[RESOLU] [W7] Bsod

[toupiroud5]

Bonjour, j'ai installé depuis peu Windows 7 integrale et je me retrouve avec un Bsod , j'ai cherché comment ouvrir le rapport avec Windbg mais une fois rendu la je n'ai pas les connaissances pour l’interpréter :/

copier coller de l'analyse :

kd> !analyze -v

*******************************************************************************

* *

* Bugcheck Analysis *

* *

*******************************************************************************

DRIVER_OVERRAN_STACK_BUFFER (f7)

A driver has overrun a stack-based buffer. This overrun could potentially

allow a malicious user to gain control of this machine.

DESCRIPTION

A driver overran a stack-based buffer (or local variable) in a way that would

have overwritten the function's return address and jumped back to an arbitrary

address when the function returned. This is the classic "buffer overrun"

hacking attack and the system has been brought down to prevent a malicious user

from gaining complete control of it.

Do a kb to get a stack backtrace -- the last routine on the stack before the

buffer overrun handlers and bugcheck call is the one that overran its local

variable(s).

Arguments:

Arg1: 1521eb38, Actual security check cookie from the stack

Arg2: 93fa84c2, Expected security check cookie

Arg3: 6c057b3d, Complement of the expected security check cookie

Arg4: 00000000, zero

Debugging Details:

------------------

DEFAULT_BUCKET_ID: GS_FALSE_POSITIVE_MISSING_GSFRAME

SECURITY_COOKIE: Expected 93fa84c2 found 1521eb38

CUSTOMER_CRASH_COUNT: 1

BUGCHECK_STR: 0xF7

PROCESS_NAME: System

CURRENT_IRQL: 0

LAST_CONTROL_TRANSFER: from 93fa3d65 to 8311deb4

STACK_TEXT:

8db8b55c 93fa3d65 000000f7 1521eb38 93fa84c2 nt!KeBugCheckEx+0x1e

WARNING: Stack unwind information not available. Following frames may be wrong.

8db8b57c 93f8301f 00000000 00000000 00000000 RtsUStor+0x28d65

8db8b688 00470045 00530049 00520054 005c0059 RtsUStor+0x801f

8db8b68c 00530049 00520054 005c0059 0041004d 0x470045

8db8b690 00520054 005c0059 0041004d 00480043 0x530049

8db8b694 005c0059 0041004d 00480043 004e0049 0x520054

8db8b698 0041004d 00480043 004e0049 005c0045 0x5c0059

8db8b69c 00480043 004e0049 005c0045 004f0053 0x41004d

8db8b6a0 004e0049 005c0045 004f0053 00540046 0x480043

8db8b6a4 005c0045 004f0053 00540046 00410057 0x4e0049

8db8b6a8 004f0053 00540046 00410057 00450052 0x5c0045

8db8b6ac 00540046 00410057 00450052 004d005c 0x4f0053

8db8b6b0 00410057 00450052 004d005c 00630069 0x540046

8db8b6b4 00450052 004d005c 00630069 006f0072 0x410057

8db8b6b8 004d005c 00630069 006f0072 006f0073 0x450052

8db8b6bc 00630069 006f0072 006f0073 00740066 0x4d005c

8db8b6c0 006f0072 006f0073 00740066 0057005c 0x630069

8db8b6c4 006f0073 00740066 0057005c 006e0069 0x6f0072

8db8b6c8 00740066 0057005c 006e0069 006f0064 0x6f0073

8db8b6cc 0057005c 006e0069 006f0064 00730077 0x740066

8db8b6d0 006e0069 006f0064 00730077 0043005c 0x57005c

8db8b6d4 006f0064 00730077 0043005c 00720075 0x6e0069

8db8b6d8 00730077 0043005c 00720075 00650072 0x6f0064

8db8b6dc 0043005c 00720075 00650072 0074006e 0x730077

8db8b6e0 00720075 00650072 0074006e 00650056 0x43005c

8db8b6e4 00650072 0074006e 00650056 00730072 0x720075

8db8b6e8 0074006e 00650056 00730072 006f0069 0x650072

8db8b6ec 00650056 00730072 006f0069 005c006e 0x74006e

8db8b6f0 00730072 006f0069 005c006e 00780045 0x650056

8db8b6f4 006f0069 005c006e 00780045 006c0070 0x730072

8db8b6f8 005c006e 00780045 006c0070 0072006f 0x6f0069

8db8b6fc 00780045 006c0070 0072006f 00720065 0x5c006e

8db8b700 006c0070 0072006f 00720065 0044005c 0x780045

8db8b704 0072006f 00720065 0044005c 00690072 0x6c0070

8db8b708 00720065 0044005c 00690072 00650076 0x72006f

8db8b70c 0044005c 00690072 00650076 00630049 0x720065

8db8b710 00690072 00650076 00630049 006e006f 0x44005c

8db8b714 00650076 00630049 006e006f 005c0073 0x690072

8db8b718 00630049 006e006f 005c0073 005c004b 0x650076

8db8b71c 006e006f 005c0073 005c004b 00650044 0x630049

8db8b720 005c0073 005c004b 00650044 00610066 0x6e006f

8db8b820 8307b59d 00000008 00000246 832385dc 0x5c0073

8db8b82c 832385dc 8db8b888 00020019 8db8b840 nt!ZwOpenKey+0x11

00000000 00000000 00000000 00000000 00000000 nt!LdrpOpenKey+0x36

STACK_COMMAND: kb

FOLLOWUP_IP:

RtsUStor+28d65

93fa3d65 ?? ???

SYMBOL_STACK_INDEX: 1

SYMBOL_NAME: RtsUStor+28d65

FOLLOWUP_NAME: MachineOwner

MODULE_NAME: RtsUStor

IMAGE_NAME: RtsUStor.sys

DEBUG_FLR_IMAGE_TIMESTAMP: 4cc7e1f5

FAILURE_BUCKET_ID: 0xF7_MISSING_GSFRAME_RtsUStor+28d65

BUCKET_ID: 0xF7_MISSING_GSFRAME_RtsUStor+28d65

Followup: MachineOwner

---------

----------------------------------------------------------------------------------------------

voila... par contre je n'ai aucune idée de ce que sa veut dire et comment régler le problème :(

si quelqu'un veut bien m’aider merci d'avance!

<config>Windows 7 / Firefox 6.0</config>

[snooky]

Infection possible ...

Créer un rapport AVZ >

Télécharge AVZ.exe > ftp://st08.kaspersky...ds/AVZ/avz4.zip

Dézippe et exécute AVZ.exe

File / Custom Script > colle ce texte :

begin

ExecuteStdScr(3);

RebootWindows(true);

end.

Clique ensuite sur RUN.

Le pc va redémarrer et créer un dossier LOG, puis à l'intérieur de ce dossier, un zip : virusinfo_syscure.zip que tu upload sur MegaUpload ( Clique sur Parcourir ... ) , puis donne le lien de téléchargement.

Créer ensuite un rapport GSI ( vise ma signature ) , puis poste le lien de ce rapport dans ta réponse.

[toupiroud5]

voila le virusinfo_syscure.zip:

http://www.megaupload.com/?d=F5ONAUNX

le rapport GSI :

http://www.getsysteminfo.com/read.php?file=96eea1503d4dba3f1af896d54124c5e6

Merci de ton aide!

[snooky]

Désinstalle :

avast! Free Antivirus > http://www.avast.com/fr-fr/uninstall-utility

Spybot - Search & Destroy

Windows Live OneCare safety scanner

SUPERAntiSpyware

Java ( les 2 versions )

K-Lite Codec Pack 4.2.5 (Full)

Désactive le service Windows Defender.

Dans Exécuter > %temp% , puis supprime tout ce qui se trouve dans le dossier qui s'ouvre.

Redémarre le pc.

Supprime le dossier LOG créé auparavant.

Créer un nouveau rapport AVZ et upload le nouveau fichier virusinfo_syscure.zip .

Upload également le fichier .dump qui se trouve dans le dossier C:\Windows\Minidump

[Invité]

HS : J'adore ton nouveau sous titre snooky

[snooky]

Tout ceci fait , désinstalle enfin > NVIDIA ForceWare Network Acess Manager.

Redémarre le pc.

Installe Java.

[Amour]

Le pilote RtsUStor.sys semble provoquer cet écran bleu.

C'est un pilote de lecteur de cartes mémoire.

Pouvez-vous désinstaller ce pilote temporairement pour voir si ça vient de là ?

Aussi, que donne un test de RAM via memtest86+ ?

[snooky]

Le pilote RtsUStor.sys est à jour

[toupiroud5]

syscyre + le minidump

http://www.mediafire.com/?uly2dgaiuu03nnu

avec un MD tout chaud :s

Merci aussi pour ta réponse Amour je vais déja essayer ce que préconise Snooky ou j'ai peur de m’emmêler les pinceaux :s

[snooky]

Créer un nouveau rapport GSI

[toupiroud5]

apres avoir desinstaller nvidia et installer java

http://www.getsysteminfo.com/read.php?file=24a65a4df0015ced7863f277233f9007

[snooky]

Utilises-tu le lecteur de carte Realtek USB 2.0 Card Reader ?

[toupiroud5]

pas du tout

[snooky]

Désinstalle le.

[toupiroud5]

done

[snooky]

Exécute AVZ.

File > custom scripts > colle ceci , puis RUN ( le pc redémarre )

begin

RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);

RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);

RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);

RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun', 0);

SetServiceStart('TermService', 4);

SetAVZGuardStatus(True);

SearchRootkit(true, true);

SetServiceStart('fsssvc', 4);

DeleteService('BBSvc');

DeleteService('!SASCORE');

DeleteFile('C:\Program Files\SUPERAntiSpyware\SASCORE.EXE');

DeleteFile('C:\Program Files\Microsoft\BingBar\BBSvc.EXE');

DeleteFile('C:\Program Files\Windows Live\Family Safety\fsssvc.exe');

ClearHostsFile;

BC_ImportDeletedList;

BC_ImportAll;

BC_Activate;

RebootWindows(true);

end.

Lance TDSSKILLER > http://support.kaspe.../?qid=208283363

Installe K9 ( vise ma signature )

Enjoy :)

PS: si tu devais dans l'avenir utiliser le lecteur de carte , réinstalle le ( via Touslesdrivers.com, par exemple ) et reviens nous dire si tu rencontres le même problème. ( Une MAJ du bios est alors à envisager )

[toupiroud5]

j'ai exécuter le script et nouveau Bsod , le driver du lecteur de carte s'est réinstaller donc je dois le désactiver aussi je suppose

je vais faire ce que tu as mis a la suite

[snooky]

Via Windows+Pause > gestionnaire de périphériques... > Désactiver .

[toupiroud5]

aucun résultat avec Tdsskiller

en tout cas un grand merci pour ton aide !

[snooky]

Soumet le problème chez Acer > http://www.acer.co.uk/ac/en/GB/content/online-support ( Sign Up , puis Ask a Question )

[Amour]

Le PC a-t-il un lecteur de cartes ?

Car ce n'est pas forcément écrit "Realtek" dessus, mais ça peut en être un

[toupiroud5]

je veux pas passer pour un ingrat mais depuis ton dernier script AVZ sa merde encore plus :(

il y a bien un lecteur de cartes et même si je désactive /désinstalle il se remet en route après le reboot

[Amour]

Le PC est-il sous garantie ?

Si non, pouvez-vous essayer de débrancher le lecteur de cartes qui va jusqu'à la carte mère en interne ?

[toupiroud5]

non il n'est plus sous garantie mais la le problème de réinstallation semble régler après le dernier re-boot , j'ai désinstalle le pilote a partir du gestionnaire de périphérique ainsi que dans ajout/suppression de programmes et il ne l'a pas réactiver au pire je le débrancherai comme vous l'avez suggéré

je vais m’arrêter là, désolé pour ma noobitude et merci de votre aide.

bonne fin de journée!