C:\WINDOWS\system32\shdoclc.dll/dnserror.htm Fermé

Question

Bonjour,

J'ai déjà lu quelques messages sur le sujet, mais pour la plupart ancien et avec plusieurs avis sur le sujet.
Je me permets donc de réactiver le sujet.

Je remercie par avance ceux qui se donneront la peine de me lire et de me répondre.

Je vais essayer de résumer l'objet de mon message.

Il y a une quinzaine de jours à la demande de mon FAI, Sfr ex CI, j'ai changé mon ancien modem speedtouch par le nouveau clubinternet.box. Installation par moi même sans l'utilisation du Cd fourni par le FAI. Je dispose juste d'un accès internet pas de Tv ni de téléphone.

Tout se déroule correctement et fonctionne parfaitement pendant quatre jours du Lundi au Vendredi. Le vendredi soir grosse difficulté à obtenir une connexion. j'y parviens et ni prête plus d'attention. Le Samedi matin plus de connexion. Je téléphone à la hot line Sfr qui après les vérifications d'usage (genre avez vous branché le courant) ouvre un dossier d'intervention. L'après midi même tout fonctionne. J'oublie et le Lundi Sfr m'informe par sms que tout marche.

Il se passe une semaine et ce vendredi soir, rebelote avec un message que je n'avais pas remarqué la fois précédente.
C:\WINDOWS\system32\shdoclc.dll/dnserror.htm
A force de patience je me connecte et effectue quelques recherches sur internet. 
En gros je résume, est ce un problème lié au FAI ou à un virus.

Ce matin énorme difficulté à obtenir une connexion toujours avec le même message. Depuis 13hrs plus de problèmes.

Entre temps j'ai lance spybot (je le fais deux fois par semaine), qui a détecté deux trois cookies habituel, et scanné mon Pc avec Avast qui n'a pas trouvé de fichiers corrompus.

Je m'interroge donc sur la signification de ce problème, et la présence très aléatoire du message:
C:\WINDOWS\system32\shdoclc.dll/dnserror.htm
Faut il y voir un virus, un problème de détections des DNS ??? 

Je précise que j'ai l'habitude d'éteindre mon modem en fin de journée, et qu'une fois la première connexion établie le problème ne semble plus se poser, même si l'ordinateur est mis en veille entre temps.

Je suis dubitatif et soumet le sujet à vos avis d'expert.
Pour ma part je n'ai trouvé actuellement qu'un remède ... la patience.

Merci à ceux qui auront eu le courage de me lire complètement.

Lyonnais92 · Answer

Bonjour,

comme tu l'as vu, l'essentiel des infos sur ce message datent de 2005.

Pour voir un éventuel problème d'infection :

Ouvre ce lien et télécharge ZHPDiag :

https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
hxxp://telechargement.zebulon.fr/telecharger-zhpdiag.html

Enregistre le sur ton Bureau.

Une fois le téléchargement achevé, lance ZHPDiag.exe.

Clique sur la clé à molette puis sur Tous pour cocher toutes les cases des options.

Décoche les cases O45 et O61.

Clique sur la loupe pour lancer l'analyse.

A la fin de l'analyse, clique sur l'appareil photo et enregistre le rapport sur ton Bureau.

Ouvre le fichier sauvegardé (ZHPDiag.txt)avec le Bloc-Notes et copie son contenu dans ta réponse.

ramly · Answer

Bonjour,

Merci de ta réponse.

Je veux bien coller le rapport, mais il y a 737 lignes.... qui sont du chinois en ce qui me concerne.

Lyonnais92 · Answer

Re,

OK,

pour me le transmettre clique sur ce lien :

http://www.cijoint.fr/

Clique sur Parcourir et cherche le fichier du rapport.

Clique sur Ouvrir.

Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt

est ajouté dans la page.

Copie ce lien dans ta réponse.

ramly · Answer

Merci,

Voici le lien :

http://www.cijoint.fr/cjlink.php?file=cj200908/cijUQ2ZIXi.txt

J'ai confiance en toi.
Question de néophyte, y a t il pas un risque à laisser ces infos sur mon Pc ainsi disponible ?

Lyonnais92 · Answer

Re,

je n'ai pas vu d'infos très personelle sur le rapport.

===

Rends toi sur ce site :

https://www.virustotal.com/gui/

Clique sur parcourir et cherche ce fichier : C:\WINDOWS\System32\arunnvii.exe

Clique sur Send File.

Un rapport va s'élaborer ligne à ligne.

Attends la fin. Il doit comprendre la taille du fichier envoyé.

Sauvegarde le rapport avec le bloc-note.

Copie le dans ta réponse.

Si VirusTotal indique que le fichier a déjà été analysé, clique sur le bouton Ré-analyse le fichier maintenant.

====

Recommence avec : C:\WINDOWS\system32\drivers\ASIOMI.sys

ramly · Answer

Ma question sur la confidentialité était d'ordre général et ne te concernait pas directement.

Je n'ai pas trouvé le premier fichier sur mon disque.

voici le rapport du second:

Srpski | &#1052;&#1072;&#1082;&#1077;&#1076;&#1086;&#1085;&#1089;&#1082;&#1080; | &#1575;&#1604;&#1593;&#1585;&#1576;&#1610;&#1577; | Suomi | ihMdI |  | &#1506;&#1489;&#1512;&#1497;&#1514; |  | Slovenš&#269;ina | Dansk | &#1056;&#1091;&#1089;&#1089;&#1082;&#1080;&#1081; | Român&#259; | Türkçe | Nederlands | &#917;&#955;&#955;&#951;&#957;&#953;&#954;&#940; | Svenska | Português | Italiano |  |  | Magyar | Deutsch | &#268;esky | Polski | Español | English  
  Virustotal est un service qui analyse les fichiers suspects et facilite la détection rapide des virus, vers, chevaux de Troie et toutes sortes de malwares détectés par les moteurs antivirus. Plus d'informations... 
Fichier ASIOMI.sys reçu le 2009.08.01 21:20:09 (UTC)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE 


Résultat: 0/40 (0%)
en train de charger les informations du serveur... 
Votre fichier est dans la file d'attente, en position: ___.
L'heure estimée de démarrage est entre ___ et ___ .
Ne fermez pas la fenêtre avant la fin de l'analyse. 
L'analyseur qui traitait votre fichier est actuellement stoppé, nous allons attendre quelques secondes pour tenter de récupérer vos résultats.
Si vous attendez depuis plus de cinq minutes, vous devez renvoyer votre fichier. 
Votre fichier est, en ce moment, en cours d'analyse par VirusTotal,
les résultats seront affichés au fur et à mesure de leur génération. 
 Formaté Impression des résultats  
Votre fichier a expiré ou n'existe pas. 
Le service est en ce moment, stoppé, votre fichier attend d'être analysé (position : ) depuis une durée indéfinie.

Vous pouvez attendre une réponse du Web (re-chargement automatique) ou taper votre e-mail dans le formulaire ci-dessous et cliquer "Demande" pour que le système vous envoie une notification quand l'analyse sera terminée. 
 Email:  
  

Antivirus Version Dernière mise à jour Résultat 
a-squared 4.5.0.24 2009.08.01 - 
AhnLab-V3 5.0.0.2 2009.08.01 - 
AntiVir 7.9.0.238 2009.07.31 - 
Antiy-AVL 2.0.3.7 2009.07.31 - 
Authentium 5.1.2.4 2009.08.01 - 
Avast 4.8.1335.0 2009.08.01 - 
AVG 8.5.0.406 2009.08.01 - 
BitDefender 7.2 2009.08.01 - 
CAT-QuickHeal 10.00 2009.07.30 - 
ClamAV 0.94.1 2009.08.01 - 
Comodo 1836 2009.08.01 - 
DrWeb 5.0.0.12182 2009.08.01 - 
eSafe 7.0.17.0 2009.07.30 - 
eTrust-Vet 31.6.6650 2009.08.01 - 
F-Prot 4.4.4.56 2009.08.01 - 
F-Secure 8.0.14470.0 2009.08.01 - 
Fortinet 3.120.0.0 2009.08.01 - 
GData 19 2009.08.01 - 
Ikarus T3.1.1.64.0 2009.08.01 - 
Jiangmin 11.0.800 2009.08.01 - 
K7AntiVirus 7.10.808 2009.08.01 - 
Kaspersky 7.0.0.125 2009.08.01 - 
McAfee 5695 2009.08.01 - 
McAfee+Artemis 5695 2009.08.01 - 
McAfee-GW-Edition 6.8.5 2009.08.01 - 
Microsoft 1.4903 2009.08.01 - 
NOD32 4297 2009.08.01 - 
Norman 6.01.09 2009.07.31 - 
nProtect 2009.1.8.0 2009.08.01 - 
Panda 10.0.0.14 2009.08.01 - 
PCTools 4.4.2.0 2009.08.01 - 
Rising 21.40.44.00 2009.07.31 - 
Sophos 4.44.0 2009.08.01 - 
Sunbelt 3.2.1858.2 2009.07.31 - 
Symantec 1.4.4.12 2009.08.01 - 
TheHacker 6.3.4.3.375 2009.08.01 - 
TrendMicro 8.950.0.1094 2009.07.31 - 
VBA32 3.12.10.9 2009.08.01 - 
ViRobot 2009.7.31.1863 2009.07.31 - 
VirusBuster 4.6.5.0 2009.07.31 - 
Information additionnelle 
File size: 5396 bytes 
MD5...: bfe5fc1038d53b6032b4bef194a438a4 
SHA1..: a2ddcd6566f8d83bf801f429c99b3e1bb316f615 
SHA256: 85c6bffa8f1768c4085dbcd593f7922dcdb4bc8c604a1ad33fa93ab0c38b89f6 
ssdeep: 48:6QL1gKc/hKSGOa2xrlJwdLhrcNC+2g9uZjFjTi+gjyj5SBKse2HhJ2G+u4ICj
f9u:wOxW/pdkfi+DtsBWc4ICjlohwi7ch0
 
PEiD..: - 
TrID..: File type identification
Generic Win/DOS Executable (49.9%)
DOS Executable Generic (49.8%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.1%) 
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x280
timedatestamp.....: 0x3c26dbf0 (Mon Dec 24 07:40:32 2001)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x280 0xb91 0xba0 6.10 738f6286df1df4274d9f3925e3cc4467
.rdata 0xe20 0xa4 0xc0 2.26 09847f1a5301aab1e7de2b2236356853
.data 0xee0 0xc 0x20 0.99 f877e7d6628e2feaab326f87eea8b65b
INIT 0xf00 0x1e2 0x200 4.82 d10f7212896a4162709ede39d486772c
.reloc 0x1100 0x82 0xa0 3.42 6ee9b1407755291ba0610ed2b9e8830b

( 2 imports ) 
> ntoskrnl.exe: READ_REGISTER_ULONG, IofCompleteRequest, MmUnmapIoSpace, IoDeleteSymbolicLink, RtlInitUnicodeString, IoCreateDevice, IoCreateSymbolicLink, IoDeleteDevice, WRITE_REGISTER_ULONG, MmMapIoSpace
> HAL.dll: HalGetBusData, WRITE_PORT_ULONG, WRITE_PORT_UCHAR, READ_PORT_UCHAR, READ_PORT_ULONG, HalTranslateBusAddress

( 0 exports ) 
 
PDFiD.: - 
RDS...: NSRL Reference Data Set
- 


 ATTENTION: VirusTotal est un service gratuit offert par Hispasec Sistemas. Il n'y a aucune garantie quant à la disponibilité et la continuité de ce service. Bien que le taux de détection permis par l'utilisation de multiples moteurs antivirus soit bien supérieur à celui offert par seulement un produit, ces résultats NE garantissent PAS qu'un fichier est sans danger. Il n'y a actuellement aucune solution qui offre un taux d'efficacité de 100% pour la détection des virus et malwares. 

VirusTotal © Hispasec Sistemas -  Blog - Contact: info@virustotal.com - Terms of Service & Privacy Policy

Lyonnais92 · Answer

Re,

ne pas donner d'informations "personelles" dans les paramètres d'un ordi est une précaution de sécurité qui n'est pas toujours respectée.

===

Tu ne trouves pas non plus le fichier  (C:\WINDOWS\System32\arunnvii.exe) en ayant fait ceci :

->Affiche tous les fichiers et dossiers :
clique sur démarrer/panneau de configuration (en affichage classique)/option des dossiers/affichage

[Coche] « afficher les dossiers et fichiers cachés »

[Décoche] la case « Masquer les fichiers protégés du système d'exploitation (recommandé) »

[Décoche] « masquer les extensions dont le type est connu »

Puis fais [appliquer] pour valider les changements.

Et [Ok]

(tu annuleras les 2 premières modifications en fin de désinfection).

ramly · Answer

Même comme cela je ne trouve pas ce fichier.

Lyonnais92 · Answer

Re,

Ok.

Déconnecte toi d'Internet et ferme toutes les applications ouvertes.
Copie dans le Presse-papier les lignes ci-dessous (sélectionne les avec la souris et fais simultanément Ctrl et C)

O43 - CFD:Common File Directory --H-D- C:\Program Files\ApplePie
O47 - AAKE:Key Export SP - "C:\WINDOWS\System32\arunnvii.exe"="C:\WINDOWS\System32\aru"
O47 - AAKE:Key Export SP - "C:\WINDOWS\System32\bjidbmac.exe"="C:\WINDOWS\System32\bji"
O47 - AAKE:Key Export SP - "C:\Program Files\ApplePie\uninstall.exe"="C:\Program Files\ApplePie\uninstall.exe:*:Disabled:BHO"
O47 - AAKE:Key Export SP - "C:\WINDOWS\system32\huelnbqo.exe"="C:\WINDOWS\system32\hue"
O47 - AAKE:Key Export SP - "C:\WINDOWS\system32
ctxtssl.exe"="C:\WINDOWS\system32
ct" 

Relance ZHPDiag sur ton Bureau.

Clique sur la loupe.

Clique sur l'icône Bouclier qui est apparue à coté de la clé à molette.

Clique successivement sur l'icône H puis sur l'icône du moniteur.

Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

Clique sur OK, ce qui fait apparaaître un carré à gauche de chaque ligne.

Clique sur "Tous" puis sur "Nettoyer".

Laisse l'outil travailler.

Si il te demande de redémarrer l'ordi pour achever le nettoyage, fais le immmédiatement.

Le rapport d'exécution va apparaître dans la fenêtre.

Copie le dans ta réponse.

ramly · Answer

Désolé, mais là j'ai peur de faire une c...

Lorsque je clique sur la loupe, j'ai un rapport complet, puis sur le bouclier le rapport est toujours complet, je vois bien le H mais rien de plus..... du coup j'ai arrêté là.

Lyonnais92 · Answer

Re,

cliquer sur le H doit faire disparaître le rapport (intégral qui se met par défaut).

Cliquer sur l'icône du moniteur va coller les lignes que tu as copié.

Cliquer sur OK va "ajouter" une case en tête de ligne.

Cliquer sur Tous va cocher la totalité des cases.

=======

A ce stade, rien n'a été modifié.

C'est seulement lorsque tu vas cliquer sur Nettoyer que des modifications vont être faites (mise en quarantaine de fichiers, modifications de registre).

Des procédures de "retour arrière" sont prévues (possibilité de restaurer les fichiers de la Quarantaine, possibilité d'annuler les modification du registre).

ramly · Answer

Je te remercie.

Je me laisse jusqu'à demain pour faire la manip.

Une fois le clic fait sur le H, je vois pas ou est le moniteur qui doit recopier mes lignes.

Lyonnais92 · Answer

Re,

c'est l'icône à droite de l'appareil photo.

http://www.premiumorange.com/zeb-help-process/img/Fix/Pan_Fix_Coller.jpg

ramly · Answer

Merci encore de ton aide, excuse moi de t'avoir abandonner un peu lâchement hier soir.

Ce matin j'ai suivi la procédure.

Lors du nettoyage le message suivant est apparru.

" Impossible d'exporter ZHPREG.txt. Erreur ouverture fichier. avec une croix rouge. Le message est apparu plusieurs fois mais le rapport suivant est finalement apparu.

ZHPFix v1.12.01  by Nicolas Coolman - Rapport de suppression du 02/08/2009 08:00:29
Fichier d'export Registre : \:\ZHPExportRegistry-02-08-2009-08-00-29.txt
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html

Processus mémoire : 0
Module mémoire : 0
Clé du Registre : 0
Valeur du Registre : 5
Elément de données du Registre : 0
Dossier : 1
Fichier : 0
Logiciel : 0
Autre : 0

Pas de demande de redémarrer l'ordinateur. Je vais tout de même le faire aprèss avoir envoyé ce message.

A noter ce matin que j'ai eu le fameux C:\WINDOWS\system32\shdoclc.dll/dnserror.htm lors du démarrage du PC et mise en marche du modem. puis deuxième essai plus de messge et accés direct à ma page google.

Maintenant je redémarre le PC.
Je serai absent une bonne partie de la journée de 11hrs à 19hrs, ce n'est pas que je veux pas te répondre.

Encore merci

Lyonnais92 · Answer

Bonjour,

après ce redémarrage, tu refais tourner ZHPDiag en laissant cochées toutes les cases (cliquer sur la clé à molette puis sur tous puis sur la loupe) et tu postes le nouveau rapport dans un lien cijoint.

ramly · Answer

Bonjour,

Je vais criser...

Lorsque je lance ZHP, je coche toutes les cases (y compris O45 et O61), il me prépare le rapport, mais le sablier reste et au bout d'un instant message "le programme ne répond plus". idem après avoir rebooté l'ordinateur.

Le pire étant que j'avais édité un rapport après avoir supprimé les lignes, malheureusement pas sauvegardé.
les lignes avaient disparues.

ramly · Answer

En décochant O45 et O61 cela marche.

Voici le lien au cas ou....

http://www.cijoint.fr/cjlink.php?file=cj200908/cijrMj2VEE.txt 

Je dois vraiment te casser les pieds à la longue !!!!

Lyonnais92 · Answer

Re,

pas de soucis, les 5 lignes étaient nocives (le fichier était inconnu sur le Web et d'ailleurs tu ne l'as pas trouvé sur l'ordi).

Tu suppprimes ZHPDiag.exe.

Tu crées un répertoire ZHPDiag sur ton Bureau.

Tu retélécharges ZHPDiag ici :

https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

et tu l'enregistres dans le répertoire que tu as créé.

Lance ZHPDiag.exe à partir de ce répertoire.

Tu suis le reste de la procédure.

ramly · Answer

L'analyse à fonctionnée.

Ci joint le rapport.

http://www.cijoint.fr/cjlink.php?file=cj200908/cijGV0XKpw.txt

Lyonnais92 · Answer

Re,

je vais regarder ça très attentivement.

A  première lecture, cherche 

C:\Documents And Settings\Utilisateur\Local Settings\Temp\ckz_K15C\ZHPFixReport.txt

et ouvre le (par double clic).

Copie son contenu dans ta réponse.

On verra la suite ce soir.

ramly · Answer

Ci joint le contenu du fichier.

ZHPFix v1.12.01  by Nicolas Coolman - Rapport de suppression du 02/08/2009 08:00:29
Fichier Registre : 
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html

Processus mémoire : 0
Module mémoire : 0
Clé du Registre : 0
Valeur du Registre : 5
Elément de données du Registre : 0
Dossier : 1
Fichier : 0
Logiciel : 0
Autre : 0



Processus mémoire :
(Néant)

Module mémoire :
(Néant)

Clé du Registre :
(Néant)

Valeur du Registre :
O47 - AAKE:Key Export SP - "C:\WINDOWS\System32\arunnvii.exe"="C:\WINDOWS\System32\aru"  => Registry key value removed successfully
O47 - AAKE:Key Export SP - "C:\WINDOWS\System32\bjidbmac.exe"="C:\WINDOWS\System32\bji"  => Registry key value removed successfully
O47 - AAKE:Key Export SP - "C:\Program Files\ApplePie\uninstall.exe"="C:\Program Files\ApplePie\uninstall.exe:*:Disabled:BHO"  => Registry key value removed successfully
O47 - AAKE:Key Export SP - "C:\WINDOWS\system32\huelnbqo.exe"="C:\WINDOWS\system32\hue"  => Registry key value removed successfully
O47 - AAKE:Key Export SP - "C:\WINDOWS\system32
ctxtssl.exe"="C:\WINDOWS\system32
ct"  => Registry key value removed successfully

Elément de données du Registre :
(Néant)

Dossier :
C:\Program Files\ApplePie  => Quarantined and Deleted successfully

Fichier :
(Néant)

Logiciel :
(Néant)

Autre :
(Néant)

End of the scan

Merci encore.
Ne te tracasse pas trop, l'ordi fonctionne tout de même très correctement.

Maintenant je dois m'absenter jusqu'aux alentours de 19h.

A+

Lyonnais92 · Answer

Re,

le rapport confirme que ZHPFix a fait ce que j'attendais.

Continue comme ça :

1) Imprime ces instructions car il faudra fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.

2) Télécharge Malwarebytes' Anti-Malware (MBAM) et enregistre le sur ton Bureau à partir de ce lien :

http://www.malwarebytes.org/mbam/program/mbam-setup.exe
hxxp://www.download.com/Malwarebytes-Anti-Malware/3000-8022_4-10804572.html

3) A la fin du téléchargement, ferme toutes les fenêtres et programmes, y compris celui-ci.

4) Double-clique sur l'icône Download_mbam-setup.exe sur ton bureau pour démarrer le programme d'installation.

5) Pendant l'installation, suis les indications (en particulier le choix de la langue et l'autorisation d'accession à Internet). N'apporte aucune modification aux réglages par défaut et, en fin d'installation, vérifie que les options Update Malwarebytes' Anti-Malware et Launch Malwarebytes' Anti-Malware sont cochées.

6) MBAM démarrera automatiquement et enverra un message demandant à mettre à jour le programme avant de lancer une analyse. Comme MBAM se met automatiquement à jour en fin d'installation, clique sur OK pour fermer la boîte de dialogue. La fenêtre principale de MBAM s'affiche :

7) Dans l'onglet analyse, vérifie que "Exécuter une analyse rapide"  est coché et clique sur le bouton Rechercher pour démarrer l'analyse.

8) MBAM analyse ton ordinateur. L'analyse peut prendre un certain temps. Il suffit de vérifier de temps en temps son avancement.

9) A la fin de l'analyse, un message s'affiche indiquant la fin de l'analyse. Clique sur OK pour poursuivre.

10) Si des malwares ont été détectés, leur liste s'affiche.
En cliquant sur Suppression (?) , MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.

11) MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Ferme le Bloc-notes. (Le rapport peut être retrouvé sous l'onglet Rapports/logs)

12) Ferme MBAM en cliquant sur Quitter.

13) Poste le rapport dans ta réponse

Lyonnais92 · Answer

Re,

si l'ordi est stable (pas d'écran bleu, de reboot intempestif, ..) mets à jour Windows et Internet Explorer.

Ensuite, fais le redémarrer et dis moi comment il va.

Lyonnais92 · Answer

Re,

oui, mettre à jour Windows c'est installer le SP3 et internet Explorer 8.

On reviendra ensuite sur ton souci initial (si il existe encore).

Lyonnais92 · Answer

Re,

tes derniers essais sont assez convaincants pour des difficultés d'établissement de la connexion avec ton FAI.

Utiliser l'ordi quelques jours te permettra de mieux voir si ton hypothèse est confirmée.

Les derniers rapports ne montrent plus de traces d'infection.

Quand tu reviendras, on finira en éliminant les outils devenus inutiles.

Je te ferai aussi des propositions d'amélioration de la sécurité (en particulier l'installation d'un parefeu contrôlant les connexions sortantes).