Process svchost corrompu? Need some help

Process svchost corrompu? Need some help - Virus/Spywares - Windows & Software

Marsh Posté le 24-07-2015 à 20:25:46    

Bonjour communauté.
 
Depuis quelques mois maintenant, j'ai remarqué dans mon gestionnaire de tâches que des processus svchost.exe étaient présents par dizaine. Ce qui est réellement dérangeant, c'est qu'il arrive parfois qu'un de ces processus prenne jusqu'à 1,5Go de mémoire, ce qui fait rammer mon PC à mort.
 
Je ne sais pas si ça vient de firefox, d'avast ou si un malware ou autre est la cause de mon problème.
 
Je me suis servi de Spybot récemment mais sans succès.
Je suis tombé sur un post de ce forum où la personne avait un problème semblable:
http://forum.hardware.fr/hfr/Windo [...] 9326_1.htm
 
J'ai donc contacté la personne qui avait pris en charge le problème pour essayer d'effectuer la même démarche (avec FRST).
Celle-ci m'a enfin proposé de poster mon problème ici. Je m'en remets donc à votre aide.
 
D'avance Merci.

Reply

Marsh Posté le 24-07-2015 à 20:25:46   

Reply

Marsh Posté le 25-07-2015 à 00:19:34    

Il est normal d'avoir plusieurs processus svchost qui tournent.
Il faudrait que tu vois si c'est un processus en particulier qui utilise toutes la ram ou plusieurs.
Tu peux utiliser le programme process explorer pour avoir des détails de ce qui tourne derrière ton processus svchost.

Reply

Marsh Posté le 25-07-2015 à 07:46:21    

Merci pour cette réponse!
 
Je lancerai ça au moment critique, pour l'instant j'ai un svchost à 100Mo avec "dwm.exe" qui se cache dedans mais je ne suis pas certain que ce soit le même quand ça grimpe dans les Go.

Reply

Marsh Posté le 25-07-2015 à 08:59:11    

- ouvrir le gestionnaire des taches (CTRL ALT SUPR)
- cocher tout en bas : afficher tous les processus
- regarder quel processus svchost utilise beaucoup de RAM
- clic droit sur ce processus, et accéder aux services.
 
et la tu verras quel service pose problème.
 
pour spybot, il ne sert plus à rien, tu peux le supprimer.  

Reply

Marsh Posté le 25-07-2015 à 11:44:33    

Merci pour cette technique encore plus simple, cependant il y a plusieurs services (huit ici) pour ce processus et je n'ai que l'info sur le PID correspondant (660).
Comment savoir lequel fait défaut?
 
Et même en le sachant, est-il possible de "réparer" ce service ou suis-je obligé de le redémarrer à chaque fois qu'il prend de la place?

Reply

Marsh Posté le 10-09-2015 à 21:01:12    

Hello again everyone,
 
Je reviens vers vous car j'ai toujours mon soucis. Je pensais pouvoir "restart" le process grâce à processexplorer mais ça ne marche qu'une seule fois, la fois suivante, il me met un accès refusé comme avec le gestionnaire.
 
J'ai pris une photo puisque je ne peux même pas lancer paint pour coller mon screenshot.
 
http://nsa37.casimages.com/img/2015/09/10/150910090135392524.jpg
 
Merci pour votre aide.
 
A+
 

Reply

Marsh Posté le 11-09-2015 à 07:47:39    

Bonjour scobras,  
 
 
 
On peut vérifier effectivement la cause malware à l'aide de ZHPDiag.
 
 
 
:) Tous les rapports demandés doivent être postés sur le forum sous la forme d'un lien.
 
 
Comment créer et poster le lien d'un rapport :
 

  • Se rendre sur le site http://www.cjoint.com/
  • Cliquer sur le bouton Parcourir, sélectionner le rapport demandé et valider par Ouvrir
  • Puis, en bas de la page du site Cjoint, cliquer sur Créer le lien Cjoint
  • Faire un clic droit avec la souris sur le lien créé qui apparaît sous cette forme http://cjoint.co/Exemple et sélectionner l'option copier l'adresse du lien  
  • Coller ce lien (à l'aide du clic droit) dans ta prochaine réponse sur le forum.


 
 
Rappel sur les envois des rapports:  
Les fichiers générés par ce programme peuvent inclure des données personnelles (nom d'utilisateur par exemple). Assurez-vous de les nettoyer si vous ne souhaitez pas qu'elles soient accessibles à tous.
 
 
 
 
==> ZHPDiag - programme de diagnostic
 
 

  • Télécharger ZHPDiag (de Nicolas Coolman)


       Note: le programme est téléchargé en principe dans la rubrique Téléchargements de l'explorateur de                          fichiers.                          
 

  • Lancer l'installation en faisant un double clic gauche de la souris sur le fichier ZHPDiag3.exe.  


  • A partir du bureau, faire un clic droit sur l'icône de ZHPDiag et choisir "Exécuter en tant qu'administrateur" (pour Windows Vista, 7/8/10).


  • Accepter la lettre d'information.


  • Cliquer sur Scanner.


       Note: ne pas fermer le programme même si il est indiqué qu'il ne répond plus.
 
    http://nsa37.casimages.com/img/2015/07/02/150702075332414132.png
 
 

  • Une fois le scan terminé, le fichier ZHPDiag.txt a été créé sur le bureau.


  • Héberge le rapport sur www.Cjoint.com, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum.

Reply

Marsh Posté le 11-09-2015 à 17:24:37    

Bonjour monk521!
 
Voilà le lien du rapport de ZHPDiag: http://www.cjoint.com/c/EIlpeR7bwv4
 
J'espère qu'il ne faut pas lancer le scan au moment où un des svchost.exe devient fou parce que ça deviendrait tout de suite beaucoup plus compliqué.
 
Merci de prendre du temps pour m'aider!

Reply

Marsh Posté le 11-09-2015 à 20:34:57    

Je regarde ça demain matin, il y a des traces infectieuses.
 
Désinstalle Spybot, il est en conflit avec Avast et il est obsolète.
 
Bonne soirée.

Reply

Marsh Posté le 11-09-2015 à 21:32:30    

Done. Merci!
 
Bonne soirée!

Reply

Marsh Posté le 11-09-2015 à 21:32:30   

Reply

Marsh Posté le 12-09-2015 à 11:12:08    

Bonjour,
 
 
Peux-tu supprimé ce programme, Duuqu Update Helper, c'est un adware.
 
Puis applique ce qui suit...
 
 
 
==> ZHPFix
 
 

  • Télécharger et installer le programme ZHPFix


  • Puis, à partir du bureau, lancer le programme en faisant un clic droit de la souris sur son icône (une seringue) et en choisissant "Exécuter en tant qu'administrateur" (pour Windows Vista, 7/8/10).


    http://nsa37.casimages.com/img/2015/09/09/150909085308731908.png
 
 
     Attention, ce script suivant a été écrit spécifiquement pour l'ordinateur descobras, il n'est pas
      transposable sur un autre ordinateur.

 
     Le temps de téléchargement du script a été volontairement limité à 4 jours.
 

  • Cliquer sur ce lien http://www.cjoint.com/data3/EImjl3qfJqP_script.txt
  • Sur la page qui s'ouvre, faire un clic droit et choisir Tout sélectionner.
  • Puis, refaire un clic droit et choisir Copier.
  • Double clic gauche sur l'icône de ZHPFix qui se trouve sur le bureau ou lancer ZHPFix à partir du raccourci sur ModernUI (pour Windows 8).


  • Sur La fenêtre qui s'ouvre, cliquer sur IMPORTER.


     http://nsa38.casimages.com/img/2015/08/27/150827105106541726.png
 
 

  • Dans la plupart des cas, le script se colle automatiquement dans la zone de script.
  • Dans le cas contraire, faire un clic droit de la souris dans la fenêtre de ZHPFix et choisir Coller.
  • Cliquer sur Go.


     http://nsa38.casimages.com/img/2015/08/27/150827105424673503.png
 
 

  • A la demande, confirmer le nettoyage des données en cliquant sur OUI.


     http://nsa37.casimages.com/img/2015/08/27/150827105943933081.png
 
 

  • Patienter le temps du traitement (le traitement peut être long suivant la quantité de données à supprimer).
  • ZHPFix va demander si vous souhaiter vider ta corbeille, accepter.  


     http://nsa38.casimages.com/img/2015/08/27/150827105847975433.png
 
 

  • Un rapport nommé ZHPFixReport.txt sera créé et sauvegardé sur le bureau.  


        Note: le rapport se trouve aussi à cet emplacement, disque dur C:\ZHP\ZHPFix[R1].txt
 

  • Fermer ZHPFix et redémarrer l'ordinateur (s'il ne redémarre pas de lui-même).


 

  • Héberge le rapport sur www.Cjoint.com, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum.

Reply

Marsh Posté le 12-09-2015 à 13:19:02    

Hello!
 
Je ne trouve Duuqu Update Helper ni dans mes programmes installés ni dans mes plugins Firefox.
Je peux passer à l'étape suivante en attendant?
 
Merci!


Message édité par scobras le 12-09-2015 à 13:20:01
Reply

Marsh Posté le 12-09-2015 à 15:29:50    

Oui, passe à ZHPFix.

Reply

Marsh Posté le 12-09-2015 à 17:05:05    

C'est fait!
 
Voilà le rapport: http://www.cjoint.com/c/EImpddg2gF4

Reply

Marsh Posté le 12-09-2015 à 17:29:58    

Je viens de lancer le gestionnaire pour voir comment se comportait les svchost. A ce même moment, l'un d'eux à commencé à se démarquer. Mon écran est devenu noir (pas de réponse sauf la souris). J'ai ensuite suivi la progression du process, grimpant lentement de 200k à 800k puis mon écran est revenu et le process a subitement décollé jusque 1700k pour se stabiliser 10 secondes plus tard à 1000k.
 
J'ai screenshoté quand mon pc a commencé à ne plus répondre et à la fin (le process est toujours à 1000k en ce moment).
 
http://www.cjoint.com/c/EImpAwYpm74
 
http://www.cjoint.com/c/EImpDsj1hS4
 
Problème à priori non résolu :D

Reply

Marsh Posté le 12-09-2015 à 17:54:13    

Effectivement oui le problème n'est pas résolu, du moins il n'est pas malware.  
 
Et au niveau des performances dans le gestionnaire de tâches, qu'est-ce que ça donne ?
 
 
Je te laisse utiliser les 2 outils qui suivent pour terminer la maintenance malware.
 
 
1- SFTGC de Pierre13 – Nettoyage des fichiers temporaires :
 
 

  • Télécharger SFTGC sur ton bureau


  • Lancer le programme en faisant un clic droit de la souris sur l'icône de SFTGC et en choisissant "Exécuter en tant qu'administrateur" (pour Windows Vista, 7/8/10)  


  • Le logiciel s'initialise puis s'ouvre
  • Cliquer alors sur le bouton Go pour supprimer les fichiers temporaires inutiles et attendre la fin du nettoyage


     http://nsa38.casimages.com/img/2015/08/27/150827112321993589.png
 
 
 
2- DelFix de Xplode
 
 
Cet outil va permettre d'une part de supprimer tous les outils de désinfection utilisés lors du nettoyage de l' ordinateur et d'autre part de purger la restauration système. La purge de la restauration système est importante, elle permet de supprimer tous les points de restauration potentiellement infectés et de créer un nouveau point de restauration exempt de nuisible.  
 

  • Télécharger DelFix de Xplode sur le bureau


  • Lancer le programme en faisant un clic droit de la souris sur l'icône de DelFix et en choisissant "Exécuter en tant qu'administrateur" (pour Windows Vista, 7/8/10)
  • Cocher toutes les cases comme indiquer sur l'image ci dessous
  • Cliquer sur Exécuter


     http://nsa38.casimages.com/img/2015/08/27/150827112447684018.png
 
 
 

Reply

Marsh Posté le 12-09-2015 à 19:27:51    

Merci pour les deux outils, c'est fait.
 
Voilà le screenshot pour les performances, sachant qu'il n'y a que firefox d'ouvert:
 
http://www.cjoint.com/c/EImruUQ8SQ4
 
Est-ce que je dois faire un screenshot quand j'ai un scvhost.exe qui s'emballe?
De souvenir, la mémoire physique sature à ce moment là (genre vers les 95%).

Reply

Marsh Posté le 12-09-2015 à 19:47:21    

Fais un clic droit sur le svchost qui s'emballe et ensuite afficher les services.
Tu verras quel service merdoie.

 

Tu fais bien les mises à jour Windows ?

Reply

Marsh Posté le 12-09-2015 à 20:19:55    

Bonjour pongyi,
 
Merci pour ton aide.
 
Je n'avais pas redémarré mon PC après l'utilisation des deux derniers outils... J'ai l'impression qu'il a beaucoup apprécié la réinitialisation de sa configuration!
 
Je ne vois plus un seul svchost dans les processus contre une dizaine auparavant :)
 
Affaire à suivre...
 
Pour ta suggestion pongyi, on m'a proposé de faire cela au début du topic et j'avais alors répondu que j'avais plusieurs services derrière un même processus (huit services pour un PID 660 cette fois-là) et que je ne pouvais donc pas identifier lequel posait problème... J'ai déjà noté que le PID n'était pas toujours le même.
 
Si le problème persiste, il faudra que je pense à lister les différents services.

Reply

Marsh Posté le 12-09-2015 à 20:35:45    

Bon j'ai parlé trop vite... J'ai redémarré encore une fois et ils sont revenus x)

Reply

Marsh Posté le 12-09-2015 à 20:45:00    

scobras a écrit :

Bon j'ai parlé trop vite... J'ai redémarré encore une fois et ils sont revenus x)

 

C'est normal d'avoir une bonne dizaine de processus svchost, ce sont des processus Windows.
Mais si un svchost est situé dans un dossier temp, la faut faire gaffe.

 

Si tu veux je jette un oeil avec TeamViewer

Reply

Marsh Posté le    

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed