Infection possible csrss.exe, besoin d'aide

Infection possible csrss.exe, besoin d'aide - Virus/Spywares - Windows & Software

Marsh Posté le 22-07-2015 à 10:52:50    

Bonjour,

 

Depuis le 1er jour que j'ai acheté un latitude e5550 j'ai de temps en temps de beaux écrans bleus survenant de façon assez aléatoire.
Le problème se répète même après une remise du système aux paramètres d'usine d'après l'image du disque stockée sur la partition recovery.
Après quelques examens faits avec l'assistance de Dell, ils ont conclu d'après leur analyseur d'écrans bleus qui a noté ça :

 

0x000000F4_0x0000000000000003__0xFFFFFA80140BB060_ _0xFFFFFA80140BB340__0xFFFFF8000318F940_C__Windows _system32_drivers_csrss_exe,
0x000000F4_0x0000000000000003__0xFFFFFA80143C7920_ _0xFFFFFA80143C7C00__0xFFFFF800031C1940_C__Windows _system32_drivers_csrss_exe, 0x000000F4_0x0000000000000003__0xFFFFFA80143DDB30_ _0xFFFFFA80143DDE10__0xFFFFF8000317D940_C__Windows _system32_drivers_csrss_exe, 0x000000F4_0x0000000000000003__0xFFFFFA801441C5E0_ _0xFFFFFA801441C8C0__0xFFFFF80003194940_C__Windows _system32_drivers_csrss_exe
The BIOS installed on the system might have some issues. Check the system manufacturer's website for a BIOS update.
Not Run

 

à une infection dont drivers/csrss.exe serait la marque, et m'ont proposé de leur apporter la machine pour une réinstallation complète du système dans leur labo ; trop aimable, d'autant que la garantie stipule "sur le site du client".
(Je précise que je n'ai aucun fichier drivers/csrss.exe dans l'ordi, seulement un fichier en apparence normale dans System32/csrss.exe)

 

Bon, j'ai fait des recherches avec Avira, Sophos virus removal tool, eset online, Housecall, Malwarebytes, en mode sans échec et pas, et tout ça n'a strictement rien trouvé.

 

Je poste ici à tout hasard le rapport d'ZHPDiag, si quelqu'un peut m'aider à comprendre ce que ça dit, je lui en serai reconnaissant.

 

http://pjjoint.malekal.com/files.p [...] 13d11s5i14

 

Merci


Message édité par Lampedusa le 22-07-2015 à 11:02:07
Reply

Marsh Posté le 22-07-2015 à 10:52:50   

Reply

Marsh Posté le 22-07-2015 à 11:41:45    

Bonjour,
 
D'après ce que j'ai pu voir, c'est souvent lié à un disque dur défectueux.
Essaye de le(s) checker avec CristalDisk.
 
Profite-en pour vérifier ta mémoire avec memtest.


---------------
#TeamNoBidouille || Come to the Dark Side, we have cookies || Mangez 5 fruits et légumes par an ! || Le digital, c'est les doigts
Reply

Marsh Posté le 22-07-2015 à 11:54:54    

J'ai testé avec Crystaldiskinfo, HDSentinel le test court et long, Memtest pendant 3 heures, rien d'anormal.
Le type de l'assistance de Dell m'a également fait faire une série de tests avec l'outil Diagnostics auquel on accède par f8.
Apparemment, le hardware est ok...
Enfin, pour ce que j'en dis...


Message édité par Lampedusa le 22-07-2015 à 12:21:47
Reply

Marsh Posté le 22-07-2015 à 13:01:57    

Au niveau de malware, tu as un PUP (logiciel indésirable) que tu peux supprimer avec ZHPFix.
 
Sinon, l'analyseur d'écran bleu indique : The BIOS installed on the system might have some issues. Check the system manufacturer's website for a BIOS update.

As-tu mis à jour ton Bios ?  
 
 
 
==> ZHPFix
 
 

  • Télécharger et installer le programme ZHPFix


  • Puis, à partir du bureau, lancer le programme en faisant un clic droit de la souris sur son icône (une seringue) et en choisissant "Exécuter en tant qu'administrateur"


 
 
Attention, ce script suivant a été écrit spécifiquement pour l'ordinateur de lampedusa, il n'est pas transposable sur un autre ordinateur.
 
Le temps de téléchargement du script a été volontairement limité à 4 jours
 

  • Cliquer sur ce lien http://www.cjoint.com/data3/EGwlbHAvgUt_script.txt
  • Sur la page qui s'ouvre, faire un clic droit avec la souris et choisir Tout sélectionner
  • Puis, refaire un clic droit et choisir Copier
  • Double clic sur l'icône de ZHPFix qui se trouve sur le bureau.
  • Ou lancer ZHPFix à partir du raccourci sur ModernUI (accueil de Windows 8)


http://forum-windows7-windows8.fr/Elowen/Images/ZHPFix/capture_45.png
 

  • Sur La fenêtre qui s'ouvre, cliquer sur IMPORTER


http://nsa33.casimages.com/img/2015/03/25/150325054000305199.png
 

  • Dans la plupart des cas, le script se colle automatiquement dans la zone de script
  • Dans le cas contraire, faire un clic droit de la souris dans la fenêtre de ZHPFix et choisir Coller
  • Cliquer sur Go


http://nsa34.casimages.com/img/2015/03/18/150318083603287879.png
 

  • A la demande, confirmer le nettoyage des données en cliquant sur [OUI]


http://forum-windows7-windows8.fr/Elowen/Images/ZHPFix/capture_48.png
 

  • Patienter le temps du traitement (le traitement peut être long suivant la quantité de données à supprimer).
  • ZHPFix va demander si vous souhaiter vider ta corbeille, accepter.  


http://forum-windows7-windows8.fr/Elowen/Images/ZHPFix/capture_49.png
 

  • Un rapport nommé ZHPFixReport.txt sera créé et sauvegardé sur le bureau  


        Note: le rapport se trouve aussi à cet emplacement, disque dur C:\ZHP\ZHPFix[R1].txt
 

  • Fermer ZHPFix et redémarrer l'ordinateur


 

  • Héberge le rapport sur www.Cjoint.com, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum.

Reply

Marsh Posté le 22-07-2015 à 14:34:46    

Merci beaucoup, je tenterai ça ce soir.
 
Sinon, le diagnostic de l'outil Dell était en fait plus long (ou peut-être il analysait chaque fois un autre fichier minidump, il y en a plusieurs) :
 
Bluescreen analyzer  
Task Required  
Task Performed  
Result  
 
0x000000F4_0x0000000000000003__0xFFFFFA80140BB060__0xFFFFFA80140BB340__0xFFFFF8000318F940_C__Windows_system32_drivers_csrss_exe, 0x000000F4_0x0000000000000003__0xFFFFFA80143C7920__0xFFFFFA80143C7C00__0xFFFFF800031C1940_C__Windows_system32_drivers_csrss_exe, 0x000000F4_0x0000000000000003__0xFFFFFA80143DDB30__0xFFFFFA80143DDE10__0xFFFFF8000317D940_C__Windows_system32_drivers_csrss_exe, 0x000000F4_0x0000000000000003__0xFFFFFA801441C5E0__0xFFFFFA801441C8C0__0xFFFFF80003194940_C__Windows_system32_drivers_csrss_exe
The BIOS installed on the system might have some issues. Check the system manufacturer's website for a BIOS update.
Not Run  
 
0x000000F4_0x0000000000000003__0xFFFFFA80140BB060__0xFFFFFA80140BB340__0xFFFFF8000318F940_C__Windows_system32_drivers_csrss_exe, 0x000000F4_0x0000000000000003__0xFFFFFA80143C7920__0xFFFFFA80143C7C00__0xFFFFF800031C1940_C__Windows_system32_drivers_csrss_exe, 0x000000F4_0x0000000000000003__0xFFFFFA80143DDB30__0xFFFFFA80143DDE10__0xFFFFF8000317D940_C__Windows_system32_drivers_csrss_exe, 0x000000F4_0x0000000000000003__0xFFFFFA801441C5E0__0xFFFFFA801441C8C0__0xFFFFF80003194940_C__Windows_system32_drivers_csrss_exe
Scan your computer for viruses.
Not Run  
 
0x000000F4_0x0000000000000003__0xFFFFFA80140BB060__0xFFFFFA80140BB340__0xFFFFF8000318F940_C__Windows_system32_drivers_csrss_exe, 0x000000F4_0x0000000000000003__0xFFFFFA80143C7920__0xFFFFFA80143C7C00__0xFFFFF800031C1940_C__Windows_system32_drivers_csrss_exe, 0x000000F4_0x0000000000000003__0xFFFFFA80143DDB30__0xFFFFFA80143DDE10__0xFFFFF8000317D940_C__Windows_system32_drivers_csrss_exe, 0x000000F4_0x0000000000000003__0xFFFFFA801441C5E0__0xFFFFFA801441C8C0__0xFFFFF80003194940_C__Windows_system32_drivers_csrss_exe
Go to the Dell Support web site to download the latest driver.
Not Run  
 
0x000000F4_0x0000000000000003__0xFFFFFA80140BB060__0xFFFFFA80140BB340__0xFFFFF8000318F940_C__Windows_system32_drivers_csrss_exe, 0x000000F4_0x0000000000000003__0xFFFFFA80143C7920__0xFFFFFA80143C7C00__0xFFFFF800031C1940_C__Windows_system32_drivers_csrss_exe, 0x000000F4_0x0000000000000003__0xFFFFFA80143DDB30__0xFFFFFA80143DDE10__0xFFFFF8000317D940_C__Windows_system32_drivers_csrss_exe, 0x000000F4_0x0000000000000003__0xFFFFFA801441C5E0__0xFFFFFA801441C8C0__0xFFFFF80003194940_C__Windows_system32_drivers_csrss_exe
Run a full set of system diagnostics to check your system health.
Not Run  
 
Powered By PC-Doctor®
• Do more with Dell  
o PartnerDirect  
 
et oui, j'ai le dernier BIOS et les derniers drivers, je crois...
 
Et ce PUPPY, il peut générer des écrans bleus ?

Reply

Marsh Posté le 22-07-2015 à 14:36:51    

Franchement, je crois pas qu'il en soit responsable mais bon, on verra bien...

Reply

Marsh Posté le 22-07-2015 à 16:11:45    

Voici le lien du rapport de ZHPFix :  

http://www.cjoint.com/c/EGwn0HVkpQZ


 
Et pendant qu'on causait (avant que je nettoie avec Fix), paf ! nouvel écran bleu, alors que j’étais tranquillement en train d'écouter la radio avec FOOBAR... Chiant ça...
 
Soit dit en passant, j'ai fait des sfc/scannow avant et après la remise à jour du système aux paramètres d'usine, et dans les deux cas il m'a trouvé des fichiers foireux qu'il n'arrivait pas à corriger ; en gros, en cherchant corrupted dans le cbs, ça donne ça :
 
CSI    000001f7 [SR] Verify complete
2015-07-21 09:39:01, Info                  CSI    000001f8 [SR] Verifying 100 (0x0000000000000064) components
2015-07-21 09:39:01, Info                  CSI    000001f9 [SR] Beginning Verify and Repair transaction
2015-07-21 09:39:02, Info                  CSI    000001fa Hashes for file member \??\C:\Windows\system32\drivers\en-US\usbhub.sys.mui do not match actual file [l:28{14}]"usbhub.sys.mui" :
  Found: {l:32 b:UNEeMDdz/xjtaWgU9Bwusn5eVhXqBtFW5kdBaX5sYQI=} Expected: {l:32 b:P+QMS/aJGY12ZeV7xk99rf2BlNR5Z+xU2AWVKrnIdpo=}
2015-07-21 09:39:02, Info                  CSI    000001fb [SR] Repairing corrupted file [ml:520{260},l:74{37}]"\??\C:\Windows\system32\drivers\en-US"\[l:28{14}]"usbhub.sys.mui" from store
2015-07-21 09:39:02, Info                  CSI    000001fc WARNING: File [l:28{14}]"usbhub.sys.mui" in [l:74{37}]"\??\C:\Windows\system32\drivers\en-US" switching ownership
    Old: usbport.inf.Resources, Version = 6.1.7601.22535, pA = PROCESSOR_ARCHITECTURE_AMD64 (9), Culture = [l:10{5}]"en-US", VersionScope = 1 nonSxS, PublicKeyToken = {l:8 b:31bf3856ad364e35}, Type neutral, TypeName neutral, PublicKey neutral
    New: usb.inf.Resources, Version = 6.1.7600.16385, pA = PROCESSOR_ARCHITECTURE_AMD64 (9), Culture = [l:10{5}]"en-US", VersionScope = 1 nonSxS, PublicKeyToken = {l:8 b:31bf3856ad364e35}, Type neutral, TypeName neutral, PublicKey neutral
2015-07-21 09:39:02, Info                  CSI    000001fd Repair results created:
 
Je n'ai aucune idée si c'est lié à mon problème...
 
Merci pour l'aide apportée :)


Message édité par Lampedusa le 22-07-2015 à 16:24:49
Reply

Marsh Posté le 22-07-2015 à 16:19:40    

Est-ce que tu pourrais copier/coller le rapport de WhoCrashed, stp.

Reply

Marsh Posté le 22-07-2015 à 16:27:52    

This version of WhoCrashed is free for use at home only. If you would like to use this software at work or in a commercial environment you should get the professional edition of WhoCrashed which allows you to perform more thorough and detailed analysis. It also offers a range of additional features such as remote analysis on remote directories and remote computers on the network.  
 
Click here for more information on the professional edition.
Click here to buy the the professional edition of WhoCrashed.
 
 
--------------------------------------------------------------------------------
System Information (local)
--------------------------------------------------------------------------------
 
computer name: DEDALUS-PC
windows version: Windows 7 Service Pack 1, 6.1, build: 7601
windows dir: C:\Windows
Hardware: Latitude E5550, Dell Inc., 0PK2VC
CPU: GenuineIntel Intel(R) Core(TM) i5-5300U CPU @ 2.30GHz Intel586, level: 6
4 logical processors, active mask: 15
RAM: 8472952832 total
 
 
 
 
--------------------------------------------------------------------------------
Crash Dump Analysis
--------------------------------------------------------------------------------
 
Crash dump directory: C:\Windows\Minidump
 
Crash dumps are enabled on your computer.
 
On Wed 22/07/2015 12:57:39 GMT your computer crashed
crash dump file: C:\Windows\Minidump\072215-7020-01.dmp
This was probably caused by the following module: ntoskrnl.exe (nt+0x72A40)  
Bugcheck code: 0xF4 (0x3, 0xFFFFFA80143DC9D0, 0xFFFFFA80143DCCB0, 0xFFFFF800031D5940)
Error: CRITICAL_OBJECT_TERMINATION
file path: C:\Windows\system32\ntoskrnl.exe
product: Microsoft® Windows® Operating System
company: Microsoft Corporation
description: NT Kernel & System
Bug check description: This indicates that a process or thread crucial to system operation has unexpectedly exited or been terminated.  
This appears to be a typical software driver bug and is not likely to be caused by a hardware problem. This problem might be caused by a thermal issue.  
The crash took place in the Windows kernel. Possibly this problem is caused by another driver that cannot be identified at this time.  
 
 
 
On Wed 22/07/2015 12:57:39 GMT your computer crashed
crash dump file: C:\Windows\memory.dmp
This was probably caused by the following module: ntkrnlmp.exe (nt!KeBugCheckEx+0x0)  
Bugcheck code: 0xF4 (0x3, 0xFFFFFA80143DC9D0, 0xFFFFFA80143DCCB0, 0xFFFFF800031D5940)
Error: CRITICAL_OBJECT_TERMINATION
Bug check description: This indicates that a process or thread crucial to system operation has unexpectedly exited or been terminated.  
This appears to be a typical software driver bug and is not likely to be caused by a hardware problem. This problem might be caused by a thermal issue.  
The crash took place in the Windows kernel. Possibly this problem is caused by another driver that cannot be identified at this time.  
 
 
 
On Tue 21/07/2015 12:14:07 GMT your computer crashed
crash dump file: C:\Windows\Minidump\072115-6957-01.dmp
This was probably caused by the following module: ntoskrnl.exe (nt+0x72A40)  
Bugcheck code: 0xF4 (0x3, 0xFFFFFA80143AD060, 0xFFFFFA80143AD340, 0xFFFFF80003181940)
Error: CRITICAL_OBJECT_TERMINATION
file path: C:\Windows\system32\ntoskrnl.exe
product: Microsoft® Windows® Operating System
company: Microsoft Corporation
description: NT Kernel & System
Bug check description: This indicates that a process or thread crucial to system operation has unexpectedly exited or been terminated.  
This appears to be a typical software driver bug and is not likely to be caused by a hardware problem. This problem might be caused by a thermal issue.  
The crash took place in the Windows kernel. Possibly this problem is caused by another driver that cannot be identified at this time.  
 
 
 
On Sat 18/07/2015 10:01:42 GMT your computer crashed
crash dump file: C:\Windows\Minidump\071815-8954-01.dmp
This was probably caused by the following module: ntoskrnl.exe (nt+0x72A40)  
Bugcheck code: 0xF4 (0x3, 0xFFFFFA80140BB060, 0xFFFFFA80140BB340, 0xFFFFF8000318F940)
Error: CRITICAL_OBJECT_TERMINATION
file path: C:\Windows\system32\ntoskrnl.exe
product: Microsoft® Windows® Operating System
company: Microsoft Corporation
description: NT Kernel & System
Bug check description: This indicates that a process or thread crucial to system operation has unexpectedly exited or been terminated.  
This appears to be a typical software driver bug and is not likely to be caused by a hardware problem. This problem might be caused by a thermal issue.  
The crash took place in the Windows kernel. Possibly this problem is caused by another driver that cannot be identified at this time.  
 
 
 
On Mon 13/07/2015 21:19:53 GMT your computer crashed
crash dump file: C:\Windows\Minidump\071415-7768-01.dmp
This was probably caused by the following module: ntoskrnl.exe (nt+0x72A40)  
Bugcheck code: 0xF4 (0x3, 0xFFFFFA80143C7920, 0xFFFFFA80143C7C00, 0xFFFFF800031C1940)
Error: CRITICAL_OBJECT_TERMINATION
file path: C:\Windows\system32\ntoskrnl.exe
product: Microsoft® Windows® Operating System
company: Microsoft Corporation
description: NT Kernel & System
Bug check description: This indicates that a process or thread crucial to system operation has unexpectedly exited or been terminated.  
This appears to be a typical software driver bug and is not likely to be caused by a hardware problem. This problem might be caused by a thermal issue.  
The crash took place in the Windows kernel. Possibly this problem is caused by another driver that cannot be identified at this time.  
 
 
 
On Mon 13/07/2015 19:48:36 GMT your computer crashed
crash dump file: C:\Windows\Minidump\071315-7129-01.dmp
This was probably caused by the following module: ntoskrnl.exe (nt+0x72A40)  
Bugcheck code: 0xF4 (0x3, 0xFFFFFA80143DDB30, 0xFFFFFA80143DDE10, 0xFFFFF8000317D940)
Error: CRITICAL_OBJECT_TERMINATION
file path: C:\Windows\system32\ntoskrnl.exe
product: Microsoft® Windows® Operating System
company: Microsoft Corporation
description: NT Kernel & System
Bug check description: This indicates that a process or thread crucial to system operation has unexpectedly exited or been terminated.  
This appears to be a typical software driver bug and is not likely to be caused by a hardware problem. This problem might be caused by a thermal issue.  
The crash took place in the Windows kernel. Possibly this problem is caused by another driver that cannot be identified at this time.  
 
 
 
On Fri 03/07/2015 20:28:17 GMT your computer crashed
crash dump file: C:\Windows\Minidump\070315-8798-01.dmp
This was probably caused by the following module: ntoskrnl.exe (nt+0x72A40)  
Bugcheck code: 0xF4 (0x3, 0xFFFFFA801441C5E0, 0xFFFFFA801441C8C0, 0xFFFFF80003194940)
Error: CRITICAL_OBJECT_TERMINATION
file path: C:\Windows\system32\ntoskrnl.exe
product: Microsoft® Windows® Operating System
company: Microsoft Corporation
description: NT Kernel & System
Bug check description: This indicates that a process or thread crucial to system operation has unexpectedly exited or been terminated.  
This appears to be a typical software driver bug and is not likely to be caused by a hardware problem. This problem might be caused by a thermal issue.  
The crash took place in the Windows kernel. Possibly this problem is caused by another driver that cannot be identified at this time.  
 
 
 
 
 
--------------------------------------------------------------------------------
Conclusion
--------------------------------------------------------------------------------
 
7 crash dumps have been found and analyzed. No offending third party drivers have been found. Connsider using WhoCrashed Professional which offers more detailed analysis using symbol resolution. Also configuring your system to produce a full memory dump may help you.  
 
 
Read the topic general suggestions for troubleshooting system crashes for more information.  
 
Note that it's not always possible to state with certainty whether a reported driver is responsible for crashing your system or that the root cause is in another module. Nonetheless it's suggested you look for updates for the products that these drivers belong to and regularly visit Windows update or enable automatic updates for Windows. In case a piece of malfunctioning hardware is causing trouble, a search with Google on the bug check errors together with the model name and brand of your computer may help you investigate this further.  
 
 
 
 

Reply

Marsh Posté le 22-07-2015 à 16:37:40    

Le rapport n'indique rien en particulier, mis à part que Windows se déconnecte par sécurité et très certainement suite à un problème hardware (peut-être dû à une surchauffe).
 
De toute façon, vu que tu as réinstallé plusieurs fois le système, il y a certainement un problème matériel mais lequel...? Dell t'as un peu balader sur ce coup...  

Reply

Marsh Posté le 22-07-2015 à 16:37:40   

Reply

Marsh Posté le 22-07-2015 à 16:45:37    

En fait je n'ai réinstallé le système qu'une fois (un reset aux paramètres d'usine d'après l'image stockée sur la partition de récupération), après quoi j'ai immédiatement procédé à un sfc/scannow, qui a trouvé les mêmes fichiers endommagés ; ce qui voudrait dire que l'image elle-même est corrompue, ou, s'il y effectivement infection par agent assez sophistiqué, celui-ci se transmet à l'image...
bref, c'est la galère.
J'hésite à foutre l'ordi par la fenêtre, parce que sinon, quand ça fonctionne, il est pas mal...

Reply

Marsh Posté le 22-07-2015 à 16:46:06    

J'avais pas pensé à la surchauffe. Il faudrait surveiller tout ça voir si un composant ne surchauffe pas.


---------------
#TeamNoBidouille || Come to the Dark Side, we have cookies || Mangez 5 fruits et légumes par an ! || Le digital, c'est les doigts
Reply

Marsh Posté le 22-07-2015 à 16:52:30    

Non, le fichier C:\Windows\System32\csrss.exe n'est pas infectieux. C'est un fichier légitime de Windows.  
Tu peux l'analyser sur VirusTotal.com
 
Après, on peut très bien imaginer que l'image de récupération soit corrompue.

Reply

Marsh Posté le 22-07-2015 à 17:12:35    

Testé avec Prime85 pendant une demi-heure, temp. max 80, pas de problèmes ; comme les écrans bleus ont lieu en général en surfant, ça m'étonnerait que ce soit un problème de surchauffe...
 
Ce qui a probablement motivé l'avis de l'assistant de Dell de conclure à un problème d'infection, c'est que dans le rapport de Blue Screen Analyser posté supra il est fait mention d'un System32/drivers/csrss.exe, pas d'un System32/csrss.exe tout court ; nuance...
Mais encore une fois, ce System32/drivers/csrss.exe n'existe pas dans mon ordi...
 

Reply

Marsh Posté le 22-07-2015 à 17:20:34    

80°, c'est normal pour un PC portable avec la chaleur ambiante du moment ?

Reply

Marsh Posté le 22-07-2015 à 17:24:00    

C'est pas un peu chaud ?
 
Même si il me semble que la limite de mise en sécurité c'est 90° de mémoire. Et encore c'était à l'époque du P4 BBQ NetBurst  :sol:


Message édité par nex84 le 22-07-2015 à 17:25:03

---------------
#TeamNoBidouille || Come to the Dark Side, we have cookies || Mangez 5 fruits et légumes par an ! || Le digital, c'est les doigts
Reply

Marsh Posté le 22-07-2015 à 20:29:13    

Je ne suis pas en France, et ici il fait très chaud... Quoi qu'il en soit, 80 grand max après une demi-heure de Prime, c'est dans les normes de ce portable, et en utilisation normale c'est 40-45 ; or les bsod surviennent en utilisation normale.
 
 
 

Reply

Marsh Posté le 22-07-2015 à 20:30:04    

Je ne suis pas en France, et ici il fait très chaud... Quoi qu'il en soit, 80 grand max après une demi-heure de Prime, c'est dans les normes de ce portable, et en utilisation normale c'est 40-45 ; or les bsod surviennent en utilisation normale.
 
 
 

Reply

Marsh Posté le 22-07-2015 à 23:22:28    

De ce que j'ai lu sur certains forums anglais, les causes sont principalement au niveau des drivers ou de secteurs endommages du disque dur. D'autres des problemes d'antivirus... :pt1cable:  
 
Après j'ai l'impression que ce BSOD apparait pour des raisons differentes. Ça ne va pas faciliter la tâche...

Reply

Marsh Posté le 23-07-2015 à 07:32:01    

Est-ce qu'il y a un moyen d'écarter, peut-être pas absolument, mais raisonnablement, l'hypothèse d'une infection ?
Après tout, si aucun des outils de diagnostic habituels ne décèle rien à ce niveau, c'est que soit il n'y a effectivement rien, soit que j'ai chopé un truc particulièrement vicieux ou sophistiqué qui se cache parfaitement... moyen d'en avoir le cœur net ?
 
J'ajoute qu'il est possible  que j'aie attrapé quelque chose à cause d'une connerie que j'ai faite au tout début : le premier jour de la réception du pc le touchpad fonctionnait mal, parfois même freezait ; sur un site qui me paraissait de confiance j'ai téléchargé un logiciel particulièrement merdeux, "driver tool" ou quelque chose comme ça, qui proposait de scanner la machine et d'établir une liste de drivers à mettre à jour ; ça établissait en effet une liste, puis proposait de télécharger les drivers moyennant paiement ; j'ai immédiatement tout effacé et fait une analyse avec Malwarbytes, qui je crois n'a rien trouvé de particulier. N'empêche, il se peut que cette absolue saloperie ait injecté quelque chose...
Cela dit, il faudrait vraiment que ce soit un super virus si en plus de se cacher si bien, il peut se transmettre à l'image de récupération du système...


Message édité par Lampedusa le 23-07-2015 à 07:38:58
Reply

Marsh Posté le 23-07-2015 à 08:00:43    

Hello,
 
Ton PC est propre, pas de virus à l'horizon, ce n'est pas de coté qu'il faut chercher, tous les outils de désinfections utilisés le prouve.  
 
L'hypothèse d'un super virus dans la partition de récupération (ou image système) est peu viable dans la mesure où il n'y a que les malwares de types virus (au sens propre du terme) qui sont capables de se loger dans cette partition et que l'action de ce malware consiste à détruire tous les programmes du PC.  
 
 
Cela dit, je te cite:  

Citation :

le premier jour de la réception du pc le touchpad fonctionnait mal, parfois même freezait


 
La solution est donc de faire marcher la garantie.  
Avant de faire ça, réinstalle Windows et ce sera un argument de poids auprès de Dell.
 
Réinstallation sans ajouter de drivers sauf celui de la carte graphique.


Message édité par monk521 le 23-07-2015 à 08:08:32
Reply

Marsh Posté le 23-07-2015 à 08:15:22    

Le problème, si l'on peut dire, c'est que depuis le touchpad fonctionne parfaitement...
 
Tout de même, un truc m'intrigue : encore une fois, le rapport de l'analyseur d'écrans bleus de Dell (qui a effectivement scanné mon pc) écrit chaque fois : C__Windows_system32_drivers_csrss_exe.
Une recherche rapide montre que : "If csrss.exe is located in a subfolder of C:\Windows\System32\drivers, the security rating is 90% dangerous. The file size is 2,304,512 bytes. "
C'est sur ça que Dell se fonde pour m'assurer qu'il s'agit d'un virus, à mon avis ils n'en démordront pas...
 
Mais j'ai bien regardé, dans \Windows\System32\drivers je n'ai aucun csrss.exe.  
Curieux quand même, d'où il sort ce truc ??

Reply

Marsh Posté le 23-07-2015 à 08:22:39    

Et oui, le fichier dont parle Dell n'existe pas.  
A la rigueur, ce serait le fichier C:\Windows\System32\csrss.exe, analyse le sur VirusTotal.com et tu seras fixé.  
 

Reply

Marsh Posté le 23-07-2015 à 12:58:25    

Impossible de choisir le fichier csrss à partir du site de Virustotal, il ne figure pas dans la liste ?...
Si je le cherche sur le pc je le vois et peux aller à l'emplacement...

Reply

Marsh Posté le 23-07-2015 à 13:00:52    

Essaies avec Internet Explorer.

Reply

Marsh Posté le 23-07-2015 à 13:18:47    

Il ne figure pas non plus avec IE, même si je décoche "cacher les fichiers protégés" ou je ne sais quoi...


Message édité par Lampedusa le 23-07-2015 à 13:19:28
Reply

Marsh Posté le 23-07-2015 à 13:24:42    

Ni en annulant les réglages "sécurité" d'Avira et en désactivant le pare-feu Windows, curieux ça...

Reply

Marsh Posté le 23-07-2015 à 13:32:27    

Ah !? :??:  
 
Utilise ce programme.
 
 
 
==> SEAF
 

  • Télécharger SEAF (de C_XX)

 

  • Lancer SEAF en faisant un clic droit de la souris sur le programme et en choisissant Exécuter en tant qu'administrateur (pour Windows Vista et 7/8)


  • Cocher la case Informations supplémentaires (...)
  • Dans Calculer le checksum, sélectionner MD5  
  • Sélectionner "Chercher également dans le registre"  


  • Taper   csrss.exe   dans le champ de recherche
  • Cliquer sur "Lancer la recherche" et patienter.


    http://upload.sosvirus.net/images/2013/11/20/SEAFUtgoG.png
 
 

  • Une fois le scan terminé, un rapport s'affiche. Dans le menu du rapport, cliquer sur la rubrique Fichier, puis Enregistrer sous, nommer le rapport SEAF et enregistrer le sur le bureau.  


  • Héberge le rapport sur www.Cjoint.com, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum.


Message édité par monk521 le 23-07-2015 à 13:32:45
Reply

Marsh Posté le 23-07-2015 à 13:33:02    

Soit dit en passant, si je choisis "system" par exemple, il n'y a plus aucun fichier qui apparaît...

Reply

Marsh Posté le 23-07-2015 à 13:46:13    

En fait, le fichier C:\Windows\system32\csrss.exe n'est pas caché chez moi et je le vois à partir d'IE.  
Quand tu fais la recherche, il faut bien choisir "tous les fichiers (*.*)".

Reply

Marsh Posté le 23-07-2015 à 13:50:26    

Reply

Marsh Posté le 23-07-2015 à 13:55:29    

Oui oui, c'est bien "tous les fichiers"...
Eh bien chez moi il est caché...


Message édité par Lampedusa le 23-07-2015 à 13:55:48
Reply

Marsh Posté le 23-07-2015 à 14:04:08    

SEAF ne le voit pas aussi.  
 
Utilises FRST.
 
 
 
==> Farbar Recovery Scanner Tool :
 
 


       Note: le programme est enregistré par défaut dans la rubrique Téléchargements de l'explorateur de fichiers
 

  • Copier le fichier FRST.exe et le coller sur le bureau et pas ailleurs.


 
Dans la zone Search, écrire csrss.exe
 
Puis Cliquer sur Search files
 
Un rapport apparaît. Copie/colle sur le forum ce qu'il y a d'écrit.  
 
 

Reply

Marsh Posté le 23-07-2015 à 14:16:05    

Farbar Recovery Scan Tool (x64) Version:20-07-2015
Ran by Dedalus at 2015-07-23 15:15:45
Running from C:\Users\Dedalus\Desktop
Boot Mode: Normal
 
================== Search Files: "csrss.exe" =============
 
C:\WINDOWS\winsxs\amd64_microsoft-windows-csrss_31bf3856ad364e35_6.1.7600.16385_none_b4d8d57efdc6b4f3\csrss.exe
[2009-07-14 02:19][2009-07-14 04:39] 0007680 ____A (Microsoft Corporation) 60C2862B4BF0FD9F582EF344C2B1EC72 [File is signed]
 
C:\WINDOWS\System32\csrss.exe
[2009-07-14 02:19][2009-07-14 04:39] 0007680 ____A (Microsoft Corporation) 60C2862B4BF0FD9F582EF344C2B1EC72 [File is signed]
 
====== End of Search ======

Reply

Marsh Posté le 23-07-2015 à 14:20:01    

Le fichier en question est clean => https://www.virustotal.com/fr/file/ [...] /analysis/  

Reply

Marsh Posté le 23-07-2015 à 14:27:27    

I'll be damned ! Je croyais qu'on avait commencé à extraire un sale ver par le bout de la queue !!...

Reply

Marsh Posté le 10-08-2015 à 09:10:50    

Bon, petite mise à jour : après une dizaines de jours sans écrans bleus du tout, il se peut que j'aie trouvé le fautif : comme le hardware semblait ok et qu'il n'y avait pas trace d'infection, j'en ai conclu que ce devait être une petite incompatibilité idiote : après avoir farfouillé, j'ai fini par désactiver dans les IRST (Intel Rapid Storage Technology) une certaine fonction Link Power Management, qui semble ralentir ou arrêter l'activité du DD s'il est inactif, ou quelque chose comme ça. Mon SSD ou son firmware doivent être incompatibles avec ça, car depuis, apparemment plus de problèmes...

 

Merci à tous ceux qui ont pris la peine d'essayer de m'aider, spécialement Monk... ;)


Message édité par Lampedusa le 10-08-2015 à 09:16:13
Reply

Marsh Posté le    

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed