Votre question

Consommation excessive de "Antimalware Service Executable"

Tags :
  • Antimalware+Service+Executable
  • Windows defender
  • Sécurité
  • Processeurs
Dernière réponse : dans Sécurité et virus
28 Janvier 2014 10:07:43

Bonjour,

Depuis quelques jours, le processus "Antimalware Service Executable" est constamment en train de travailler (environ 15% processeur, 120Mo de RAM et entre 10 et 200Mo/s de disque...) sur mon PC.

Ce problème est apparu depuis que j'ai désactivé Windows Defender pendant quelques jours. J'ai procédé à plusieurs analyses avec des logiciels comme AdwCleaner, Malwarebytes ou SpyBot, mais le problème est toujours présent.

J'ai aussi réalisé une analyse complète avec Windows Defender mais lorsque je clique sur "Nettoyer le PC" à la fin de l'analyse, la procédure bloque aux 3/4 d'avancement et ne finit jamais.

Est-ce que quelqu'un pourrait m'aider et me donner une démarche à suivre afin de régler mon problème s'il vous plait ?

Merci par avance.


Ajout : Accessoirement j'ai aussi ce message lors du démarrage (apparu au même moment) :

Autres pages sur : consommation excessive antimalware service executable

a c 612 8 Sécurité
28 Janvier 2014 23:09:00

Bonsoir,

On va établir un premier diagnostic :

Télécharge Farbar Recovery Scan Tool (de Farbar) sur ton Bureau.

Attention: Tu dois lancer la version compatible avec ton système : 32 ou 64bits.

Sous IE9 ou IE10, le filtre SmartScreen déclenche une alerte. Cliquer sur Actions puis sur Exécuter quand même

  • Double-clique sur l'outil pour le lancer. Quand l'outil se lance, clique sur Yes pour accepter le disclamer.
  • Clique sur le bouton Scan.
  • L'outil va créer un rapport nommé FRST.txt, enregistré dans le même dossier que l'outil.
  • A son premier lancement, l'outil va aussi créer un fichier nommé Addition.txt).


  • Poste les deux rapports générés.

  • Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse.
    Une aide à l'utilisation ici

    m
    0
    l
    Contenus similaires
    a c 612 8 Sécurité
    30 Janvier 2014 09:49:09

    Re,

    Effectivement le service d'upload est en panne ce matin, tu as bien fait. ;) 

    Citation :
    C:\Windows\AutoKMS


    KMS = KMSpico = Activateur Windows illégal.

    C'est une version légale et légitime ce Windows 8.1 pro ?
    m
    0
    l
    30 Janvier 2014 10:13:53

    Re,

    Oui je suis étudiant et je dispose d'une clé WIndows 8.1 pro venant du programme DreamSpark de Microsoft, c'est une version légale.
    m
    0
    l
    a c 612 8 Sécurité
    30 Janvier 2014 10:42:08

    Re,

    Ok, mais pourquoi KMS est installé sur ce pc alors ?

    Pour le reste, pas d'infection visible, on va juste nettoyer quelques trucs inutiles :

    1) Désinstalle les programmes suivants dans ta liste des programmes (si présents) :

    Note : Si tu rencontres une erreur passe au suivant et poursuis la procédure

    - Spybot - Search & Destroy (inutile et obsolète)

    [Info]Suite Windows Live : Windows live messenger ayant été remplacé par Skype, il peut être intéressant dès à présent de supprimer les logiciels devenus inutile de la suite Windows Live.
    Pour cela, dans la liste des programmes, cliquer sur "Windows Live"/"Installation Windows Live" puis "Désinstaller" et choisir les logiciels à supprimer (ex : Windows Live Messenger, Complément Messenger, Windows Live Writer, Windows Live Mesh, etc ...)

    ~~~~~~~~~~~~~~~~~~~~~~~~~~

    2) /!\ Crée un point de restauration manuel avant d'appliquer le correctif - Tutoriel en images /!\

    • Ouvre le Bloc-notes (Démarrer => Tous les programmes => Accessoires => Bloc-notes)
    • Copie/colle la totalité du contenu de la zone Code ci-dessous dans le Bloc-notes

      start
      BHO-x32: No Name - {5C255C8A-E604-49b4-9D64-90988571CECB} - No File
      BHO-x32: No Name - {9030D464-4C02-4ABF-8ECC-5164760863C6} - No File
      AlternateDataStreams: C:\ProgramData\TEMP:4FC01C57
      hosts:
      end


    • Enregistre le fichier sur ton Bureau (au même endroit que FRST) sous le nom fixlist.txt
    • Ferme toutes les applications, y compris ton navigateur
    • Double-clique sur FRST.exe
      /!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
    • Sur le menu principal, clique une seule fois sur Fix et patiente le temps de la correction

    • L'outil va créer un rapport de correction Fixlog.txt. Poste ce rapport dans ta réponse.


  • /!\ Ce script a été établi pour cet utilisateur, il ne doit, en aucun cas, être appliqué sur un autre système, au risque de provoquer de graves dysfonctionnement et endommager Windows /!\

    ~~~~~~~~~~~~~~

    Le problème aurait commencé quand à peu près ?

    Je vois une mise à jour qui a eu lieu le 25 janvier dernier, avant ou après cela ?
    m
    0
    l
    30 Janvier 2014 11:09:03

    Re,

    KMS est installé parce que je suis en études d'informatique et on a étudié le mécanisme d'activation des licences en passant par des VM etc. en cours de sécurité.

    J'ai installé Antivir récemment et depuis, j'ai une pop-up à chaque démarrage de mon PC avec 2 fichiers infectés (jusched.exe et jusched[1].exe ou SearchIndexer.exe et SearchIndexer[1].exe). Le virus détecté est TR/Rogue.1126064.1. Une analyse avec Malwarebytes m'avait aussi détecté un BitCoinMiner.

    1) Fait pour SpyBot, mais pas de trace de Windows Live sur mon PC.

    2) Voici le fichier fixlog.txt : http://www.partage-facile.com/IUC1A4GGIK/fixlog.txt.htm...

    Il me semble que le problème est apparu avant la mise à jour vu que je pensais régler le problème avec celle-ci. Je n'ai plus de consommation excessive du processus "Antimalware Service Executable" vu qu'à priori Antivir a pris sa place et l'a désactivé.
    m
    0
    l
    a c 612 8 Sécurité
    30 Janvier 2014 11:53:26

    Re,

    Ok pour KMS,

    Citation :
    j'ai une pop-up à chaque démarrage de mon PC avec 2 fichiers infectés (jusched.exe et jusched[1].exe ou SearchIndexer.exe et SearchIndexer[1].exe). Le virus détecté est TR/Rogue.1126064.1. Une analyse avec Malwarebytes m'avait aussi détecté un BitCoinMiner.


    Je peux avoir les chemin d'accès complet ?

    ~~~~~~~~~~~~~~

    Tu n'as pas ceci dans les programmes installés ?
    Installation Windows Live
    Moi je le vois dans la liste, ainsi que d'autres programmes Windows Live ...

    ~~~~~~~~~~~~~

    Citation :
    Il me semble que le problème est apparu avant la mise à jour vu que je pensais régler le problème avec celle-ci. Je n'ai plus de consommation excessive du processus "Antimalware Service Executable" vu qu'à priori Antivir a pris sa place et l'a désactivé.


    Donc finalement, le problème initial n'existe plus actuellement lui ?
    m
    0
    l
    30 Janvier 2014 12:06:06

    Re,

    Voici les chemins d'accès des fichiers détectés, je viens de redémarrer et j'ai encore eu le même message avec 2 fichiers infectés :
    - Le fichier 'C:\Users\Nadrom\AppData\Roaming\Microsoft\SystemCertificates\My\Updater\jusched.exe'
    contenait un virus ou un programme indésirable 'TR/Rogue.1126064.1' [trojan].
    - Le fichier 'C:\Users\Nadrom\AppData\Local\Microsoft\Windows\INetCache\IE\XRNJKC6L\jusched[1].exe'
    contenait un virus ou un programme indésirable 'TR/Rogue.1126064.1' [trojan].

    ~~~~~~~~~~~~~~

    En effet il était sous le nom "Installation Windows Live", c'est supprimé.

    ~~~~~~~~~~~~~~

    Oui le problème initial n'est plus présent. Il serait préférable que je désinstalle Antivir pour que le problème réapparaisse et rester en accord avec le sujet du post ?

    ~~~~~~~~~~~~~~

    Le message concernant SearchIndexer.exe est réapparu :
    - Le fichier 'C:\Users\Nadrom\AppData\Local\Microsoft\Windows\INetCache\IE\OMDUF7KJ\SearchIndexer[1].exe'
    contenait un virus ou un programme indésirable 'TR/Rogue.1479570.5' [trojan].
    - Dans le fichier 'C:\Users\Nadrom\AppData\Local\Microsoft\Windows\INetCache\IE\OMDUF7KJ\SearchIndexer[1].exe', un virus ou un programme indésirable 'TR/Dldr.AutoIt.NLZ.9' [trojan] a été détecté.
    m
    0
    l
    a c 612 8 Sécurité
    30 Janvier 2014 16:44:54

    Re,

    Citation :
    Oui le problème initial n'est plus présent. Il serait préférable que je désinstalle Antivir pour que le problème réapparaisse et rester en accord avec le sujet du post ?


    Ha ben non :lol: 
    Si ça fonctionne comme ça, restons comme ça non ?
    Tu veux absolument remettre l'antivirus Microsoft ?

    ~~~~~~~~~~

    On va analyser l'un des fichier indiqué :

    Affiche les fichiers et dossiers cachés :
    http://www.inforumatique.fr/forum/afficher-les-fichiers...

    Va sur ce site :
    http://www.virustotal.com/fr/

    Clique sur "Choisir un fichier" puis recherche ce fichier (si présent) :
    C:\Users\Nadrom\AppData\Roaming\Microsoft\SystemCertificates\My\Updater\jusched.exe

    Une fois sélectionné, clique sur "Analyser !", l'envoi va commencer.

    S'il te dit que ce fichier a déjà été analysé, redemande une analyse (bouton "Réanalyser"), et/ou laisse faire l'analyse jusqu'à avoir "Analyse complète" en haut

    Copie alors l'adresse dans la barre d'adresse de ton navigateur, puis donne-la moi dans ta prochaine réponse.
    m
    0
    l
    6 Février 2014 14:28:39

    Re,

    Désolé pour le temps de réponse.

    Non je ne souhaite pas forcément remettre l'anvitirus Microsoft, Antivir me va très bien.

    ~~~~~~~~~~

    Voici l'analyse faite sur le fichier "jusched.exe" qui se trouvait au chemin que tu as indiqué :
    https://www.virustotal.com/fr/file/583b585078f37f5d399a...

    J'ai voulu analyser le fichier SearchIndexer.exe que j'avais cité précédemment mais il est automatiquement mis en quarantaine par mon antivirus, lequel détecte ce Trojan : TR/Rogue.1479570.5
    m
    0
    l
    a c 612 8 Sécurité
    6 Février 2014 14:38:22

    Re,

    Ok, lui aussi il est pourris ...

    Y'a autre chose comme fichier dans le dossier parent de ce fichier :
    C:\Users\Nadrom\AppData\Roaming\Microsoft\SystemCertificates\My\Updater
    m
    0
    l
    a c 612 8 Sécurité
    6 Février 2014 20:04:36

    Re,

    On va faire radical, de toute manière ce dossier n'est pas légitime, donc tu me dis si tu peux supprimer toi-même le dossier :
    C:\Users\Nadrom\AppData\Roaming\Microsoft\SystemCertificates\My\Updater

    Ensuite, tu supprimes tout le contenu de ce dossier : (pas le dossier lui-même)
    C:\Users\Nadrom\AppData\Local\Microsoft\Windows\INetCache\IE\OMDUF7KJ

    Puis tu refais une analyse avec ton antivirus voir s'il détecte encore quelque chose.

    :jap: 
    m
    0
    l
    7 Février 2014 10:53:46

    Re,

    J'ai supprimer le dossier C:\Users\Nadrom\AppData\Roaming\Microsoft\SystemCertificates\My\Updater.

    Par contre je rencontre un souci pour le dossier INetCache, il n'apparait pas lorsque j'explore C:\Users\Nadrom\AppData\Local\Microsoft\Windows\, cependant en le recherchant je trouve 2 dossier INetCache, je mais quand j'ouvre le premier il est vide, et le deuxième a pour chemin C:\Users\Nadrom\AppData\Local\Microsoft\Windows\INetCache\Virtualized\C\Users\Nadrom\AppData\Local\Microsoft\Windows, ce qui voudrait dire que le dossier n'est pas vide mais je n'arrive pas à afficher le contenu.
    m
    0
    l
    a c 612 8 Sécurité
    7 Février 2014 11:40:19

    Re,

    Pour le second, on va juste vider le cache Internet Explorer, cela devrait suffire :
    http://support.microsoft.com/kb/260897/fr

    Redémarre ensuite le pc, dis-moi si tu as encore des alertes de ton antivirus, ou refais un scan voir s'il détecte encore quelque chose
    m
    0
    l
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS