Uc:100% svchost et cmesys.exe

C'est bon j'ai trouver la solution, c'étai une valeur a suprimer dans la base de registre, dans HKEYLM//software/microsoft/windowsnt/current version/svchost.
Voila encor merci a tous, j'ai d'autre prob. mais je vai faire dautre post ++++++

Salut!

svchost.exe et cmesys.exe, bizarement je ferme les 2 et l'uc redescend a la normal . . .

On ne peut pas fermer SVCHOST, sauf si c'est un virus qui porte le ^même nom que le processus hôte des services de Windows.

Donc ton SVCHOST est un virus, mais fait la différence entre le bon et le mauvais SVChost....

Fais un scan antivirus sur http://www.secuser.com
Passe un coup de Spybot et un d'Adaware, une recherche google te permettra de les trouver, ce sont 2 logiciels qui enlève les merdouilles" collés à ton insu quand tu vas sur le net ou autre.

@pluch! ;-)
There is no problem! Only additional challenges!

Bon, deja merci bcp pour ton aide.
Secuser n'a rien trouvé, adaware et spybot on effectivement virer pas mal de merdouilles.
Au demarrage l'uc est tjrs a 100%, par contre le processus cmesys.exe a disparu, ne reste plus que svchost en service reseau ki tourne a 99. . . je peu tjrs le desactiver, mai c pa vraimen la solution.
d'autres idées ? ? ? (encor merci)

OUF ...SVCHOST ds mon cas le fichier était un virusé...Dependant de ton système, il y a pas vraiment de solution possible pour faire les mises à jour résolvant les problèmes de sécurité (certain cas)!...mon cas avec Windows Professionnal 2000 Pack 1... Surtout que le virus va te geler pas longtemps après que tu va être sur le net...

La solution met un firewall et bloque >UDP 69
>tcp 135
>TCP4444
Et télécharge FixBlaster (Symantec ) et aussi un utililitaire pour les worn (Mcfee) les deux sont gratuit...
Peux importe ce que tu fais si tu désinfecte sans mettre le firewall tu vas te réinfecter probablement aussi rapidement...

Nésite pas si tu veux d'autre Info...

@+ Greg

meme pb sauf que moi jai 4 SVCHOST je sais pas coi faire je vai test vo solus mai sy ya d'autre truc a faire dit le merci

moi j'ai en gros le même pb en fait j'ai 5 svchost d'ouvert, dont 3 par le systeme, 1par le service local et un par le service reseau..
y en a un de ceux du systeme qui me bouffe le reste de l'UC disponible de tel sorte ke je sois toujours a 100%, donc malgres un athlon2600+ et 512Mo de RAM, mon ordi a du mal..et si je ferme l'application qui bouffe l'UC, mon pc plante mechament...
norton n'a pas trouvé de virus et le fixblast n'a rien changé..bref je sais plus quoi faire

CMEsys.exe Part of {Gator} advertising spyware - see {here} for removal instructions

Explications sur svchost

http://clement.reinier.free.fr/modules.php?name=Content&pa=showpage&pid=12

Explications sur tous les services

http://clement.reinier.free.fr/modules.php?name=Content&pa=showpage&pid=14

http://www.zebulon.fr/articles/services_1.php


Pierre.
Mes sujets : http://niklish.free.fr/dossierspratiques.htm

moi en faite mes svchost utiliser rein su uc et je pige pas de coi sa vein normalement une conextion sa prand pas trop sur uc ???

J'ai été voir le site que pierre a recommandé dans son message, surtout celui sur svchost et ils disent de comparer les services de windows au services en utilisation, et en fait moi j'ai un service qui n'est pas dans la liste proposé : Iprip
Je ne sais pas du tout a quoi il peut servir, j'ai vite fait une recherche sur le web et ca n'a rien donné..
l' "aide" de windows ne conait même pas ce nom la...
Mais j'ai toujours le probleme d'avoir 5 svchost au lieu des trois normaux... Iprip se trouve au milieu de plein d'autre services (voir site du message de pierre)sur le deuxieme svchost.exe ....
Si quelqu'un a une idée..

Où as-tu lu que c'était normal d'avoir 3 svchost ?
J'en ai aussi 4 ou 5. Ce n'est pas là le problème.
Il est vrai que toute une flopée de virus s'appelle aussi svchost ou svch0st (un zéro à la place du o).
Si un scan sur Secuser ne donne rien, c'est que c'est ok.
Quand tu fais tasklist /SVC en ligne de commandes, as-tu plus de renseignements ?
Si tu as un doute, tu peux lire mon sujet :

http://forum.pcastuces.com/sujet.asp?SUJET_ID=8269

copier le contenu du Bloc-notes et coller ici le résultat de l'analyse de HijackThis.


Pierre.
Mes sujets : http://niklish.free.fr/dossierspratiques.htm

Ouf ouf... Je donne quelque clarification....Certain virus sont contagieux. Il faut empêcher la propagation et la réinfection...
Ds le cas du blaster une partie ce joue avec le firewall qui bloque les ports de sortie et d'entré.
Le reste c'est du détail tu fais l'anti virus et les mises à jours importante concernant la sécurité Windows comme tu ferais d'habitude.
Mais attention pas de firewall le virus prend le controle et...
Adieu... Zut!... la mise à jour. Comme ds un Hopital isolation et décontamination.!!!!!!!!!

Je conseille à tous d'utiliser RegistryProt, un petit freeware ne consommant aucune ressource et qui est un complément aux antivirus. Il informe IMMEDIATEMENT de toute écriture dans la BdR aux fameuses clés Run, utilisées par les virus pour être relancés au démarrage de Win. Dans le cas de Blaster, vous auriez été avertis d'une écriture dans la BdR et vous auriez ainsi pu éviter la propagation du virus, grâce à RegProt.
J'en parle ici en détails :
http://forum.pcastuces.com/sujet.asp?SUJET_ID=32169


Pierre.
Mes sujets : http://niklish.free.fr/dossierspratiques.htm

En fait je pense avoir LA véritable solution : le bon vieux RAZ...
J'esperais pouvoir y echaper, mais bon ca ne pourra pas lui faire de mal, de toute facon il devais s'en prendre un avant cette histoire de svchost, mais les probleme d'avant viennent peut etre de la...bref merci a ceux qui ont tenté de m'aider..
A+

Ouf...J'aimerais préciser que ds bien que faire du netoyage ou formater ds le cas de virus contagieux, ne règle en rien la question au grand désaroie de plusieurs j'aimerais rappeler que ds bien des cas les bugs persistes et que pas longtemps apres le virus fait réaparition très rapidement.
Ds le cas de virus comme le blaster , il faut surtout lui barrer l'accès à l'entré et la sortie en utilisant un firewall pour être en mesure de corriger les lacunes du système d'exploitation en fesant la mise à jour au niveau de la sécurité de windows.
Je termine en disant qu ds mon cas j'ai pu fonctionner pendant plusieurs semaines avec un firewall sans problème il s'agit de savoir l'utiliser mais j'avoue que cela n'est pas à la porté de personne qui débute en informatique...

A+ Greg

en fait g t infesté par les vers suivants :
- worm_nachi.a
- worm_agobot.t
ils été ds un fichier appellé scvhost.exe et non svchost et winhllp32.exe
le site www.secuser.com les a nettoyé pr moi, merci
A++ tt le monde

Arateris, c'est pour ça que je t'ai demandé de faire tourner HijackThis.
Ce programme montre tout ce qui se trouve en RAM, tout ce qui est lancé au démarrage.
Il m'aurait permis de voir qu'il y avait un scvhost qui est bien un virus. Il existe des variantes du nom svchost

- svch0st (un zéro à la place du o)
- sdvhost
- sychost
- svchosl
- svchosts
- svchos1
- scchost

etc.

En fait, il ne peut pas y avoir de programme avec un nom ressemblant à svchost dans MSConfig onglet démarrage. Ces services sont démarrés par XP/2K mais de façon transparente.
C'est le cas de Zedou ci-dessus.


Pierre.
Mes sujets : http://niklish.free.fr/dossierspratiques.htm

justement moi ausii j'ai un pbavec ce svchost mais je suis un novice en informatisue pe tu m'expliquer stp la procedure a suivre si ca ne te derange pas je suis actuellement en ligne degroupé avec free et j'ai windos 2000 merci beaucoup d'avance

bonjour,
je viens de me debarasser d'un probleme identique apres 2 j de hard work et surtout en allant sur les forums des uns et des autres - c'est la premiere fois que j'y passe et j'y reviendrai. donc je vous fais partager mon pb et my solution.
Symptome - W2000 SP4 : CPU 100% et svchost process qui utilise les ressources et ne peut etre supprime car c'est
un processus gere par RPC
a) Go under Windows\System32
Move cart322.exe and cart322.exe.poly ailleurs - en cours d'utilisation ils ne peuvent etre supprimes (j'ai identifie ces fichiers par hasard en allant sous HKLM chercher un nom bizarre dans la partie run: j'y ai trouver Configgload) maintenant. il faudra les supprimer apres un reboot
b) under Windows\System32, chercher WINHLPP32.exe (avec 2 P) et supprimer
c) regedit
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run
trouver Configgload et faire supp
(Configgload cart322.exe)
d) reboot
e) supprimer cart322.exe et cart322.exe.poly
voila
je ne sais comment s'appele ce trojan, mais il m'a mis la pression.
notez que j'avais fait l'erreur il y a 2 j d'arreter mon zonealarm (je crois que ma faille etait la)
a+

Ouf j'ai besion de plus de détails la dessus...
Je pense que de faire des changements directement ds le directory est dangereux!!! Cela peux amener une erreur fatal avec toute les conséquence !!! Aussi J'ai désinstaller Zone Alarm parce qu'il utilisait 100% de mes ressources après la surcharge de mon CPU est revenu à la normale.

<marquee>@+ Le sauveteur </marquee>

Salut a tous

je reprend la discut car comme Zedou je veux faire isoler mon unite central .
est ce que quelq un peut me dir ce qui est le mieux ,j avais pas penser au liege .

Un Irish coffee au premier qui repond .
A la votre

A+++


respecte le dialecte intellect de worex le bon reflexxx