Plus de 500Mo pour le processus svshost.exe

grapheyes Messages postés 63 Statut Membre -  
grapheyes Messages postés 63 Statut Membre -
Bonjour,
Après des heures de recherche sur le web, j'en arrive à poster sur ce forum pour essayer de trouver des personnes qui auront la gentillesse de m'aider.

Je suis sous Windows XP Pro SP3 et lorsque je démarre mon PC, il ne faut pas moins d'1h ou 2h pour que l'un des 7 processus svchost.exe consomme plus de 500Mo de mémoire jusqu'à parfois même plus de 1Go ! A ce stade, inutile de vous dire que je suis contraint de redémarrer mon pc, et même de l'éteindre de force tellement ça rame.

J'ai suivi une solution que proposait un membre de ce forum consultable à l'adresse : https://forums.commentcamarche.net/forum/affich-2985386-svchost-exe-processeur-100-la-solution
Mais rien n'a changé...

J'ai installé ProcessExplorer afin de voir quels services se cachaient derrière svchost.exe

Vous trouverez les captures d'écran de l'arborescence de ces services à l'adresse :
http://www.creation-liguane.fr

Je serais vraiment ravi de trouver une solution au sein de la communauté des membres de commentcamarche.net

En espérant y trouver de l'aide. Merci d'avance à vous.
Salutations à tous.

98 réponses

  • 1
  • 2
  • 3
  • 4
  • 5
Résumé de la discussion

Le problème central est un ralentissement sous Windows XP Pro SP3 dû à svchost.exe consommant massivement de la mémoire, avec des processus atteignant fréquemment plusieurs centaines de mégaoctets à plus d'un gigaoctet. Des solutions proposées incluent la désinstallation de Registry Booster et l’utilisation de ZHPDiag (Nicolas Coolman) pour générer un rapport, puis partager ce fichier afin d’identifier les éléments malveillants ou indésirables. Des étapes ultérieures impliquent l’analyse des rapports Pre_Scan et Pre_script et des ajustements éventuels des mises à jour automatiques, tout en vérifiant la stabilité du réseau après modifications.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. g3n-h@ckm@n
     
    salut desinstalle Registry booster c'est une arnaque

    ▶ Télécharge ZHPDiag (de Nicolas Coolman)

    ou :ZHPDiag

    Enregistre le sur ton Bureau.

    Une fois le téléchargement achevé,

    ▶ Installe et lance ZHPDiag.exe

    ▶ Clique sur le tournevis puis sur Tous pour cocher toutes les cases des options.

    ▶ Clique sur la loupe pour lancer l'analyse.

    A la fin de l'analyse,

    ▶ clique sur l'appareil photo et enregistre le rapport sur ton Bureau.

    Pour me le transmettre clique sur ce lien :

    http://www.cijoint.fr/

    ▶ Clique sur Parcourir et cherche le fichier C:\Documents and settings\le_nom_de_ta_session\.ZHPDiag.txt

    ▶ Clique sur Ouvrir.

    ▶ Clique sur "Cliquez ici pour déposer le fichier".

    Un lien de cette forme :

    http://www.cijoint.fr/cjlink.php?file=cj200905/cib7SU.txt

    est ajouté dans la page.

    ▶ Copie ce lien dans ta réponse.
    1
  2. grapheyes Messages postés 63 Statut Membre 1
     
    Voilà le rapport obtenu :

    http://www.creation-liguane.fr/Pre_script.txt
    1
  3. antipolis a Messages postés 17152 Statut Membre 2 917
     
    Si vous avez une sauvegarde-image de votre partition "système", je pense que le plus simple est de faire une restauration, sinon ...
    0
  4. grapheyes Messages postés 63 Statut Membre 1
     
    Non, ma sauvegarde existait encore il y a six mois sur un disque dur externe qui a malheureusement rendu l'âme en janvier de cette année.

    Quelqu'un aurait-il une autre solution?

    Avec HiJack, peut-on résoudre quelquechose? Si oui, je ne sais pas m'en servir.

    Et pour info, j'ai fais une tentative de nettoyage de registre avec Registry Booster mais cela n'a rien changé. Du coup, j'ai restauré mon registre à l'état initial.

    Merci d'avance pour votre aide...
    0
    1. antipolis a Messages postés 17152 Statut Membre 2 917
       
      "Non, ma sauvegarde existait encore il y a six mois sur un disque dur externe qui a malheureusement rendu l'âme en janvier de cette année."
      C'est vraiment pas de bol.

      Et comme je vois qu'un "spécialise du dévirussage" vous a pris en charge, je me contenterai de rester en "observateur silencieux" sur le sujet.

      Cordialement à vous et à g3n-h@ckm@n.
      0
    2. grapheyes Messages postés 63 Statut Membre 1
       
      Bon, si vous le dites...
      Vous avez déjà vu g3n-h@ckm@n à l'oeuvre?

      Quoiqu'il en soit, ça fait plaisir de voir que des "experts" sont présent sur ce forum.
      Comme on dit, chacun son métier.

      Le mien, c'est plus de l'autre côté de la barrière, côté software avec la série des logiciels des infographistes (photoshop, illustrator, premiere, dreamweaver, et j'en passe).
      Vous l'avez compris, avec de tels logiciels gourmands en mémoire, je ne peux pas me permettre de perdre 1Go de mémoire à cause du processus svchost.exe.

      Espérons que la solution se dévoile sur ce post.

      Encore merci à toi g3n-h@ckm@n !
      0
    3. Apatik Messages postés 6040 Statut Contributeur 789
       
      Gen-hackman n'est plus à présenter, c'est notre Dieu à tous =)

      Enfin... c'est leur Dieu coté désinfection quoi :p
      0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. grapheyes Messages postés 63 Statut Membre 1
     
    Bonjour g3n-h@ckm@n,
    Merci beaucoup déjà pour t'intéresser à mon problème.
    J'ai suivi exactement la procédure que tu m'a décrite.

    Tu trouveras ci dessous le lien du fichier joint :
    http://www.cijoint.fr/cjlink.php?file=cj201108/cijuLAbPpy.txt

    ou via mon ftp :
    http://www.creation-liguane.fr/ZHPDiag.txt

    En espérant que tu auras une vue plus éclaircie sur mon problème de processus svchost.exe consommant jusqu'à 1Go de mémoire.

    Encore merci à toi.
    0
  7. g3n-h@ckm@n
     
    ▶ Télécharge Defogger (de jpshortstuff) sur ton Bureau

    ▶ Lance le

    Une fenêtre apparait : clique sur "Disable"

    ▶ Fais redémarrer l'ordinateur si l'outil te le demande

    Note : Quand nous aurons terminé la désinfection, tu pourras réactiver ces logiciels en relançant Defogger et en cliquant sur "Re-enable"

    ==========================================

    ▶ Télécharge Reload_TDSSKiller

    ▶ Lance le

    choisis : lancer le nettoyage

    l'outil va automatiquement télécharger la derniere version puis

    TDSSKiller va s'ouvrir , clique sur "Start Scan"

    une fois qu'il a terminé , redemarre s'il te le demande pour finir de nettoyer

    sinon , ferme tdssKiller et le rapport s'affichera sur le bureau

    ▶ Copie/Colle son contenu dans ta prochaine réponse.
    0
  8. grapheyes Messages postés 63 Statut Membre 1
     
    Voici le rapport que j'ai obtenu :

    2011/08/20 16:33:43.0359 2140 TDSS rootkit removing tool 2.5.16.0 Aug 19 2011 17:48:17
    2011/08/20 16:33:43.0500 2140 ================================================================================
    2011/08/20 16:33:43.0500 2140 SystemInfo:
    2011/08/20 16:33:43.0500 2140
    2011/08/20 16:33:43.0500 2140 OS Version: 5.1.2600 ServicePack: 3.0
    2011/08/20 16:33:43.0500 2140 Product type: Workstation
    2011/08/20 16:33:43.0500 2140 ComputerName: PC3D
    2011/08/20 16:33:43.0500 2140 UserName: 3d
    2011/08/20 16:33:43.0500 2140 Windows directory: C:\WINDOWS
    2011/08/20 16:33:43.0500 2140 System windows directory: C:\WINDOWS
    2011/08/20 16:33:43.0500 2140 Processor architecture: Intel x86
    2011/08/20 16:33:43.0500 2140 Number of processors: 2
    2011/08/20 16:33:43.0500 2140 Page size: 0x1000
    2011/08/20 16:33:43.0500 2140 Boot type: Normal boot
    2011/08/20 16:33:43.0500 2140 ================================================================================
    2011/08/20 16:33:44.0453 2140 Initialize success
    2011/08/20 16:33:56.0875 1812 ================================================================================
    2011/08/20 16:33:56.0875 1812 Scan started
    2011/08/20 16:33:56.0875 1812 Mode: Manual;
    2011/08/20 16:33:56.0875 1812 ================================================================================
    2011/08/20 16:33:59.0765 1812 MBR (0x1B8) (dad11e2a62df7f44f938c5059e874339) \Device\Harddisk0\DR0
    2011/08/20 16:33:59.0781 1812 \Device\Harddisk0\DR0 - detected Rootkit.Win32.TDSS.tdl4 (0)
    2011/08/20 16:33:59.0781 1812 ================================================================================
    2011/08/20 16:33:59.0781 1812 Scan finished
    2011/08/20 16:33:59.0781 1812 ================================================================================
    2011/08/20 16:33:59.0796 2380 Detected object count: 1
    2011/08/20 16:33:59.0796 2380 Actual detected object count: 1
    2011/08/20 16:34:26.0546 2380 \Device\Harddisk0\DR0 (Rootkit.Win32.TDSS.tdl4) - will be cured after reboot
    2011/08/20 16:34:26.0546 2380 \Device\Harddisk0\DR0 - ok
    2011/08/20 16:34:26.0546 2380 Rootkit.Win32.TDSS.tdl4(\Device\Harddisk0\DR0) - User select action: Cure
    2011/08/20 16:34:47.0687 1840 Deinitialize success
    0
  9. g3n-h@ckm@n
     
    ▶ Télécharge ici : Ad-remover sur ton bureau :

    ▶ Déconnecte toi et ferme toutes applications en cours !

    si tu as XP => double clique
    si tu as Vista ou windows 7 => clic droit "executer en tant que...."


    ▶ sur "Ad-R.exe" pour lancer l'installation et laisse les paramètres d'installation par défaut .

    ▶ clique le raccourci Ad-remover qui est sur ton bureau pour lancer l'outil .

    ▶ Au menu principal choisis "option Nettoyer" et tape sur [entrée] .

    ▶ Laisse travailler l'outil et ne touche à rien ...

    ▶ Poste le rapport qui apparait à la fin , sur le forum ...

    ( Le rapport est sauvegardé aussi sous C:\Ad-report.log )
    ( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )

    ==============================

    desactive ton antivirus
    desactive Windows defender si présent
    desactive ton pare-feu

    Ferme toutes tes appilications en cours

    telecharge et enregistre ceci sur ton bureau :

    Pre_Scan

    mirroir :

    http://www.archive-host.com

    s'il n'est pas sur ton bureau coupe-le de ton dossier telechargements et colle-le sur ton bureau

    Avertissement: Il y aura une extinction du bureau pendant le scan --> pas de panique.

    une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan.txt" sur le bureau.

    si 'outil est bloqué par l'infection utilise cette version : Version .pif

    si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

    si l'outil semble ne pas avoir fonctionné renomme-le winlogon , ou change son extension en .com ou .scr

    Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler

    Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra sur le bureau en fin de scan

    ▶▶▶ NE LE POSTE PAS SUR LE FORUM (il est trop long)

    clique sur ce lien : http://www.cijoint.fr/

    ▶ Clique sur Parcourir et cherche le fichier ci-dessus.

    ▶ Clique sur Ouvrir.

    ▶ Clique sur "Cliquez ici pour déposer le fichier".

    Un lien de cette forme :

    http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

    est ajouté dans la page.

    ▶ Copie ce lien dans ta réponse.

    si ton bureau ne reapparait pas => ctrl+alt+supp , gestionnaire des taches => onglet fichier => nouvelle tache puis tape explorer
    0
  10. grapheyes Messages postés 63 Statut Membre 1
     
    Dans un premier temps, voici le rapport de Ad-remover, voici le lien :

    http://www.creation-liguane.fr/Ad-Report-SCAN%5B1%5D.txt

    Je te mets le rapport de Pre_scan juste après...

    Encore merci pour ton accompagnement.
    0
  11. g3n-h@ckm@n
     
    j'avais demandé nettoyer avec AD-Remover
    0
  12. grapheyes Messages postés 63 Statut Membre 1
     
    Désolé... voilà le nouveau rapport:

    http://www.creation-liguane.fr/Ad-Report-CLEAN[1].txt

    Je poste le second rapport de Pre_Scan juste après...
    0
  13. grapheyes Messages postés 63 Statut Membre 1
     
    Ci dessous le rapport de Pre_Scan :

    http://www.creation-liguane.fr/Pre_Scan_20_08_2011_17_17_03.txt

    dans l'attente de tes remarques ou conseils, merci encore.
    0
  14. g3n-h@ckm@n
     
    desinstalle Vuze Remote Toolbar
    desinstalle spybot il sert à rien
    desinstalle adobe reader 9.4.5 on mettra le dernier

    ========================================

    fais glisser une icone n'importe quel fichier sur Pre_scan , pre_script va apparaitre

    ouvre Pre_script et colle ce qui suit en gras, à l'interieur du texte qui s'ouvre ,
    sans les lignes , en une seule fois en le mettant en surbrillance :
    ___________________________________________________
    processes::
    datamngrUI.exe

    Registry::
    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "RoboForm"=-
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "RTHDCPL"=-
    "Alcmtr"=-
    "nwiz"=-
    "ISUSPM Startup"=-
    "ISUSScheduler"=-
    "QuickTime Task"=-
    [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Adobe Reader Speed Launcher]
    [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\AdobeBridge]
    [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Ask and Record FLV Service]
    [-HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar]
    "{ba14329e-9550-4989-b3f2-9732e92d17cc}"=-
    [-HKEY_CURRENT_USER\Software\LdShih]
    [-HKEY_LOCAL_MACHINE\Software\7cc]
    [-HKEY_LOCAL_MACHINE\Software\90c]
    [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
    "C:\WINDOWS\Temp\~os4.tmp\ossproxy.exe"=-
    "C:\WINDOWS\Temp\~os16.tmp\ossproxy.exe"=-
    "C:\WINDOWS\Temp\~os114.tmp\ossproxy.exe"=-
    "C:\WINDOWS\system32\spoolsv.exe"=-
    [HKEY_LOCAL_MACHINE\System\CurrentControlSet\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
    "139:TCP"=-
    "445:TCP"=-
    "137:UDP"=-
    "138:UDP"=-
    "1900:UDP"=-
    "2869:TCP"=-
    [HKEY_LOCAL_MACHINE\System\CurrentControlSet\services\sharedaccess\parameters\firewallpolicy\domainprofile\GloballyOpenPorts\List]
    "139:TCP"=-
    "445:TCP"=-
    "137:UDP"=-
    "138:UDP"=-

    file::
    C:\Documents and Settings\Utilisateur\g2mdlhlpx.exe
    C:\Documents and Settings\All Users\Application Data\hpe3F.dll
    C:\Documents and Settings\All Users\Application Data\~0
    C:\Documents and Settings\All Users\Application Data\~1
    C:\WINDOWS\Tasks\Ad-Aware Update (Daily 1).job
    C:\WINDOWS\Tasks\Ad-Aware Update (Daily 2).job
    C:\WINDOWS\Tasks\Ad-Aware Update (Daily 3).job
    C:\WINDOWS\Tasks\Ad-Aware Update (Daily 4).job
    C:\WINDOWS\Tasks\Ad-Aware Update (Weekly).job

    folder::
    C:\Documents and Settings\Utilisateur\Application Data\Mozilla\Firefox\Profiles\iyh7kreg.default\extensions\{ba14329e-9550-4989-b3f2-9732e92d17cc}
    C:\Documents and Settings\Utilisateur\Application Data\facemoods.com
    C:\Documents and Settings\Utilisateur\LOCAL Setttings\Temp\{7B7636FE-3924-4B0A-91CA-99E8DD72F0DF}
    C:\Documents and Settings\Utilisateur\LOCAL Setttings\Temp\d2e7fda4-ee4e-4834-b2d5-74c75cc15408
    C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Spybot - Search & Destroy
    C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
    C:\Documents and Settings\Utilisateur\Local Settings\Application Data\{3248F0A6-6813-11D6-A77B-00B0D0150060}
    C:\Program Files\Spybot - Search & Destroy

    dns::

    attrib::

    ___________________________________________________

    copie-le (ctrl+c ou clique droit sur la selection puis => copier)

    puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte

    des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille

    poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail

    si ton bureau ne reapparait pas => ctrl+alt+supp , gestionnaire des taches => onglet fichier => nouvelle tache puis tape explorer
    0
  15. grapheyes Messages postés 63 Statut Membre 1
     
    Alors, donc :

    J'ai réussi à désinstaller spubot
    Je n'ai pas réussi à désinstaller "Vuze Remote Tool bar"
    J'ai du coup désinstaller le module "Vuze Remote Tool bar" de Firefox
    Mais rien ne se passe quand j'essaie de désinstaller le programme via le panneau de configuration.
    J'ai passé du coup...
    J'ai désinstallé Acrobat Reader 9 Français

    Pour ce que tu me dis de faire ci-dessous :
    ouvre Pre_script et colle ce qui suit en gras, à l'interieur du texte qui s'ouvre ,
    sans les lignes , en une seule fois en le mettant en surbrillance :

    qUAND tu dis sans les lignes, je comprends pas.
    Merci de me préciser.
    0
  16. g3n-h@ckm@n
     
    tout le texte en gras entre la ligne du haut et celle du bas :)
    0
  17. grapheyes Messages postés 63 Statut Membre 1
     
    c'est bon... les écrans noirs travaillent
    0
    1. g3n-h@ckm@n
       
      ok
      0
  18. g3n-h@ckm@n
     
    regarde si tu peux supprimer manuellement ceci :

    C:\Documents and Settings\All Users\Application Data\~0
    C:\Documents and Settings\All Users\Application Data\~1
    0
  19. grapheyes Messages postés 63 Statut Membre 1
     
    ça y est c'est fait.
    Toujours rien qui se passe pour "Vuze Remote Toolbar"

    On a fini? Si oui, un grand grand merci.
    Si non, j'attends ta réponse
    0
  20. g3n-h@ckm@n
     
    refais ZHPDiag , tout coché au tournevis , rapport hébergé
    0
  21. grapheyes Messages postés 63 Statut Membre 1
     
    Je dois m'absenter. Je te réponds dès que je suis de retour.

    En tout cas, ça à l'air déjà de beaucoup mieux fonctionné.
    T'es vraiment un expert g3n-h@ckm@n !!

    Encore merci et si jamais tu avais d'autres recommandations, je te lierai dès mon retour.

    Merci, merci.
    0
    1. g3n-h@ckm@n
       
      c'est au dessus ^^
      0
  • 1
  • 2
  • 3
  • 4
  • 5