ecran bleu (3DConnexion)

[ABN84]

bonjour,
je me suis procuré il y a quelques jours un spacenavigator de chez 3DConnexion.installé correctement et fonctionnait correctement.
là deux fois de suite en le connectant à l'usb, je suis confronté au satanique ecran bleu avec au redemarrage ce message:

Signature du problème*:
Nom d’événement de problème: BlueScreen
Version du système: 6.0.6001.2.1.0.768.3
Identificateur de paramètres régionaux: 1036

Informations supplémentaires sur le problème*:
BCCode: 1000007e
BCP1: C0000005
BCP2: 8220F890
BCP3: 8B56BA30
BCP4: 8B56B72C
OS Version: 6_0_6001
Service Pack: 1_0
Product: 768_1

Fichiers aidant à décrire le problème*:
C:\Windows\Minidump\Mini121208-02.dmp
C:\Users\moi\AppData\Local\Tem p\WER-107001-0.sysdata.xml
C:\Users\moi\AppData\Local\Tem p\WERFA45.tmp.version.txt

Lire notre déclaration de confidentialité*:
http://go.microsoft.com/fwlink/?link...3&clcid=0x040c

:?
merci
-----

[ABN84]

Je viens d'y penser. un ecran bleu c'est hardware. mais est ce que ça peut etre du à un malware?
j'ai rapatrié il y a deux jours les fichiers de mon ancien DD, et apparemment j'ai rammené pas mal de cochonneries avec. malwarebytes en detecte 12 qu'il ne peut eradiquer. pourrait ce etre lié? je rappelle quand meme que ce pb n'existe qu'en cas de connection du spacenavigator.
merci

[ABN84]

bonjour,
le spacenavigator n'y est pour rien, c'est SolidWorks qui est à l'origine du probleme(Je verrais avec le service informatique). spacenavogator fonctionne parfaitement avec google earth, SW fait cracher le PC meme sans SN.
pour ce qui est de l'infection c'etait un DNSchanger, je m'en suis debarassé avec smitfraudfix, mais j'ai quand meme encore des popup.
un modo pourrait il transferer le topic au forum securité svp?
merci

[yoda1234]

un modo pourrait il transferer le topic au forum securité svp?
merci

C'est fait.


Télécharge random's system information tool (RSIT) par random/random et sauvegarde-le sur le Bureau.

• Double-clique sur RSIT.exe afin de lancer RSIT.
• Clique Continue à l'écran Disclaimer.
• Si l'outil HIjackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera et tu devras accepter la licence.
• Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront. Poste le contenu de log.txt (<<qui sera affiché)
  ainsi que de info.txt (<<qui sera réduit dans la Barre des Tâches).

Reviens ensuite dans ce sujet pour poster en pièces jointes les rapports générés par la procédure.

[A voir en vidéo sur Futura]

[ABN84]

tiens, les adresses 85 sont revenues

[ABN84]

bonjour,
il semblerait que tout soit rentré à la normale. j'ai passé hijackthis pour voir quels processus sont en execution et bizarrement je ne vois plus les lignes 017. coté symptome, aucun pop up.

[ABN84]

bonsoir,
les adresses 85.255... s'en aillent et reviennent sans cesse à chaque redemarrage du PC.

[invite275db609]

Bonjour einstein

Pourrais-tu stp nous poster un nouveau rapport MBAM ainsi qu'un rapport SmitFraudFix option1 stp.

[ABN84]

Boujour Synthexe,
voici les deux rapports en question.
merci

[invite275db609]

Reu

On peut voir qu'effectivement, MBAM supprime bien le DNSChanger, mais uniquement les paramètres dans la base de registre ... généralement, les DNSChanger fonctionne avec un RootKit connu et reconnu de nombreux outils, mais là, aucune trace ...

Passe SmitFraudFix option5 stp et poste son rapport.

• Désactive le contrôle des comptes utilisateurs (tu le réactiveras après le scan en ligne) :
• - Va dans Démarrer --> Panneau de configuration
• - Double Clique sur l'icône "Comptes d'utilisateurs"
• - Clique ensuite sur Désactiver et valide.
• Redémarre ta machine.
  
• - Fais un clique-droit sur InternetExplorer et choisis "Exécuter en tant qu'administrateur".
  
• - Copie dans la barre d'adresse, l'adresse suivante puis clique sur OK : http://www.kaspersky.com/kos/eng/par...avwebscan.html
• Clique sur Accept
• Une barre jaune va te demander si tu acceptes d'installer le Kavwebscan_Unicode.cab, installe l'Active X.
• clique une nouvelle fois sur "Accept"
• Les bases de mises à jour vont s'installer, patiente un moment
• Clique sur Next.
• Clique sur My Computer, le scan se met en route; attends la fin du scan sans fermer la fenêtre sinon il s'arrêtera.

A la fin du scan, si des objets infectés sont découverts, clique sur Save report as... Choisis bureau et nomme le rapport "rapport Kaspersky" et dans le champ d'enregistrement, choisis "fichiers texte" enregistre alors le rapport.

Copie/colle l'entièreté du fichier texte ouvert, par clic droit dessus, sélectionner tout/copier.

• - Réactive l'UAC.

Poste les 2 rapports demandés : SmitFraudFix option5 et KasperskyOnline.

@ peluche.

[ABN84]

Salut,
le scan online ne marche pas. ça me demande un Java 1.6 ou plus alors que moi j'ai justement une version plus recente.
J'ai Kaspersky sur le PC et il detecte bien qqch au lancement d'internet càd Firefox ou IE.
Je joint une capture ecran du message d'erreur et de ce que detecte kaspersky ainsi que le rapport Smitfraufix. Kaspersky me demande de redemarrer mais meme en redemarrant cet objet est redetecté.
Je joindrais plus tard un rapport du scan de Kaspersky (sur PC).

[ABN84]

bonsoir,
kaspersky ne trouve rien:

Analyse rapide: terminée le 17/12/2008 21:51:17 (événements : 2, objets : 1205991, durée : 01:52:13)
Inconnu
Analyse rapide: terminée le 17/12/2008 21:51:17 (événements : 2, objets : 1205991, durée : 01:52:13)
29/11/2008 22:17:01 Fin de la tâche
29/11/2008 22:16:01 Lancement de la tâche
Analyse rapide: terminée le 17/12/2008 21:51:17 (événements : 2, objets : 1205991, durée : 01:52:13)
12/12/2008 02:33:54 Détectés: http://www.viruslist.com/fr/advisories/31010 c:\Program Files\Maple 12\jre\bin\java.exe
12/12/2008 02:33:25 Détectés: http://www.viruslist.com/fr/advisories/31010 c:\Program Files\Java\jre1.6.0_06\bin\jav a.exe
12/12/2008 02:24:30 Détectés: http://www.viruslist.com/fr/advisories/31010 c:\windows\system32\java.exe
12/12/2008 02:22:03 Lancement de la tâche
Analyse rapide: terminée le 17/12/2008 21:51:17 (événements : 2, objets : 1205991, durée : 01:52:13)
12/12/2008 03:05:40 Tâche arrêtée
12/12/2008 02:53:41 Détectés: http://www.viruslist.com/fr/advisories/31010 c:\Program Files\ 12/12/2008 02:52:13 Détectés: http://www.viruslist.com/fr/advisories/31010 c:\Program Files\Maple 12\jre\bin\java.exe
12/12/2008 02:51:41 Détectés: http://www.viruslist.com/fr/advisories/31010 c:\Program Files\Java\jre1.6.0_06\bin\jav a.exe
12/12/2008 02:43:48 Détectés: http://www.viruslist.com/fr/advisories/31010 c:\windows\system32\java.exe
12/12/2008 02:41:55 Lancement de la tâche
Analyse rapide: terminée le 17/12/2008 21:51:17 (événements : 2, objets : 1205991, durée : 01:52:13)
12/12/2008 19:56:37 Lancement de la tâche
12/12/2008 20:44:46 Tâche arrêtée
Analyse rapide: terminée le 17/12/2008 21:51:17 (événements : 2, objets : 1205991, durée : 01:52:13)
17/12/2008 19:50:17 Lancement de la tâche
17/12/2008 19:53:30 Fin de la tâche
Analyse rapide: terminée le 17/12/2008 21:51:17 (événements : 2, objets : 1205991, durée : 01:52:13)
17/12/2008 19:59:04 Lancement de la tâche
17/12/2008 21:51:17 Fin de la tâche

[ABN84]

Je viens de remarquer qu'il m'est impossible de mettre à jour kaspesky. à chaque fois qu'il essaie de se connecter à un serveur, la connexion echoue

[invite275db609]

Salute.

Tes versions de java détecté par Kaspersky ne sont pas à jour ...

c:\Program Files\Maple 12\jre\bin\java.exe
c:\Program Files\Java\jre1.6.0_06\bin\jav a.exe
c:\windows\system32\java.exe

• Clique sur Démarrer > Panneau de configuration double-clique sur Ajout/Suppression de programmes et supprime toutes les vieilles versions de Java.
• Cherche tous les items avec Java Runtime Environment (JRE or J2SE) dans leur nom.
• Clique sur Supprimer ou Modifier/Supprimer.
• Répète autant de fois que nécessaire cette opération pour supprimer tous les composants Java.
• Redémarre ton ordinateur une fois que la désinstallation de tous les composants est effectuée.
• Télécharge et installe la dernière version de java sur : http://java.sun.com/javase/downloads/index.jsp

Ton détournement de DNS est réapparu à nouveau ?

Pour la connexion de Kaspersky, as-tu essayer un ping sur le serveur ? (histoire de vérifier qu'il est bien en ligne ...)

Bonne journée.

[ABN84]

bonjour,

Ton détournement de DNS est réapparu à nouveau ?

oui

O17 - HKLM\System\CCS\Services\Tcpip \..\{AC60232C-54C2-4C06-8984-6869FEAAA7D5}: NameServer = 85.255.116.150;85.255.112.70
O17 - HKLM\System\CCS\Services\Tcpip \..\{ED321CB2-5FC6-4B17-9C2A-B920AFB89730}: NameServer = 85.255.116.150;85.255.112.70
O17 - HKLM\System\CCS\Services\Tcpip \..\{FEC063BB-E310-408A-9F98-4C7491836365}: NameServer = 85.255.116.150;85.255.112.70
O17 - HKLM\System\CS1\Services\Tcpip \Parameters: NameServer = 85.255.116.150;85.255.112.70
O17 - HKLM\System\CCS\Services\Tcpip \Parameters: NameServer = 85.255.116.150;85.255.112.70

Pour la connexion de Kaspersky, as-tu essayer un ping sur le serveur ?

j'avoue ne pas comprendre.
à +

[JPL]

D'après whois :

netnum: 85.255.112.0 - 85.255.127.255
netname: UkrTeleGroup
descr: UkrTeleGroup Ltd.
admin-c: UA481-RIPE
tech-c: UA481-RIPE
country: UA
org: ORG-UL25-RIPE
status: ASSIGNED PI
mnt-by: RIPE-NCC-HM-PI-MNT
mnt-lower: RIPE-NCC-HM-PI-MNT
mnt-by: UKRTELE-MNT
mnt-routes: UKRTELE-MNT
mnt-domains: UKRTELE-MNT
source: RIPE # Filtered

organisation: ORG-UL25-RIPE
org-name: UkrTeleGroup Ltd.
org-type: LIR
address: UkrTeleGroup Ltd.
Mechnikova 58/5
65029 Odessa
Ukraine

Rien de bien catholique !

[invite275db609]

Coucou JPL

Rien de bien catholique !

Tous les DNSchanger renvoie vers une IP en ukraine faisant partie de la plage 85.255.*.*, et effectivement, ce n'est pas catholique du tout.

Einstein : ping

On va voir si ComboFix voit le Rk, je t'aurais bien fait faire une recherche sur ton DD, mais un RootKit, par définition se cache ...

Suite à une demande expresse de sUBs, developpeur de ComboFix, nous devons passer par le tutorial de BleepingComputer :
Suis stp, la procédure indiquée sur cette page et reviens ensuite ici poster le rapport généré.

Fais également un scan en ligne : http://housecall.trendmicro.com/fr/

@ peluche.

[ABN84]

Bonjour,

On va voir si ComboFix voit le Rk, je t'aurais bien fait faire une recherche sur ton DD, mais un RootKit, par définition se cache ...

il l'a capturé
j'ai reglé le probleme de mise à jour, en me connectant directement à l'adresse IP du serveur
plus d'adresses 85.
je verifie pendant les deux prochains jours qu'il n'y a pas de recidive et te tiens au courant

[ABN84]

ni kasper, ni mbam, ni hijackthis, ni smitfrudfix ne trouvent de malware

[invite275db609]

Super, bonne nouvelle que tu me donnes là.
Je file pour une tite semaine, je passerais voir en rentrant si ça va toujours bien.

Bonnes fêtes de fin d'année.

[ABN84]

Hello Synthexe,
tout est clean. merci
bonnes fetes et amuses toi bien.