, car on les voit souvent sous XP avec ces infections. Je ne peux pas me prononcer quant à Vista par contre.

Juste une suggestion (ou deux). Utilisez HijackThis! version Trend Micro pour Vista, car elle est mieux adaptée pour cet OS. Faire analyser le fichier en question sur VirusTotal pour confirmer, puis le supprimer si infectieux :

C:\Windows\System32\scvhost.exe << faire attention à l'orthographe, qui doit être exacte

Et fixez les deux lignes avec HijackThis!

a2 pourrait être utile si le trojan est répertorié.

@+

Ch3mist
 Posté le 23/05/2007 à 23:26 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Ok j'ai bien dl A2Free,j'ai fais un scan voici le résultat :

Version - a-squared Free 2.1

Réglages Scan:

Objets: Mémoire, Traces, Cookies, C:\, D:\, G:\
Scan archives: Marche
Heuristiques: Marche
Scan ADS: Marche

Début du scan: 23/05/2007 23:00:52

C:\Windows\system32\scvhost.exe Détecter: Trace.File.StartPage
C:\Program Files\macrogaming\sweetim Détecter: Trace.Directory.Sweet IM

[...]

Fichiers: 28856
Traces: 115060
Cookies: 72
Processus: 16

Trouver

Fichiers: 0
Traces: 49
Cookies: 13
Processus: 0
Clés de Registre: 0

toujours aucun changement démarrage mode normal

Ces 2 fichiers sont introuvable :

C:\Windows\System\wsock32.sys
C:\Windows\System\ckl009.dat

j'ai rebooter ma machine pour voir et depuis je ne vois plus mon dossier c:\Windows\System

A2 a supprimer

c:\Windows\System32\scvhost.exe (cf log)



Modifié par Ch3mist le 23/05/2007 23:40
nardino
 Posté le 24/05/2007 à 00:15 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Grand Maître astucien

Bonsoir.

Je viens de tester deux antirootkits et je peux te dire que Vista n'aime pas du tout.

Rootkit Revealer de Sysinternals et Bitdefender Antirootkit. J'ai cru que le second avait fait sauter mon système.

Ch3mist
 Posté le 24/05/2007 à 00:21 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

AArrff sa donne pas trop envie d'essayer

J'ai fais qqes recherches aussi et c'est clair que sous vista c'est pas encore au point (un jour,peut-etre?)

Tu crois qu'une réinstallation de Vista pourrai résoudre le problème?

J'ai pas vraiment d'autres solutions pour l'instant



Modifié par Ch3mist le 24/05/2007 00:26
nardino
 Posté le 24/05/2007 à 00:33 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Grand Maître astucien

Re,

Je ne suis pas très chaud habituellement pour cette solution.

Mais je crois que si tu as besoin d'un système sain, tu vas être obligé d'en arriver là.

Publicité
Ch3mist
 Posté le 24/05/2007 à 00:39 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

ok ok....je te laisse nardino debout 5h merci beaucoup pour ton aide.Si tu as des news pense a m'en faire part stp.

Je laisse quand méme le sujet avant de le notifier comme résolu au cas ou qqun aurait une autre solution puis demain soir si je n'en ai pas je réinstallerai vista (ou peut etre XP)

Bye ,bonne Nuit,bonne continuation et a bientot

Ch3mist
 Posté le 24/05/2007 à 17:36 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Bonsoir tout le monde,nardino...

quelqu'un a une autre solution a mon problème?

Page : [1] 
Page 1 sur 1

Vous devez être connecté pour poster des messages. Cliquez ici pour vous identifier.

Vous n'avez pas de compte ? Créez-en un gratuitement !


Les bons plans du moment PC Astuces

Tous les Bons Plans
17,90 €Set de 30 lames bois et métal Bosch pour scies sauteuses + boite à 17,90 €
Valable jusqu'au 28 Septembre

Amazon fait une promotion sur le set de 30 lames bois et métal Bosch pour scies sauteuses avec leur boite de rangement à 17,90 €. On trouve l'ensemble ailleurs à partir de 36 €. Les lames portent les références T119BO, T111C et T118A (10 lames de chaque).


> Voir l'offre
27,99 €Switch gigabit Netgear GS108, 8 ports à 27,99 €
Valable jusqu'au 28 Septembre

Amazon propose actuellement  le switch Gigabit Netgear GS108GE 8 ports (10/100/1000) à 27,99 € livré gratuitement. Le switch est garanti 5 ans.


> Voir l'offre
34,90 €Routeur TP-Link Archer C6 Gigabit et Wifi double bande AC à 34,90 €
Valable jusqu'au 27 Septembre

Amazon fait une vente flash sur le routeur TP-Link Archer C6 qui passe à 34,90 € livré gratuitement. On le trouve ailleurs à partir de 50 €.  Ce routeur dispose de 5 ports Ethernet Gigabit, du WiFi 802.11 AC sur 2 bandes (délivre des débits combinés allant jusqu’à 1.2Gbps). Vous pouvez le convertir en point d'accès pour partager votre réseau filaire avec d'autres appareils WiFi.


> Voir l'offre

Sujets relatifs
Ouverture page Internet Yahoo search au démarrage
Piratage de ma page de démarrage
Page de démarrage
Page de démarrage 123
page bleue puis redémarrage dewindows
Page de démarrage FF intempestive (webssearchers)
Afficher une page vierge au démarrage de ie 11
page bleue
page de démarrage non conforme
Ustart.org, sa page de démarrage, et la sécurité
Plus de sujets relatifs à Page bleue au démarrage
 > Tous les forums > Forum Sécurité