Encore un pb svchost ...
Duncan Idaho
-
Duncan Idaho -
Duncan Idaho -
Bonsoir ... Je lis régulièrement le forum, mais là pour une fois je n'y trouve pas la réponse, ou tout du moins je ne voudrais pas faire d'erreur ...
Donc au bout d'un moment, un processus svchost pompe la quasi totalité de mon UC, normal. J'ai utilisé HijackThis, voilà le résultat quand tout 'va bien' :
Logfile of HijackThis v1.99.1
Scan saved at 20:25:39, on 14/06/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\logonui.exe
D:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
D:\WINDOWS\Explorer.EXE
D:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\System32\rpcclient.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
D:\WINDOWS\System32\taskmgr.exe
C:\Program Files\Hijack This\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.fr
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O4 - HKLM\..\Run: [ccApp] D:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
O4 - HKLM\..\Run: [ccRegVfy] D:\Program Files\Fichiers communs\Symantec Shared\ccRegVfy.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - D:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - D:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe
O23 - Service: Remote Procedure Call (RPC) Client (RpcClient) - Unknown owner - D:\WINDOWS\System32\rpcclient.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - D:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - D:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - D:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe
Si je devais faire comme indiqué dans les problèmes similaires et solutions exposées, je devrais à un moment cocher les cases correspondant à HKLM/../ Run, mais elles semblent coincider avec les applications Symantec (Norton) pour deux d'entre elles, et la dernière pour un process nommé 'dumprep' qui à priori n'est pas dangeureux (je dis bien à priori ...).
Je viens donc chercher conseil auprès de vous. A noter que j'ai récemment eu affaire avec le trojan laissant msdirectx.sys comme marque de fabrique, mais que l'affaire semble résolue.
Donc au bout d'un moment, un processus svchost pompe la quasi totalité de mon UC, normal. J'ai utilisé HijackThis, voilà le résultat quand tout 'va bien' :
Logfile of HijackThis v1.99.1
Scan saved at 20:25:39, on 14/06/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\logonui.exe
D:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
D:\WINDOWS\Explorer.EXE
D:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\System32\rpcclient.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
D:\WINDOWS\System32\taskmgr.exe
C:\Program Files\Hijack This\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.fr
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O4 - HKLM\..\Run: [ccApp] D:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
O4 - HKLM\..\Run: [ccRegVfy] D:\Program Files\Fichiers communs\Symantec Shared\ccRegVfy.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - D:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - D:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe
O23 - Service: Remote Procedure Call (RPC) Client (RpcClient) - Unknown owner - D:\WINDOWS\System32\rpcclient.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - D:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - D:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - D:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe
Si je devais faire comme indiqué dans les problèmes similaires et solutions exposées, je devrais à un moment cocher les cases correspondant à HKLM/../ Run, mais elles semblent coincider avec les applications Symantec (Norton) pour deux d'entre elles, et la dernière pour un process nommé 'dumprep' qui à priori n'est pas dangeureux (je dis bien à priori ...).
Je viens donc chercher conseil auprès de vous. A noter que j'ai récemment eu affaire avec le trojan laissant msdirectx.sys comme marque de fabrique, mais que l'affaire semble résolue.
A voir également:
- Encore un pb svchost ...
- Svchost - Guide
- Svchost intempestif ✓ - Forum Windows 10
- Svchost microphone ✓ - Forum Windows 10
- SvcHost trop gourmand - Forum Windows 7
- Supprimer svchost exe ✓ - Forum Windows
33 réponses
D'accord c'est parti ! Merci encore :)
Scan started at 15/06/2005 00:28:35
Scanning memory...
Scanning boot sectors...
Scanning files...
C:\Program Files\Netscape\Users\default\Mail\Trash->(part0472:läsas.exe) - Win32/Magistr.B@mm -> Infected
C:\Program Files\Netscape\Users\default\Mail\Trash->(part0475:détestes.com) - Win32/Magistr.B@mm -> Infected
C:\Program Files\Netscape\Users\default\Mail\Trash->(part0477:client.com) - Win32/Magistr.B@mm -> Infected
C:\Program Files\Netscape\Users\default\Mail\Inbox->(part0686:client.com) - Win32/Magistr.B@mm -> Infected
C:\Program Files\Netscape\Users\default\Mail\Inbox->(part0688:détestes.com) - Win32/Magistr.B@mm -> Infected
C:\Program Files\Netscape\Users\default\Mail\Inbox->(part0690:läsas.exe) - Win32/Magistr.B@mm -> Infected
C:\Jeux\Pinball\HELPME.EXE - Tai-Pan.438.E.remnants -> Suspicious
Scanned
============================
Objects: 28161
Directories: 2469
Archives: 685
Size(Kb): 348018
Infected files: 6
Found
============================
Viruses found: 1
Suspicious files: 1
Disinfected files: 0
Mail files: 259
Ce qui m'étonne car je ne me suis pas servi de Netscape comme serveur mail depuis une éternité... Enfin.
Je me demande aussi si ce problème ne pourrait pas venir de la mise en veille de windows car je n'ai ce problème qu'après un retour de veille (ce qui serait quand même bizarre) J'ai désactivé la mise en veille des fois que ...
Scan started at 15/06/2005 00:28:35
Scanning memory...
Scanning boot sectors...
Scanning files...
C:\Program Files\Netscape\Users\default\Mail\Trash->(part0472:läsas.exe) - Win32/Magistr.B@mm -> Infected
C:\Program Files\Netscape\Users\default\Mail\Trash->(part0475:détestes.com) - Win32/Magistr.B@mm -> Infected
C:\Program Files\Netscape\Users\default\Mail\Trash->(part0477:client.com) - Win32/Magistr.B@mm -> Infected
C:\Program Files\Netscape\Users\default\Mail\Inbox->(part0686:client.com) - Win32/Magistr.B@mm -> Infected
C:\Program Files\Netscape\Users\default\Mail\Inbox->(part0688:détestes.com) - Win32/Magistr.B@mm -> Infected
C:\Program Files\Netscape\Users\default\Mail\Inbox->(part0690:läsas.exe) - Win32/Magistr.B@mm -> Infected
C:\Jeux\Pinball\HELPME.EXE - Tai-Pan.438.E.remnants -> Suspicious
Scanned
============================
Objects: 28161
Directories: 2469
Archives: 685
Size(Kb): 348018
Infected files: 6
Found
============================
Viruses found: 1
Suspicious files: 1
Disinfected files: 0
Mail files: 259
Ce qui m'étonne car je ne me suis pas servi de Netscape comme serveur mail depuis une éternité... Enfin.
Je me demande aussi si ce problème ne pourrait pas venir de la mise en veille de windows car je n'ai ce problème qu'après un retour de veille (ce qui serait quand même bizarre) J'ai désactivé la mise en veille des fois que ...
Désolé, je me suis endormi :p
Logfile of HijackThis v1.99.1
Scan saved at 02:42:33, on 15/06/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\Explorer.EXE
D:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
D:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
D:\Program Files\Internet Explorer\IEXPLORE.EXE
D:\WINDOWS\System32\devldr32.exe
C:\Program Files\Hijack This\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.fr
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O4 - HKLM\..\Run: [ccApp] D:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
O4 - HKLM\..\Run: [ccRegVfy] D:\Program Files\Fichiers communs\Symantec Shared\ccRegVfy.exe
O16 - DPF: {084DAC27-6FA3-4F55-9005-033F2F102F5C} (ITPPDiagIE Class) - http://data.jeuxclassiques.com/npwwg.cab
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - D:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - D:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - D:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - D:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - D:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe
Logfile of HijackThis v1.99.1
Scan saved at 02:42:33, on 15/06/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\Explorer.EXE
D:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
D:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
D:\Program Files\Internet Explorer\IEXPLORE.EXE
D:\WINDOWS\System32\devldr32.exe
C:\Program Files\Hijack This\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.fr
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O4 - HKLM\..\Run: [ccApp] D:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
O4 - HKLM\..\Run: [ccRegVfy] D:\Program Files\Fichiers communs\Symantec Shared\ccRegVfy.exe
O16 - DPF: {084DAC27-6FA3-4F55-9005-033F2F102F5C} (ITPPDiagIE Class) - http://data.jeuxclassiques.com/npwwg.cab
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - D:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - D:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - D:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - D:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - D:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe
Mmmm visiblement j'avais aussi un fichier c:\web.exe caractéristique d'un certain virus (dont je n'ai pas noté le nom), ce qui m'ennuie c'est qu'il n'était pas détecté par les AV (norton ou RAV)
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
salut,
t'as bien fait pour web.
maintenant qu'il ne soit pas detecté... toujours est il , pas bon celui là.
t'en es ou de tes blemes, log ras
sauf eventuellement si pas usuel, fixe
O16 - DPF: {084DAC27-6FA3-4F55-9005-033F2F102F5C} (ITPPDiagIE Class) - http://data.jeuxclassiques.com/npwwg.cab
jean
t'as bien fait pour web.
maintenant qu'il ne soit pas detecté... toujours est il , pas bon celui là.
t'en es ou de tes blemes, log ras
sauf eventuellement si pas usuel, fixe
O16 - DPF: {084DAC27-6FA3-4F55-9005-033F2F102F5C} (ITPPDiagIE Class) - http://data.jeuxclassiques.com/npwwg.cab
jean
D'acc je vais tenter ca. Si ca ne marche ps, je ferai un formatage du disque système et je réinstallerai tous les outils nécessaires rapidement histoire d'être peut etre plus à l'abri
Oui ... mais je ne pense pas que ca vienne d'un virus cette fois... ce qui m'embête c'est que je viens de reformater le disque système et je ne vois pas d'où ca peut venir.
Grosso modo, je joue à warcraft 3 quelques heures et lorsque que je rebascule sur le bureau ou une autre tache, impossible de lancer quoique ce soit, y compris le gestionnaire de taches. La barre de taches plante, impossible d'utiliser les fenetres internet ouvertes, la totale.
Grosso modo, je joue à warcraft 3 quelques heures et lorsque que je rebascule sur le bureau ou une autre tache, impossible de lancer quoique ce soit, y compris le gestionnaire de taches. La barre de taches plante, impossible d'utiliser les fenetres internet ouvertes, la totale.
c'est domage d'avoir reformaté car ton log etait clean, on se serait plutôt orienter sur le patos.
peut etre un post sur le forum materiel.
chauffe du processeur??
peut etre un post sur le forum materiel.
chauffe du processeur??
J'utilise le même HW depuis 3 ans et pas de problème (j'ai juste déplacé un HD récemment après avoir remonté le PC).
Il semblerait que j'ai une erreur dans l'observateur d'évènement :
Le système d'événements de COM+ n'a pas pu déclencher la méthode ConnectionMade de l'abonnement {8403C938-4626-4C86-AD43-BC96A541CB60}-{00000000-0000-0000-0000-000000000000}-{00000000-0000-0000-0000-000000000000}. L'abonné a renvoyé HRESULT 80004001.
Mais je ne sais pas ni ce que ca veut dire ni comment réparer. J'ai posté dans la section Windows du forum, et je vais farfouiller sur le net pour voir ce que ca peut être ... En tout cas avec ce que j'ai pu lire et récupérer ici, je suis plus confiant, merci à tous :)
Il semblerait que j'ai une erreur dans l'observateur d'évènement :
Le système d'événements de COM+ n'a pas pu déclencher la méthode ConnectionMade de l'abonnement {8403C938-4626-4C86-AD43-BC96A541CB60}-{00000000-0000-0000-0000-000000000000}-{00000000-0000-0000-0000-000000000000}. L'abonné a renvoyé HRESULT 80004001.
Mais je ne sais pas ni ce que ca veut dire ni comment réparer. J'ai posté dans la section Windows du forum, et je vais farfouiller sur le net pour voir ce que ca peut être ... En tout cas avec ce que j'ai pu lire et récupérer ici, je suis plus confiant, merci à tous :)
A noter qu'au final le PC ne freeze pas mais extrêmement ralenti, toujours avec une utilisation UC de 100% ... impossible d'ouvrir l'explorateur, mais je peux néanmoins accéder aux outils d'administration avec un peu de patience.
Dans la liste des services je vois un service 'accès du Registre à distance', me conseilleriez vous de le bloquer ?
Dans la liste des services je vois un service 'accès du Registre à distance', me conseilleriez vous de le bloquer ?
Enfin (j'oublie toujours quelque chose, désolé), est il normal que dans la liste des services, je vois sans arrêt
wuaueng.dll (1424) SUS20ClientDataStore: Le moteur de base de données a arrêté une instance (0).
?
wuaueng.dll (1424) SUS20ClientDataStore: Le moteur de base de données a arrêté une instance (0).
?
C'est bon j'ai trouvé !! Donc, j'avais bien un problème de virus que vous m'avez aidé à réparer, mais le problème svchost venait lui de COM+ qui essayait sans réussir de faire tout seul l'upgrade de Messenger. Une fois cet upgrade fait manuellement tout a roulé tout seul !
Merci à tous pour m'avoir aidé sur la partie 'virus', ca m'a appris déjà quelques 'techniques' en plus avant d'appeler à l'aide, et m'a fait connaitre qqs outils qui semblent bien utiles :) Encore merci ^^
Merci à tous pour m'avoir aidé sur la partie 'virus', ca m'a appris déjà quelques 'techniques' en plus avant d'appeler à l'aide, et m'a fait connaitre qqs outils qui semblent bien utiles :) Encore merci ^^
