Svchost.exe charge au maximum le cpu

Bonjour Draxius,

Commences par ça :
Télécharge ces logiciels:

1/Spybot S&D 1.4 <<nouvelle version
http://www.safer-networking.org/fr/index.html

Démo d utilisation (merci a Balltrap34 pour cette réalisation)
http://pageperso.aol.fr/Balltrap34/demo%20spybot.htm

2/Ad-Aware SE 1.06 <<nouvelle version
http://www.lavasoftusa.com/software/adaware/
-Une aide:
http://www.tutopat.com/viewtopic.php?t=1191
- installe le patch français, tu pourra le trouver ici:
http://download.lavasoft.de.edgesuite.net/public/pllangs.exe
et une petite vidéo ici d'utilisation:(merci a Moe31 pour cette réalisation)
http://pageperso.aol.fr/balltrap34/adawrevid.asf

3/Clean Up 40:
http://pageperso.aol.fr/balltrap34/CleanUp40.exe
-aide en image:(merci a Balltrap34)
http://pageperso.aol.fr/balltrap34/democleanup.htm


télécharge HijackThis ici:
http://www.hijackthis.de/downloads/hijackthis_199.zip

Dézippe le dans un dossier prévu à cet effet.
Par exemple C:\hijackthis < Enregistre le bien dans c : !
Lance le puis:
clique sur "do a system scan and save logfile" (cf démo)
faire un copier coller du log entier sur le forum

Démo : (merci à balltrap34 pour cette réalisation)
http://pageperso.aol.fr/balltrap34/demohijack.htm


bon courage.
Nobody is perfect, mais j'essaye .....

Ok merci man, je fais ca et jte dis ca tout de suite !

alors voila le log de HjackThis

Logfile of HijackThis v1.99.1
Scan saved at 17:31:36, on 06/11/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Security\AVGFRE~1\avgamsvr.exe
C:\Security\AVGFRE~1\avgupsvc.exe
C:\Security\AVGFRE~1\avgemc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Utilitaires\MessengerPlus! 3\MsgPlus.exe
C:\Security\AVGFRE~1\avgcc.exe
C:\Utilitaires\iTunes\iTunesHelper.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Security\Kaspersky Lab\Kaspersky Anti-Hacker\KAVPF.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Utilitaires\iTunes\iTunes.exe
C:\Security\HijackThis\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Utilitaires\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Utilitaires\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [System Service] servicent.exe
O4 - HKLM\..\Run: [Microsoft Update 32] wininit.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\Security\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [QuickTime Task] "C:\Utilitaires\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Utilitaires\iTunes\iTunesHelper.exe"
O4 - HKLM\..\RunServices: [System Service] servicent.exe
O4 - HKLM\..\RunServices: [Microsoft Update 32] wininit.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: Diagnostics.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O4 - Global Startup: Kaspersky Anti-Hacker.lnk = C:\Security\Kaspersky Lab\Kaspersky Anti-Hacker\KAVPF.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Utilitaires\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?11312­85948418
O17 - HKLM\System\CCS\Services\Tcpip\..\{A1E89077-6AD6-4F37-91AA-99E52FCFC470}: NameServer = 217.19.192.132 217.19.192.131
O20 - AppInit_DLLs: MsgPlusLoader.dll
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\Security\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\Security\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\Security\AVGFRE~1\avgemc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Keyboard Service System Files (Keyboard Service) - Unknown owner - C:\WINDOWS\System32\keyboard.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Remote Procedure Call (RPC) Client (RpcClient) - Unknown owner - C:\WINDOWS\System32\rpcclient.exe (file missing)

merci d'avance !

Bin ad-aware et Spybot non rien trouvé, fin si ad aware a trouvé 2 truc dans la base de registre je crois, mais AVG les a suprimés dés que adaware les a trouvé.
Merci pour bitdefender, mais jle ferais cette nuit pcq ca me met un temps de 6h a peut prés de scan, jte dirais ca demain.
Sinon j'ai trouvais une astuce : j'ai mis le " pare feu de connection internet " dans avancé sur ma connection, et la plus de soucis, j'ai autorisé :
-Bureau a distance
-Serveur de messagerie internet (SMTP)
-Serveur FTP

Mais je me retrouve en low id sur emule.
Fin bon je fais le scan ste nuit et je te dis ca.
Encore merci.

et ensuite remet un hijack this pour supprimer ce qui restera

bon appetit

salut incognito,

si tu me permets je te préconiserais:

Telecharge: Pocket Killbox ici
http://www.downloads.subratam.org/KillBox.exe

les diverses facons d utiliser la killbox
demo http://pageperso.aol.fr/balltrap34/killbox.htm


------------------------------------------------------------------------------------------­-

2) QUELQUES PARAMETRES MACHINE A MODIFIER (su windows XP)

A) clic droit sur poste de travail
propriété
restauration systeme
coche desactivé puis appliquer

B) demarrer
panneau de configuration
outil
option des dossiers
affichage,
coche afficher dossier cachés
decoche : masquer extension des fichiers dont le type est connu
masquer les fichiers protégés du systeme d'exploitation.

-----------------------------------------------------------------------------------------

3) LANCE HIJACK
clique sur “do a system scan and save logfile”
ferme le bloc note et coche les cases devant les lignes ci-dessous, à la fin valide à l’aide du bouton fix checked:

O4 - HKLM\..\Run: [System Service] servicent.exe

O4 - HKLM\..\Run: [Microsoft Update 32] wininit.exe

O4 - HKLM\..\RunServices: [System Service] servicent.exe

O4 - HKLM\..\RunServices: [Microsoft Update 32] wininit.exe

-----------------------------------------------------------------------------------------

4) DEMARRER EN MODE SANS ECHEC.

Pour cela, redémarre et tu tapotes sur la touche F8 au lancement de Windows (juste à la fin d’initialisation du bios)et tu choisis sans échec (pas d’inquiétude pour l’aspect de l’écran, tout semble un peu etrange).

-----------------------------------------------------------------------------------------

5) deconnecte toi d'internet:

lance killbox

clic sur tool >> delete temp files

1- Selectionne "Delete on Reboot"
2- Copie la 1ere ligne de la liste en gras et colle dans "Full Path of File to Delete"
3- clic sur la croix rouge
4- une fenetre va apparaitre pour confirmation clic sur YES
5- une seconde fenetre te demande si tu veux redemarrer clic sur NO

Recommence à l'étape 1 pour chaques lignes en gras.
Une fois toutes selectionnées, a l'étape 7 clic sur YES

wininit.exe
servicent.exe

-------------------------------------------------------------------------------
Dans le menu Demarrer>Executer >tape: Services.msc
recherche le service avec cette orthographe exacte:
Keyboard Service System Files
Double clic dessus (svcproc.exe) et clic sur arreter puis dans type de demarrage selectionne désactivé





-----------------------------------------------------------------------------------------

6) MAINTENANT UTILISE LES PROGRAMMES

cleanup40.exe


vide ta poubelle

-----------------------------------------------------------------------------------------

7) RESTAURATION DES PARAMETRES INITIAUX

c'est à dire avant de redémarrer, tu refais les manip de départ (1) et (2) mais dans l’autre sens ... pour retrouver la config de départ et redémarre en mode normal.

-----------------------------------------------------------------------------------------

8) LOG DE CONTROLE

Relance Hijack
clic sur "do a system scan and save logfile"
fais un copier coller du log entier ici.


A+

Jean

Ok merci, ouai pour rpcclient j'ai mis un patch correctif de windows mais ca a pas l'air de fonctionné...
Et Jean escuse moi, mais de quelle ligne en gras parle tu ? :$

pardon, j'ai raté le gras, c'est

wininit.exe
servicent.exe


on utilise killbox car je ne connasi pas la localisation de ces trucs.

Pour incognito:

http://castlecops.com/o23list-871.html

Ok super merci beaucoup, jefais ca tout de suite et je colle le log de Hjack.
A tte.

alors voila :

Logfile of HijackThis v1.99.1
Scan saved at 20:18:04, on 06/11/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Security\AVGFRE~1\avgamsvr.exe
C:\Security\AVGFRE~1\avgupsvc.exe
C:\Security\AVGFRE~1\avgemc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Utilitaires\MessengerPlus! 3\MsgPlus.exe
C:\Security\AVGFRE~1\avgcc.exe
C:\Utilitaires\iTunes\iTunesHelper.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Security\Kaspersky Lab\Kaspersky Anti-Hacker\KAVPF.exe
C:\Utilitaires\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Security\HijackThis\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Utilitaires\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Utilitaires\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\Security\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [QuickTime Task] "C:\Utilitaires\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Utilitaires\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: Diagnostics.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O4 - Global Startup: Kaspersky Anti-Hacker.lnk = C:\Security\Kaspersky Lab\Kaspersky Anti-Hacker\KAVPF.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Utilitaires\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?11312­85948418
O20 - AppInit_DLLs: MsgPlusLoader.dll
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\Security\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\Security\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\Security\AVGFRE~1\avgemc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Remote Procedure Call (RPC) Client (RpcClient) - Unknown owner - C:\WINDOWS\System32\rpcclient.exe (file missing)

je fatigue un peu j'ai juste oublié de:

lance hijack et fixe

O23 - Service: Remote Procedure Call (RPC) Client (RpcClient) - Unknown owner - C:\WINDOWS\System32\rpcclient.exe (file missing)


tu as bien fais cette manip?

Dans le menu Demarrer>Executer >tape: Services.msc
recherche le service avec cette orthographe exacte:
Keyboard Service System Files
Double clic dessus et clic sur arreter puis dans type de demarrage selectionne désactivé


si oui RAS sinon fait la.

ou en es tu de tes pb?

Ok pour rpcclient.exe mais quand je refais un scan il y est toujours.
Pour la manip oui jlai faite, mais je ne peux pas l'arrété car il n'ait meme pas démarré, je ne peux clické sur aucun bouton, mais je l'ai quand meme désactivé.
En revanche niveau problème, dés que j'enleve le firewall dans avancé de ma connection, toujours le meme problème : Impossible d'ouvrir le gestionnaire des taches et mon ordie freeze un max, obligé de reset...

Bonjourd a tous,
Voila j'ai laisse bitdefender cette nuit scanner mon ordi est il a rien trouvé... Aucun virus rien.
Et toujours le meme problème... Ca peut venir de quoi ?
En plus je ne peut formater mon graveur a rendu l'ame, erreur de fixation, donc je suis obligé de gardé mon dur dans cette état jusqu'au prochain achat d'un graveur lol.
Merci quand meme les gas, trés sympa a vous.
Sur ce bonne journée.

Draxius

Salut Draxius
J'ai apparemment le même problème que toi. Le process svchost.exe se met à charger le cpu à 90%.
En regardant de plus prés avec procesxp, j'ai remarqué qu'il lance également tftp.exe. Ce dernier crée un fichier tftp1xxxx que Bitdefender remarque immédiatement comme étant un backdoor. RBot.9278B078.
Un troyen quoi...
Je ne sais pas trop quoi faire, d'autant que moi aussi je suis dans l'impossibilité de formater pour le moment.
En plus, quand je coupe le process svchost.exe mes codecs audios et vidéos sautent (plus possible de lancer winamp...) ainsi que mon théme de bureau. Une belle merde quoi.
Je poste mon rapport Hijackthis à tout hasard.

Logfile of HijackThis v1.99.1
Scan saved at 14:29:42, on 07/11/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\Mixer.exe
C:\Program Files\Softwin\BitDefender Professional Edition\bdmcon.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
C:\Program Files\Softwin\BitDefender Professional Edition\vsserv.exe
C:\Program Files\Azureus\Azureus.exe
C:\Program Files\Java\jre1.5.0_05\bin\javaw.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\explorer.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Temp\procexp.exe
C:\Temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O4 - HKLM\..\Run: [ATIPTA] "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [BDMCon] C:\Program Files\Softwin\BitDefender Professional Edition\\bdmcon.exe
O4 - HKCU\..\Run: [STYLEXP] C:\Program Files\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Télécharger avec FlashGet - C:\PROGRA~1\FlashGet\jc_link.htm
O8 - Extra context menu item: Télécharger tout avec FlashGet - C:\PROGRA~1\FlashGet\jc_all.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe (file missing)
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: StyleXPService - Unknown owner - C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Program Files\Softwin\BitDefender Professional Edition\vsserv.exe" /service (file missing)
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)

J'espére que quelqu'un ici y verra plus clair que moi, ce serait vraiment sympa de nous aider.
HEEELPPPP!!

Ma config
Athlon XP 2600+
1Go SDRAM
Radeon 9600 Pro 128 Mo
WINXP Pro Sp1

ARRETER TOUT, cela vient de microsoft update, il faut le désactiver via les paramettres sur le site de microsoftupdate pour réutiliser windows update à la place.