windows xp pro+emule : ecrans bleus avec savrt.sys ou autres

arfy · 19/03/2005, 20h57

bonjour,
depuis quelques jours, j'ai l'ecran bleu qui apparait regulierement.
avec vidage de memoire.
et j'ai l'impression que ca vient de emule apres mes observations d'aujourd'hui.
tout a l'heure, j'ai note que l'ecran bleu parlait de savrt.sys (juste apres le lancement d'emule).
apres une recherche sur google, j'ai vu que ca pourrait venir d'un probleme entre norton antivirus (j'ai la version 2004) et des drivers graphiques (pourtant je n'ai rien change de ce cote la).
mais je ne vois pas le rapport entre les deux, et encore moins avec emule.
peut-on m'eclairer svp ?
merci d'avance.

notes :

21h40 : j'ai desactive auto-protect de norton antivirus et j'ai lance de suite ensuite emule, ce qui m'a donne l'ecran bleu irql_not_less_or_equal (stop : 0x0000000a). mais je n'ai pas detecte sur quel peripherique j'avais l'erreur. au redemarrage, autoprotect etait encore desactive (alors que normalement il est active meme si on l'a desactive juste avant un arret de la machine). j'ai lance emule et pour l'instant je n'ai aucun probleme (21h45).

22h20 : ecran noir... bizarre. apres le redemarrage, je relance emule sans activer autoprotect.

22h50 : ecran bleu de nouveau. cette fois-ci j'ai l'erreur memory_management : 0x0000001a (0x00041284,0xdbe53001,0x00004550,0xc0c00000).

j'ai regarde dans le journal des evenements (applications) et apparemment le service wmiadapter ne peut pas etre ouvert au demarrage de la machine. et juste avant, j'ai aussi une erreur de perfnet :

Citation:

Impossible d'ouvrir le Service serveur. Les données de performance du serveur ne seront pas renvoyées. Le code d'erreur renvoyé est la donnée DWORD 0.

[edit]
7 avril : changement du titre
[/edit]

gangsoleil · 20/03/2005, 14h09

Bonjour

Je te conseil tout d'abord de vérifier ta mémoire, avec un logiciel comme Memtest86.

Ensuite, vérifie également l'éventuelle présence de spyware sur ton PC, avec AdAwre et Spybot.

Enfin, je et conseillerait de mettre à jour tes drivers (videos, CM, ...), ca ne peut pas faire de mal

arfy · 20/03/2005, 14h31

merci de la réponse.
pour répondre, j'ai installé windows xp récemment (environ depuis un mois). donc je ne pense pas que ça soit en rapport avec emule ou mes drivers. je vais passer un coup d'antispywares (au pluriel) mais je ne pense pas que ça change grand chose.
je ne comprends pas pourquoi l'ordinateur plante avec emule seulement (d'après mes constatations) alors que je n'ai rien changé et que je n'ai pas fait grand chose non plus (pas de surcharge cpu).
dernière erreur à 14h10 :

Citation:

irql_not_less_or_equal
stop 0x0000000a (0x0000dd28,0x00000002,0x00000000,0x804f4554)

arfy · 20/03/2005, 14h43

en effet ad-aware m'a détecté H@tKeysH@@k.dll dans le system32. j'espère que c'est ça, je fais un spybot quand même. puis je teste emule.
je vous tiens au courant.

arfy · 20/03/2005, 15h38

spybot n'a rien trouvé.
15 minutes après le démarrage d'emule, je retombe sur l'écran bleu :

Citation:

memory_management : 0x0000001a (0x00041284,0x515d001,0x00008940,0xc0c00000).

Je lance un scan de Norton Antivirus...

gangsoleil · 20/03/2005, 16h19

Essaye de changer de version d'e-mule, voir si ca vient de la dernière version ou bien d'autre chose.

arfy · 20/03/2005, 18h10

je ne pense pas que ça vienne d'emule, je n'ai pas changé de version depuis l'installation. par contre, j'ai l'impression que emule+norton antivirus fait des dégâts.

autre piste à rayer : les mémoires. j'ai fait un memtest86 en deux passes standards, aucune erreur.

Vow · 21/03/2005, 14h49

D'après ce que je lis, j'ai l'impression que ça vient de l'AutoProtect de Norton Antivirus.
Peut-être une mise à jour que tu as faite ?

arfy · 21/03/2005, 20h11

je ne sais pas, j'ai la mise à jour automatique.
on voit ça comment ?
merci

arfy · 22/03/2005, 08h37

petite remarque en plus : l'autoprotect ne s'active que 5 minutes après le démarrage de l'ordinateur.
et dans le journal des événements (applications), j'ai 14 lignes à propos de "wmiadapter" qui essaie de démarrer sans succès. le délai entre la 1ere de ces lignes et la dernière est d'environ 7 secondes.

arfy · 23/03/2005, 08h29

vous avez une idée du problème ?
apparemment ça vient de norton antivirus.
comment résoudre ? peut-être en le réinstallant ?

arfy · 24/03/2005, 21h51

j'ai lancé un scan online de trend micro. il ne m'a rien trouvé.
par contre j'ai lancé panda online, et il m'a trouvé un virus :

W32/Dedler.AJ.worm sur le fichier C:\Documents and Settings\All Users\Documents\install.exe, qui a été supprimé l'antivirus

en allant sur ce répertoire, je trouve aussi un fichier arun.exe et autorun.inf pointant dessus.
après une recherche sur google, je vois que arun.exe est un trojan : trojan.arun.
pour être sûr, je regarde sur le site de kaspersky http://www.kaspersky.com/remoteviruschk qui me dit que le fichier est infecté par Trojan.Win32.Zapchast.

22h50 : après avoir supprimé les fichiers, je redémarre mon ordinateur. les fichiers ne sont pas renouvellés. je redémarre emule et je n'ai aucune erreur au bout de 45 minutes. je ferme emule et après une petite vérification, je remarque que le install.exe et le autorun.inf sont réapparus. je les supprime de nouveau. et je redémarre encore l'ordinateur.

22h55 : les fichiers sont toujours absents mais je remarque que l'autoprotect est toujours désactivé. au bout de 2 à 3 minutes après l'autoprotext s'active. et pas de nouvelles du "virus". je relance encore emule me demandant si ça ne vient pas du logiciel, rien n'apparaît au bout de 15 minutes même avec un téléchargement de fichier, à la fermeture non plus (23h20).

vendredi, 8h15 : démarrage du pc, pas de fichier. après 20 minutes de petite utilisation (msn messenger pour voir mes mails uniquement, maxthon pour navigation), je retrouve les 3 fichiers (?!)

install.exe créé vendredi 25 mars 2005, 08:33:28
autorun.inf créé vendredi 25 mars 2005, 08:33:31
arun.exe créé vendredi 25 mars 2005, 08:33:32

je les ai effacé, mais je ne comprends d'où ils peuvent venir...
dans mon kerio personal firewall, aucune trace de tentative d'intrusion depuis ce matin.

piouPiouM · 25/03/2005, 10h49

Bonjour,

envoyez vos fichiers arun.exe et install.exe sur le site suivant : http://virusscan.jotti.org/

Une analyse par 12 antivirus sera alors effectuée

Si il s'agit bien de virus/worm/trojan un nom en ressortira , il ne restera plus qu'à espérer que les éditeurs aient mis à disposition des informations sur ces derniers.

arfy · 25/03/2005, 20h11

merci pour le lien.
les fichiers sont revenus dans la journée, sans avoir démarrer mais juste après un changement d'utilisateur vers 9h :

install.exe, vendredi 25 mars 2005, 15:03:25

Citation:

Status: INFECTED/MALWARE
Packers detected: YODA, UPX

AntiVir Worm/Robobot
Avast No viruses found
AVG Antivirus No viruses found
BitDefender No viruses found
ClamAV No viruses found
Dr.Web BackDoor.IRC.Robobot
F-Prot Antivirus W32/Robobot.gen
Fortinet No viruses found
Kaspersky Anti-Virus Backdoor.Win32.Robobot.q
mks_vir Win32.4 (probable variant)
NOD32 Win32/Robobot.NAC
Norman Virus Control Sandbox: W32/Malware;

Citation:

[ General information ]

* Creating several executable files on hard-drive.
* File length: 36422 bytes.

[ Changes to filesystem ]
* Creates file C:\WINDOWS\System\mssecure.exe.

[ Changes to registry ]
* Creates value ".mssecure"="C:\WINDOWS\System\mssecure.exe" in key "HKLM\Software\Microsoft\Windows\CurrentVersion\Run".
* Deletes value "KAVPersonal50" in key "HKLM\Software\Microsoft\Windows\CurrentVersion\Run".

[ Network services ]
* Connects to "webapi.megabestservices.com" on port 1088 (TCP).
* Connects to IRC Server.

[ Network ]
* **Uses IPHLPAPI services.

[ Process/window information ]
* Creates a mutex 3676C64A-W454-122E-BFC6-083C2BF4S551.
* Will automatically restart after boot (I'll be back...).

arun.exe, vendredi 25 mars 2005, 15:03:29

Citation:

Status: INFECTED/MALWARE
Packers detected: -

AntiVir No viruses found
Avast No viruses found
AVG Antivirus Boxed.3.AM
BitDefender No viruses found
ClamAV No viruses found
Dr.Web No viruses found
F-Prot Antivirus No viruses found
Fortinet No viruses found
Kaspersky Anti-Virus Trojan.Win32.Zapchast
mks_vir Trojan.Arun
NOD32 Win32/Robobot
Norman Virus Control No viruses found

je n'ai pas trouvé de mssecure.exe

arfy · 25/03/2005, 20h25

un petit HiJackthis montre , après avoir enlevé les points certains :

Citation:

Logfile of HijackThis v1.99.0
Scan saved at 20:15:43, on 25/03/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: Service COM de gravage de CD IMAPI - Unknown - C:\WINDOWS\System32\imapi.exe
O23 - Service: Cliché instantané de volume - Unknown - C:\WINDOWS\System32\vssvc.exe

là, je ne sais plus quoi faire

20/03/2005, 14h09	#2 (permalink)
gangsoleil Modérateur Date d'inscription: mai 2004 Localisation: Grenoble Âge: 28 Messages: 2 644	Bonjour Je te conseil tout d'abord de vérifier ta mémoire, avec un logiciel comme Memtest86. Ensuite, vérifie également l'éventuelle présence de spyware sur ton PC, avec AdAwre et Spybot. Enfin, je et conseillerait de mettre à jour tes drivers (videos, CM, ...), ca ne peut pas faire de mal __________________ Non au langage SMS Modérateur "C", "Informatique Générale & Hardware" et "Windows, Système & Logiciels" Les règles du forum

20/03/2005, 16h19	#6 (permalink)
gangsoleil Modérateur Date d'inscription: mai 2004 Localisation: Grenoble Âge: 28 Messages: 2 644	Essaye de changer de version d'e-mule, voir si ca vient de la dernière version ou bien d'autre chose. __________________ Non au langage SMS Modérateur "C", "Informatique Générale & Hardware" et "Windows, Système & Logiciels" Les règles du forum

21/03/2005, 14h49	#8 (permalink)
Vow Responsable Windows Date d'inscription: janvier 2003 Localisation: Somewhere in time Âge: 32 Messages: 1 184	D'après ce que je lis, j'ai l'impression que ça vient de l'AutoProtect de Norton Antivirus. Peut-être une mise à jour que tu as faite ? __________________ Il vaut mieux prêter à sourire que donner à réfléchir. Je ne réponds pas aux problèmes techniques par MP (il y a les FAQs et le forum pour ça) (ex-Modérateur Windows/Info Gen&Hardware, loup-garou à ses heures) Cliquez sur le bouton si votre problème a trouvé une solution. N'oubliez pas non plus de donner la réponse si vous l'avez trouvée ! Je mords donc je suis Une fine lame pour te soutenir

24/03/2005, 21h51	#12 (permalink)
arfy Membre Confirmé Date d'inscription: mars 2005 Âge: 32 Messages: 224	j'ai lancé un scan online de trend micro. il ne m'a rien trouvé. par contre j'ai lancé panda online, et il m'a trouvé un virus : W32/Dedler.AJ.worm sur le fichier C:\Documents and Settings\All Users\Documents\install.exe, qui a été supprimé l'antivirus en allant sur ce répertoire, je trouve aussi un fichier arun.exe et autorun.inf pointant dessus. après une recherche sur google, je vois que arun.exe est un trojan : trojan.arun. pour être sûr, je regarde sur le site de kaspersky http://www.kaspersky.com/remoteviruschk qui me dit que le fichier est infecté par Trojan.Win32.Zapchast. 22h50 : après avoir supprimé les fichiers, je redémarre mon ordinateur. les fichiers ne sont pas renouvellés. je redémarre emule et je n'ai aucune erreur au bout de 45 minutes. je ferme emule et après une petite vérification, je remarque que le install.exe et le autorun.inf sont réapparus. je les supprime de nouveau. et je redémarre encore l'ordinateur. 22h55 : les fichiers sont toujours absents mais je remarque que l'autoprotect est toujours désactivé. au bout de 2 à 3 minutes après l'autoprotext s'active. et pas de nouvelles du "virus". je relance encore emule me demandant si ça ne vient pas du logiciel, rien n'apparaît au bout de 15 minutes même avec un téléchargement de fichier, à la fermeture non plus (23h20). vendredi, 8h15 : démarrage du pc, pas de fichier. après 20 minutes de petite utilisation (msn messenger pour voir mes mails uniquement, maxthon pour navigation), je retrouve les 3 fichiers (?!) install.exe créé vendredi 25 mars 2005, 08:33:28 autorun.inf créé vendredi 25 mars 2005, 08:33:31 arun.exe créé vendredi 25 mars 2005, 08:33:32 je les ai effacé, mais je ne comprends d'où ils peuvent venir... dans mon kerio personal firewall, aucune trace de tentative d'intrusion depuis ce matin.

20/03/2005, 14h43	#4 (permalink)
arfy Membre Confirmé Date d'inscription: mars 2005 Âge: 32 Messages: 224	en effet ad-aware m'a détecté H@tKeysH@@k.dll dans le system32. j'espère que c'est ça, je fais un spybot quand même. puis je teste emule. je vous tiens au courant.

20/03/2005, 18h10	#7 (permalink)
arfy Membre Confirmé Date d'inscription: mars 2005 Âge: 32 Messages: 224	je ne pense pas que ça vienne d'emule, je n'ai pas changé de version depuis l'installation. par contre, j'ai l'impression que emule+norton antivirus fait des dégâts. autre piste à rayer : les mémoires. j'ai fait un memtest86 en deux passes standards, aucune erreur.

21/03/2005, 20h11	#9 (permalink)
arfy Membre Confirmé Date d'inscription: mars 2005 Âge: 32 Messages: 224	je ne sais pas, j'ai la mise à jour automatique. on voit ça comment ? merci

22/03/2005, 08h37	#10 (permalink)
arfy Membre Confirmé Date d'inscription: mars 2005 Âge: 32 Messages: 224	petite remarque en plus : l'autoprotect ne s'active que 5 minutes après le démarrage de l'ordinateur. et dans le journal des événements (applications), j'ai 14 lignes à propos de "wmiadapter" qui essaie de démarrer sans succès. le délai entre la 1ere de ces lignes et la dernière est d'environ 7 secondes.

23/03/2005, 08h29	#11 (permalink)
arfy Membre Confirmé Date d'inscription: mars 2005 Âge: 32 Messages: 224	vous avez une idée du problème ? apparemment ça vient de norton antivirus. comment résoudre ? peut-être en le réinstallant ?

25/03/2005, 10h49	#13 (permalink)
piouPiouM Invité régulier Date d'inscription: mars 2005 Messages: 18	Bonjour, envoyez vos fichiers arun.exe et install.exe sur le site suivant : http://virusscan.jotti.org/ Une analyse par 12 antivirus sera alors effectuée Si il s'agit bien de virus/worm/trojan un nom en ressortira , il ne restera plus qu'à espérer que les éditeurs aient mis à disposition des informations sur ces derniers.

		Forum des développeurs > Hardware, Systèmes et Logiciels > Windows > Win XP
windows xp pro+emule : ecrans bleus avec savrt.sys ou autres

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email