svchost *32

[invite3ba80e6c]

Bonjour, Mesdames et Messieurs

Cela fait un bout de temps que nous cherchons a nous débarrasser de svchost sous Windows 7 que quand il

est dans le gestionnaires des tâches, toutes insertion de clé USB cache carrément son contenu et un seul

fichier est visible un raccourci avec un icon de lecteur.

Rien n'est suspicieux dans le registre et ce processus tourne avec comme nom d'utilisateur celui dont la session a été ouverte.

S'il il y a des pro on les écoute.

Merci.
-----

[JPL]

svchost est un processus tout à fait normal qui fait partie de Windows. Tu peux même en avoir plusieurs ouverts en même temps. Donc tu ne pourras jamais t'en débarrasser. Ou alors il faudrait imaginer qu'en programme infectieux aurait pris son nom. Fais il clic droit dessus et choisis Ouvrir l'emplacement du fichier. Cela t'indiquera dans quel répertoire il se trouve. On verra alors si c'est normal ou non.

[invite3ba80e6c]

On obtient ce répertoire <C:\Windows\SysWOW64>

[JPL]

C'est donc correct. svchost est un processus qui sert à faire fonctionner divers services. Il semble que quelque chose interfère avec la lecture de la clé USB sur ton ordinateur, mais quoi ? As-tu vérifié sur un autre ordinateur si cette clé ne posait pas de problème ?

[A voir en vidéo sur Futura]

[Bluedeep]

On obtient ce répertoire <C:\Windows\SysWOW64>

Là c'est curieux; si il y a en un en effet dans WoW64, celui normalement exécuté est sur Windows\System32.
Tu travail sur quel version de Windows ?

[invite3ba80e6c]

Oui aucun souci sur d'autre machine. Dans nos recherches, nous avons trouvé

dans les threads du processus svchost une instruction "<0x0>" que quand on l'a suspend, le problème

est résolu. Mais à chaque redémarrage, c'est la case départ.

Outil : Process explore



Ligne en bleue.

[JPL]

Là c'est curieux; si il y a en un en effet dans WoW64, celui normalement exécuté est sur Windows\System32.
Tu travail sur quel version de Windows ?

J'ai vérifié : sur mon W7 64 bits il n'existe pas dans System32.

[Bluedeep]

C'est donc correct. svchost est un processus qui sert à faire fonctionner divers services.

Plus exactement, il est le processus host des services décrits comme travaillant sans processus propre. (c'est une option à la création d'un service).

[JPL]

dans les threads du processus svchost une instruction "<0x0>" que quand on l'a suspend, le problème

est résolu

Il y a manifestement là une c..... dans le potage ! Ou bien c'est un service qui foire au démarrage ou bien une infection. Je ne sais pas.

Une question : peux-tu te rappeler à partir de quel moment ce problème est apparu ?

[JPL]

J'ai vérifié : sur mon W7 64 bits il n'existe pas dans System32.

Je me corrige : il existe bien dans System32 mais curieusement le logiciel Everything auquel je fais habituellement confiance ignore totalement ce qui se trouve dans ce répertoire !

Et il est exact (en rajoutant une colonne à l'affichage standard du gestionnaire de tâches) que toutes les instances qui sont actives concernent bien ce dernier.

[bisou10]

Direction l'observateur d'evenements. Et direction SvcHost Viewer https://svchostviewer.codeplex.com/

SVCHOST est un processus normal qui (cf réponse de BLuedeep).

Pas compris le premier message avec la clé usb par contre.

[invite3ba80e6c]

Hi,

Lorsque svchost est dans le gestionnaires des taches, quand on insère une clé USB, le contenu de la clé est caché et est remplacé par un raccourci

avec une icône de lecteur.

Toujours rien trouver la lutte continue.

Merci.

[JPL]

Je repose ma question :

Une question : peux-tu te rappeler à partir de quel moment ce problème est apparu ?

[invite3ba80e6c]

Bonjour,

A quel moment non. Est ce que ça pourrait aider à identifier la cause?

L'anomalie est toujours là.

[USMC]

Salut,

Les outils sysinternals sont pas mal pour ce genre de choses :

process explorer et autoruns en liaison avec virustotal pourront surement t'aider.

Cordialement,