SUITE DE CE SUJET...
Suite au remplacement de ntdll.dll, l'erreur "generic host process for win32" est revenue avec désactivation du son et changement de mon desktop en type "mode sans échec".
Me suis mis en mode sans échec et malwaresbytes a trouvé 2 troyens. Avira est complètement aveugle et sans la possibilité de faire de mise à jour en mode sans échec. AD-R a trouvé encore 3-4 petites choses qui traînaient dans la foulée. J'ai aussi utilisé TDSkiller et USBFix qui m'a encore trouvé un virus dans les dossiers recycler. Une fois tout nettoyé, le système fonctionne bien et sans faute (j'ai même pu faire la mise à jour de Avira) mais le virus semble retrouver place malgré que j'aie désactivé la restauration du système. Et donc rebelote avec l'erreur generic host qui touche svchost et ntdll.dll, me coupe le son et me change mon layout. Si je lance usbfix dans la foulée, il me corrige tout et mon PC est à nouveau 100% fonctionnel mais en sachant qu'il va se remettre en place, c'est pas top top. Malwaresbytes et Avira ne voient plus rien, eux. J'ai lancé une an analyse via windbg du fichier envoyé à Microsoft, si cela peut aider. Il me semble qu'il a bloqué et j'ai donc du lancer une analyse forcée. Voici le résultat:
Microsoft (R) Windows Debugger Version 6.6.0003.5
Copyright (c) Microsoft Corporation. All rights reserved.
Loading Dump File [C:\Documents and Settings\MadWoffen\Local Settings\Temp\WERe629.dir00\svchost.exe.mdmp]
User Mini Dump File: Only registers, stack and portions of memory are available
Windows XP Version 2600 (Service Pack 3) UP Free x86 compatible
Product: WinNt, suite: SingleUserTS
Debug session time: Mon Apr 2 15:37:18.000 2012 (GMT+2)
System Uptime: not available
Process Uptime: 0 days 0:00:52.000
Symbol search path is: srv*c:\symbols*http://msdl.microsoft.com/download/symbols
Executable search path is:
.................................................................................................................................................
Loading unloaded module list
..............
This dump file has an exception of interest stored in it.
The stored exception information can be accessed via .ecxr.
(5d4.82c): Access violation - code c0000005 (first/second chance not available)
eax=00000274 ebx=80070000 ecx=0000003a edx=7c885384 esi=00001384 edi=00000000
eip=7c91e514 esp=0247a0ac ebp=0247a110 iopl=0 nv up ei ng nz ac po cy
cs=001b ss=0023 ds=0023 es=0023 fs=003b gs=0000 efl=00000297
ntdll!KiFastSystemCallRet:
7c91e514 c3 ret
0:040>
0:040>
0:040>
0:040> !analyze -v
*******************************************************************************
* *
* Exception Analysis *
* *
*******************************************************************************
*** ERROR: Symbol file could not be found. Defaulted to export symbols for ipnathlp.dll -
FAULTING_IP:
ntdll!RtlFreeHeap+3f3
7c9208d3 663b10 cmp dx,[eax]
EXCEPTION_RECORD: 0247f9e8 -- (.exr 247f9e8)
ExceptionAddress: 7c9208d3 (ntdll!RtlFreeHeap+0x000003f3)
ExceptionCode: c0000005 (Access violation)
ExceptionFlags: 00000000
NumberParameters: 2
Parameter[0]: 00000000
Parameter[1]: fffffff8
Attempt to read from address fffffff8
DEFAULT_BUCKET_ID: APPLICATION_FAULT
PROCESS_NAME: svchost.exe
ERROR_CODE: (NTSTATUS) 0xc0000005 - L'instruction "0x%08lx" emploie l'adresse m moire "0x%08lx". La m moire ne peut pas tre "%s".
READ_ADDRESS: fffffff8
BUGCHECK_STR: ACCESS_VIOLATION
CONTEXT: 0247fa04 -- (.cxr 247fa04)
eax=fffffff8 ebx=02960178 ecx=00000000 edx=022300c0 esi=0298c750 edi=02960000
eip=7c9208d3 esp=0247fcd0 ebp=0247fd8c iopl=0 nv up ei pl nz na po nc
cs=001b ss=0023 ds=0023 es=0023 fs=003b gs=0000 efl=00010206
ntdll!RtlFreeHeap+0x3f3:
7c9208d3 663b10 cmp dx,[eax] ds:0023:fffffff8=????
Resetting default scope
LAST_CONTROL_TRANSFER: from 028f559f to 7c9208d3
STACK_TEXT:
0247fd8c 028f559f 02960000 00000000 0298ca58 ntdll!RtlFreeHeap+0x3f3
0247fda0 028fd1ac 0298ca58 026595c8 028e7ac4 fastprox_28e0000!CBasicBlobControl::sDelete+0x16
0247fdac 028e7ac4 026595c8 026595c8 0247fe1c fastprox_28e0000!CWbemObject::~CWbemObject+0x32
0247fdc8 028e7eb1 00000000 0247fde8 028fd2fc fastprox_28e0000!CWbemInstance::~CWbemInstance+0x7a
0247fdd4 028fd2fc 00000001 0263beb4 025e9d00 fastprox_28e0000!CWbemInstance::`vector deleting destructor'+0x3d
0247fde8 76264ad0 026595c8 00000005 76264be5 fastprox_28e0000!CWbemObject::Release+0x2a
0247fdf4 76264be5 0263be38 0247fe28 76265b49 wbemcore!CWmiFinalizerObj::~CWmiFinalizerObj+0x26
0247fe00 76265b49 00000001 00000000 0263be38 wbemcore!CWmiFinalizerObj::`scalar deleting destructor'+0xd
0247fe28 76265c77 02586084 02586018 0247fe5c wbemcore!CWmiFinalizer::CallBackRelease+0x41
0247fe38 762641ec 0263be38 00000000 02586018 wbemcore!CWmiFinalizer::Release+0x21
0247fe4c 76264248 00000000 01247a40 0247fe7c wbemcore!CWmiFinalizerEnumerator::CallBackRelease+0x56
0247fe5c 62e53566 02586018 01247a40 62e5d432 wbemcore!CWmiFinalizerEnumerator::Release+0x21
0247fe68 62e5d432 01247a40 62e5d944 01247a40 hnetcfg!CHNCEnum<IEnumHNetConnections,IHNetConnection,CHNetConn>::FinalRelease+0x14
0247fe70 62e5d944 01247a40 0247fe90 62e5e728 hnetcfg!ATL::CComObject<CHNCEnum<IEnumHNetFirewalledConnections,IHNetFirewalledConnection,CHNFWConn> >::~CComObject<CHNCEnum<IEnumHNetFirewalledConnections,IHNetFirewalledConnection,CHNFWConn> >+0x17
0247fe7c 62e5e728 00000001 00000001 00000001 hnetcfg!ATL::CComObject<CHNCEnum<IEnumHNetFirewalledConnections,IHNetFirewalledConnection,CHNFWConn> >::`scalar deleting destructor'+0xd
0247fe90 668b32bb 01247a40 7c9429e1 00000000 hnetcfg!ATL::CComObject<CHNCEnum<IEnumHNetFirewalledConnections,IHNetFirewalledConnection,CHNFWConn> >::Release+0x27
WARNING: Stack unwind information not available. Following frames may be wrong.
0247fedc 668b36a0 00000000 00000000 00000001 ipnathlp!NatCreateRedirect+0xf195
0247fef4 668af21e 00000000 00000001 6689a1d0 ipnathlp!NatCreateRedirect+0xf57a
0247ff38 668ba548 00000000 00000000 00000001 ipnathlp!NatCreateRedirect+0xb0f8
0247ff4c 668ba7eb 00000004 6689a1d0 001000d4 ipnathlp!NatCreateRedirect+0x16422
0247ff6c 010011cc 00000001 001000d0 00000000 ipnathlp!ServiceMain+0x13a
0247ffa0 77dc354b 00000001 001000d0 00000000 svchost!ServiceStarter+0x9e
0247ffb4 7c80b729 001000c8 00000000 00000000 advapi32!ScSvcctrlThreadA+0x12
0247ffec 00000000 77dc3539 001000c8 00000000 kernel32!BaseThreadStart+0x37
FOLLOWUP_IP:
fastprox_28e0000!CBasicBlobControl::sDelete+16
028f559f 5d pop ebp
FAULTING_SOURCE_CODE:
SYMBOL_STACK_INDEX: 1
FOLLOWUP_NAME: MachineOwner
SYMBOL_NAME: fastprox_28e0000!CBasicBlobControl::sDelete+16
MODULE_NAME: fastprox_28e0000
IMAGE_NAME: fastprox.dll
DEBUG_FLR_IMAGE_TIMESTAMP: 49900b43
STACK_COMMAND: .cxr 0x247fa04 ; kb
FAILURE_BUCKET_ID: ACCESS_VIOLATION_fastprox_28e0000!CBasicBlobControl::sDelete+16
BUCKET_ID: ACCESS_VIOLATION_fastprox_28e0000!CBasicBlobControl::sDelete+16
Followup: MachineOwner
---------
Une idée ? Y a t'il un bon virus scan que l'on peut lancer via un boot usb pour ne pas démarrer de fichiers windows ? Merci.