Aller au contenu
  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Messages recommandés

Posté(e)

Bonjour à tous,

Suite à la réinstallation de mon XP home, j'ai complètement changé ma solution AV et Firewall. Utilisant avant Norton, mais le trouvant beaucoup trop gourmant, j'ai installé avast, sygate, bien entendu complété par un ensemble de M.Antispyware, Ad-aware, Prevx et Spybot (ça fait un peu beaucoup, non ?).

 

Bon le problème est qu'en faisant un scan des ports de ma bécane, j'ai trouvé un port, le 135, ouvert, et impossible de le fermer. Je vais donc sur le forum de Sygate, trouve la solution pour le fermer, mais comme c'est celui utilisé par les procédures RPC et qu'il était resté longtemps ouvert, je fais des scan AV en ligne et sur le système (rien trouvé), je regarde mes applications lancées, et constate qu'un SVCHOST s'installe en 3ième place des applications qui bouffent le plus de mémoire et qu'il y reste longtemps.

Ceci concorderait avec sygate qui me dit que svchost cherche désespérement à joindre le réseau (lequel ? le mien ou internet ?) et qu'il le bloque d'office. Bon à la base, c'est plutôt cool, mais voilà, suis je vérolé par un truc dans mes processus SVCHOST ?

 

Alors j'ai utilisé le forum et toutes les ressources possible pour identifier les services cachés derrière SVCHOST. J'ai fait un tasklist /svc (pour ceux chez qui ça marche pas sous XP HOME, il faut juste le choper chez quelqu'un, l'installer n'importe où et le lancer en ligne de commande, je dis ça parce que j'ai galéré pour le trouver. Donc si vous le voulez....). Ensuite j'ai comparé avec tous les services lancés par Windows, mais je n'ai pas pu en tirer grand chose.

 

Alors voilà, là je bloque.... que dois-je faire ?

 

Je vous lache un hijackthis, je peux aussi vous lacher le tasklist si c'est utile.

 

Logfile of HijackThis v1.99.1

Scan saved at 13:31:01, on 20/08/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Sygate\SPF\smc.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe

C:\Program Files\PREVX\Prevx Home\PXAgent.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\ADSL Autoconnect\ADSL Autoconnect.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\WINDOWS\System32\svchost.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\Program Files\Microsoft AntiSpyware\gcasServ.exe

C:\Program Files\PREVX\Prevx Home\SAGUI.exe

C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

C:\Program Files\Free Download Manager\fdm.exe

C:\Program Files\ADSL Autoconnect\ADSL Autoconnect.exe

C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

C:\Program Files\Microsoft AntiSpyware\gcasDtServ.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\WINDOWS\system32\rundll32.exe

F:\téléchargement\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe"

O4 - HKLM\..\Run: [smcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui

O4 - HKLM\..\Run: [PrevxHome] C:\Program Files\PREVX\Prevx Home\SAGUI.exe

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKCU\..\Run: [steam] D:\Steam\Steam.exe -silent

O4 - HKCU\..\Run: [spybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKCU\..\Run: [Free Download Manager] C:\Program Files\Free Download Manager\fdm.exe -autorun

O4 - HKCU\..\Run: [uIWatcher] C:\Program Files\Ashampoo\Ashampoo UnInstaller Platinum Suite\UIWatcher.exe

O4 - HKCU\..\Run: [skwatAutoconnect] C:\Program Files\ADSL Autoconnect\ADSL Autoconnect.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

O8 - Extra context menu item: Download all by Free Download Manager - file://C:\Program Files\Free Download Manager\dlall.htm

O8 - Extra context menu item: Download by Free Download Manager - file://C:\Program Files\Free Download Manager\dllink.htm

O8 - Extra context menu item: Download selected by Free Download Manager - file://C:\Program Files\Free Download Manager\dlselected.htm

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedC...bin/AvSniff.cab

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedC...n/bin/cabsa.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{5C480DFF-2F73-46DF-AE99-E5C85B77C95B}: NameServer = 80.118.196.40 80.118.192.110

O20 - AppInit_DLLs: MsgPlusLoader.dll

O23 - Service: ADSLAutoconnect - Unknown owner - C:\Program Files\ADSL Autoconnect\ADSL Autoconnect.exe" -z (file missing)

O23 - Service: Alias Documentation Server (aliasdocserver) - Unknown owner - E:\Maya 6.0\docs\Wrapper.exe" -s "E:\Maya 6.0\docs/Wrapper.conf (file missing)

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe

O23 - Service: GhostStartService - Symantec Corporation - C:\Program Files\Symantec\Norton Ghost 2003\GhostStartService.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Prevx Agent (PrevxAgent) - Unknown owner - C:\Program Files\PREVX\Prevx Home\PXAgent.exe" -f (file missing)

O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Program Files\Sygate\SPF\smc.exe

 

 

Bon, voilà, après ce post un peu trop long, je m'eclipse....

Merci pour vos remarques....

 

Ah non, j'ai encore une question. Le processus ntoskrnl (ou un truc comme ça), puis je lui permettre un accès internet ? pour les svchost aussi ? car mon sygate me saoule avec leurs tentatives de connexion constante...

 

bon cette fois ci, c'est la bonne. A +

Posté(e)

Bonjour Pec et bienvenue sur Zébulon Sécurité. Je vois que tu fais tourner le teatimer de Spybot et Prevx ensemble, ce qui est plus que déconseillé, il faut en éliminer un (teatimer est plus simple a arrêter). Ensuite, tu vas paramétrer les services comme indiqué ici chez l'ami Tesgaz :

 

http://speedweb1.free.fr/frames2.php?page=service4

 

puis, télécharger et utiliser ZebProtect pour fermer le port 135 (et d'autres ports trop bavards) :

 

http://telechargement.zebulon.fr/123-zeb-protect.html

 

et revenir ensuite nous dire ce qu'il en est de ce SVCHOST qui n'a rien à faire sur le net.

Posté(e)

Merci pour cette réponse rapide.

 

Petites précisions : j'ai réussi à fermer les ports en paramétrant le service Generic Host Process for W32 Services, et en mettant en place une IP trustée de mon réseau, celle qui partage ma connexion internet.

Quand j'enlève cette IP, mon port 135 est ouvert, quand je la trust, il est fermée.

Quelqu'un sait pourquoi ?

 

J'ai paramétré mes services comme demandé, avec cette superbe page qui m'a fait comprendre bien des trucs utiles sur les services, et donc après reboot, j'en avait enlevé 10 dépendant des SVCHOST.

Cependant il me reste encore dans le tksmgr 7 SVCHOST (ce qui me semble beaucoup) dont un qui utilise environ 24 000 Ko de mémoire. Je pense que ce doit être celui qui regroupe le plus de services.

 

Pour finir avec les constatations j'ai toujours un SVCHOST qui demande toutes les deux minutes à atteindre le 'Network". Alors, réseau local ? ou réseau internet ? Partage des fichiers ?

 

Et mon ntoskrnl ? quelqu'un sait ce que c'est ?

merci et à plus

Posté(e) (modifié)

voici le tasklist que j'ai fait après avoir optimisé mes services. Il faut savoir que je suis en réseau domestique.

 

tasklist26fz.jpg

merci.

Modifié par Pec
Posté(e)

bon,

 

tu vas dans les services et tu peux désactiver ceux la

 

HTTPFilter

lmhosts, SSDPSRV, upnphost

dnscache

sagent2?exe

 

 

c'est ton pc qui partage la connexion ?

Posté(e)

Oui, c'est mon pc qui partage la connexion.

 

Je voudrais juste comprendre : tu me dit de virer les services, et beaucoup correspondent à des services pour la gestion du réseau (en tout cas, c'est que tu mets dans ta page web sur les services). Je devrais donc les laisser, non ?

Tu peux m'expliquer leur utilité alors dans ce cas ? (c'est histoire de comprendre ce que je fais, pas de te faire ch...)

Merci.

Posté(e)

C'est des services qui sont pourvoyeurs de failles de sécurité

 

ils n'empechent pas le reseau de fonctionner

 

donc, la je tombe 3 svchost.exe, il ne devrait plus que t'en rester 3 :P

Posté(e)

That's it !! Après vérifications, car j'en avais un qui n'était pas fermé

 

Mais cependant, j'ai toujours mon gros à 24000 Ko, et un autre qui me tanne pour accéder au réseau. Mais peut-être est-ce tout à fait normal.

Vous en avez un svchost qui vous prend du processeur et 24 000 Ko ?

Posté(e)

des svchost.exe qui me bouffe des trucs ? non aucun :P

 

 

firefox-5.png

 

treve de plaisanterie, c'est normal, les processus svchost.exe sont sollicités par le navigateur, firewall, l'antivirus, l'anti-espion, j'en passe et des meilleures, donc c'est logique, tu peux aussi désactiver le Client DHCP si ta connexion n'est pas en dégroupée et que chaque pc a une adresse IP fixe

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...