Forums Zebulon.fr: uc utilisée à 100% par svchost.exe - Forums Zebulon.fr

Bonjour. Je viens de découvrir ce forum, sur les conseils de tesgaz, qui a commencé à m'assister pour ce problème. Depuis plusieurs semaines, mon portable bloque, de façon aléatoire et récurrente, au démarrage. Il est très lent et certaines applications ne se lancent pas. J'ai formaté et réinstallé peu de logiciels : le problème est toujours là. ProcessExplorer m'a permis de constater qu'en cas de blocage, le processus sollicitant l'uc à 100% était "SVCHOST.EXE // Identification 1212 // c:\windows\system32\svchost.exe -k netsvcs" ; dans ce cas, il faut que j'arrête le portable et que je le redémarre.
J'ai fait un test mémoire avec memtest86+ : pas de mémoire défaillante ; MacAfee n'a pas détecté d'infection ; sur les conseils de tesgaz, j'ai installé Zebprotect et tout appliqué (sauf le blocage du port 135RPC), et j'ai désactivé le service clientDNS. Le portable peut fonctionner correctement pendant 3 ou 4 jours et, quand je me crois sauvé, le problème réapparaît.
Pour la dernière manifestation du problème (hier soir), la tasklist était la suivante :
Microsoft Windows XP [version 5.1.2600]
© Copyright 1985-2001 Microsoft Corp.

C:\Documents and Settings\Philippe>tasklist

Image Name PID Session Name Session# Mem Usage
========================= ====== ================ ======== ============
System Idle Process 0 Console 0 16 K
System 4 Console 0 212 K
smss.exe 512 Console 0 464 K
csrss.exe 576 Console 0 3 916 K
winlogon.exe 948 Console 0 4 740 K
services.exe 996 Console 0 4 216 K
lsass.exe 1008 Console 0 1 600 K
ati2evxx.exe 1144 Console 0 2 104 K
svchost.exe 1188 Console 0 4 452 K
svchost.exe 1244 Console 0 19 332 K
spoolsv.exe 1596 Console 0 4 128 K
svchost.exe 1840 Console 0 5 268 K
schedul2.exe 1872 Console 0 1 864 K
FrameworkService.exe 1936 Console 0 5 764 K
Mcshield.exe 2028 Console 0 28 840 K
explorer.exe 256 Console 0 23 176 K
VsTskMgr.exe 296 Console 0 392 K
vsmon.exe 600 Console 0 6 092 K
naPrdMgr.exe 640 Console 0 2 252 K
HelpSvc.exe 760 Console 0 8 016 K
AGRSMMSG.exe 1204 Console 0 4 392 K
jusched.exe 1060 Console 0 2 424 K
fxssvc.exe 1420 Console 0 5 500 K
PCMService.exe 1428 Console 0 5 640 K
shwicon.exe 1544 Console 0 4 484 K
TrueImageMonitor.exe 1880 Console 0 1 064 K
schedhlp.exe 1908 Console 0 1 808 K
zlclient.exe 336 Console 0 2 680 K
shstat.exe 604 Console 0 556 K
UpdaterUI.exe 612 Console 0 1 932 K
TBMon.exe 628 Console 0 4 292 K
ctfmon.exe 528 Console 0 2 312 K
AlarmApp.exe 864 Console 0 9 684 K
HOTSYNC.EXE 880 Console 0 7 296 K
svchost.exe 2696 Console 0 4 256 K
wmiprvse.exe 2448 Console 0 8 200 K
cmd.exe 2820 Console 0 1 504 K
tasklist.exe 2848 Console 0 3 588 K

Et le hijackthis :
Logfile of HijackThis v1.99.1
Scan saved at 20:05:23, on 28/08/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Acronis\Schedule2\schedul2.exe
C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
C:\Program Files\Network Associates\VirusScan\Mcshield.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\WINDOWS\PCHealth\HelpCtr\Binaries\HelpSvc.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\Java\j2re1.4.2_01\bin\jusched.exe
C:\WINDOWS\system32\fxssvc.exe
C:\Program Files\Aspire Arcade\PCMService.exe
C:\Program Files\CRW\shwicon.exe
C:\Program Files\Micro Application\Cloneur Expert\TrueImageMonitor.exe
C:\Program Files\Fichiers communs\Acronis\Schedule2\schedhlp.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE
C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe
C:\Program Files\Fichiers communs\Network Associates\TalkBack\TBMon.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Palm\AlarmApp.exe
C:\Program Files\Palm\HOTSYNC.EXE
C:\WINDOWS\System32\svchost.exe
C:\Documents and Settings\Philippe\Mes documents\Téléchargements\hijackthis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://global.acer.com
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://global.acer.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [PCMService] "C:\Program Files\Aspire Arcade\PCMService.exe"
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ShowIcon_Chander_CRW Series Driver v1.17r019] "C:\Program Files\CRW\shwicon.exe" -t"Chander\CRW Series Driver v1.17r019"
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [Cloneur Expert Monitor] "C:\Program Files\Micro Application\Cloneur Expert\TrueImageMonitor.exe"
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Program Files\Fichiers communs\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [ShStatEXE] "C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [Network Associates Error Reporting Service] "C:\Program Files\Fichiers communs\Network Associates\TalkBack\TBMon.exe"
O4 - HKLM\..\Run: [REGSHAVE] C:\Program Files\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Startup: HotSync Manager.lnk = C:\Program Files\Palm\HOTSYNC.EXE
O4 - Global Startup: Alarm Manager.LNK = C:\Program Files\Palm\AlarmApp.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Program Files\Fichiers communs\Acronis\Schedule2\schedul2.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: Service Framework McAfee (McAfeeFramework) - Network Associates, Inc. - C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\Mcshield.exe
O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZONELABS\vsmon.exe

Merci pour votre aide.

Salut spiderkik,

et bienvenue sur Zebulon


bon, j'y vois plus claire avec le log hijackthis

on va supprimer tout ce qui est inutile sur ce log, comme cela, on devrait partir sur de bonnes bases :

donc, les lignes à cocher (le faire en mode sans echec)

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://global.acer.com
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://global.acer.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [PCMService] "C:\Program Files\Aspire Arcade\PCMService.exe"
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ShowIcon_Chander_CRW Series Driver v1.17r019] "C:\Program Files\CRW\shwicon.exe" -t"Chander\CRW Series Driver v1.17r019"
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [Cloneur Expert Monitor] "C:\Program Files\Micro Application\Cloneur Expert\TrueImageMonitor.exe"
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Program Files\Fichiers communs\Acronis\Schedule2\schedhlp.exe"

O4 - HKLM\..\Run: [REGSHAVE] C:\Program Files\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Startup: HotSync Manager.lnk = C:\Program Files\Palm\HOTSYNC.EXE
O4 - Global Startup: Alarm Manager.LNK = C:\Program Files\Palm\AlarmApp.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Program Files\Fichiers communs\Acronis\Schedule2\schedul2.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe

ensuite tu cliques sur : FIX - CHECKED

voila, tu redémarres en mode normal

si tu peux me préciser ton type de connexion internet (modem , type de connexion USB ou rj45, ton FAI
ligne dégroupée ou pas)

tu observes pour voir si svchost monte toujours à 99%

tu nous tiens au courant

tesgaz, le lundi 29 août 2005 à 09h44, dit :

Bonjour tesgaz. Je viens de procéder aux modifications indiquées.
Pour ce qui concerne les lignes :
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://global.acer.com/
et
O4 - Startup: HotSync Manager.lnk = C:\Program Files\Palm\HOTSYNC.EXE
je n'ai pu les fixer qu'après redémarrage en mode normal.

Pour ce qui est de mon type de connexion : ADSL 512, FAI Wanadoo, Modem Routeur WiFi netgear ; (le problème se manifeste aussi avec une connexion accès libre Wanadoo, RJ45, modem interne).
Merci pour l'assistance.

salut,

maintenant que tu as tout nettoyé,
est-ce qu tu peux me faire un : tasklist /svc

merci

tesgaz, le mardi 30 août 2005 à 10h10, dit :

Re-bonjour, voici mon tasklist /svc

Microsoft Windows XP [version 5.1.2600]
© Copyright 1985-2001 Microsoft Corp.

C:\Documents and Settings\Philippe>tasklist /svc

Image Name PID Services
========================= ====== =============================================
System Idle Process 0 N/A
System 4 N/A
smss.exe 508 N/A
csrss.exe 572 N/A
winlogon.exe 944 N/A
services.exe 992 Eventlog, PlugPlay
lsass.exe 1004 ProtectedStorage, SamSs
ati2evxx.exe 1140 Ati HotKey Poller
svchost.exe 1184 RpcSs
svchost.exe 1240 AudioSrv, Browser, CryptSvc, Dhcp, ERSvc,
EventSystem, FastUserSwitchingCompatibility,
helpsvc, Irmon, lanmanserver,
lanmanworkstation, Netman, Nla, RasMan,
seclogon, SENS, ShellHWDetection, srservice,
TapiSrv, TermService, Themes, TrkWks,
uploadmgr, winmgmt, wuauserv, WZCSVC
spoolsv.exe 1596 Spooler
svchost.exe 1836 WebClient
schedul2.exe 1892 AcrSch2Svc
FrameworkService.exe 1984 McAfeeFramework
explorer.exe 244 N/A
Mcshield.exe 284 McShield
VsTskMgr.exe 396 McTaskManager
vsmon.exe 632 vsmon
naPrdMgr.exe 644 N/A
AGRSMMSG.exe 904 N/A
zlclient.exe 448 N/A
shstat.exe 924 N/A
UpdaterUI.exe 1008 N/A
TBMon.exe 1196 N/A
ctfmon.exe 1284 N/A
svchost.exe 2816 stisvc
IEXPLORE.EXE 3076 N/A
wmiprvse.exe 2960 N/A
cmd.exe 3424 N/A
tasklist.exe 3616 N/A

C:\Documents and Settings\Philippe>

Merci.

bon,

tu vas désactiver ceci dans les services :

WebClient
Services Terminal Server
Client DHCP
Aide et support
Gestionnaire de téléchargement

mettre en manuel :
Connexions réseau
Serveur
Mises à jour automatiques << une fois par mois, pas la peine de démarrer ce service
acronis service : >>> schedul2.exe 1892 AcrSch2Svc

je ne connais pas ce processus
naPrdMgr.exe , faut le désactiver, de toute façon, il n'est pas vitale pour le systeme


voila, tu dis si ca va mieux (laisse passer quelques heures)

tesgaz, le mardi 30 août 2005 à 19h21, dit :

Bonjour. Je n'avais pas encore pris connaissance des indications ci-dessus, et donc pas effectué les modifications : mon uc était à 100 % au démarrage ce matin. Je vais procéder aux modifications.
Merci, bonne journée.
PS : à titre de précision, lorsque le problème se produit, si je fais "redémarrer", le problème est toujours là après redémarrage ; par contre, si je fais "arrêter" puis une mise sous tension, le démarrage est normal.

Re-bonjour, tesgaz. J'ai procédé aux modifications. Pour ce qui concerne "naPrdMgr.exe", il se trouve dans "C:\ProgFiles\NetworkAssociates\Common Framework" ; j'ai donc désactivé "Service Frame Work". Au démarrage suivant, je n'avais plus accès à Internet (pas d'adresse IP avec mon routeur wifi), et l'analyse à l'accès et la mise à jour MacAfee étaient inactives.
J'ai donc remis en automatique le "client DHCP" et "Service Frame Work" ; j'ai récupéré l'accès Internet et MacAfee.
Cordialement.

Re-bonjour. Malgré tous nos efforts, j'ai à nouveau une uc à 100% (ou presque) en redémarrant à 15h00 ....

Bonjour,

je suis nouveau sur ce forum, et je suis tombe par hasard sur ce post.

naprdmgr.exe est un processus relié à l'antivirus de Network Associates (McAfee) et utilisé pour mettre a jour l'agent Mcafee et les différentes portions du produits ainsi que les mises a jour virale. il n'est pas critique au bon fonctionnement du PC (mais est une portions importante de la securite du PC). Et pourrais causer des ralentissement majeurs du PC pendant plusieurs minutes (voir 5-10 minutes au demarrage) surtout pendant des mise a jour importante, ou lorsque le produit mcafee est nouvellement installe. Mcafee n'est pas reputer pour etre un produit antivirus tres leger, au contraire c'est un des plus lourd.

Essayer de de-installer mcafee et installer un autre produit (exemple AVAST! qui est, de plus, gratuit pour utilisation personnelle) et voir si votre PC a toujours ce comportement.