Connexions intempestives, faille svchost.exe ?

[lucile]

Bonjour,

Je suis dans la panade. Il y a 1 semaine sur mon PC portable (Fujitsu Amilo, connexion Wifi avec modem SpeedTouch de tele2) s’ouvrait de manière intempestive la fenêtre internet par défaut (yahoo) de manière irrégulière (qq secondes à 2 ou 3 minutes) et se réouvrait systématiquement après l’avoir fermé.

Très ennuyeux puisque je perdais mes recherches sur le net et devait faire « précédent » pour retrouver le fil ou fermer cette fenetre si je faisais autre chose. Le plus grave, c’est que cette fenetre s’ouvrait meme hors connexion (WiFi debranché, connexions toutes déconnectées) et affichait alors « Page hors connexion … » (avec le choix : travailler hors connexion ou connexion).

Sur les forums, certains parlaient du svchost.exe, d’une faille de Windows, de lovsan…J’ai donc fait une analyse antivirus avec Norton mis à jour : aucun virus, rien non plus avec Spybot mis à jour.

Sentant venir les complications, j’ai fais un Hijackthis par précaution : cf ci-après.

Grosse boulette de ma part : j’ai supprimé (« Fixed Checked ») les 2 premières lignes du rapport (R1 HKCU et R0 HKCU relatives à Internet Explorer. Je redémarre et là d’emblée des tonnes de fenêtres connexions internet qui s’ouvrent à la suite, m’empêchant toute manip (même d’éteindre le PC !!) jusqu’ à une trentaine puis système bloqué, qui rame UC100% à bloc.

J’ai redémarré en mode sans échec (F8) sans connexion : idem, et pareil avec tous les autres modes de redémarrage (sans débogage etc).

En fermant les fenetres Internet par groupe (là faut cliquer rapide !) j’ai tenté une restauration système à 1 point antérieur au pb : il lance la restauration, redémarre et même problème !

J’ai l’impression qu’il me reste plus que le Bios mais j’y connais rien et je ne voudrais pas perdre tous les documents.

Si ce cas vous inspire et que vous avez une petite idée, ca me sauverait vraiment la mise !

 

Rapport juste avant aggravation du problème par élimination des lignes R1 et R0 HKCU :

 

Logfile of Trend Micro HijackThis v2.0.0 (BETA)

Scan saved at 22:30:35, on 10/07/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe

C:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe

C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe

C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe

C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe

C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe

C:\WINDOWS\system32\igfxtray.exe

C:\WINDOWS\system32\hkcmd.exe

C:\WINDOWS\system32\igfxpers.exe

C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\WINDOWS\sm56hlpr.exe

C:\Program Files\Roxio\Roxio DVDMax Player\PDVDServ.exe

C:\WINDOWS\system32\rundll32.exe

C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Messenger\msmsgs.exe

C:\Program Files\Fichiers communs\Symantec Shared\Security Console\NSCSRVCE.EXE

C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe

E:\HiJackThis_v2.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: Norton Internet Security 2006 - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Program Files\Fichiers communs\Symantec Shared\AdBlocking\NISShExt.dll

O2 - BHO: NAV Helper - {A8F38D8D-E480-4D52-B7A2-731BB6995FDD} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: Norton Internet Security 2006 - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Program Files\Fichiers communs\Symantec Shared\AdBlocking\NISShExt.dll

O3 - Toolbar: Norton AntiVirus - {C4069E3A-68F1-403E-B40E-20066696354B} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe

O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe

O4 - HKLM\..\Run: [synTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [Raccourci vers la page des propriétés de High Definition Audio] HDAShCut.exe

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

O4 - HKLM\..\Run: [sMSERIAL] sm56hlpr.exe

O4 - HKLM\..\Run: [RemoteControl] C:\Program Files\Roxio\Roxio DVDMax Player\PDVDServ.exe

O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar

O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-19\..\RunOnce: [nlhr] RunDll32.exe %SystemRoot%\System32\AdvPack.Dll,LaunchINFSection %SystemRoot%\inf\nlite.inf,C (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-20\..\RunOnce: [nlhr] RunDll32.exe %SystemRoot%\System32\AdvPack.Dll,LaunchINFSection %SystemRoot%\inf\nlite.inf,C (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\S-1-5-18\..\RunOnce: [nlhr] RunDll32.exe %SystemRoot%\System32\AdvPack.Dll,LaunchINFSection %SystemRoot%\inf\nlite.inf,C (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - HKUS\.DEFAULT\..\RunOnce: [nlhr] RunDll32.exe %SystemRoot%\System32\AdvPack.Dll,LaunchINFSection %SystemRoot%\inf\nlite.inf,C (User 'Default user')

O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_05\bin\npjpi142_05.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_05\bin\npjpi142_05.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll

O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll

O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Internet Security Password Validation (ccISPwdSvc) - Symantec Corporation - C:\Program Files\Norton Internet Security\ccPwdSvc.exe

O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe

O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Program Files\Norton Internet Security\comHost.exe

O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe

O23 - Service: Service COM de gravage de CD IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\system32\imapi.exe

O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE

O23 - Service: Partage de Bureau à distance NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\system32\mnmsrvc.exe

O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe

O23 - Service: Norton Protection Center Service (NSCService) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Console\NSCSRVCE.EXE

O23 - Service: Planificateur LiveUpdate automatique - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe

O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe

O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe

O23 - Service: Symantec AVScan (SAVScan) - Symantec Corporation - C:\Program Files\Norton Internet Security\Norton AntiVirus\SAVScan.exe

O23 - Service: Carte à puce (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe

O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe

O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe

O23 - Service: Journaux et alertes de performance (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe

O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe

O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\system32\wbem\wmiapsrv.exe

 

--

End of file - 8955 bytes

 

Merci de votre aide

[Gof]

Bonjour lucile

 

Messages: 1

Bienvenue sur les forums de Zebulon.

 

Quelques liens pour t'aider à commencer :

• Comment participer à un forum
  
• retrouver ses messages et activer la notification par email
  

Peux tu reposter un log hijackthis je te prie, mais avec la version 1.99.1 que tu peux trouver ici.

 

Et Télécharge DiagHelp.zip de Malekal_morte sur ton bureau.

• Décompresse le, sur ton bureau par exemple.
  
• Un nouveau dossier chercher va être créé DiagHelp.
  
• Ouvre le et double-clique sur go.cmd (le .cmd peut ne pas apparaître)
  
• Une fenêtre va s'ouvrir, choisis l'option 1
  
• L'analyse va commencer, ceci peut durer quelques minutes, laisse faire et appuie sur une touche quand on te le demande
  
• Copie/colle le contenu du bloc-note qui s'ouvre et joins le à ta prochaine réponse.
  

[lucile]

Bonjour Godlike member,

 

C'est chouette de répondre.

Je ne peux malheureusement pas faire la moindre manip sur le pc qui est planté (cad que dès l'ouverture du bureau, ca mitraille de fenêtres connexions qui se superposent jusqu'à 100%d'UC. Toute action est quasi impossible car coupée par une nouvelle fenetre instantanément).

Le rapport Hijack est le seul dont je dispose.

Y-a-t'il moyen de récuperer mes données ? :

- sous Bios (avec le graveur dvd par exple ?)

-en démontant le pc et son disk dur pour le mettre en "slave" sur un autre pc ? (NB : j'ai un autre pc qui fonctionne normalement) ?

- en reliant les 2 pc avec un cable (si cé possible) ?

Comment m'en sortir, la priorité étant de récuperer mes données ultra importantes.

 

Merci pour le soutien

[Gof]

Bonsoir lucile

 

Quelques questions.

 

As tu essayé de débrancher physiquement ta connexion et de redémarrer ainsi pour voir ce qu'il en était ? Est-ce accessible comme cela pour générer les rapports (en téléchargeant les outils d'un autre pc) ?

 

As-tu accès au mode sans échec ?

 

Pour info :

-Redémarre en mode sans échec :

(En mode sans échec : seul les processus systèmes sont lancés il est donc plus facile de supprimer ce qui est infecté.)

Au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé,

Il y a un écran noir qui apparaît rapidement, tapote par alternance les touches [F8] et [F5] jusqu’à l'affichage du menu des options avancées de Windows. Sélectionne "Mode sans échec"et appuyer sur [Entrée].

[lucile]

Bonjour Godlike,

 

Wahou, faut avoir du pep's pour répondre au milieu de la nuit, merci !

 

Pour répondre à ta question, le pc portable planté n'a aucune connexion ethernet , et le bouton wifi est sur "off" (et connexion wifi non établi ds barre des taches) .

Ensuite le pb est là malgré la déconnexion de tous les réseaux (statut "déconnecté" ds "panneau de configuration; afficher toutes les connexions").

 

Dès l'ouverture du bureau, les pages apparaissent par dizaine et m'empechent d'ouvrir quoique ce soit, meme pas mes documents, impossible meme d'éteindre le pc !

Et idem en redemarrant en mode sans échec (F8) ! ce mode sans échec plante donc aussi.

 

Je pense qu'il y a un couac dans le fichier system au niveau du Generic Host Program (svchost.exe) qui est l'un des premiers à s'activer lors de la mise en route d'XP.

 

C'est donc vraiment impossible de faire un nouveau rapport puisque je ne peux meme pas ouvrir "tous les programmes" ds "démarrer", ni même ouvrir un dossier.

 

J'aimerai vraiment sauver mes données...

 

A très bientot j'espère

[Gof]

Bonsoir lucile

 

Deux questions :

• Possèdes tu un cd original windows xp ?
  
• Avais tu le système de "restauration du système" d'activé sur ton pc ?
  

[lucile]

Bonjour Goodmember,

 

Le temps passe vite...

Oui, j'ai l'original winxp et oui la restauration du système est activée sur mon pc : j'ai retenté une restauration à 2 dates antérieures au problème mais lorsque xp redémarre, le pb persiste. Je pense donc que c'est le fichier système qui est altéré ou un virus qui empêche la restauration.

De toutes facons, la priorité étant de retrouver mes données, j'ai rebooté sur un cd-live kaella knoppix et je peux ainsi avoir accès à mon disk dur (mais impossible de graver : graveur non reconnu sous kaella...galère).

J'aurais quand même bien aimé comprendre ces fenetres intempestives, d'autant plus que je n'y connait rien à linux et que j'ai toujours accès à xp.

Si tu as encore qques pistes sur mon pb, elles sont les bienvenues !

 

Merci à toi

[Gof]

Bonsoir Lucile

 

Il y a quelque chose que je ne saisis pas bien. Tu me dis que tu ne peux faire aucune action, car l'uc est de suite à 100% et que des fenêtres se superposent :

Je ne peux malheureusement pas faire la moindre manip sur le pc qui est planté (cad que dès l'ouverture du bureau, ca mitraille de fenêtres connexions qui se superposent jusqu'à 100%d'UC. Toute action est quasi impossible car coupée par une nouvelle fenetre instantanément) (...) Dès l'ouverture du bureau, les pages apparaissent par dizaine et m'empechent d'ouvrir quoique ce soit, meme pas mes documents, impossible meme d'éteindre le pc !

Et idem en redemarrant en mode sans échec (F8) ! ce mode sans échec plante donc aussi.

Et tu me dis avoir tenté à 2 reprises une restauration système antérieure à l'apparition de ton souci :

j'ai retenté une restauration à 2 dates antérieures au problème mais lorsque xp redémarre, le pb persiste

Comment as tu fait ? En fermant une à une toutes les fenêtres comme tu l'as suggéré ?

 

la fenêtre internet par défaut (yahoo)

Qu'appelles tu la fenêtre internet par défaut ? La page de démarrage sous Internet explorer ? Un gestionnaire Yahoo spécifique ?

[lucile]

Salut Goodmember,

 

oui, j'ai pu faire 2 restaurations juste après avoir fermé un groupe d'au moins une quinzaine de fenetres internet, mais faut faire très vite !

J'ai aussi accés au gestionnaire des taches : plusieurs lignes mentionnant :

Serveur introuvable - Microsoft Internet Explorer / Etat : en cours d'éxécution

Dans l'onglet Processus (une 40aine en une demi-heure), je retrouve souvent ds Nom de l'image :

IEXPLORE.EXE (qui utilise 15 à 16 Mo !!!)

mais aussi plein d'autres .exe différents : exples :

taskmgr.exe

msmsgs.exe

ctfmon.exe

alg.exe

ccApp.exe

rundll32.exe

PDVDServ.exe

symlcvc.exe

etc...pour une 40aine, tous différents

 

La page qui réapparait sans arret est :

 

"Impossible d'afficher la page

La page que vous recherchez est actuellement indispnible, le site web rencontre peut-etre des difficultés techniques...

Essayez de la manière suivante....Outils....Options Internet...conexions....Paramètre...etc...etc"

 

Mais il pourrait très bien s'agir de la page yahoo ou google bref celle par défaut

 

NB : L'adresse est fixe : http://www.tele2.fr/redirect/startpage/adsl/fra a ce moment la.

 

J'en suis tjrs a essayer de recuperer mes données avant de rebooter...j'ai un peu de mal avec Kaella (k3b qui veut pas graver meme avec graveur externe, je n'arrive pas non plus a les recuperer sur clé 4Go...j'ai pas la fibre informatique !).

J'étais sur le point d'arriver a rebooter avec PE Builder (après avoir echouer sur clé usb bootable) avec cdrom rebootable mais mon Amilo m'indique : iasoft.sys manquant et bloque.

 

Galère, je veux juste recuperer les odnnées et rebooter après !!!

 

Qu'en pense-tu ??

 

Merci en tous cas de perséverer sur mon cas

 

Lucile

[Gof]

Bonjour lucile

 

Désolé de ne répondre que maintenant, j'étais absent ces derniers jours. Où en es tu de ton souci ?