svchost.exe popup incessant Résolu/Fermé

Question

Bonjour, 



Configuration: Windows / Chrome 35.0.1916.153

Depuis quelque temps j'ai avast qui m'avertie sans cesse qu'il bloque svchost.exe .
Dans mon gestionnaire des tâche j'ai 13 svchost pour un totale d'environ 100 000 ko de memoire ... 
Mon ordinateur ne ferme pas tout seule , aucun signe d'une grande infection ou autre mais seulement des alertes au 2 minutes d'avast .

Si quelqu'un peux m'aider a régler se problème ... J'ai deja fait mes recherches sur les svchost lancer quelque scan mais je n'ai pas osé aller trop loin ...

informa42 · Answer

Pour commencer ferme svchost.exe grâce au gestionnaire des taches. Ensuite commence une désinfection avec un scan puis nettoyage avec avast puis un scan avec malwarebytes.

Pour télécharger malwarebytes : http://informatiquefacile.3dom.fr/t%C3%A9l%C3%A9charger-malwarebytes

Pour apprendre à utiliser malwarebytes : https://www.commentcamarche.net/telecharger/securite/14361-malwarebytes-anti-malware/

Si le problème persiste, on t'indiqueras d'autres logiciels à utiliser et d'autres procédures.

lilidurhone · Answer

Hello

Le plus souvent il n'y a pas d'infection

Il faut donc soit
-établir un diagnostic avec OTL pour vérifier
-désactiver la protection pendant 30 minutes

silula21 · Answer

Bon , alors quand j'essaie de fermer svchost ,  premierement il apparaisse seulement dans '' detail '' et quand je les fermes il se relance ... ou bien je perd ma connexion internet ...


Pour OTL je fais quoi exactement comme scan ?

lilidurhone · Answer

OTL(configuration malekal)

Faire un Scan OTL - Temps : Environ 40min 
===================== 
OTL permet de diagnostiquer les programmes qui tournent et déceler des infections - Le programme va générer deux rapports OTL.txt et Extras.txt 
Fournir les deux rapports : 

Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/ 

* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau. 
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur) 

Dans le cas d'Avast!, ne pas lancer le programme dans la Sandbox (voir lien d'aide ci-dessus). 

* Lance OTL 
* En haut à droite de Analyse rapide, coche "tous les utilisateurs" 
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous : 



netsvcs 
msconfig 
safebootminimal 
safebootnetwork 
activex 
drivers32 
%ALLUSERSPROFILE%\Application Data\*. 
%ALLUSERSPROFILE%\Application Data\*.exe /s 
%ALLUSERSPROFILE%\Application Data\*.dll /s 
%APPDATA%\*. 
%PROGRAMFILES%\*. 
%PROGRAMDATA%\*. 
%APPDATA%\*.exe /s 
%temp%\*.exe /s 
%SYSTEMDRIVE%\*.exe 
%systemroot%\*. /mp /s 
%systemroot%\system32\consrv.dll 
%systemroot%\system32\*.dll /lockedfiles 
%windir%\Tasks\*.job /lockedfiles 
%systemroot%\system32\drivers\*.sys /lockedfiles 
%systemroot%\System32\config\*.sav 
/md5start 
explorer.exe 
winlogon.exe 
services.exe 
wininit.exe 
/md5stop 
HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s 
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s 
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s 
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s 
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s 
HKEY_LOCAL_MACHINE\Software\Microsoft\Command Processor /s 
HKEY_CURRENT_USER\Software\Microsoft\Command Processor /s 
CREATERESTOREPOINT 
nslookup www.google.fr /c 
ping www.google.fr /c 
ipconfig /all /c 
SAVEMBR:0 
hklm\software\clients\startmenuinternet|command /rs 
hklm\software\clients\startmenuinternet|command /64 /rs 



* Clique sur le bouton Analyse. 

**** Si durant le scan - OTL ne répond pas, ne touche à rien et laisse le scan se poursuivre **** 

* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent). 
Donne le ou les liens pjjoint qui pointent vers ces rapports ici dans une réponse. 
Je répète : donne le lien du rapport pjjoint ici en réponse. 

NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT DANS UN NOUVEAU MESSAGE

silula21 · Answer

Rapport OTL : https://pjjoint.malekal.com/files.php?id=20140714_k15v15s12d13w12

Extra : https://pjjoint.malekal.com/files.php?id=20140714_f10s8v10i15y12

lilidurhone · Answer

Je regarde ça

Tu as quoi comme extensions et plugins sur chacun de tes navigateurs?

silula21 · Answer

Sur chrome :
-AddBlock 
-Google docs

Sur explorer aucune idée je ne l'ai jamais utiliser alors ...

lilidurhone · Answer

Tu as dû installer des logiciels potentiellement indésirables


Pour éviter ce genre de problème :

- Ne télécharge aucun programme proposé dans des publicités ou sur des sites suspects. A noter que certains sites connus comme  Softronic, Tuto4PC, etc modifient parfois les programmes proposés au téléchargement pour y ajouter des logiciels publicitaires ==> Préfère toujours le téléchargement directement sur le site de l'éditeur.


- Au cours de l'installation d'un programme gratuit, lis bien attentivement et décoche tous les programmes additionnels qui sont proposés, en particulier les barres d'outils.

Pour ton information lis ces dossier sur les Programmes Potentiellement Indésirables et Les Barres d'Outils ce n'est pas obligatoires

* Télécharge cet outil simple d'utilisation 

https://toolslib.net/downloads/viewdownload/1-adwcleaner/

* Si problème avec le 1er lien prends le ici https://www.commentcamarche.net/telecharger/securite/2759-adwcleaner/

* Lance le (Sous vista/seven/8 clic droit dessus,et sur exécuter en tant qu'administrateur)si tu es sous xp double cliques dessus

* Cliques sur scanner 
* Poste le rapport de recherche C:\Adwcleaner[R]

* Note le rapport de recherche est également sauvegardé sous C:\Adwcleaner[R1]

* Héberge le rapport sur cjoint 

* Pour t'aider  https://www.commentcamarche.net/faq/29493-utiliser-cjoint-pour-heberger-des-fichiers

silula21 · Answer

Celui d'aujourd'hui : 
https://www.cjoint.com/?DGowlNzYmuJ

Celui-ci date du 11 :
http://cjoint.com/14ju/DGowm0sPxln.htm

lilidurhone · Answer

Ok

Peux tu vérifier ce fichier
C:\ProgramData\6bab07f6fb34d432

Sur virustotal


 Procédure préliminaire : Afficher les fichiers/dossiers cachés

Dans l'explorateur, sous XP -> Menu -> Outils -> Options des dossiers -> onglet Affichage
Dans l'explorateur, sous Vista/7 -> Organiser -> Options des dossiers et de recherche -> onglet Affichage

1 - Cocher Afficher les fichiers et dossiers cachés
2 - Décocher Masquer les extensions des fichiers dont le type est connu
3 - Décocher Masquer les fichiers protégés du système d'exploitation
4 - Valider par Appliquer

Ne pas oublier de recocher ou décocher les options modifiées après l'analyse sur VirusTotal

Ouvrir la page VirusTotal https://www.virustotal.com/gui/

1 - Cliquer sur Choose File pour chercher le fichier à analyser
2 - Sélectionner le fichier à analyser
3 - Cliquer sur Scan it!
4 - Patienter le temps de l'envoi
5 - Souvent le fichier a déjà été analysé, si c'est le cas, cliquer sur Reanalyse
6 - Patienter le temps de l'analyse.
Le résultat s'affiche et indique le nombre de détections (Detection ratio)

7 - Copier-coller l'url affichée dans la barre d'adresse, si l'analyse a été demandée sur un forum de désinfection.

silula21 · Answer

Je crois avoir analyser le bon fichier, il était le seul dans le dossier que tu m'avais indiquer ... https://www.virustotal.com/gui/file/96a2152756273a111a177b7c07926d5ee519e57def8a8a8aa416cdf2fc5e14c3

lilidurhone · Answer

OTL correction

 Relance OTL. 
o sous Personnalisation (Custom Scan), copie_colle le contenu ci dessous (bien prendre :OTL en début). 

:OTL

IE:[b]64bit:[/b] - HKLM\..\SearchScopes,DefaultScope = {33BB0A4E-99AF-4226-BDF6-49120163DE86}
[2014-04-22 23:43:18 | 000,000,000 | ---D | M] -- C:\Program Files (x86)\SweetPacks
[2014-07-04 13:31:38 | 000,000,000 | ---D | M] -- C:\Program Files (x86)\MySearch
[2014-07-04 13:31:38 | 000,000,000 | ---D | C] -- C:\ProgramData\MySearch




Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:

silula21 · Answer

========== OTL ==========
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\DefaultScope| /E : value set successfully!
C:\Program Files (x86)\SweetPacks folder moved successfully.
C:\Program Files (x86)\MySearch folder moved successfully.
C:\ProgramData\MySearch folder moved successfully.
 
OTL by OldTimer - Version 3.2.69.0 log created on 07142014_163224

lilidurhone · Answer

Impeccable

Toujours des alertes ?

Si oui désactive pendant 30 minutes et réactives la

silula21 · Answer

Je vais voir si j'ai toujours des alertes , sinon je desactive quoi durant 30 minutes ? Avast ?

lilidurhone · Answer

Oui et tu le réactive

silula21 · Answer

Parfait, j'ai fait désactiver tout les agents pour une heure , j'espère être tranquille après :)

Je te remercie indéfiniment.

lilidurhone · Answer

:)

lilidurhone · Answer

Alors ?

Utilisateur anonyme · Answer

Bonsoir
Sur Virus Total, nom du fichier indiqué qui a été analysé :
{C670DCAE-E392-AA32-6F42-143C7FC4BDFD}.20140704133138
Hum, bizarre

C:\ProgramData\6bab07f6fb34d432 
C'est un dossier ça, il n'y a pas d'extension.

afideg · Answer

Bonjour california50

Lire ici  https://forums.commentcamarche.net/forum/affich-30507114-svchost-exe-popup-incessant#11 
L'internaute précise: « Je crois avoir analyser le bon fichier, il était le seul dans le dossier que tu m'avais indiqué ... »  

Ça paraît correct, non ?
À quoi penses-tu comme "anomalie" ?

Albert
Patience-Vigilance-Amour.

juju666 · Answer

Salut

+1 avec California50 (que je salue au passage)

Lili veut faire analyser un dossier :

[2014-07-04 13:31:38 | 000,000,000 | ---D | C] -- C:\ProgramData\6bab07f6fb34d432
 
D = Directory (Dossier)

CF : http://assiste.forum.free.fr/viewtopic.php?t=26725

Je cite :
[2010/03/15 18:25:02 | 1609,916,416 | -HS- | M] () -- C:\hiberfil.sys - les quatre indicateurs après la taille du fichier peuvent être RHSD, avec la signification ci-dessous:

R - Readonly [Lecture seule]
H - Hidden [Caché]
S - System [Système]
D - Directory [Dossier]

Après t'as M ou C.
Modifié/Créé (la date est au début de la ligne).
.::. Contributeur Sécurité .::.

afideg · Answer

Salut Julien,

Belle référence.

Pourquoi réponds-tu aux lieu et place de California50 que je questionne ?
Et pourquoi plussoyer California ?

Soit!
Lili demande une analyse chez VT, et l'helpé va y chercher les éventuels fichiers à analyser; je trouve que c'est correct de la part de l'helpé.

S'il te plaît, pourrais-tu être plus direct dans ton message; ça pourrait aider Lili plus précisément.

Merci  ;)
Amicalement.
Albert

lilidurhone · Answer

Hello à tous


J'avais demandé l'analyse car le dossier me paraissait douteux :)

Or il s'avère que non

De plus le helpe a mis son sujet en résolu à 0h


Je vous laisse je pars en vacances

afideg · Answer

Salut California50

Oui, oui, je ne nie pas que ton intervention sur le topic soit logique.
Que bien au contraire; et c'est pourquoi je te questionnais.
Cela dans le but de sensibiliser Lili (au travers de ta réponse) en rapport avec sa demande d'analyse VT.
C'est aussi pourquoi je signale à Julien "... être plus direct dans ton message; ça pourrait aider Lili plus précisément".

J'ose espérer que l'on se soit bien compris.
Il n'y a pas de quoi faire un foin !
Pour cette fois, le helpé a bien réagi (et il n'y avait pas péril en la demeure).

PS Quel est ton statut ou ta formation pour donner d'aussi bons commentaires dans les topics en cours ? S'il te plaît. Je ne t'avais pas encore croisé. Rien dans ton profil pour me donner une idée.  ;) Merci.

@Lili,
Bonnes vacances, profite !
Pour une autre fois, tu sais qu'il existe d'autres manières pour en connaître plus (+) sur un dossier "douteux/inconnu".  ;)

Albert

Svchost.exe popup incessant

25 réponses

Discussions similaires