Fenêtre sc.exe qui clignote sous Windows 11 : supprimer Altruistic, corriger SFC/DISM bloqué et stabiliser les services

Une fenêtre sc.exe qui clignote peut signaler la création d’un service par un logiciel — légitime ou malveillant. Avec l’apparition d’Altruistic et des erreurs SFC/DISM, suivez ce guide pragmatique pour assainir Windows et retrouver un démarrage normal.

Apparition furtive de C:\Windows\System32\sc.exe

Vue d’ensemble du problème

• Une fenêtre sc.exe (Service Control) s’ouvre puis se ferme très rapidement, donnant l’impression d’un programme suspect.
• L’utilisateur vient d’installer ou de mettre à jour un micro‑programme (firmware).
• L’antivirus a détecté un malware nommé Altruistic (classé comme cheval de Troie).
• Les tentatives de réparation via SFC et DISM ont signalé des fichiers corrompus ; DISM semble bloqué à environ 62 %.

À retenir rapidement

• sc.exe n’est pas un virus : c’est un outil Microsoft légitime qui crée, modifie et pilote les services Windows. Sa présence furtive indique qu’un logiciel (installateur, pilote, adware ou malware) manipule un service.
• La coïncidence firmware récent + détection Altruistic + corruption système oriente vers un conflit logiciel ou une infection. Il faut d’abord neutraliser le risque sécurité, ensuite réparer Windows.

Solutions proposées et bonnes pratiques

Étape	Objectif	Commande ou outil	Points clés
Analyse antivirus complète	Éliminer Altruistic et tout autre logiciel malveillant	Antivirus résident → Analyse complète ; Microsoft Defender hors connexion ; outil spécialisé réputé	Supprimer ou mettre en quarantaine tous les éléments détectés. Redémarrer et refaire un contrôle.
Vérification des fichiers système	Réparer les DLL et exécutables Windows endommagés	sfc /scannow	Sans danger pour vos données. Si des erreurs persistent, planifier une réparation de l’image avec DISM, puis relancer SFC.
Réparation de l’image système	Corriger les composants que SFC ne peut pas réparer	DISM /Online /Cleanup-Image /RestoreHealth	Le plateau prolongé vers ~ 62 % est courant. Laisser se terminer. Ensuite, relancer sfc /scannow pour valider.
Démarrage en mode minimal	Isoler un service/logiciel tiers déclenchant sc.exe	msconfig → masquer services Microsoft → désactiver le reste ; Gestionnaire des tâches → Démarrage	Si le symptôme disparaît, réactiver un par un pour identifier le coupable.
Inspection des tâches et services	Trouver ce qui lance sc.exe	Observateur d’événements, Planificateur de tâches, Autoruns (Sysinternals)	Supprimer ou désactiver les entrées suspectes, surtout celles créées récemment.
Réparation sur place	Réinstaller Windows 11 sans perte	Monter ISO officiel → Setup → Conserver fichiers et applications	Répare la couche système tout en gardant vos données et vos logiciels.
Mise à jour firmware et pilotes	Écarter un conflit post‑mise à jour	Versions certifiées via OEM ou Windows Update	Éviter les exécutables tiers obscurs. Vérifier les signatures numériques.
Surveillance approfondie	Capturer en temps réel l’appel à sc.exe	Process Monitor (Sysinternals) avec filtre Process Name is sc.exe	Permet d’identifier la ligne de commande exacte et le processus parent.

---

Procédure détaillée pas à pas

Analyse antivirus complète

Commencez par éliminer toute menace active :

1. Effectuez une analyse complète avec votre antivirus résident.
2. Lancez une analyse hors connexion : dans Sécurité Windows > Protection contre les virus et menaces > Options d’analyse > Analyse Microsoft Defender hors connexion. Le PC redémarre et scanne avant le chargement de Windows, ce qui augmente le taux de détection.
3. En cas de détection d’Altruistic ou d’autres PUA/Trojan, mettez en quarantaine/supprimez, puis redémarrez. Refaites une analyse pour vous assurer d’un résultat propre.

Conseils : débranchez temporairement les supports externes, fermez les applications, et notez les noms/fichiers/processus signalés pour recouper ensuite avec les services et tâches planifiées.

Vérification des fichiers système

Ouvrez une invite de commandes en administrateur puis exécutez :

sfc /scannow

Attendez la fin et lisez le bilan : si SFC a réparé des éléments, redémarrez et refaites sfc /scannow. S’il signale des fichiers corrompus qu’il ne peut pas réparer, enchaînez avec DISM.

Réparation de l’image système

Exécutez successivement :

DISM /Online /Cleanup-Image /ScanHealth
DISM /Online /Cleanup-Image /RestoreHealth

Il est fréquent de voir la progression semblant bloquée autour de 62 % : le moteur traite des composants volumineux. Laissez l’opération se terminer, puis redémarrez. Relancez sfc /scannow pour vérifier que tout est rétabli.

Si la restauration échoue ou boucle :

• Nettoyez le magasin de composants : DISM /Online /Cleanup-Image /StartComponentCleanup.
• Réinitialisez le cache Windows Update : net stop wuauserv net stop bits net stop cryptsvc ren C:\Windows\SoftwareDistribution SoftwareDistribution.old ren C:\Windows\System32\catroot2 catroot2.old net start cryptsvc net start bits net start wuauserv
• Utilisez une source locale fiable (ISO de la même édition/build) : DISM /Get-WimInfo /WimFile:D:\sources\install.wim DISM /Online /Cleanup-Image /RestoreHealth /Source:wim:D:\sources\install.wim:INDEX /LimitAccess Remplacez D: par la lettre du média et INDEX par l’index correspondant à votre édition (pro/éducation/famille) tel que retourné par /Get-WimInfo.

Démarrage en mode minimal

Le clean boot aide à déterminer si un logiciel tiers déclenche sc.exe :

1. Dans msconfig : onglet Services → cochez Masquer tous les services Microsoft → Désactiver tout.
2. Ouvrez le Gestionnaire des tâches → onglet Démarrage → désactivez toutes les entrées non essentielles.
3. Redémarrez et observez si la fenêtre sc.exe réapparaît.
4. Si le symptôme disparaît, réactivez les éléments un à un (ou par petits groupes) jusqu’à identifier le coupable.

Inspection des tâches planifiées et services

Un adware ou un installateur peut utiliser sc.exe pour créer ou manipuler des services. Inspectez :

• Observateur d’événements → Journaux Windows → Système → Service Control Manager : surveillez les ID 7045 (installation de service), 7035/7036 (démarrage/arrêt), 7040 (changement de configuration).
• Planificateur de tâches → recherchez des tâches récemment créées (Créé le) et inspectez leurs actions : si l’action appelle sc.exe ou un exécutable non signé, désactivez-la et supprimez-la si nécessaire.
• Autoruns (Sysinternals) → onglet Services, Scheduled Tasks, Logon : triez par Publisher et Time, décochez les entrées non signées/suspectes. Ne supprimez que ce que vous comprenez.

Réparation sur place

Quand SFC/DISM ne stabilisent pas le système, la réparation sur place (in‑place upgrade) remet à neuf Windows tout en conservant applications et fichiers :

1. Montez l’ISO officiel de Windows 11 et lancez Setup.
2. Choisissez Conserver les fichiers et applications, puis suivez l’assistant.
3. Après redémarrage, refaites sfc /scannow pour vérifier l’intégrité.

Mise à jour firmware et pilotes

Si l’apparition de sc.exe a commencé après un firmware, vérifiez :

• Que le firmware/progiciel provient bien du fabricant (OEM) et est signé.
• Que les pilotes de chipset, stockage, réseau et GPU sont à jour via Windows Update ou l’utilitaire OEM.
• Qu’aucun utilitaire tiers n’injecte de services résidents inutiles (optimiseurs, updaters persistants, barres d’outils…)

Surveillance approfondie

Pour savoir qui lance sc.exe et avec quelle commande :

1. Ouvrez Process Monitor (Sysinternals) en administrateur.
2. Ajoutez un filtre : Process Name is sc.exe → Include. Ajoutez la colonne Command Line.
3. Enregistrez la trace quelques minutes, puis stoppez.
4. Repérez l’operation Process Start : vous verrez le Process Parent et la Command Line exacte (ex. sc.exe create <service> binPath= "C:\...\malware.exe").

---

Vérifications ciblées autour de sc.exe

Confirmer l’authenticité de sc.exe

• Chemin légitime : C:\Windows\System32\sc.exe. Si vous trouvez un sc.exe ailleurs, considérez‑le comme suspect.
• Signature : clic droit > Propriétés > Signatures numériques → Microsoft Windows. Absence de signature ? Méfiance.
• Hachage : vous pouvez vérifier l’intégrité via : Get-FileHash "C:\Windows\System32\sc.exe" -Algorithm SHA256 Comparez entre machines saines de même build, ou avec une source de confiance.

Capturer la ligne de commande et le parent

Les deux leviers les plus utiles sont la ligne de commande et le processus parent : s’ils pointent vers un installateur OEM récent ou un utilitaire d’auto‑update, il s’agit probablement d’un comportement légitime. S’ils pointent vers un exécutable inconnu dans %ProgramData%, %AppData% ou un sous‑dossier aléatoire, isolez‑le et analysez‑le.

Événements utiles dans l’Observateur d’événements

Journal	ID	Signification	Que faire
Windows > Système > Service Control Manager	7045	Installation d’un service	Notez le Service Name et la Path. Inspectez la cible pour signature/dossier.
Windows > Système > Service Control Manager	7035/7036	Ordre de démarrage/arrêt de service	Identifiez les services qui démarrent au même moment que la fenêtre sc.exe.
Applications et services > Microsoft > Windows > TaskScheduler > Operational	106, 140	Enregistrement/modification d’une tâche	Vérifiez l’action de la tâche : exécute‑t‑elle sc.exe ?
Windows > Sécurité	4697	Installation d’un service (si audit activé)	Associez l’événement à l’utilisateur/processus responsable.

---

SFC et DISM : comprendre, diagnostiquer, et lire les journaux

Lire CBS.log

SFC écrit ses résultats dans C:\Windows\Logs\CBS\CBS.log. Pour filtrer les entrées utiles :

findstr /c:"[SR]" %windir%\Logs\CBS\CBS.log > "%userprofile%\Desktop\SFC_Diagnostic.txt"

Ouvrez le fichier de diagnostic et repérez les Cannot repair : vous y verrez le chemin du fichier, sa version, et l’action menée (réparation, substitution, etc.).

Lire DISM.log

DISM journalise dans C:\Windows\Logs\DISM\dism.log. Cherchez les erreurs 0x800f081f (source introuvable) ou 0x800f0906 (contenu non disponible). Dans ce cas, fournissez une source locale avec /Source:wim: et ajoutez /LimitAccess pour éviter Windows Update.

Alternatives quand DISM semble bloqué à 62 %

• Assurez‑vous d’avoir assez d’espace disque (idéalement plusieurs Go libres sur C:).
• Lancez un StartComponentCleanup puis relancez RestoreHealth.
• Réinitialisez Windows Update (voir commandes plus haut).
• Utilisez une image ISO de même version/build que votre système pour servir de source.
• Si l’échec persiste, passez à la réparation sur place.

---

Identifier l’élément déclencheur : méthodes rapides

Rechercher des tâches planifiées appelant sc.exe

Invite de commandes (admin) :

schtasks /query /v /fo LIST | findstr /i "sc.exe"

PowerShell (admin) :

Get-ScheduledTask | Where-Object {
  ($_.Actions | ForEach-Object { $_.Execute }) -match 'sc\.exe'
} | Select-Object TaskPath, TaskName, State

Recenser les services créés récemment

Filtrez l’Observateur d’événements sur l’ID 7045 puis examinez chaque service :

sc qc "NomDuService"

La ligne BINARY_PATH_NAME doit pointer vers un exécutable légitime et signé. Toute cible dans %ProgramData% ou %AppData% avec un nom aléatoire est suspecte.

Contrôler les points d’exécution persistants

• Démarrage utilisateur : shell:startup
• Démarrage global : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp
• Tâches planifiées : Task Scheduler
• Services : services.msc
• Autoruns : examinez Everything, désélectionnez ce qui est non signé ou inconnu.

---

Commandes utiles prêtes à copier

But	Commande
Analyse SFC	sfc /scannow
DISM : vérification	DISM /Online /Cleanup-Image /ScanHealth
DISM : réparation	DISM /Online /Cleanup-Image /RestoreHealth
DISM avec source locale	DISM /Online /Cleanup-Image /RestoreHealth /Source:wim:D:\sources\install.wim:INDEX /LimitAccess
Nettoyage magasin de composants	DISM /Online /Cleanup-Image /StartComponentCleanup
Réinitialiser WU	net stop wuauserv && net stop bits && net stop cryptsvc && ren C:\Windows\SoftwareDistribution SoftwareDistribution.old && ren C:\Windows\System32\catroot2 catroot2.old && net start cryptsvc && net start bits && net start wuauserv
Lister tâches appelant sc.exe	schtasks /query /v /fo LIST | findstr /i "sc.exe"
Vérifier un service	sc qc "NomDuService"
Hash de sc.exe	Get-FileHash "C:\Windows\System32\sc.exe" -Algorithm SHA256

---

Étapes spécifiques si un cheval de Troie Altruistic a été détecté

• Isoler le poste du réseau si possible le temps du nettoyage.
• Supprimer/quarantainer toutes les détections. Faites une seconde opinion avec un autre moteur réputé.
• Inspecter services et tâches créés le jour de la détection (événements 7045/TaskScheduler).
• Vider les dossiers temporaires (%TEMP%, C:\Windows\Temp) et les navigateurs (extensions inconnues).
• Réinitialiser les proxys et paramètres réseau en cas d’anomalie : netsh winhttp reset proxy netsh winsock reset ipconfig /flushdns
• Changer les mots de passe sensibles après nettoyage (compte Microsoft, messagerie, banques), vérifier l’absence de redirections/proxys dans les navigateurs.

---

Résoudre les effets secondaires d’une mise à jour de firmware

Un utilitaire OEM peut créer/modifier des services lors d’un flashage. Pour assainir :

• Réinstallez proprement l’outil OEM dans sa dernière version, ou désinstallez‑le si non indispensable.
• Mettez à jour les pilotes chipset/stockage qui interagissent avec l’ACPI et la gestion d’énergie.
• Dans Gestionnaire de périphériques, vérifiez qu’aucun périphérique n’est en erreur (icône jaune).
• Consultez msinfo32 pour confirmer la version de BIOS/UEFI installée et la date du flashage.

---

Checklist de diagnostic rapide

Question	Comment vérifier	Interprétation
Le sc.exe affiché est‑il légitime ?	Chemin, signature numérique	Si hors System32 ou non signé : suspect.
Quel composant le lance ?	Process Monitor, parent process, Event IDs	Installateur OEM : probablement OK. Exécutable inconnu : enquêter.
Des services ont‑ils été créés récemment ?	Event ID 7045	Associez‑les aux fichiers cibles et à leur signature.
Des tâches planifiées déclenchent‑elles sc.exe ?	schtasks ou Planificateur	Désactivez ou supprimez les tâches suspectes.
Le système est‑il intègre ?	SFC/DISM, puis CBS.log et DISM.log	Si les erreurs persistent, envisagez la réparation sur place.

---

Précautions et bonnes pratiques

• Ne supprimez pas sc.exe : c’est un binaire système. La suppression endommagerait Windows.
• Sauvegardez vos données ou créez une image système avant les opérations lourdes (DISM, réparation sur place).
• Évitez les utilitaires « optimiseurs » ou « drivers miracle » qui installent des services en arrière‑plan.
• Vérifiez toujours la signature numérique des exécutables et pilotes critiques.
• Minimisez les logiciels résidents au démarrage : moins il y en a, plus le diagnostic est simple.

---

Après nettoyage : consolider la sécurité

• Activez la protection en temps réel et la protection basée sur le cloud dans Sécurité Windows.
• Mettez à jour Windows et les applications.
• Activez l’isolation du noyau et la protection Contrôle des applications et du navigateur si compatibles.
• Examinez les navigateurs : désinstallez extensions inconnues, réinitialisez si nécessaire.
• Surveillez quelques jours l’Observateur d’événements (7045/7035/7036) pour confirmer la disparition des créations/démarrages suspects.

---

Questions fréquentes

Le phénomène peut‑il être un faux positif ? Oui : des installateurs/maj légitimes utilisent sc.exe. Mais la présence d’un Trojan détecté le même jour renforce l’hypothèse d’une application intrusive. Menez la remédiation dans l’ordre : sécurité d’abord, intégrité ensuite.

Pourquoi DISM s’arrête‑t‑il toujours vers 62 % ? C’est un point de passage fréquent lors de la réparation du magasin de composants. Cela peut sembler figé alors que le traitement continue en arrière‑plan. Sauf erreur immédiate affichée, laissez finir.

Une réparation sur place effacera‑t‑elle mes données ? Non si vous choisissez l’option Conserver fichiers et applications. Prévoyez quand même une sauvegarde.

---

Résumé stratégique

Enchaînez méthodiquement : analyse antivirus → SFC → DISM → clean boot → inspection services/tâches → réparation sur place, tout en contrôlant pilotes/firmware. Cette séquence règle la grande majorité des apparitions intempestives de sc.exe et vous restitue un Windows sain, prévisible et sécurisé.

---

Annexes : exemples d’interprétation de commandes sc.exe

Commande observée	Ce que cela signifie	Action recommandée
sc.exe create <Nom> binPath= "C:\Program Files\Logiciel\agent.exe" start= auto	Création d’un service démarrage automatique par un installateur	Vérifier la signature de agent.exe. Si légitime, RAS.
sc.exe start <Nom>	Démarrage manuel d’un service	Si répété au démarrage, chercher la tâche planifiée ou l’updater qui le déclenche.
sc.exe delete <Nom>	Suppression d’un service	Historiser l’origine ; si suppression d’un service malveillant, redémarrer et confirmer disparition (Event 7045 absent).

---

Exemple de plan d’action compact

1. Nettoyage sécurité : analyses complètes, hors connexion, suppression/quarantaine, redémarrage.
2. Intégrité Windows : sfc → dism → sfc.
3. Diagnostic persistance : clean boot, Event Viewer, tâches planifiées, Autoruns, Process Monitor.
4. Réparation ultime : in‑place upgrade si les erreurs subsistent.
5. Hygiène durable : pilotes/firmware certifiés, mises à jour, extensions/navigateurs propres.

En appliquant ces étapes et en documentant chaque observation (service créé, tâche trouvée, ligne de commande, identifiant d’événement), vous obtiendrez une vision claire de la cause et un chemin de remédiation robuste.