PC lent et DLL suspecte Résolu

Question

Bonjour, 

Je trouve mon PC plus lent que d'habitude...
J'ai lancé (en mode admin) hijackthis, dont voici le résultat du scan.
Je trouve la ligne 10 suspecte, qu'en pensez-vous?
Au dela, mon PC vous semble t il clean?

Merci d'avance pour vos retours,
Jérémie



Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 00:13:51, on 01/04/2013
Platform: Unknown Windows (WinNT 6.01.3505 SP1)
MSIE: Internet Explorer v8.00 (8.00.7601.17514)
Boot mode: Normal

Running processes:
C:\Windows\system32	askhost.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe
C:\Program Files\Common Files\Java\Java Update\jusched.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
C:\Program Files\ATI Technologies\HydraVision\HydraDM.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Program Files\Hijactkthis\HiJackThis.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre7\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre7\bin\jp2ssv.dll
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [ATICustomerCare] "C:\Program Files\ATI\ATICustomerCare\ATICustomerCare.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [AMD AVT] Cmd.exe /c start "AMD Accelerated Video Transcoding device initialization" /min "C:\Program Files\AMD AVT\bin\kdbsync.exe" aml
O4 - HKLM\..\Run: [RTHDVCPL] C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe -s
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Common Files\Java\Java Update\jusched.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [HydraVisionDesktopManager] "C:\Program Files\ATI Technologies\HydraVision\HydraDM.exe"
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O10 - Broken Internet access because of LSP provider 'c:\program files\common files\microsoft shared\windows live\wlidnsp.dll' missing
O23 - Service: Adobe Acrobat Update Service (AdobeARMservice) - Adobe Systems Incorporated - C:\Program Files\Common Files\Adobe\ARM\1.0\armsvc.exe
O23 - Service: Adobe Flash Player Update Service (AdobeFlashPlayerUpdateSvc) - Adobe Systems Incorporated - C:\Windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe
O23 - Service: AMD External Events Utility - AMD - C:\Windows\system32\atiesrxx.exe
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Service Google Update (gupdate) (gupdate) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Service Google Update (gupdatem) (gupdatem) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Program Files\Common Files\Logishrd\Bluetooth\LBTServ.exe
O23 - Service: SBSD Security Center Service (SBSDWSCService) - Safer Networking Ltd. - C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe
O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files\Common Files\Steam\SteamService.exe

juju666 · Answer

Salut Jérémie, 

HijackThis est obsolète sur ta version de Windows qu'il ne reconnait pas ! 
Tu peux virer Spybot qui ne sert à rien. 

Ceci sera plus adéquat :  

Faire un scan OTL pour diagnostiquer les programmes qui tournent et déceler des infections :  

&#9654 Télécharge ici :OTL 

&#9654 Fais un double clic sur l'icône pour le lancer (clic droit executer en tant qu'administrateur sous Vista, Windows 7 ou Windows 8). Vérifier que toutes les autres fenêtres sont fermées afin qu'il s'exécute sans interruption. Dans le cas d'Avast!, ne pas lancer le programme dans la Sandbox 

&#9654 Quand la fenêtre apparaît, sous Rapport en haut à droite, coche "Rapport minimal", ainsi que "Tous les utilisateurs" 
Sous Registre: standard coche Tous. 
Coche les cases à coté de Recherche Lop et Recherche Purity. 

&#9654 Copie et colle le contenu de ce qui suit en gras dans la partie inférieure d'OTL "Personnalisation" 

 
msconfig  
netsvcs  
/md5start 
explorer.exe 
winlogon.exe 
userinit.exe 
svchost.exe 
services.exe 
winsock.* 
/md5stop 
%temp%\*.exe /s  
%ALLUSERSPROFILE%\Application Data\*.exe /s  
%ALLUSERSPROFILE%\Application Data\*. 
%APPDATA%\*.exe /s  
%SYSTEMDRIVE%\*.* 
BASESERVICES 
CREATERESTOREPOINT 
SAVEMBR:0 

&#9654 Clic sur Analyse. 

A la fin du scan, 2 Bloc-Notes vont s'ouvrir avec les rapports (OTL.txt et extras.txt). 

NE PAS COPIER/COLLER LE RAPPORT ICI - LIRE JUSQU'AU BOUT 

Ces fichiers se trouvent à côté de l'exécutable OTL.exe 

héberge OTL.txt et extra.txt sur FEC Upload et donne les liens obtenus en échange   

NE PAS COPIER/COLLER LE LIEN DE SUPPRESSION, CONSERVE-LE SI TU DESIRE ENSUITE SUPPRIMER LES RAPPORTS DE LA BASE DE DONNEES FEC  
  
 .::. Contributeur Sécurité .::.

juju666 · Answer

Spybot n'est pas bien désinstallé 

SmithFraudFix tu peux mettre à la poubelle ça fait 5 ans qu'il est abandonné.

La 010 est pas néfaste, hijackthis a fait une crise de paranoïa dessus pour que dalle, c'est simplement parce que Windows Live Messenger a été désinstallé.

 Relance OTL, copie/colle le texte en gras ci-dessous sous "Personnalisation", puis click correction et poste le rapport qui s'ouvrira au redémarrage


:OTL
O10 - NameSpace_Catalog5\Catalog_Entries\000000000005 [] - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDNSP.DLL File not found
O10 - NameSpace_Catalog5\Catalog_Entries\000000000006 [] - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDNSP.DLL File not found
[2013/03/26 20:53:20 | 000,000,000 | ---D | C] -- C:\Windows\System32\Extensions      
[2013/03/26 20:53:04 | 000,000,000 | ---D | C] -- C:\Windows\System32\searchplugins      
[2013/03/30 01:00:31 | 000,000,097 | ---- | M] () -- C:\Windows\DeleteOnReboot.bat    
:Commands
[RESETHOSTS]
[EMPTYTEMP]

juju666 · Answer

t'as mal copié/collé, respire un grand coup, pète un coup si tu veux mais inutile de se précipiter et faire les choses à moitié.

pas grave on va faire autrement.

relance OTL, clique sur Analyse rapide, et poste le rapport via fec upload.

juju666 · Answer

OK.

Bon, on va procéder étape par étape, j'ai pas envie que le PC retombe en rade.

1) Vérifie que Spybot est bien désinstallé.
2) Refais une analyse avec OTL en "Analyse rapide" que je vois ce qui a bougé/revenu/disparu puisqu'on a fait une restauration.

jerry91 · Answer

comment verifier que spybot est bien desinstallé je ne le vois nulle part...

juju666 · Answer

donc c'est bon ;)
point 2 => OTL Analyse rapide

jerry91 · Answer

sinon tu dors des fois toi? :)))

juju666 · Answer

ouais, en journée :p

jerry91 · Answer

:)))

voilà l'extra :
https://forums-fec.be/upload/www/?a=d&i=1614384027

jerry91 · Answer

et voici le otl :
https://forums-fec.be/upload/www/?a=d&i=4790545819

jerry91 · Answer

j'attends les ordres capitaine!

juju666 · Answer

Et toi tu dors quand ? T'es en congé là ?

1) Plus de trace de spybot mis à part le fichier hosts, qu'on va à nouveau rétablir.
2) On va retenter de supprimer ces lignes 010 qui servent à rien, mais on va prendre quelques initiatives pour éviter de re-restaurer si ça merdouille.

a) Télécharge LSPFix sur ton bureau

En cas de soucis après la suppression avec OTL, lance-le (clic droit -> exécuter en tant qu'admin) 
Cocher la case "I know what I'm doing" .
Clique ensuite sur Finish. 

b) Relance OTL
Sous personnalisation colle ça : 

:OTL
O10 - NameSpace_Catalog5\Catalog_Entries\000000000005 [] - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDNSP.DLL File not found
O10 - NameSpace_Catalog5\Catalog_Entries\000000000006 [] - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDNSP.DLL File not found
[2013/03/30 01:00:31 | 000,000,097 | ---- | M] () -- C:\Windows\DeleteOnReboot.bat
:Files
ipconfig /flushdsn /c
netsh winsock reset catalogue /c
:commands
[RESETHOSTS]

3) Poste le rapport et dis moi si la connexion internet fonctionne, si pas tu essaie avec LSPFix.

jerry91 · Answer

je relance otl en cliquant sur correction?

jerry91 · Answer

et demain c'est férié donc oui en qqsorte en congés :)

juju666 · Answer

oups oui, correction ;)

jerry91 · Answer

bon je prends sur moi et je suppose que c'est correction... :)

juju666 · Answer

oui, on a posté en même temps

jerry91 · Answer

aie il m'a dit un message d'erreur que j'ai pas recopié c'est malin...

jerry91 · Answer

qqchose du genre "can not create blablabla"

jerry91 · Answer

il a l air planté... je sais pas trop s'il travaille ou s'il est planté...

juju666 · Answer

c'est bête fallait me dire ce qu'il a "can't create" ^^

jerry91 · Answer

j'ai coupé et recommencé avec les memes elements sous personalisation et ça a foncitonné.

Voici le rapport :

========== OTL ==========
Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000005\ not found.
Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000006\ not found.
File C:\Windows\DeleteOnReboot.bat not found.
========== FILES ==========
[color=#A23BEC]< ipconfig /flushdsn /c >[/color]
Erreur : ligne de commande inconnue ou incomplSte.
UTILISATIONÿ:
ipconfig [/allcompartments] [/? | /all |
/renew [adapter] | /release [adapter] |
/renew6 [adapter] | /release6 [adapter] |
/flushdns | /displaydns | /registerdns |
/showclassid adapter |
/setclassid adapter [classid] |
/showclassid6 adapter |
/setclassid6 adapter [classid] ]
o--
adapter Nom de connexion
(caractSres g'n'riques * et ? autoris's, voir les
exemples)
Optionsÿ:
/? Affiche ce message d'aide
/all Affiche toutes les informations de configuration.
/release LibSre l'adresse IPv4 pour la carte sp'cifi'e.
/release6 LibSre l'adresse IPv6 pour la carte sp'cifi'e.
/renew Renouvelle l'adresse IPv4 pour la carte sp'cifi'e.
/renew6 Renouvelle l'adresse IPv6 pour la carte sp'cifi'e.
/flushdns Purge le cache de r'solution DNS.
/registerdns Actualise tous les baux DHCP et r'enregistre les noms
DNS
/displaydns Affiche le contenu du cache de r'solution DNS.
/showclassid Affiche tous les ID de classe DHCP autoris's pour la
carte.
/setclassid Modifie l'ID de classe DHCP.
/showclassid6 Affiche tous les ID de classe DHCP IPv6 autoris's pour la carte.
/setclassid6 Modifie l'ID de classe DHCP IPv6.
La valeur par d'faut affiche uniquement l'adresse IP, le masque de sous-r'seau
et la passerelle par d'faut de chaque carte li'e ... TCP/IP.
Pour Release et Renew, si aucun nom de carte n'est sp'cifi', les baux d'adresse
IP pour toutes les cartes li'es ... TCP/IP sont lib'r's ou renouvel's.
Pour Setclassid et Setclassid6, si aucun ClassId n'est sp'cifi', le ClassId est retir'.
Exemplesÿ:
> ipconfig ... Affiche des informations
> ipconfig /all ... Affiche des informations d'taill'es
> ipconfig /renew ... renouvelle toutes les cartes
> ipconfig /renew EL* ... renouvelle toute connexion dont le nom
commence par EL
> ipconfig /release *Con* ... libSre toutes les connexions
correspondantes,
par ex. ®ÿConnexion r'seau local 1ÿ¯
ou ®ÿConnexion r'seau local 2ÿ¯
> ipconfig /allcompartments ... Affiche des informations sur tous les
compartiments
> ipconfig /allcompartments /all ... Affiche des informations d'taill'es
sur tous les compartiments
C:\Users\Administrateur\Desktop\cmd.bat deleted successfully.
C:\Users\Administrateur\Desktop\cmd.txt deleted successfully.
[color=#A23BEC]< netsh winsock reset catalogue /c >[/color]
Le d'marrage de la fonction d'initialisation InitHelperDll dans NSHHTTP.DLL a 'chou'ÿ;
code d'erreurÿ: 11003
Le catalogue Winsock a 't' r'initialis' correctement.
Vous devez red'marrer l'ordinateur afin de finaliser la r'initialisation.
C:\Users\Administrateur\Desktop\cmd.bat deleted successfully.
C:\Users\Administrateur\Desktop\cmd.txt deleted successfully.
========== COMMANDS ==========
C:\Windows\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully

OTL by OldTimer - Version 3.2.69.0 log created on 04012013_024903

juju666 · Answer

petite faute de frappe, refais OTL avec ça : 

:Files
ipconfig /flushdns /c 

pas besoin du rapport

======================

internet ok ?

jerry91 · Answer

internet en fonctionnait plus donc j'ai fait lspfix et c'est bon ça focntionne.
je remance donc otl avec : 

:Files 
ipconfig /flushdns /c

jerry91 · Answer

le rapport qui s'en suit :

========== FILES ==========
[color=#A23BEC]< ipconfig /flushdns /c  >[/color]
Configuration IP de Windows
Cache de r'solution DNS vid'.
C:\Users\Administrateur\Desktop\cmd.bat deleted successfully.
C:\Users\Administrateur\Desktop\cmd.txt deleted successfully.
 
OTL by OldTimer - Version 3.2.69.0 log created on 04012013_025545

jerry91 · Answer

Et Internet foncionne bien!

juju666 · Answer

Bien ! ^^

Relance OTL fais une correction avec ça et le pc va redémarrer : 

:commands
[EMPTYTEMP]

Comment se porte le pc après redémarrage ?

juju666 · Answer

Ouep :)

Passe un coup de delfix en cochant toutes cases : https://www.commentcamarche.net/telecharger/securite/7111-delfix/

~~

Installe Malwarebyte's Anti-Malware : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
Fais des scans réguliers avec, il est efficace.

~~

Sécurise ton PC ! 

Un exploit sur site web permet l'infection de ton ordinateur de manière automatiquement à la visite d'un site WEB qui a été hacké, il tire partie du fait que tu as des logiciels (Java, Adobe Reader etc) qui sont pas à jour et possèdent des vulnérabilités qui permettent l'execution de code (malicieux dans notre cas) à ton insu.
Le fait de ne pas avoir des logiciels à jour et qui ont potentiellement des vulnérabilités permettent donc d'infecter ton système.
Exemple avec : Exploit Java

Il faut donc impérativement maintenir tes logiciels à jour afin de ne pas voir ces portes d'entrée sur ton système.
Tant que ces logiciels ne seront pas à jour, ton PC est vulnérable et les infections peuvent s'installer facilement.

IMPORTANT : mettre à jour tes programmes notamment Java/Adobe Reader et Flash :
https://www.commentcamarche.net/faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite

https://forum.malekal.com/viewtopic.php?t=15960&start=

Désactive Java de tes navigateurs WEB : https://www.commentcamarche.net/faq/35621-desactiver-java-sur-ses-navigateurs-web


Passe le mot à tes amis !

~~

Le reste de la sécurité : http://forum.malekal.com/comment-securiser-son-ordinateur.html  

Bonne lecture et n'oublie pas d'indiquer que ton sujet est résolu :)

jerry91 · Answer

ok nickel! Merci beaucoup c'est cool! Vraiment!

Bon courage pour tous les autres naufragés du net :)

Et bonne nuit le moment venu :)

juju666 · Answer

héhé merci ^^

PC lent et DLL suspecte - Page 2

Newsletters