Svchost.exe <=> Defender

Signaler
-
 Tessel75 -
Bonjour à tous,
Je reçois une notification de Defender me disant qu'il a bloqué "svchost.exe " qui tentait de pénétrer "\Device\HarddiskVolume1" ; et quand je consulte CCM , la réponse est que "svchost.exe " est un processus tout à fait normal et qu'il ne faut surtout pas le bloquer (https://www.commentcamarche.net/informatique/windows/225-gerer-le-processus-svchost-exe-de-windows/)

Alors je ne comprends plus; d'un côté on m'assure que "svchost.exe" est normal et essentiel au bon fonctionnement de Windows , et de l'autre côté, "Defender " le bloque en tant que menace.
Si quelqu'un peut éclairer ma lanterne ?


Configuration: Windows / Firefox 87.0

12 réponses

Messages postés
2551
Date d'inscription
jeudi 19 décembre 2019
Statut
Contributeur sécurité
Dernière intervention
20 avril 2021
408
Bonjour,


On va commencer par un diagnostic du PC :

Bien lire toute la procédure avant de poster les rapports

--> Télécharge la version FRST de Farbar, compatible avec ton système et enregistre le fichier sur ton Bureau

--> Pour un système en 32 bits
--> Pour un système en 64 bits

Comment savoir quelle version 32 bits ou 64 bits est exécutée sur mon système ?


--> Patiente le temps que ton navigateur te propose le téléchargement à enregistrer, sans cliquer nulle part, surtout pas sur les sponsors de la page.
--> Ferme toutes les applications, y compris ton navigateur
--> Double-clique sur FRST.exe et clique sur Oui pour accepter le Disclaimer
--> Sous Vista, Windows 7 / 8 et 10, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
--> Attendre qu'il indique L'outil est prêt à fonctionner
--> Sur le menu principal, clique sur Analyser et patiente le temps de l'analyse
--> A la fin du scan, les rapports FRST.txt et Addition.txt sont créés. Poste ces rapports dans ta prochaine réponse.
--> Les rapports sont enregistrés au même emplacement que l'outil et sous C:\FRST\Logs



--> Le filtre SmartScreen peut déclencher une alerte. Cliquer sur Actions ou Informations complémentaires puis sur Exécuter quand même

---------------------------------------------------------------------------------------------

Sont attendus les rapports FRST.txt et Addition.txt

Tous les rapports doivent être hébergés sur https://security-x.fr/up/ et tu indiques les liens obtenus dans ta réponse
Voici :

FRST ==> https://up.security-x.fr/file.php?h=R648e22f99fdaba8aef944f8c1f323580

Addition ==> https://up.security-x.fr/file.php?h=R66fb6baa1397a0d5c244f396235bd408

Merci
Messages postés
2551
Date d'inscription
jeudi 19 décembre 2019
Statut
Contributeur sécurité
Dernière intervention
20 avril 2021
408
RE_

Il y a un problème sur un fichier qui semble appartenir à Office :
C:\Program Files\Microsoft Office\Office14\MSACCESS.EXE

Impossible d'accéder au processus -> MSACCESS.EXE
Impossible d'accéder au processus -> MSACCESS.EXE
Impossible d'accéder au processus -> MSACCESS.EXE


Est ce que tu peux faire une capture d'écran du message WD en allant dans l'historique (mets cette capture comme pour les rapports).
Tu dois voir cette alerte dans les notifications en bas à droite , cliques dessus puis dans la petite fenêtre , tu cliques sur plus d'actions et tu fais une capture .

Fais ceci :

--> Copie ce qui se trouve ci dessous de start:: à end:: (sans le coller nulle part)

--> Ouvres FRST(ou FRST64) en administrateur et cliques sur Corriger

--> Un fichier fixlog est créé au même endroit que FRST , postes le

start::
virustotal: C:\Program Files\Microsoft Office\Office14\MSACCESS.EXE
end::



Excuse mon ignorance.
Qu'est-ce que "le message WD" ? "Dans "l'historique ", quel historique ? Et où le trouver ?
Par ailleurs, je n'ai jamais eu d'alerte concernant MSAccess.exe qui est le fichier qui lance Access. C'est vrai que j'ai eu des soucis ces derniers temps avec Access, mais alors n'aurais-je pas mieux à faire en demandant une réparation, mais aussi en sachant que ma version d'Access est la version 2010 qui n'est plus prise en charge par MS depuis l'année dernière ?
Messages postés
2551
Date d'inscription
jeudi 19 décembre 2019
Statut
Contributeur sécurité
Dernière intervention
20 avril 2021
408
RE_

Qu'est-ce que "le message WD" ? "Dans "l'historique ", quel historique ? Et où le trouver ? 


Dans ton premier message , tu dis :

Je reçois une notification de Defender me disant qu'il a bloqué "svchost.exe 


Il est possible que ce soit l'appel de MSAccess qui déclenche cette alerte , c'est pour ça qu'il faut aller dans l'historique de Windows defender pour voir si c'est bien ça .
Mille excuses ! Je n'avais pas percuté. Cela dit, j'ai lancé une réparation de MS-Office pro "; et maintenant j'ai relancé un examen par FRST; Je te tiens au courant dès que c'est terminé.
Je te mets les 2 comptes-rendus de FRST faits après la réparation de MS-Office.Ellen a bien fonctionné, FRST ne signale plus MS-Access comme non-accessible.

FRST N°2 ==> https://up.security-x.fr/file.php?h=R5fe4bd360a8568eb13411aa3b50994e0

Addition N)2 ==> https://up.security-x.fr/file.php?h=R6bd2554f0e3a522bebe30c97ae4c3650



Je joins les captures d'écran de l'historique des blocages, j'en ai fait 3 qui montre que svchost a été bloqué sur l'accès à la mémoire.

Capture 1 => https://up.security-x.fr/file.php?h=R9c427f1da5b7485125e0cc5dcbeaa70a

Capture 2 => https://up.security-x.fr/file.php?h=R65aaedadb48239cedbcacbf243bc9110

Capture 3 => https://up.security-x.fr/file.php?h=R9a80b4af60d276410e60256a2e4931b0
Messages postés
2551
Date d'inscription
jeudi 19 décembre 2019
Statut
Contributeur sécurité
Dernière intervention
20 avril 2021
408
RE_

Les captures ne disent pas grand chose malheureusement .

Est ce que ces alertes apparaissent n'importe quand ? juste au démarrage du PC ?

Est ce que ça peut correspondre à l'installation d'un logiciel ?

---------------------

Tu as pas mal d'erreurs sur la restauration (accès refusé) , les heures correspondent aux alertes WD. Essaie de désactiver la restauration sur tout les volumes et réactive la que sur C: et essaie de créer un point :
Error: (03/26/2021 06:31:04 PM) (Source: VSS) (EventID: 12289) (User: )
Description: Erreur du service de cliché instantané des volumes : erreur inattendue DeviceIoControl(\\?\Volume{7c9293a1-0000-0000-0000-b00f00000000} - 00000000000001B0,0x0053c008,00000190DE806340,0,00000190DE807370,4096,[0]). hr = 0x80070005, Accès refusé.


Réactive la restauration

Crée un point

-----------------------

Testes ton/tes disques durs et donnes le résultat (couleur et état) ou poste une capture d'écran : https://forums.cnetfrance.fr/tutoriels-logiciels-et-applis/487485-tester-son-disque-dur-ou-ssd-avec-crystaldiskinfo
Bonjour MisteryBean,
Je reprends le fil. Ci-dessous les deux captures que j'ai pu faire, pourr le haut et le bas du tableau donné par CrystalDiskInfo. Il n'y a qu'un seul disque parce que depuis quelque temps je débranche systématiquement mes disques de sauvegarde (en fait j'en ai 4, un pour la sauvegarde système proprement dite, et 3 autres où j'ai des copies de mes fichiers es plus précieux) ; la hantise des virus et maintenant des rançongiciels.

https://up.security-x.fr/file.php?h=Rb29ddccb1884b1792adf9aa07039616b
https://up.security-x.fr/file.php?h=Rda07bd0510c182bb4c4c531cfbae7916

Le disque est en parfait état; le contraire serait étonnant parce qu'il est tout neuf, je l'ai fait installer l'année dernière.
J'ai bien fait un point de restauration, mais après ?
En attente de te lire.
Messages postés
2551
Date d'inscription
jeudi 19 décembre 2019
Statut
Contributeur sécurité
Dernière intervention
20 avril 2021
408
RE_

Tu n'as pas répondu à :
Est ce que ces alertes apparaissent n'importe quand ? juste au démarrage du PC ?

Est ce que ça peut correspondre à l'installation d'un logiciel ?


-----
-----------

je débranche systématiquement mes disques de sauvegarde (en fait j'en ai 4


C'est peut être pour ça que tu as des erreurs comme indiqué au dessus .


Les notifications dont je parle ne sont apparues qu'hier, et de manière inopinée, non pas au démarrage. Ensuite je fais bien la distinction entre les notifications portant sur la sauvegarde (Vérifier vos paramètres de sauvegarde) qui sont normales puisque j'ai débranché le disque dédié. Mais là je parle de la notification concernant SvChost.exe qui est bloqué à l'accès à la mémoire comme je l'avais envoyé précédemment.
Capture 2 => https://up.security-x.fr/file.php?h=R65aaedadb48239cedbcacbf243bc9110
Capture 3 => https://up.security-x.fr/file.php?h=R9a80b4af60d276410e60256a2e4931b0
Messages postés
2551
Date d'inscription
jeudi 19 décembre 2019
Statut
Contributeur sécurité
Dernière intervention
20 avril 2021
408
RE_

Mais là je parle de la notification concernant SvChost.exe qui est bloqué à l'accès à la mémoire comme je l'avais envoyé précédemment. 


Oui , moi aussi !

Ce n'est pas infectieux , l'heure et le jour du blocage svchost de ta capture correspond bien aux erreurs de sauvegardes (shadow copy / point de restauration) , il y en a 6 dans le rapport à intervalle de 20 secondes.
Je ne sais pas comment tu as paramétré tes sauvegardes ni si tu as un programmes pour ça , mais il faut chercher dans cette voie .
Regardes si les sauvegardes ne sont pas paramétrées pour être exécutées à une certaines heure.
https://www.ubackup.com/fr/windows-10/activer-cliche-instantane-des-volumes.html



Opération :
Traitement de EndPrepareSnapshots

Contexte :
Contexte d’exécution: System Provider

Error: (03/26/2021 02:16:50 PM) (Source: VSS) (EventID: 12289) (User: )
Description: Erreur du service de cliché instantané des volumes : erreur inattendue DeviceIoControl(\\?\Volume{7c9293a1-0000-0000-0000-b00f00000000} - 000000000000015C,0x0053c028,0000021DA4407660,0,0000021DA4406630,4096,[0]). hr = 0x80070005, Accès refusé.


Comme ce n'est pas infectieux , je ne pourrais rien faire de plus
Merci MsteryBean pour tes efforts. Je vais donc revoir les paramètres de mes sauvegardes, bien que croyais avoir bien désactivé la fonction "Sauvegarde permanente". En fait je ne fait de sauvegarde qu'une fois par semaine, quand je n'oublie pas, justement pour ne pas risquer que mes disques externes soient infectés, et pouvoir compter sur les sauvegardes et les copies en cas de besoin.

Après vérification, la sauvegarde permanente est bien désactivée, et le disque de sauvegarde est bien noté comme débranché. Donc rien d'anormal de ce côté.
Bon ! Je laisse tomber, et je surveille si de nouvelle notification apparaisse. Pour l'instant, il n'y en a pas.