PC lent et DLL suspecte

Résolu
jerry91 Messages postés 39 Date d'inscription   Statut Membre Dernière intervention   -  
juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   -
Bonjour,

Je trouve mon PC plus lent que d'habitude...
J'ai lancé (en mode admin) hijackthis, dont voici le résultat du scan.
Je trouve la ligne 10 suspecte, qu'en pensez-vous?
Au dela, mon PC vous semble t il clean?

Merci d'avance pour vos retours,
Jérémie



Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 00:13:51, on 01/04/2013
Platform: Unknown Windows (WinNT 6.01.3505 SP1)
MSIE: Internet Explorer v8.00 (8.00.7601.17514)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskhost.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe
C:\Program Files\Common Files\Java\Java Update\jusched.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
C:\Program Files\ATI Technologies\HydraVision\HydraDM.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Program Files\Hijactkthis\HiJackThis.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre7\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre7\bin\jp2ssv.dll
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [ATICustomerCare] "C:\Program Files\ATI\ATICustomerCare\ATICustomerCare.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [AMD AVT] Cmd.exe /c start "AMD Accelerated Video Transcoding device initialization" /min "C:\Program Files\AMD AVT\bin\kdbsync.exe" aml
O4 - HKLM\..\Run: [RTHDVCPL] C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe -s
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Common Files\Java\Java Update\jusched.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [HydraVisionDesktopManager] "C:\Program Files\ATI Technologies\HydraVision\HydraDM.exe"
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O10 - Broken Internet access because of LSP provider 'c:\program files\common files\microsoft shared\windows live\wlidnsp.dll' missing
O23 - Service: Adobe Acrobat Update Service (AdobeARMservice) - Adobe Systems Incorporated - C:\Program Files\Common Files\Adobe\ARM\1.0\armsvc.exe
O23 - Service: Adobe Flash Player Update Service (AdobeFlashPlayerUpdateSvc) - Adobe Systems Incorporated - C:\Windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe
O23 - Service: AMD External Events Utility - AMD - C:\Windows\system32\atiesrxx.exe
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Service Google Update (gupdate) (gupdate) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Service Google Update (gupdatem) (gupdatem) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Program Files\Common Files\Logishrd\Bluetooth\LBTServ.exe
O23 - Service: SBSD Security Center Service (SBSDWSCService) - Safer Networking Ltd. - C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe
O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files\Common Files\Steam\SteamService.exe
A voir également:

30 réponses

  • 1
  • 2
Réponse 1 / 30
juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
 
Salut Jérémie,

HijackThis est obsolète sur ta version de Windows qu'il ne reconnait pas !
Tu peux virer Spybot qui ne sert à rien.

Ceci sera plus adéquat :

Faire un scan OTL pour diagnostiquer les programmes qui tournent et déceler des infections :

▶ Télécharge ici :OTL

▶ Fais un double clic sur l'icône pour le lancer (clic droit executer en tant qu'administrateur sous Vista, Windows 7 ou Windows 8). Vérifier que toutes les autres fenêtres sont fermées afin qu'il s'exécute sans interruption. Dans le cas d'Avast!, ne pas lancer le programme dans la Sandbox

▶ Quand la fenêtre apparaît, sous Rapport en haut à droite, coche "Rapport minimal", ainsi que "Tous les utilisateurs"
Sous Registre: standard coche Tous.
Coche les cases à coté de Recherche Lop et Recherche Purity.

▶ Copie et colle le contenu de ce qui suit en gras dans la partie inférieure d'OTL "Personnalisation"


msconfig
netsvcs
/md5start
explorer.exe
winlogon.exe
userinit.exe
svchost.exe
services.exe
winsock.*
/md5stop
%temp%\*.exe /s
%ALLUSERSPROFILE%\Application Data\*.exe /s
%ALLUSERSPROFILE%\Application Data\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.*
BASESERVICES
CREATERESTOREPOINT
SAVEMBR:0

▶ Clic sur Analyse.

A la fin du scan, 2 Bloc-Notes vont s'ouvrir avec les rapports (OTL.txt et extras.txt).

NE PAS COPIER/COLLER LE RAPPORT ICI - LIRE JUSQU'AU BOUT

Ces fichiers se trouvent à côté de l'exécutable OTL.exe

héberge OTL.txt et extra.txt sur FEC Upload et donne les liens obtenus en échange

NE PAS COPIER/COLLER LE LIEN DE SUPPRESSION, CONSERVE-LE SI TU DESIRE ENSUITE SUPPRIMER LES RAPPORTS DE LA BASE DE DONNEES FEC

.::. Contributeur Sécurité .::.
1
jerry91 Messages postés 39 Date d'inscription   Statut Membre Dernière intervention  
 
ok merci je fais tout ça et reviens!
0
juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
 
Et tu peux désinstaller HijackThis par la même occasion tant que tu es dans le panneau de config pour virer spybot ...
0
jerry91 Messages postés 39 Date d'inscription   Statut Membre Dernière intervention  
 
le scan est sensé durer combien de temps approximativement? :)
0
jerry91 Messages postés 39 Date d'inscription   Statut Membre Dernière intervention  
 
https://forums-fec.be/upload/www/?a=d&i=4494913876
voici pour le premier
0
jerry91 Messages postés 39 Date d'inscription   Statut Membre Dernière intervention  
 
https://forums-fec.be/upload/www/?a=d&i=0374444056
et voici pour le second
0
Réponse 2 / 30
juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
 
Spybot n'est pas bien désinstallé

SmithFraudFix tu peux mettre à la poubelle ça fait 5 ans qu'il est abandonné.

La 010 est pas néfaste, hijackthis a fait une crise de paranoïa dessus pour que dalle, c'est simplement parce que Windows Live Messenger a été désinstallé.

Relance OTL, copie/colle le texte en gras ci-dessous sous "Personnalisation", puis click correction et poste le rapport qui s'ouvrira au redémarrage


:OTL
O10 - NameSpace_Catalog5\Catalog_Entries\000000000005 [] - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDNSP.DLL File not found
O10 - NameSpace_Catalog5\Catalog_Entries\000000000006 [] - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDNSP.DLL File not found
[2013/03/26 20:53:20 | 000,000,000 | ---D | C] -- C:\Windows\System32\Extensions
[2013/03/26 20:53:04 | 000,000,000 | ---D | C] -- C:\Windows\System32\searchplugins
[2013/03/30 01:00:31 | 000,000,097 | ---- | M] () -- C:\Windows\DeleteOnReboot.bat
:Commands
[RESETHOSTS]
[EMPTYTEMP]



0
jerry91 Messages postés 39 Date d'inscription   Statut Membre Dernière intervention  
 
Ok merci.

Par contre je ne trouve nulle part smithfraude comment puis je le desinstaller?
0
jerry91 Messages postés 39 Date d'inscription   Statut Membre Dernière intervention  
 
Voilà le rapport :

========== OTL ==========
Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000005\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000006\ deleted successfully.
C:\Windows\System32\Extensions folder moved successfully.
C:\Windows\System32\searchplugins folder moved successfully.
C:\Windows\DeleteOnReboot.bat moved successfully.
========== COMMANDS ==========
C:\Windows\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully
Error: Unable to interpret <[EMPTYTEMP> in the current context!

OTL by OldTimer - Version 3.2.69.0 log created on 04012013_013636
0
jerry91 Messages postés 39 Date d'inscription   Statut Membre Dernière intervention  
 
de même dans les programmes de desintallation je ne trouve plus trace de spybot... Comment le désinstaller completement?
0
Réponse 3 / 30
juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
 
t'as mal copié/collé, respire un grand coup, pète un coup si tu veux mais inutile de se précipiter et faire les choses à moitié.

pas grave on va faire autrement.

relance OTL, clique sur Analyse rapide, et poste le rapport via fec upload.
0
jerry91 Messages postés 39 Date d'inscription   Statut Membre Dernière intervention  
 
je sais pas comment j'ai pu mal copier coller mais bon...
Ok je fais ce que tu demandes!
0
jerry91 Messages postés 39 Date d'inscription   Statut Membre Dernière intervention  
 
ah j'ai oublié le ]
0
juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
 
Error: Unable to interpret <[EMPTYTEMP> in the current context!

T'as pas pris le dernier crochet.
On recommencera après.
0
jerry91 Messages postés 39 Date d'inscription   Statut Membre Dernière intervention  
 
oui je m'en suis aperçu vrmt désolé!!
0
juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
 
^^
0
Réponse 4 / 30
juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
 
OK.

Bon, on va procéder étape par étape, j'ai pas envie que le PC retombe en rade.

1) Vérifie que Spybot est bien désinstallé.
2) Refais une analyse avec OTL en "Analyse rapide" que je vois ce qui a bougé/revenu/disparu puisqu'on a fait une restauration.

0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 30
jerry91 Messages postés 39 Date d'inscription   Statut Membre Dernière intervention  
 
comment verifier que spybot est bien desinstallé je ne le vois nulle part...
0
Réponse 6 / 30
juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
 
donc c'est bon ;)
point 2 => OTL Analyse rapide
0
Réponse 7 / 30
jerry91 Messages postés 39 Date d'inscription   Statut Membre Dernière intervention  
 
sinon tu dors des fois toi? :)))
0
Réponse 8 / 30
juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
 
ouais, en journée :p

0
Réponse 9 / 30
jerry91 Messages postés 39 Date d'inscription   Statut Membre Dernière intervention  
 
:)))

voilà l'extra :
https://forums-fec.be/upload/www/?a=d&i=1614384027
0
Réponse 10 / 30
jerry91 Messages postés 39 Date d'inscription   Statut Membre Dernière intervention  
 
et voici le otl :
https://forums-fec.be/upload/www/?a=d&i=4790545819
0
Réponse 11 / 30
jerry91 Messages postés 39 Date d'inscription   Statut Membre Dernière intervention  
 
j'attends les ordres capitaine!
0
Réponse 12 / 30
juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
 
Et toi tu dors quand ? T'es en congé là ?

1) Plus de trace de spybot mis à part le fichier hosts, qu'on va à nouveau rétablir.
2) On va retenter de supprimer ces lignes 010 qui servent à rien, mais on va prendre quelques initiatives pour éviter de re-restaurer si ça merdouille.

a) Télécharge LSPFix sur ton bureau

En cas de soucis après la suppression avec OTL, lance-le (clic droit -> exécuter en tant qu'admin)
Cocher la case "I know what I'm doing" .
Clique ensuite sur Finish.

b) Relance OTL
Sous personnalisation colle ça :

:OTL
O10 - NameSpace_Catalog5\Catalog_Entries\000000000005 [] - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDNSP.DLL File not found
O10 - NameSpace_Catalog5\Catalog_Entries\000000000006 [] - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDNSP.DLL File not found
[2013/03/30 01:00:31 | 000,000,097 | ---- | M] () -- C:\Windows\DeleteOnReboot.bat
:Files
ipconfig /flushdsn /c
netsh winsock reset catalogue /c
:commands
[RESETHOSTS]

3) Poste le rapport et dis moi si la connexion internet fonctionne, si pas tu essaie avec LSPFix.
0
Réponse 13 / 30
jerry91 Messages postés 39 Date d'inscription   Statut Membre Dernière intervention  
 
je relance otl en cliquant sur correction?
0
Réponse 14 / 30
jerry91 Messages postés 39 Date d'inscription   Statut Membre Dernière intervention  
 
et demain c'est férié donc oui en qqsorte en congés :)
0
Réponse 15 / 30
juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
 
oups oui, correction ;)
0
jerry91 Messages postés 39 Date d'inscription   Statut Membre Dernière intervention  
 
ok merci!
0
Réponse 16 / 30
jerry91 Messages postés 39 Date d'inscription   Statut Membre Dernière intervention  
 
bon je prends sur moi et je suppose que c'est correction... :)
0
Réponse 17 / 30
juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
 
oui, on a posté en même temps
0
Réponse 18 / 30
jerry91 Messages postés 39 Date d'inscription   Statut Membre Dernière intervention  
 
aie il m'a dit un message d'erreur que j'ai pas recopié c'est malin...
0
Réponse 19 / 30
jerry91 Messages postés 39 Date d'inscription   Statut Membre Dernière intervention  
 
qqchose du genre "can not create blablabla"
0
Réponse 20 / 30
jerry91 Messages postés 39 Date d'inscription   Statut Membre Dernière intervention  
 
il a l air planté... je sais pas trop s'il travaille ou s'il est planté...
0