Metagames


Précédent   Metagames > Discussions Générales > Informatique
Accueil S'inscrire Blogs FAQ Communauté Calendrier Téléchargements Messages du jour Recherche

Informatique Zone exclusivement réservée aux discussions traitant d'informatique: problèmes windows, logiciels, virus, etc...

Réponse
 
Outils de la discussion Modes d'affichage
Vieux 29/12/2004, 13h35   #1 (permalink)
Profil
Invité
Non Inscrit / Non Connecté
Ancienneté  100%
Ancienneté 100%
 
Messages: n/a
Téléchargements:
Uploads:
Par défaut

Bjr,bon voila,en fait j aimerais savoir a quoi sert le fichier SVCHOST qui se touve ds C:\WINDOWS\Temp
et ds C:\WINDOWS\SYSTEM32
Par ce qu a chaque fois que je me connecte a internet,Zone Alarm me demande si il peut se connecter...
Je met non,mais est ce un virus??
Par ce que ca fait depuis 3 jours que ca dur...
Merci pour votre aide...
  Réponse avec citation
Vieux 29/12/2004, 13h41   #2 (permalink)
Profil
Invité
Non Inscrit / Non Connecté
Ancienneté  100%
Ancienneté 100%
 
Messages: n/a
Téléchargements:
Uploads:
Par défaut

Je sais que c'est sous ce fichier que se cache w32.welchia.worm et qu'à la moindre reconnection il se retélécharge.

Pour plus d'infos :
http://www.faqxp.com/f/33.asp
http://support.microsoft.com/default...d=kb;fr;314056
  Réponse avec citation
Vieux 29/12/2004, 13h48   #3 (permalink)
Profil
Invité
Non Inscrit / Non Connecté
Ancienneté  100%
Ancienneté 100%
 
Messages: n/a
Téléchargements:
Uploads:
Par défaut

D apres ce qu il y a sur ton lien,ce ne serai pas un virus...
Merci
  Réponse avec citation
Vieux 29/12/2004, 13h51   #4 (permalink)
Profil
Invité
Non Inscrit / Non Connecté
Ancienneté  100%
Ancienneté 100%
 
Messages: n/a
Téléchargements:
Uploads:
Par défaut

Ouai ce fichier n'est pas un virus mais c'est dans ce fichier que peut s'installer w32.welchia.worm.
Mais si t'as fait une analyse, y a pas de soucis normalement.
  Réponse avec citation
Vieux 29/12/2004, 13h56   #5 (permalink)
Profil
Invité
Non Inscrit / Non Connecté
Ancienneté  100%
Ancienneté 100%
 
Messages: n/a
Téléchargements:
Uploads:
Par défaut

Nan je n en ai pas faite...
Une derniere question, FireDaemon c en est un??
C est aussi dans \Temp
  Réponse avec citation
Vieux 29/12/2004, 14h17   #6 (permalink)
Profil
Invité
Non Inscrit / Non Connecté
Ancienneté  100%
Ancienneté 100%
 
Messages: n/a
Téléchargements:
Uploads:
Par défaut

Non, FireDaemon est un log qui sois-disant pemet de remédier aux plantages de ses logiciels.

Ca permet par exemple de mettre eMule en "service" et comme ça, si il se ferme FireDaemon le rouvre directement.
  Réponse avec citation
Vieux 29/12/2004, 14h19   #7 (permalink)
Profil
Invité
Non Inscrit / Non Connecté
Ancienneté  100%
Ancienneté 100%
 
Messages: n/a
Téléchargements:
Uploads:
Par défaut

Ok,merci...
  Réponse avec citation
Vieux 19/01/2005, 17h24   #8 (permalink)
Profil
Invité
Non Inscrit / Non Connecté
Ancienneté  100%
Ancienneté 100%
 
Messages: n/a
Téléchargements:
Uploads:
Par défaut

je ressort ce post pour vous mettre en garde, car svchost n'est pas aussi sympas qu il en á l air!
je n ais plus l url du site ou j ai trouver ça, mais je cite:
Salut,

Je suis désolé de détruire et de saccager la "Légende urbaine", mais un trojan peut être configuré pour utiliser n'importe quel port libre du système...

La liste ne sert à rien...

La meilleure sécurité consiste à supprimer tous les ports d'écoute de votre système... Pas de SVCHOST en écoute donc...
Les services de windows, notamment ceux de windows xp sont en mode d'écoute. C'est à dire qu'ils envoient non seulement un signal pour se faire connaître... Mais en plus ils répondent... Aux requêtes ICMP par exemple; pour n'en citer qu'un. Le mieux est d'empêcher que windows fasse office de phare... Surtout quand un scanner s'attarde sur notre IP range...

Le seul moyen de parvenir à cela est de configurer son firewall... Et de désactiver ou de configurer correctement les services... Et empêcher son système de répondre aux requêtes non sollicitées.

Les services SVCHOST concernant les adresses IP internes ne sont pas dangereuses. Seuls ceux communiquant directement avec l'extérieur le sont...

Voici une explication trés détaillée des services de window xp (Panneau de configuration/Outils d'administration/Services):

- Administration services

Puis fermez les ports suivant avec votre firewall. Ce sont des ports d'écoute. Les ports d'écoute permettent à un attaquant de connaître les failles d'un système et d'en faire son analyse:

- 135
- 445
- 1025
- 1035
- 1098
- 1492
- 1524
- 1568
- 2255
- 2300
- 5000
- Empêcher SYSTEM de recevoir des UDP

Maintenant, il faut aussi empêcher le système de répondre à des requêtes non sollicitées:

- Bloquez Outgoing ping command
- Bloquer Outgoing ping command (ping reply)
- Bloquez Incoming Icmp Time Exceeded (used by TRACEROUTE command)
- Bloquer Outgoing reply on PING command
- Bloquer Other ICMP
- Bloquez IGMP

Les programmes après doivent avoir chacun une règle claire et précise. Par exemple:

- "Generic Host Process for Win32 Services" correspondant à la connection internet ne doit communiquer qu'en UDP/TCP out (sortie). Ne surtout pas autoriser aussi en entrant... Une erreur que trop de gens font...


Voici quelques clés de registre (Regedit) qui permettent de peaufiner les réglages de service xp:


ATTENTION: Sauvegarder bien avant votre registre. Un redémarrage du système est nécessaire pour que les changements soient pris en compte.



1- DDos Exploit


Copier/coller ce qui suit dans notepad et renommer la en DDOS_EXPLOIT.REG. Puis lancez-la et faîtes inscrire les informations dans le registre.


**********Ne pas copier cette ligne************

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Internet Settings\Zones\0]
"1001"=dword:00000003
"1004"=dword:00000003

**********Ne pas copier cette ligne************



2- Empêcher l'activation du port d'écoute 445 ect

Copier/coller ce qui suit dans notepad et renommer la en NOISYPORTMUTE.REG. Puis lancez-la et faîtes inscrire les informations dans le registre.


**********Ne pas copier cette ligne************

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\NetBT\Parameters]
"SmbDeviceEnabled"=dword:00000000

**********Ne pas copier cette ligne************



3- Empêcher Media Player d'ouvrir des connections pour aller chercher des codecs:

Copier/coller ce qui suit dans notepad et renommer la en NOISYPORTMUTEMEDIAPLAYER.REG. Puis lancez-la et faîtes inscrire les informations dans le registre.


**********Ne pas copier cette ligne************

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\MediaPlayer\P references]
"PlayerScriptCommandsEnabled"=dword:00000000


**********Ne pas copier cette ligne************



4- Rendre obsolète un trojan ou cheval de troie

Cette méthode s'utilise en conjugaison avec des réglages fins du firewall. Si votre firewall est une passoire, cette astuce ne fontionnera pas.

Cette petite modification pointe toutes requêtes non sollicitées vers l'extérieur sur votre host interne; à savoir 127.0.0.1. chez vous donc... Donc quand un trojan cherche a communiquer votre adresse, il le fait sur le IP 127.0.0.1... Sympas ;o)

Copier/coller ce qui suit dans notepad et renommer la en NULLSESSION.REG. Puis lancez-la et faîtes inscrire les informations dans le registre.


ATTENTION: Cette astuce vous empêche aussi de fait de pouvoir faire du DCC send sous irc mirc. A vous de voir...


**********Ne pas copier cette ligne************

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\Lsa]
"restrictanonymous"=dword:00000002


**********Ne pas copier cette ligne************


En espérant que cela pourra vous aider à mieux comprendre comment faire en sorte que les services SVCHOST soient plus discrets.



  Réponse avec citation
Réponse
Précédent   Metagames > Discussions Générales > Informatique


Règles de messages
Vous ne pouvez pas créer de nouvelles discussions
Vous ne pouvez pas envoyer des réponses
Vous ne pouvez pas envoyer des pièces jointes
Vous ne pouvez pas modifier vos messages

Les balises BB sont activées : oui
Les smileys sont activés : oui
La balise [IMG] est activée : oui
Le code HTML peut être employé : non
Trackbacks are non
Pingbacks are non
Refbacks are non


Discussions similaires
Discussion Auteur Forum Réponses Dernier message
svchost.exe,le processus qui lag.... Changar Informatique 2 26/06/2006 08h21
C:\WINDOWS\svchost.exe Invité Informatique 17 20/06/2005 20h50
Gain... Svchost....? Invité Informatique 4 10/12/2004 20h01
svchost.exe Invité Points Divers 16 20/09/2004 19h19
virus dans svchost.exe Invité Points Divers 14 11/08/2004 22h08


Fuseau horaire GMT +1. Il est actuellement 21h27.


© 2003-2018 MetaGames. Tous droits réservés.