Fichier SVCHOST

Bjr,bon voila,en fait j aimerais savoir a quoi sert le fichier SVCHOST qui se touve ds C:\WINDOWS\Temp
et ds C:\WINDOWS\SYSTEM32
Par ce qu a chaque fois que je me connecte a internet,Zone Alarm me demande si il peut se connecter...
Je met non,mais est ce un virus??
Par ce que ca fait depuis 3 jours que ca dur...
Merci pour votre aide...

Je sais que c'est sous ce fichier que se cache w32.welchia.worm et qu'à la moindre reconnection il se retélécharge.

Pour plus d'infos :
http://www.faqxp.com/f/33.asp
http://support.microsoft.com/default...d=kb;fr;314056

D apres ce qu il y a sur ton lien,ce ne serai pas un virus...
Merci

Ouai ce fichier n'est pas un virus mais c'est dans ce fichier que peut s'installer w32.welchia.worm.
Mais si t'as fait une analyse, y a pas de soucis normalement.

Nan je n en ai pas faite...
Une derniere question, FireDaemon c en est un??
C est aussi dans \Temp

Non, FireDaemon est un log qui sois-disant pemet de remédier aux plantages de ses logiciels.

Ca permet par exemple de mettre eMule en "service" et comme ça, si il se ferme FireDaemon le rouvre directement.

Ok,merci...

je ressort ce post pour vous mettre en garde, car svchost n'est pas aussi sympas qu il en á l air!
je n ais plus l url du site ou j ai trouver ça, mais je cite:
Salut,

Je suis désolé de détruire et de saccager la "Légende urbaine", mais un trojan peut être configuré pour utiliser n'importe quel port libre du système...

La liste ne sert à rien...

La meilleure sécurité consiste à supprimer tous les ports d'écoute de votre système... Pas de SVCHOST en écoute donc...
Les services de windows, notamment ceux de windows xp sont en mode d'écoute. C'est à dire qu'ils envoient non seulement un signal pour se faire connaître... Mais en plus ils répondent... Aux requêtes ICMP par exemple; pour n'en citer qu'un. Le mieux est d'empêcher que windows fasse office de phare... Surtout quand un scanner s'attarde sur notre IP range...

Le seul moyen de parvenir à cela est de configurer son firewall... Et de désactiver ou de configurer correctement les services... Et empêcher son système de répondre aux requêtes non sollicitées.

Les services SVCHOST concernant les adresses IP internes ne sont pas dangereuses. Seuls ceux communiquant directement avec l'extérieur le sont...

Voici une explication trés détaillée des services de window xp (Panneau de configuration/Outils d'administration/Services):

- Administration services

Puis fermez les ports suivant avec votre firewall. Ce sont des ports d'écoute. Les ports d'écoute permettent à un attaquant de connaître les failles d'un système et d'en faire son analyse:

- 135
- 445
- 1025
- 1035
- 1098
- 1492
- 1524
- 1568
- 2255
- 2300
- 5000
- Empêcher SYSTEM de recevoir des UDP

Maintenant, il faut aussi empêcher le système de répondre à des requêtes non sollicitées:

- Bloquez Outgoing ping command
- Bloquer Outgoing ping command (ping reply)
- Bloquez Incoming Icmp Time Exceeded (used by TRACEROUTE command)
- Bloquer Outgoing reply on PING command
- Bloquer Other ICMP
- Bloquez IGMP

Les programmes après doivent avoir chacun une règle claire et précise. Par exemple:

- "Generic Host Process for Win32 Services" correspondant à la connection internet ne doit communiquer qu'en UDP/TCP out (sortie). Ne surtout pas autoriser aussi en entrant... Une erreur que trop de gens font...


Voici quelques clés de registre (Regedit) qui permettent de peaufiner les réglages de service xp:


ATTENTION: Sauvegarder bien avant votre registre. Un redémarrage du système est nécessaire pour que les changements soient pris en compte.



1- DDos Exploit


Copier/coller ce qui suit dans notepad et renommer la en DDOS_EXPLOIT.REG. Puis lancez-la et faîtes inscrire les informations dans le registre.


**********Ne pas copier cette ligne************

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Internet Settings\Zones\0]
"1001"=dword:00000003
"1004"=dword:00000003

**********Ne pas copier cette ligne************



2- Empêcher l'activation du port d'écoute 445 ect

Copier/coller ce qui suit dans notepad et renommer la en NOISYPORTMUTE.REG. Puis lancez-la et faîtes inscrire les informations dans le registre.


**********Ne pas copier cette ligne************

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\NetBT\Parameters]
"SmbDeviceEnabled"=dword:00000000

**********Ne pas copier cette ligne************



3- Empêcher Media Player d'ouvrir des connections pour aller chercher des codecs:

Copier/coller ce qui suit dans notepad et renommer la en NOISYPORTMUTEMEDIAPLAYER.REG. Puis lancez-la et faîtes inscrire les informations dans le registre.


**********Ne pas copier cette ligne************

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\MediaPlayer\P references]
"PlayerScriptCommandsEnabled"=dword:00000000


**********Ne pas copier cette ligne************



4- Rendre obsolète un trojan ou cheval de troie

Cette méthode s'utilise en conjugaison avec des réglages fins du firewall. Si votre firewall est une passoire, cette astuce ne fontionnera pas.

Cette petite modification pointe toutes requêtes non sollicitées vers l'extérieur sur votre host interne; à savoir 127.0.0.1. chez vous donc... Donc quand un trojan cherche a communiquer votre adresse, il le fait sur le IP 127.0.0.1... Sympas ;o)

Copier/coller ce qui suit dans notepad et renommer la en NULLSESSION.REG. Puis lancez-la et faîtes inscrire les informations dans le registre.


ATTENTION: Cette astuce vous empêche aussi de fait de pouvoir faire du DCC send sous irc mirc. A vous de voir...


**********Ne pas copier cette ligne************

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\Lsa]
"restrictanonymous"=dword:00000002


**********Ne pas copier cette ligne************


En espérant que cela pourra vous aider à mieux comprendre comment faire en sorte que les services SVCHOST soient plus discrets.