windows xp pro+emule : ecrans bleus avec savrt.sys ou autres

**arfy** · 19/03/2005, 20h57

bonjour,
depuis quelques jours, j'ai l'ecran bleu qui apparait regulierement.
avec vidage de memoire.
et j'ai l'impression que ca vient de emule apres mes observations d'aujourd'hui.
tout a l'heure, j'ai note que l'ecran bleu parlait de savrt.sys (juste apres le lancement d'emule).
apres une recherche sur google, j'ai vu que ca pourrait venir d'un probleme entre norton antivirus (j'ai la version 2004) et des drivers graphiques (pourtant je n'ai rien change de ce cote la).
mais je ne vois pas le rapport entre les deux, et encore moins avec emule.
peut-on m'eclairer svp ?
merci d'avance.

notes :

21h40 : j'ai desactive auto-protect de norton antivirus et j'ai lance de suite ensuite emule, ce qui m'a donne l'ecran bleu irql_not_less_or_equal (stop : 0x0000000a). mais je n'ai pas detecte sur quel peripherique j'avais l'erreur. au redemarrage, autoprotect etait encore desactive (alors que normalement il est active meme si on l'a desactive juste avant un arret de la machine). j'ai lance emule et pour l'instant je n'ai aucun probleme (21h45).

22h20 : ecran noir... bizarre. apres le redemarrage, je relance emule sans activer autoprotect.

22h50 : ecran bleu de nouveau. cette fois-ci j'ai l'erreur memory_management : 0x0000001a (0x00041284,0xdbe53001,0x00004550,0xc0c00000).

j'ai regarde dans le journal des evenements (applications) et apparemment le service wmiadapter ne peut pas etre ouvert au demarrage de la machine. et juste avant, j'ai aussi une erreur de perfnet :

Impossible d'ouvrir le Service serveur. Les données de performance du serveur ne seront pas renvoyées. Le code d'erreur renvoyé est la donnée DWORD 0.

[edit]
7 avril : changement du titre
[/edit]

**gangsoleil** · 20/03/2005, 14h09

Bonjour

Je te conseil tout d'abord de vérifier ta mémoire, avec un logiciel comme Memtest86.

Ensuite, vérifie également l'éventuelle présence de spyware sur ton PC, avec AdAwre et Spybot.

Enfin, je et conseillerait de mettre à jour tes drivers (videos, CM, ...), ca ne peut pas faire de mal

**arfy** · 20/03/2005, 14h31

merci de la réponse.
pour répondre, j'ai installé windows xp récemment (environ depuis un mois). donc je ne pense pas que ça soit en rapport avec emule ou mes drivers. je vais passer un coup d'antispywares (au pluriel) mais je ne pense pas que ça change grand chose.
je ne comprends pas pourquoi l'ordinateur plante avec emule seulement (d'après mes constatations) alors que je n'ai rien changé et que je n'ai pas fait grand chose non plus (pas de surcharge cpu).
dernière erreur à 14h10 :

irql_not_less_or_equal
stop 0x0000000a (0x0000dd28,0x00000002,0x00000000,0x804f4554)

**arfy** · 20/03/2005, 14h43

en effet ad-aware m'a détecté H@tKeysH@@k.dll dans le system32. j'espère que c'est ça, je fais un spybot quand même. puis je teste emule.
je vous tiens au courant.

**arfy** · 20/03/2005, 15h38

spybot n'a rien trouvé.
15 minutes après le démarrage d'emule, je retombe sur l'écran bleu :

memory_management : 0x0000001a (0x00041284,0x515d001,0x00008940,0xc0c00000).

Je lance un scan de Norton Antivirus...

**gangsoleil** · 20/03/2005, 16h19

Essaye de changer de version d'e-mule, voir si ca vient de la dernière version ou bien d'autre chose.

**arfy** · 20/03/2005, 18h10

je ne pense pas que ça vienne d'emule, je n'ai pas changé de version depuis l'installation. par contre, j'ai l'impression que emule+norton antivirus fait des dégâts.

autre piste à rayer : les mémoires. j'ai fait un memtest86 en deux passes standards, aucune erreur.

**Vow** · 21/03/2005, 14h49

D'après ce que je lis, j'ai l'impression que ça vient de l'AutoProtect de Norton Antivirus.
Peut-être une mise à jour que tu as faite ?

**arfy** · 21/03/2005, 20h11

je ne sais pas, j'ai la mise à jour automatique.
on voit ça comment ?
merci

**arfy** · 22/03/2005, 08h37

petite remarque en plus : l'autoprotect ne s'active que 5 minutes après le démarrage de l'ordinateur.
et dans le journal des événements (applications), j'ai 14 lignes à propos de "wmiadapter" qui essaie de démarrer sans succès. le délai entre la 1ere de ces lignes et la dernière est d'environ 7 secondes.

**arfy** · 23/03/2005, 08h29

vous avez une idée du problème ?
apparemment ça vient de norton antivirus.
comment résoudre ? peut-être en le réinstallant ?

**arfy** · 24/03/2005, 21h51

j'ai lancé un scan online de trend micro. il ne m'a rien trouvé.
par contre j'ai lancé panda online, et il m'a trouvé un virus :

W32/Dedler.AJ.worm sur le fichier C:\Documents and Settings\All Users\Documents\install.exe, qui a été supprimé l'antivirus

en allant sur ce répertoire, je trouve aussi un fichier arun.exe et autorun.inf pointant dessus.
après une recherche sur google, je vois que arun.exe est un trojan : trojan.arun.
pour être sûr, je regarde sur le site de kaspersky http://www.kaspersky.com/remoteviruschk qui me dit que le fichier est infecté par Trojan.Win32.Zapchast.

22h50 : après avoir supprimé les fichiers, je redémarre mon ordinateur. les fichiers ne sont pas renouvellés. je redémarre emule et je n'ai aucune erreur au bout de 45 minutes. je ferme emule et après une petite vérification, je remarque que le install.exe et le autorun.inf sont réapparus. je les supprime de nouveau. et je redémarre encore l'ordinateur.

22h55 : les fichiers sont toujours absents mais je remarque que l'autoprotect est toujours désactivé. au bout de 2 à 3 minutes après l'autoprotext s'active. et pas de nouvelles du "virus". je relance encore emule me demandant si ça ne vient pas du logiciel, rien n'apparaît au bout de 15 minutes même avec un téléchargement de fichier, à la fermeture non plus (23h20).

vendredi, 8h15 : démarrage du pc, pas de fichier. après 20 minutes de petite utilisation (msn messenger pour voir mes mails uniquement, maxthon pour navigation), je retrouve les 3 fichiers (?!)

install.exe créé vendredi 25 mars 2005, 08:33:28
autorun.inf créé vendredi 25 mars 2005, 08:33:31
arun.exe créé vendredi 25 mars 2005, 08:33:32

je les ai effacé, mais je ne comprends d'où ils peuvent venir...
dans mon kerio personal firewall, aucune trace de tentative d'intrusion depuis ce matin.

**piouPiouM** · 25/03/2005, 10h49

Bonjour,

envoyez vos fichiers arun.exe et install.exe sur le site suivant : http://virusscan.jotti.org/

Une analyse par 12 antivirus sera alors effectuée

Si il s'agit bien de virus/worm/trojan un nom en ressortira , il ne restera plus qu'à espérer que les éditeurs aient mis à disposition des informations sur ces derniers.

**arfy** · 25/03/2005, 20h11

merci pour le lien.
les fichiers sont revenus dans la journée, sans avoir démarrer mais juste après un changement d'utilisateur vers 9h :

install.exe, vendredi 25 mars 2005, 15:03:25

Status: INFECTED/MALWARE
Packers detected: YODA, UPX

AntiVir Worm/Robobot
Avast No viruses found
AVG Antivirus No viruses found
BitDefender No viruses found
ClamAV No viruses found
Dr.Web BackDoor.IRC.Robobot
F-Prot Antivirus W32/Robobot.gen
Fortinet No viruses found
Kaspersky Anti-Virus Backdoor.Win32.Robobot.q
mks_vir Win32.4 (probable variant)
NOD32 Win32/Robobot.NAC
Norman Virus Control Sandbox: W32/Malware;

[ General information ]

* Creating several executable files on hard-drive.
* File length: 36422 bytes.

[ Changes to filesystem ]
* Creates file C:\WINDOWS\System\mssecure.exe.

[ Changes to registry ]
* Creates value ".mssecure"="C:\WINDOWS\System\mssecure.exe" in key "HKLM\Software\Microsoft\Windows\CurrentVersion\Run".
* Deletes value "KAVPersonal50" in key "HKLM\Software\Microsoft\Windows\CurrentVersion\Run".

[ Network services ]
* Connects to "webapi.megabestservices.com" on port 1088 (TCP).
* Connects to IRC Server.

[ Network ]
* **Uses IPHLPAPI services.

[ Process/window information ]
* Creates a mutex 3676C64A-W454-122E-BFC6-083C2BF4S551.
* Will automatically restart after boot (I'll be back...).

arun.exe, vendredi 25 mars 2005, 15:03:29

Status: INFECTED/MALWARE
Packers detected: -

AntiVir No viruses found
Avast No viruses found
AVG Antivirus Boxed.3.AM
BitDefender No viruses found
ClamAV No viruses found
Dr.Web No viruses found
F-Prot Antivirus No viruses found
Fortinet No viruses found
Kaspersky Anti-Virus Trojan.Win32.Zapchast
mks_vir Trojan.Arun
NOD32 Win32/Robobot
Norman Virus Control No viruses found

je n'ai pas trouvé de mssecure.exe

**arfy** · 25/03/2005, 20h25

un petit HiJackthis montre , après avoir enlevé les points certains :

Logfile of HijackThis v1.99.0
Scan saved at 20:15:43, on 25/03/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: Service COM de gravage de CD IMAPI - Unknown - C:\WINDOWS\System32\imapi.exe
O23 - Service: Cliché instantané de volume - Unknown - C:\WINDOWS\System32\vssvc.exe

là, je ne sais plus quoi faire

**arfy** · 27/03/2005, 00h50

depuis vendredi après-midi, plus de nouvelles des 3 fichiers.

aujourd'hui, j'ai enlevé norton antivirus 2004 pour mettre kaspersky.
j'ai en priorité lancé un scan sur le disque c: et le répertoire temporaire, rien a été trouvé. confiant, j'ai lancé emule en fin d'après-midi, vers 18h00, et je me suis absenté jusqu'à près de minuit : en revenant, j'avais l'écran bleu de memory_management... et je n'ai aucune idée de quand ça s'est passé.
au redémarrage, kaspersky me détecte et repousse plusieurs attaques de réseau (6 d'après mes souvenirs) lsass exploit depuis l'adresse 213.40.121.136.
qu'en pensez-vous ?

note supplémentaire :

la même alerte est apparue hier mais à une autre adresse ip, que je n'ai pu noté.

ce matin encore. et il y a 5 minutes aussi (lundi 14h00), j'ai eu cette alerte. l'adresse ip est cette fois : 213.233.72.247 .

lundi 14h10 : 213.39.203.39 puis 213.40.87.103

14h50 : 213.39.145.135

15h00 : 213.40.151.116

16h15 : kaspersky repousse une attaque de réseau Helkern depuis l'adresse 61.159.15.2 .

**arfy** · 29/03/2005, 16h58

que pensez-vous du résultat de HiJackthis ?
je me demande franchement à quoi correspond le CDAC11BA.EXE . enfin, je me demande à quoi sert ce c-dilla, et d'où il sort.

note :

j'ai lancé emule vers 23h35 après avoir arrêté le service de c-dilla, et je n'ai eu aucun problème durant les 45 minutes d'utilisation.

**arfy** · 30/03/2005, 19h53

apparemment, emule fonctionne bien maintenant.
et à savoir si ça vient juste de c-dilla ou de norton antivirus, ou les deux, je ne saurais dire.
en effet, l'application CDAC11BA.EXE date du mardi 22 mars... soit quelques jours après le début de mes problèmes (vers le 18 mars).