[Infection]PC hyper-lent à cause d'un svchost Résolu/Fermé

Question

Bonsoir,

Après avoir bien lu ce forum, je vois que je ne vais pas m'en sortir sans une aide... Donc si une bonne âme a quelques instants :-)

Le problème : PC hyper-lent, par phases (15mn lent, 15 mn normal, puis lent à nouveau, etc.). En regardant (Ctrl-Alt-Suppr) les processus, un svchost.exe mange quasiment toutes les ressources.

J'ai vu que pour les situations similaires, dans ce forum, on demande le résultat de l'analyse par HijackThis, et un génie explique quelle est la ligne qui pose problème. J'ai donc fait cette analyse, mais il me manque le génie pour l'analyser !

Voici l'analyse de HijackThis :

Logfile of HijackThis v1.99.1
Scan saved at 20:20:00, on 07/04/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Winamp\winampa.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Cegetel\C-BOX\Wizard\QuickAccess.exe
C:\Program Files\Cegetel\C-BOX\Wizard\Agent_WiFi.exe
C:\Program Files\Microsoft Etudes\Microsoft Encarta 2007 - Études DVD\EDICT.EXE
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Fichiers communs\Ahead\lib\NMBgMonitor.exe
C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\HijackThis (temp)\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://actus.sfr.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: BHO pour Compagnon Web Encarta - {955BE0B8-BC85-4CAF-856E-8E0D8B610560} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Web Companion\2007\ENCWCBAR.DLL
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Compagnon Web Encarta - {147D6308-0614-4112-89B1-31402F9B82C4} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Web Companion\2007\ENCWCBAR.DLL
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Configuration de la C-BOX] C:\Program Files\Cegetel\C-BOX\Wizard\QuickAccess.exe
O4 - HKCU\..\Run: [TVAgent WiFi] C:\Program Files\Cegetel\C-BOX\Wizard\Agent_WiFi.exe
O4 - HKCU\..\Run: [L07FXLRD_8039840] "C:\Program Files\Microsoft Etudes\Microsoft Encarta 2007 - Études DVD\EDICT.EXE" -m
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\lib\NMBgMonitor.exe"
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe
O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Add to Windows &Live Favorites - https://onedrive.live.com/?id=favorites
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Ouvrir dans un nouvel onglet d'arrière-plan - res://C:\Program Files\Windows Live Toolbar\Components\fr-fr\msntabres.dll.mui/229?cd99d5a33dfa41daa1702802d2b775fd
O8 - Extra context menu item: Ouvrir dans un nouvel onglet de premier plan - res://C:\Program Files\Windows Live Toolbar\Components\fr-fr\msntabres.dll.mui/230?cd99d5a33dfa41daa1702802d2b775fd
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Barre de recherche Encarta - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe


Quelqu'un saurait-il me dire s'il y a un problème - et quoi faire ensuite ?

Et pourquoi pas : quelqu'un saurait-il me dire comment on peut apprendre à décoder ça pour trouver l'intrus (y a-t-il un site qui donne des petites leçons sur le sujet que vous pourriez me recommander) ?

Un grand merci d'avance !

Legend · Accepted Answer

Bonjour,
Je rencontre régulièrement un problème similaire de ralentissement lié aussi à un processus "svchost.exe" qui mobilise d'importantes ressources voir la totalité. Il n'est en rien dû à un virus. Par déduction et tests, il semble que cela soit du au "cachedns" qui se pourrit au cours du temps et l'accumulation d'erreurs à l'intérieur fait que son traitement devient lent et peu efficace (un peu comme les prefetchs).

- En effet, pour consulter le détail de ce qu'il se cache derrière les svchost.exe il suffit d'aller les consulter via un invite de commande (Démarrer>exécuter>cmd) en tapant la commande "tasklist -svc".
Une liste de processus apparait dont les services d'hôte (svchost.exe de Microsoft Windows), et on peut lire en description de l'un d'entre eux:
svchost.exe ------> Dnscache

- Les pc sur lesquels j'ai observé ces ralentissements, ayant bien vécu, je me suis posé la question si le problème ne venez pas du cache dns. J'ai donc ouvert un gestionnaire de tâche Windows pour observer le détail des ressources systèmes. J'avais un processus svchost.exe qui mobilisait 50 à 100% des ressources du système.

- J'ai donc ouvert un invite de commande (Démarrer>exécuter>cmd) pour réinitialiser le cache en tapant la commande "ipconfig /flushdns" pour vider le cache, puis "ipconfig /registerdns" pour le mettre à jour.

- Le svchost.exe a libéré instantanément les ressources des pcs sur lesquels j'ai effectué la manipe.
J'en ai conclu que pour mon cas, l'origine du ralentissement venait belle et bien d'un processus Windows qui inscrit les résolutions dns en cache et qu'il faut vider uniquement quand le problème apparaît. Voilà pour celles et ceux qui ont un problème similaire, cela peut résoudre le problème.

Résumé procédure :
- >Sous Windows XP, Démarrer > Exécuter, tapez [cmd] puis faites entrée.
- >Dans l’invite de commande (fenêtre noire qui s’est ouverte), tapez la commande [ipconfig /flushdns]. Un message apparaît vous disant que le cache dns a été vidé (cool c’est justement ce qu’on veut).
- >Puis toujours dans l’invite de commande, tapez la commande [ipconfig /registerdns]. Un message vous informe grosso modo que les dns sont en cours d’enregistrement que cela peut prendre environ 15 minutes...
- >Voilà c’est finis vous pouvez fermez l’invite de commande en cliquez sur la croix de fermeture de fenêtre ou bien en tapant la commande [exit].
 
Dans le cas ou quelqu’un stipulerait que ce raisonnement est incorrect qu’il n’hésite pas à le préciser.

A vous les studioO!

lhionna · Answer

Bonsoir, je m'occupe de toi

J'analyse ton rapport hijackthis, toi pendant ce temps tu vas faire ceci :

Télécharge CCleaner
 
ftp://ftp.commentcamarche.com/download/ccsetup137.exe
(lors de l'installation pense a décocher la case d'installation de la barre d'outils yahoo)
  Installe le

  Lance le

guide d'utilisation : https://www.malekal.com/tutoriel-ccleaner/

Scanne ensuite ton PC avec un BitDefender en ligne (uniquement sous Internet Explorer) : 

www.bitdefender.com/scan8/ie.html 


Télécharge AVG Antispyware :

    ftp://ftp.commentcamarche.com/download/avgas-setup-7.5.0.50.exe

  Installe le

  Met le à jour et fait un scan, supprime tout ce qu'il trouve et colle le rapport de désinfection ici

    guide d'utilisation : http://www.malekal.com/tutorial_AVG_AntiSpyware.html


Télécharge smitFraud fix
http://siri.urz.free.fr/Fix/SmitfraudFix.exe
Double cliquer sur SmitfraudFix.exe 

Sélectionner 1 et pressez Entrée dans le menu pour créer un rapport des fichiers responsables de l'infection. Le rapport se trouve à la racine du disque système C:\rapport.txt 
copie et colle le rapport

n'oublie pas de coller les rapports ici !

lhionna · Answer

J'ai trouvé des infos concernant svchost à 100%, il semblerait que ce ne soit pas un virus mais plutôt un bug de Microsoft
Télécharge ceci :
https://support.microsoft.com/en-us/help/916089

Si ton svchost est toujours à 100%

Autre solution : tu stoppes temporairement tous les services liés aux fonctions d'update de Microsoft, puis tu supprimes le contenu du repertoire c:\windows \softwaredistribution et tu relances Windowsupdate 
Si tu as des messages de violation d'acces lorsque tu veux supprimer le contenu du repertoire, c'est qu'un process demeure en memoire et n'a pas ete killé

En espérant que ce soit du aux mise a jour windows !

Sinon il s'agit d'un conflit de pilote ou de programme et il parait que c'est très difficile a diagnostiquer ! dans ce cas là, je ne pourrait pas t'aider

Il te faudra reposter ton sujet dans la rubrique Windows

Bref de toute façon par précaution je préfère voir tes rapports des differents programmes de détection, on ne sait jamais