PC lent et DLL suspecte
Résolujuju666 Messages postés 35446 Date d'inscription Statut Contributeur sécurité Dernière intervention -
Je trouve mon PC plus lent que d'habitude...
J'ai lancé (en mode admin) hijackthis, dont voici le résultat du scan.
Je trouve la ligne 10 suspecte, qu'en pensez-vous?
Au dela, mon PC vous semble t il clean?
Merci d'avance pour vos retours,
Jérémie
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 00:13:51, on 01/04/2013
Platform: Unknown Windows (WinNT 6.01.3505 SP1)
MSIE: Internet Explorer v8.00 (8.00.7601.17514)
Boot mode: Normal
Running processes:
C:\Windows\system32\taskhost.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe
C:\Program Files\Common Files\Java\Java Update\jusched.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
C:\Program Files\ATI Technologies\HydraVision\HydraDM.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Program Files\Hijactkthis\HiJackThis.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre7\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre7\bin\jp2ssv.dll
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [ATICustomerCare] "C:\Program Files\ATI\ATICustomerCare\ATICustomerCare.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [AMD AVT] Cmd.exe /c start "AMD Accelerated Video Transcoding device initialization" /min "C:\Program Files\AMD AVT\bin\kdbsync.exe" aml
O4 - HKLM\..\Run: [RTHDVCPL] C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe -s
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Common Files\Java\Java Update\jusched.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [HydraVisionDesktopManager] "C:\Program Files\ATI Technologies\HydraVision\HydraDM.exe"
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O10 - Broken Internet access because of LSP provider 'c:\program files\common files\microsoft shared\windows live\wlidnsp.dll' missing
O23 - Service: Adobe Acrobat Update Service (AdobeARMservice) - Adobe Systems Incorporated - C:\Program Files\Common Files\Adobe\ARM\1.0\armsvc.exe
O23 - Service: Adobe Flash Player Update Service (AdobeFlashPlayerUpdateSvc) - Adobe Systems Incorporated - C:\Windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe
O23 - Service: AMD External Events Utility - AMD - C:\Windows\system32\atiesrxx.exe
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Service Google Update (gupdate) (gupdate) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Service Google Update (gupdatem) (gupdatem) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Program Files\Common Files\Logishrd\Bluetooth\LBTServ.exe
O23 - Service: SBSD Security Center Service (SBSDWSCService) - Safer Networking Ltd. - C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe
O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files\Common Files\Steam\SteamService.exe
--
End of file - 4158 bytes
30 réponses
- 1
- 2
Un PC plus lent que d'habitude conduit à l'examen d'un rapport HijackThis, où une ligne est jugée suspecte et suscite le doute sur la propreté du système.
Des éléments de réponse portent sur l'obsolescence de HijackThis et recommandent d'utiliser OTL pour diagnostiquer les programmes actifs et détecter d'éventuelles infections, ainsi que de désinstaller Spybot s'il est superflu.
La procédure suggérée implique de lancer OTL avec des paramètres spécifiques et de partager des rapports via un service de dépôt, puis d'analyser les résultats avant toute suppression.
En parallèle, des échanges mentionnent des difficultés techniques comme des erreurs lors du dépôt des rapports et l'incompatibilité possible entre outils et versions Windows actuelles.
-
Salut Jérémie,
HijackThis est obsolète sur ta version de Windows qu'il ne reconnait pas !
Tu peux virer Spybot qui ne sert à rien.
Ceci sera plus adéquat :
Faire un scan OTL pour diagnostiquer les programmes qui tournent et déceler des infections :
▶ Télécharge ici :OTL
▶ Fais un double clic sur l'icône pour le lancer (clic droit executer en tant qu'administrateur sous Vista, Windows 7 ou Windows 8). Vérifier que toutes les autres fenêtres sont fermées afin qu'il s'exécute sans interruption. Dans le cas d'Avast!, ne pas lancer le programme dans la Sandbox
▶ Quand la fenêtre apparaît, sous Rapport en haut à droite, coche "Rapport minimal", ainsi que "Tous les utilisateurs"
Sous Registre: standard coche Tous.
Coche les cases à coté de Recherche Lop et Recherche Purity.
▶ Copie et colle le contenu de ce qui suit en gras dans la partie inférieure d'OTL "Personnalisation"
msconfig
netsvcs
/md5start
explorer.exe
winlogon.exe
userinit.exe
svchost.exe
services.exe
winsock.*
/md5stop
%temp%\*.exe /s
%ALLUSERSPROFILE%\Application Data\*.exe /s
%ALLUSERSPROFILE%\Application Data\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.*
BASESERVICES
CREATERESTOREPOINT
SAVEMBR:0
▶ Clic sur Analyse.
A la fin du scan, 2 Bloc-Notes vont s'ouvrir avec les rapports (OTL.txt et extras.txt).
NE PAS COPIER/COLLER LE RAPPORT ICI - LIRE JUSQU'AU BOUT
Ces fichiers se trouvent à côté de l'exécutable OTL.exe
héberge OTL.txt et extra.txt sur FEC Upload et donne les liens obtenus en échange
NE PAS COPIER/COLLER LE LIEN DE SUPPRESSION, CONSERVE-LE SI TU DESIRE ENSUITE SUPPRIMER LES RAPPORTS DE LA BASE DE DONNEES FEC
.::. Contributeur Sécurité .::.
-
Spybot n'est pas bien désinstallé
SmithFraudFix tu peux mettre à la poubelle ça fait 5 ans qu'il est abandonné.
La 010 est pas néfaste, hijackthis a fait une crise de paranoïa dessus pour que dalle, c'est simplement parce que Windows Live Messenger a été désinstallé.
Relance OTL, copie/colle le texte en gras ci-dessous sous "Personnalisation", puis click correction et poste le rapport qui s'ouvrira au redémarrage
:OTL
O10 - NameSpace_Catalog5\Catalog_Entries\000000000005 [] - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDNSP.DLL File not found
O10 - NameSpace_Catalog5\Catalog_Entries\000000000006 [] - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDNSP.DLL File not found
[2013/03/26 20:53:20 | 000,000,000 | ---D | C] -- C:\Windows\System32\Extensions
[2013/03/26 20:53:04 | 000,000,000 | ---D | C] -- C:\Windows\System32\searchplugins
[2013/03/30 01:00:31 | 000,000,097 | ---- | M] () -- C:\Windows\DeleteOnReboot.bat
:Commands
[RESETHOSTS]
[EMPTYTEMP]
-
-
Voilà le rapport :
========== OTL ==========
Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000005\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000006\ deleted successfully.
C:\Windows\System32\Extensions folder moved successfully.
C:\Windows\System32\searchplugins folder moved successfully.
C:\Windows\DeleteOnReboot.bat moved successfully.
========== COMMANDS ==========
C:\Windows\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully
Error: Unable to interpret <[EMPTYTEMP> in the current context!
OTL by OldTimer - Version 3.2.69.0 log created on 04012013_013636 -
-
-
t'as mal copié/collé, respire un grand coup, pète un coup si tu veux mais inutile de se précipiter et faire les choses à moitié.
pas grave on va faire autrement.
relance OTL, clique sur Analyse rapide, et poste le rapport via fec upload.
-
OK.
Bon, on va procéder étape par étape, j'ai pas envie que le PC retombe en rade.
1) Vérifie que Spybot est bien désinstallé.
2) Refais une analyse avec OTL en "Analyse rapide" que je vois ce qui a bougé/revenu/disparu puisqu'on a fait une restauration.
-
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question -
comment verifier que spybot est bien desinstallé je ne le vois nulle part...
-
donc c'est bon ;)
point 2 => OTL Analyse rapide
-
-
ouais, en journée :p
-
:)))
voilà l'extra :
https://forums-fec.be/upload/www/?a=d&i=1614384027 -
et voici le otl :
https://forums-fec.be/upload/www/?a=d&i=4790545819 -
-
Et toi tu dors quand ? T'es en congé là ?
1) Plus de trace de spybot mis à part le fichier hosts, qu'on va à nouveau rétablir.
2) On va retenter de supprimer ces lignes 010 qui servent à rien, mais on va prendre quelques initiatives pour éviter de re-restaurer si ça merdouille.
a) Télécharge LSPFix sur ton bureau
En cas de soucis après la suppression avec OTL, lance-le (clic droit -> exécuter en tant qu'admin)
Cocher la case "I know what I'm doing" .
Clique ensuite sur Finish.
b) Relance OTL
Sous personnalisation colle ça :
:OTL
O10 - NameSpace_Catalog5\Catalog_Entries\000000000005 [] - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDNSP.DLL File not found
O10 - NameSpace_Catalog5\Catalog_Entries\000000000006 [] - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDNSP.DLL File not found
[2013/03/30 01:00:31 | 000,000,097 | ---- | M] () -- C:\Windows\DeleteOnReboot.bat
:Files
ipconfig /flushdsn /c
netsh winsock reset catalogue /c
:commands
[RESETHOSTS]
3) Poste le rapport et dis moi si la connexion internet fonctionne, si pas tu essaie avec LSPFix.
-
-
-
oups oui, correction ;)
-
bon je prends sur moi et je suppose que c'est correction... :)
-
oui, on a posté en même temps
-
aie il m'a dit un message d'erreur que j'ai pas recopié c'est malin...
-
-
il a l air planté... je sais pas trop s'il travaille ou s'il est planté...
- 1
- 2