PC lent et DLL suspecte

Résolu
jerry91 Messages postés 40 Statut Membre -  
juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   -
Bonjour,

Je trouve mon PC plus lent que d'habitude...
J'ai lancé (en mode admin) hijackthis, dont voici le résultat du scan.
Je trouve la ligne 10 suspecte, qu'en pensez-vous?
Au dela, mon PC vous semble t il clean?

Merci d'avance pour vos retours,
Jérémie

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 00:13:51, on 01/04/2013
Platform: Unknown Windows (WinNT 6.01.3505 SP1)
MSIE: Internet Explorer v8.00 (8.00.7601.17514)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskhost.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe
C:\Program Files\Common Files\Java\Java Update\jusched.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
C:\Program Files\ATI Technologies\HydraVision\HydraDM.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Program Files\Hijactkthis\HiJackThis.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre7\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre7\bin\jp2ssv.dll
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [ATICustomerCare] "C:\Program Files\ATI\ATICustomerCare\ATICustomerCare.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [AMD AVT] Cmd.exe /c start "AMD Accelerated Video Transcoding device initialization" /min "C:\Program Files\AMD AVT\bin\kdbsync.exe" aml
O4 - HKLM\..\Run: [RTHDVCPL] C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe -s
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Common Files\Java\Java Update\jusched.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [HydraVisionDesktopManager] "C:\Program Files\ATI Technologies\HydraVision\HydraDM.exe"
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O10 - Broken Internet access because of LSP provider 'c:\program files\common files\microsoft shared\windows live\wlidnsp.dll' missing
O23 - Service: Adobe Acrobat Update Service (AdobeARMservice) - Adobe Systems Incorporated - C:\Program Files\Common Files\Adobe\ARM\1.0\armsvc.exe
O23 - Service: Adobe Flash Player Update Service (AdobeFlashPlayerUpdateSvc) - Adobe Systems Incorporated - C:\Windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe
O23 - Service: AMD External Events Utility - AMD - C:\Windows\system32\atiesrxx.exe
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Service Google Update (gupdate) (gupdate) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Service Google Update (gupdatem) (gupdatem) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Program Files\Common Files\Logishrd\Bluetooth\LBTServ.exe
O23 - Service: SBSD Security Center Service (SBSDWSCService) - Safer Networking Ltd. - C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe
O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files\Common Files\Steam\SteamService.exe

--
End of file - 4158 bytes

30 réponses

  • 1
  • 2
Résumé de la discussion

Un PC plus lent que d'habitude conduit à l'examen d'un rapport HijackThis, où une ligne est jugée suspecte et suscite le doute sur la propreté du système.
Des éléments de réponse portent sur l'obsolescence de HijackThis et recommandent d'utiliser OTL pour diagnostiquer les programmes actifs et détecter d'éventuelles infections, ainsi que de désinstaller Spybot s'il est superflu.
La procédure suggérée implique de lancer OTL avec des paramètres spécifiques et de partager des rapports via un service de dépôt, puis d'analyser les résultats avant toute suppression.
En parallèle, des échanges mentionnent des difficultés techniques comme des erreurs lors du dépôt des rapports et l'incompatibilité possible entre outils et versions Windows actuelles.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    Salut Jérémie,

    HijackThis est obsolète sur ta version de Windows qu'il ne reconnait pas !
    Tu peux virer Spybot qui ne sert à rien.

    Ceci sera plus adéquat :

    Faire un scan OTL pour diagnostiquer les programmes qui tournent et déceler des infections :

    ▶ Télécharge ici :OTL

    ▶ Fais un double clic sur l'icône pour le lancer (clic droit executer en tant qu'administrateur sous Vista, Windows 7 ou Windows 8). Vérifier que toutes les autres fenêtres sont fermées afin qu'il s'exécute sans interruption. Dans le cas d'Avast!, ne pas lancer le programme dans la Sandbox

    ▶ Quand la fenêtre apparaît, sous Rapport en haut à droite, coche "Rapport minimal", ainsi que "Tous les utilisateurs"
    Sous Registre: standard coche Tous.
    Coche les cases à coté de Recherche Lop et Recherche Purity.

    ▶ Copie et colle le contenu de ce qui suit en gras dans la partie inférieure d'OTL "Personnalisation"


    msconfig
    netsvcs
    /md5start
    explorer.exe
    winlogon.exe
    userinit.exe
    svchost.exe
    services.exe
    winsock.*
    /md5stop
    %temp%\*.exe /s
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %ALLUSERSPROFILE%\Application Data\*.
    %APPDATA%\*.exe /s
    %SYSTEMDRIVE%\*.*
    BASESERVICES
    CREATERESTOREPOINT
    SAVEMBR:0


    ▶ Clic sur Analyse.

    A la fin du scan, 2 Bloc-Notes vont s'ouvrir avec les rapports (OTL.txt et extras.txt).

    NE PAS COPIER/COLLER LE RAPPORT ICI - LIRE JUSQU'AU BOUT

    Ces fichiers se trouvent à côté de l'exécutable OTL.exe

    héberge OTL.txt et extra.txt sur FEC Upload et donne les liens obtenus en échange

    NE PAS COPIER/COLLER LE LIEN DE SUPPRESSION, CONSERVE-LE SI TU DESIRE ENSUITE SUPPRIMER LES RAPPORTS DE LA BASE DE DONNEES FEC

    .::. Contributeur Sécurité .::.
    1
    1. jerry91 Messages postés 40 Statut Membre
       
      ok merci je fais tout ça et reviens!
      0
    2. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
       
      Et tu peux désinstaller HijackThis par la même occasion tant que tu es dans le panneau de config pour virer spybot ...
      0
    3. jerry91 Messages postés 40 Statut Membre
       
      le scan est sensé durer combien de temps approximativement? :)
      0
    4. jerry91 Messages postés 40 Statut Membre
       
      https://forums-fec.be/upload/www/?a=d&i=4494913876
      voici pour le premier
      0
    5. jerry91 Messages postés 40 Statut Membre
       
      https://forums-fec.be/upload/www/?a=d&i=0374444056
      et voici pour le second
      0
  2. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    Spybot n'est pas bien désinstallé

    SmithFraudFix tu peux mettre à la poubelle ça fait 5 ans qu'il est abandonné.

    La 010 est pas néfaste, hijackthis a fait une crise de paranoïa dessus pour que dalle, c'est simplement parce que Windows Live Messenger a été désinstallé.

    Relance OTL, copie/colle le texte en gras ci-dessous sous "Personnalisation", puis click correction et poste le rapport qui s'ouvrira au redémarrage


    :OTL
    O10 - NameSpace_Catalog5\Catalog_Entries\000000000005 [] - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDNSP.DLL File not found
    O10 - NameSpace_Catalog5\Catalog_Entries\000000000006 [] - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDNSP.DLL File not found
    [2013/03/26 20:53:20 | 000,000,000 | ---D | C] -- C:\Windows\System32\Extensions
    [2013/03/26 20:53:04 | 000,000,000 | ---D | C] -- C:\Windows\System32\searchplugins
    [2013/03/30 01:00:31 | 000,000,097 | ---- | M] () -- C:\Windows\DeleteOnReboot.bat
    :Commands
    [RESETHOSTS]
    [EMPTYTEMP]


    0
    1. jerry91 Messages postés 40 Statut Membre
       
      Ok merci.

      Par contre je ne trouve nulle part smithfraude comment puis je le desinstaller?
      0
    2. jerry91 Messages postés 40 Statut Membre
       
      Voilà le rapport :

      ========== OTL ==========
      Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000005\ deleted successfully.
      Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000006\ deleted successfully.
      C:\Windows\System32\Extensions folder moved successfully.
      C:\Windows\System32\searchplugins folder moved successfully.
      C:\Windows\DeleteOnReboot.bat moved successfully.
      ========== COMMANDS ==========
      C:\Windows\System32\drivers\etc\Hosts moved successfully.
      HOSTS file reset successfully
      Error: Unable to interpret <[EMPTYTEMP> in the current context!

      OTL by OldTimer - Version 3.2.69.0 log created on 04012013_013636
      0
    3. jerry91 Messages postés 40 Statut Membre
       
      de même dans les programmes de desintallation je ne trouve plus trace de spybot... Comment le désinstaller completement?
      0
  3. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    t'as mal copié/collé, respire un grand coup, pète un coup si tu veux mais inutile de se précipiter et faire les choses à moitié.

    pas grave on va faire autrement.

    relance OTL, clique sur Analyse rapide, et poste le rapport via fec upload.
    0
    1. jerry91 Messages postés 40 Statut Membre
       
      je sais pas comment j'ai pu mal copier coller mais bon...
      Ok je fais ce que tu demandes!
      0
    2. jerry91 Messages postés 40 Statut Membre
       
      ah j'ai oublié le ]
      0
    3. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
       
      Error: Unable to interpret <[EMPTYTEMP> in the current context!

      T'as pas pris le dernier crochet.
      On recommencera après.
      0
    4. jerry91 Messages postés 40 Statut Membre
       
      oui je m'en suis aperçu vrmt désolé!!
      0
    5. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
       
      ^^
      0
  4. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    OK.

    Bon, on va procéder étape par étape, j'ai pas envie que le PC retombe en rade.

    1) Vérifie que Spybot est bien désinstallé.
    2) Refais une analyse avec OTL en "Analyse rapide" que je vois ce qui a bougé/revenu/disparu puisqu'on a fait une restauration.

    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. jerry91 Messages postés 40 Statut Membre
     
    comment verifier que spybot est bien desinstallé je ne le vois nulle part...
    0
  7. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    donc c'est bon ;)
    point 2 => OTL Analyse rapide
    0
  8. jerry91 Messages postés 40 Statut Membre
     
    sinon tu dors des fois toi? :)))
    0
  9. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    ouais, en journée :p

    0
  10. jerry91 Messages postés 40 Statut Membre
     
    :)))

    voilà l'extra :
    https://forums-fec.be/upload/www/?a=d&i=1614384027
    0
  11. jerry91 Messages postés 40 Statut Membre
     
    et voici le otl :
    https://forums-fec.be/upload/www/?a=d&i=4790545819
    0
  12. jerry91 Messages postés 40 Statut Membre
     
    j'attends les ordres capitaine!
    0
  13. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    Et toi tu dors quand ? T'es en congé là ?

    1) Plus de trace de spybot mis à part le fichier hosts, qu'on va à nouveau rétablir.
    2) On va retenter de supprimer ces lignes 010 qui servent à rien, mais on va prendre quelques initiatives pour éviter de re-restaurer si ça merdouille.

    a) Télécharge LSPFix sur ton bureau

    En cas de soucis après la suppression avec OTL, lance-le (clic droit -> exécuter en tant qu'admin)
    Cocher la case "I know what I'm doing" .
    Clique ensuite sur Finish.

    b) Relance OTL
    Sous personnalisation colle ça :

    :OTL
    O10 - NameSpace_Catalog5\Catalog_Entries\000000000005 [] - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDNSP.DLL File not found
    O10 - NameSpace_Catalog5\Catalog_Entries\000000000006 [] - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDNSP.DLL File not found
    [2013/03/30 01:00:31 | 000,000,097 | ---- | M] () -- C:\Windows\DeleteOnReboot.bat
    :Files
    ipconfig /flushdsn /c
    netsh winsock reset catalogue /c
    :commands
    [RESETHOSTS]


    3) Poste le rapport et dis moi si la connexion internet fonctionne, si pas tu essaie avec LSPFix.
    0
  14. jerry91 Messages postés 40 Statut Membre
     
    je relance otl en cliquant sur correction?
    0
  15. jerry91 Messages postés 40 Statut Membre
     
    et demain c'est férié donc oui en qqsorte en congés :)
    0
  16. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    oups oui, correction ;)
    0
    1. jerry91 Messages postés 40 Statut Membre
       
      ok merci!
      0
  17. jerry91 Messages postés 40 Statut Membre
     
    bon je prends sur moi et je suppose que c'est correction... :)
    0
  18. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    oui, on a posté en même temps
    0
  19. jerry91 Messages postés 40 Statut Membre
     
    aie il m'a dit un message d'erreur que j'ai pas recopié c'est malin...
    0
  20. jerry91 Messages postés 40 Statut Membre
     
    qqchose du genre "can not create blablabla"
    0
  21. jerry91 Messages postés 40 Statut Membre
     
    il a l air planté... je sais pas trop s'il travaille ou s'il est planté...
    0
  • 1
  • 2