Des processus de SVCHOST tournent en boucle, lequel effacer ?
Des processus de SVCHOST tournent en boucle, lequel effacer ? - Sécurité - Windows & Software
Marsh Posté le 04-11-2004 à 08:53:39
hello,
Post nous un log de HijackThis, on va voir si y a des trucs à faire ...
Marsh Posté le 04-11-2004 à 09:51:43
Ok, merci Darxmurf.
Voici le log de HiJackThis :
**************
Logfile of HijackThis v1.98.2
Scan saved at 09:45:14, on 04/11/2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Microsoft IntelliType Pro\type32.exe
C:\Program Files\Microsoft Hardware\Mouse\point32.exe
C:\Program Files\Hewlett-Packard\HP PrecisionScan\PrecisionScan Pro\hplamp.exe
C:\Program Files\Adobe\Adobe Version Cue\ControlPanel\VersionCueTray.exe
C:\Program Files\Fichiers communs\Logitech\QCDriver\LVCOMS.EXE
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Java\j2re1.4.2_06\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Micro Application\MediaDICO\MediaDICO.exe
C:\Program Files\Adobe\Adobe Acrobat 6.0\Distillr\acrotray.exe
C:\Program Files\WinZip\WZQKPICK.EXE
C:\Program Files\Handspring\HOTSYNC.EXE
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\wpabaln.exe
D:\DL\Util\HijackThis\HijackThis.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.com/ie
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.free.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/red [...] ar=msnhome
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/red [...] r=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/red [...] r=iesearch
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/red [...] R}&ar=home
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.com/ie
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.com/keyword/%s
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O1 - Hosts: 208.185.174.44 www.zonelabs.com
O1 - Hosts: 208.185.174.52 update.zonelabs.com
O1 - Hosts: 208.185.174.54 fwalerts.zonelabs.com
O1 - Hosts: 209.221.135.136 download.zonelabs.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Adobe Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Adobe Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Adobe Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Systran40premi.IEPlugIn - {CFB25594-4D5F-11D6-AB7B-00B0D094B576} - C:\Program Files\Systran\4_0\Premium\IEPlugIn.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [MBM 5] "C:\Program Files\Motherboard Monitor 5\MBM5.EXE"
O4 - HKLM\..\Run: [type32] "C:\Program Files\Microsoft IntelliType Pro\type32.exe"
O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKLM\..\Run: [HP Lamp] "C:\Program Files\Hewlett-Packard\HP PrecisionScan\PrecisionScan Pro\hplamp.exe"
O4 - HKLM\..\Run: [AdobeVersionCue] C:\Program Files\Adobe\Adobe Version Cue\ControlPanel\VersionCueTray.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [LVCOMS] C:\Program Files\Fichiers communs\Logitech\QCDriver\LVCOMS.EXE
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [KAVPersonal50] C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize
O4 - HKLM\..\Run: [DU Meter] C:\Program Files\DU Meter\DUMeter.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_06\bin\jusched.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MediaDico] C:\Program Files\Micro Application\MediaDICO\MediaDICO.exe Lancement
O4 - Startup: HotSync Manager.lnk = C:\Program Files\Handspring\HOTSYNC.EXE
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Assistant d'Acrobat.lnk = C:\Program Files\Adobe\Adobe Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft. [...] 7771744375
************************
Je précise que le(s) process qui tournent en boucle (en dowload et upload) ne monopolise pas du tout le processeur, mais je peux juste voir qu'il y a des connexions en quasi permanence (toutes les secondes environ) avec l'icone de Zone Alarm.
J'ajoute que le PC ne s'arrête presque jamais plus avec Arrêter ou Redémarrer, je suis obligé de faire un Hardreset.
Et souvent au démarrage in ne va pas au bout du chargement.
Merci d'avance pour votre aide.
DPlanet
Message édité par Dplanet le 04-11-2004 à 10:04:31
Marsh Posté le 04-11-2004 à 11:10:16
hum y a pas grand chose de méchant mais je cocherait ça :
en passant c'est normal les 3 notepad.exe lancés ?
| Dplanet a écrit : |
Voilà et reboot mais bon y a rien de spécialment méchant... ceci dit le svchost est utilisé pour les windowsupdates et pas mal de virus s'y attaque alors voilà 
Marsh Posté le 04-11-2004 à 11:29:12
sans vouloir te contrarier darxmurf
il y a une différence entre cocher dans l'hijack des programmes malveillants et optimiser son démarrage
pkoi veux-tu qu'il enlève zonelabs de son fichier host?
O1 - Hosts: 208.185.174.44 <--ça c'est le n° d'IP www.zonelabs.com<--ça l'url et alors? la connexion se fait plus rapidement et c'tout!
O1 - Hosts: 208.185.174.52 update.zonelabs.com
O1 - Hosts: 208.185.174.54 fwalerts.zonelabs.com
O1 - Hosts: 209.221.135.136 download.zonelabs.com
donc pour optimiser tu peux décocher ces programmes mais dans démarrer>exécuter : taper : msconfig valider par ok décocher les cases dans l'onglet : démarrage/appliquer ( il faut redémarrer pour appliquer)
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot<-- update auto, c'est assez inutile
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_06\bin\jusched.exe
O4 - Global Startup: Assistant d'Acrobat.lnk = C:\Program Files\Adobe\Adobe Acrobat 6.0\Distillr\acrotray.exe
je crois qu'il y a environ 47 services qui utilisent svchost, dont 4 dans le gestionnaire des tâches
(qui font appel à une 20taine de services)
pour ton problème arrêt/démarrer je sais pas trop 
---------------
°*° Pan ! et Pan ! ça fait Pan-Pan ! °*°
Marsh Posté le 04-11-2004 à 11:38:19
ps : je pense que tu sais que dans le SP2 il est inclus un firewall par défaut et que tu aussi ZonAlarm = 2 firewalls
Kasper est bien paramétré? le "control center" actif fait ramer
---------------
°*° Pan ! et Pan ! ça fait Pan-Pan ! °*°
Marsh Posté le 04-11-2004 à 11:49:44
nop c'est pas du méchant mais c'est juste que ces process ne servent à rien... et pour le fichier host je ne vois pas vraiment l'utilité de mettre ça... pour gagner 0.2 secondes ?
Marsh Posté le 04-11-2004 à 17:35:06
Merci beaucoup pour vos réponses ! 
Je vais tester tout ça !
J'ai vu aussi le post du tutorial :
[TOPIC UNIQUE] Spywares, barres de recherches IE et autres joyeusetés...
http://forum.hardware.fr/hardwaref [...] 1265-1.htm
et avant je vais donc faire ce qui est conseillé :
...Lancez CWShredder, toutes fenêtres Internet Explorer fermées
Faites un scan avec Spybot...
...et ensuite avec Adaware.
On va bien voir ! !
Marsh Posté le 04-11-2004 à 18:09:50
Bon, j'ai fait la modification proposée par western-shadow à l'aide de Msconfig :
****************
donc pour optimiser tu peux décocher ces programmes mais dans démarrer>exécuter : taper : msconfig valider par ok décocher les cases dans l'onglet : démarrage/appliquer ( il faut redémarrer pour appliquer)
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot<-- update auto, c'est assez inutile
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_06\bin\jusched.exe
O4 - Global Startup: Assistant d'Acrobat.lnk = C:\Program Files\Adobe\Adobe Acrobat 6.0\Distillr\acrotray.exe
**************
Cela n'a rien changé, j'ai toujours quelques instants après le boot, et après que Kaspersky ait fait sa vérif de départ (environ 20 secondes), l'icone de Zone Alarm qui commence à me signaler le Up et le Download en cours... 
Bon, cela commence à être dur !
...Je vais passer à l'étape
"CWShredder, toutes fenêtres Internet Explorer fermées
Faites un scan avec Spybot...
...et ensuite avec Adaware. "
Mais avant j'avais une question, car après avoir appliqué les modifs prescrites (merci Docteur ) avec Msconfig, à chaque redémarrage j'ai une fenêtre qui me demande si je veux revenir à une situation normale de démarrage.
Je n'ai jamais coché NE PLUS AFFICHER CE MESSAGE et j'ai fait OK.
Msconfig s'ouvre alors et je peux voir que dans l'onglet Démarrage les options que j'ai décochées le sont toujours.
Si je ferme par ANNULER, Msconfig ne me demande pas de redémarrer, si je ferme par OK (même sans nouveaux changements effectués) Msconfig me demande de redémarrer.
Ai-je fait le bon choix docteur ?
Marsh Posté le 05-11-2004 à 00:06:20
je ne veux pas être un oiseau de mauvaise augure, mais après avoir lu ton post, ca me rappelle exactement le même problème que j'ai eu il y a ... 2 jours: j'ai eu exactement les mêmes symptomes (plusieurs svchost qui me bouffaient toutes mes ressources, mon pc qui ne voulait plus s'arrêter etc), et j'ai exactement la même configuration logiciels (même os, même firewall, même antivirus, c'est troublant!) Résultat, j'ai du formaté mon disque... Bonne chance à toi, et j'espère que tu vas trouver une issue!
Marsh Posté le 05-11-2004 à 01:35:02
Merci Saikatna,
en effet cela n'a pas l'air d'être simple....
J'ai fait tourner les 3 anti-spywares :
- CWShredder :
rien trouvé à corrigé.
(Le même problème de up et Download continu)
- Spybot - Search & Destroy :
des problèmes de cookies trouvés et tous corrigés.
Et aussi le bug DSO EXPLOIT de SPybot (normal ça !
(Le même problème de up et Download continu)
- Ad-Aware SE Personal :
Summary Of This Scan
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Total scanning time:00:01:23.937
Objects scanned:63793
Objects identified:48
Objects ignored:0
New critical objects:48
Tous ont été corrigés !
Et juste après .... plus de problème ! !
Ouf !
(Le problème de up et Download continu s'est arrêté, Zone Alarm reste sage !)
Enfin..... !
Donc, confiant, je remercie Ad-Aware, et je reboot, juste pour vérifier hein !
(on n'est jamais trop méfiant )
Et là, hélas, le problème reprend de plus bel :
et c'est reparti le up et le download.... arg !
Bon, je ne lâche pas encore laffaire
Mais les autres scans successifs de AdAware ne détecte plus rien !
Même en mode avancé, il ne trouve plus rien
.
Mais en continuant mes recherches, je découvre un fichier .exe qui a été infecté par le virus :
Fichier infecté par le virus :
TrojanDropper.Win32Delf.fd
Aie !
Hélas le fichier a déjà été lancé, et je cherche maintenant, si ce virus nest pas la cause de tous mes problèmes
.
mais comment faire ?
KAspersky ne trouve plus rien à corriger maintenant.
Et le up et down continuent encore.... arg
Marsh Posté le 05-11-2004 à 06:36:34
C'est vers quelle adresse que ça UP ? zonealarm dit quoi ? si tu bloque le processus qui upload ça merdouille la machine ?
Marsh Posté le 05-11-2004 à 09:36:50
Par exemple j'ai verrouillé l'accès internet de ce up et down avec le verrou de Zone Alarm.
J'ai donc une alerte ZA quand Generic Host Process for Win32 Services essaye de se connecter avec le message suivant :
"Generic Host Process for Win32 Services a tenté d'envoyer des données à Internet (255.255.255.255), mais s'est vu refuser l'accès par le verrouillage internet."
Si je clique à ce moment non pas sur OK pour autoriser cet accès (le titre de l'alerte de ZA est "Internet Automatique), mais sur DEVERROUILLER",
alors je peux accèder au web par Internet Explorer par exemple.
La fenêtre d'alerte restant ouverte, le Generic Host Process for Win32 n'étant toujours pas autorisé à se connecter à internet , mon problème de up et down toutes les 2 secondes n'apparait bien entendu pas.
Peut-être n'ai-je pas répondu correctement à ta question Daxmurf, car je ne sais pas où je dois regarder pour en savoir plus...
Marsh Posté le 05-11-2004 à 09:53:53
Par la manip décrite dans mon post précédent, je suis dans la situation maintenant où je n'ai plus ce up et down toutes les 2 secondes environ, mais je suis sûr que dès que je vais rebooter, je vais me retrouver avec ce problème.
Ma question serait donc où je dois regarder maintenant (avant de rebooter) que la situation est "stable" (!) pour voir ce qui va se lancer au reboot et donc créer le problème de up et down constant ?
Dans le groupe de démarrage il n'y a que 3 prog.
Et ils ne doivent pas poser de problème particulier (Assistant d'Acrobat, le gama loader d'Adobe, et le HotSync de Handsrping).
Je viens de relancer un Adaware et il n'a rien trouvé.
J'attends votre réponse avant de rebooter !
Merci encore pour votre aide.
Marsh Posté le 05-11-2004 à 10:15:56
juste pour info, vraiment... je tombe dans l'obscur profond personnellement
c'est un IP Broadcast protocole DHCP 255.255.255.255 (il y a des IP Multicast)
http://www.commentcamarche.net/internet/dhcp.php3
---------------
°*° Pan ! et Pan ! ça fait Pan-Pan ! °*°
Marsh Posté le 05-11-2004 à 11:16:21
Merci Western-shadow
Je devrais peut-être modifier les paramaètres DHCP dans le routeur ?
Marsh Posté le 05-11-2004 à 12:11:34
et si tu Désactivais le service "Generic Host Process for Win32 Services?
Démarrer > panneau de configuration > performances et maintenance > outils d'administration > services > onglet "étendu" ou "standard"( indifférent) > double clic sur le nom du service "Generic Host Process for Win32 Services" (ou Client DNS) ouvrir la boîte des "propriétés" de ce service > si le service est signalé "Démarré" dans "Statut du service", clic sur "Arrêter" > Type de démarrage : choisir "Désactiver" Ok/Fermer (Source Assiste.com)
Attend d'autres avis je voudrais pas te provoquer des désagréments
Tu as déjà fait des tests de pénétration pour voir quels ports ("dits néfastes" bien sûr) sont ouverts sur ton ordi, type : Test UPnP (pour fermer les ports 5000 et 1900 avec un firewall
désactiver la fonctionalité UPnP etc etc...)
Sur Assiste par exemple, avec d'autres infos intéréssantes sur la protection
http://assiste.free.fr/p/frameset/03.php
édit : il faudrait peut être que tu fasses une recherche sur Hard. je pense que ça a dû être abordé X fois, je connais encore très peu ce forum ensuite tu postes sur le Topic adéquat, ton problème a un peu changé depuis ton titre
Message édité par western-shadow le 05-11-2004 à 12:18:24
---------------
°*° Pan ! et Pan ! ça fait Pan-Pan ! °*°
Marsh Posté le 05-11-2004 à 16:33:28
Je pense avoir trouvé (enfin !) une piste pour ce problème de up et down toutes les 2 secondes :
En fouillant du côté de ZA, j'ai trouvé l'alerte firewall suivante qui me semble être à l'origine de mon problème.
(désolé je n'ai pas pu copier plus clairement le détail de l'alerte de ZA, cela apparait sous forme d'un tableau.)
****************************************
Votre ordinateur tente de contacter l'adresse IP 192.168.0.1
ZoneAlarm a empêché le trafic Internet de quitter votre ordinateur. Aucune brèche n'a été ouverte dans votre système de sécurité.
Votre ordinateur est sain.
*****************
Dans l'alerte Firewall :
**********
Propriété de l'alerte Valeur de la propriété de l'alerte Explication technique
Adresse IP d'origine xxx.xxx.xxx.xxx Adresse IP de l'ordinateur ayant envoyé le paquet qui est à l'origine de l'alerte.
Port d'origine 1025 Port utilisé par l'ordinateur source lors de l'envoi du paquet.
IP de destination 192.168.0.1 Adresse IP de l'ordinateur vers lequel le paquet a été envoyé.
Port de destination 53 Port de l'ordinateur de destination ayant reçu le paquet.
Protocole de couche transport UDP Protocole qui permet le transfert de données entre des logiciels installés sur différents ordinateurs.
Protocole de couche réseau IP Protocole qui permet à deux ordinateurs interconnectés de se localiser mutuellement sur un réseau.
Protocole de couche liaison Ethernet Protocole qui permet à deux ordinateurs directement reliés de partager un câble réseau.
Nom du programme Generic Host Process for Win32 Services Programme installé sur votre ordinateur. Ce programme a essayé d'envoyer un paquet IP via Internet ou attend de recevoir un paquet entrant.
Nom du fichier svchost.exe Fichier exécutable de l'ordinateur qui lance et exécute Generic Host Process for Win32 Services.
Version du programme ?? Version de Generic Host Process for Win32 Services installée sur votre ordinateur.
Date d'alerte Nov-05-2004 04:14:35 AM GMT-08:00 Heure à laquelle ZoneAlarm a détecté l'alerte sur votre ordinateur.
Nombre d'alertes 1 Nombre de tentatives de connexion à votre ordinateur après la première alerte. ZoneAlarm empêche l'affichage répétitif d'alertes identiques sur votre ordinateur.
*******
ZoneAlarm application de la sécurité au moment de l'alerte :
**********
Niveau du verrouillage Verrouillage désactivé Les connexions Internet et réseau autorisées par vos paramètres de ZoneAlarm ne sont pas bloquées par un paramètre de verrouillage.
Niveau de sécurité de la zone sûre Moyen Ce réglage de ZoneAlarm applique les paramètres de privilèges d'application et de verrouillage Internet. Il laisse votre ordinateur visible pour les autres ordinateurs de la zone sûre. Il ne bloque pas le partage de fichiers ou d'imprimantes (NetBIOS) ni le trafic du système d'exploitation entrant et sortant de la zone sûre.
Serveurs de la zone sûre Serveurs autorisés Les ordinateurs de la zone sûre de ZoneAlarm ne sont pas protégés contre la connexion à des programmes serveurs installés sur votre ordinateur.
Niveau de sécurité de la zone Internet Elevé Ce paramètre de ZoneAlarm bloque l'accès depuis la zone Internet vers les fichiers et imprimantes partagés (NetBIOS) ainsi que d'autres services du système d'exploitation. Les ports qui ne sont pas en cours d'utilisation par un programme sont bloqués et restent invisibles dans la zone Internet. Ce niveau de sécurité applique également les paramètres de privilèges d'application et de verrouillage Internet.
Serveurs de la zone Internet Serveurs autorisés Les ordinateurs de la zone Internet de ZoneAlarm ne sont pas protégés contre la connexion à des programmes serveurs installés sur votre ordinateur.
Direction du paquet Sortant Le paquet qui est à l'origine de l'alerte a été envoyé par un programme installé sur votre ordinateur. Il était en cours d'envoi vers un ordinateur situé quelque part sur Internet ou sur votre réseau.
Zone Zone sûre Cette zone de ZoneAlarm contient tous les ordinateurs et réseaux que vous connaissez et que vous jugez fiables, tels que d'autres ordinateurs de votre réseau local ou privé.
Système d'exploitation Windows XP-5.1.2600-Service Pack 2-SP Version de système d'exploitation installée sur votre ordinateur.
*****************************************
Donc cela concerne le port 1025 du PC de départ (mon 1er PC, celui qui pose le problème), et cela va vers ladresse IP du routeur (.1), ce qui est normal pour un programme qui veut se connecter à internet, sur le port de destination 53.
Voilà, jai identifié et isolé le problème, mais je ne sais pas le résoudre !
Donc ce SVCHOST je ne sais pas sil peut être bloqué juste pour un programme particulier, ou on est obligé de le bloqué pour tous les programmes qui font appel à lui ? ?
Message édité par Dplanet le 05-11-2004 à 16:44:10
Marsh Posté le 05-11-2004 à 17:08:46
Re à mon humble avis le "problème" vient de là : Nom du fichier svchost.exe Fichier exécutable de l'ordinateur qui lance et exécute Generic Host Process for Win32 Services <-- ce serait à ce niveau qu'il faudrait appliquer des règles "peaufinées".... dur-dur...
quand on fait des recherches sur la Sécurité, ce service est très souvent "désactivé"
Tu as testé ton firewall sur Assiste ou autre?
---------------
°*° Pan ! et Pan ! ça fait Pan-Pan ! °*°
Marsh Posté le 05-11-2004 à 19:08:52
Merci Wester-shadow,
je viens de tester sur Assiste, et tout est ok, (bien en stealth, exploit ok, etc...).
Je pense que je vais reformatter et réinstaller... arg
Marsh Posté le 05-11-2004 à 20:28:33
à ce point? format.... 
tu as tenté de désactiver "Generic Host Process for Win32 Services" ? tu le réactives en cas de problèmes ; je l'ai fais ça ne change rien à mon surf mais je ne me sers que de Firefox alors?
Essaye de persévérer, recrée un post pour ton problème avec ZoneAlarm ou change ton titre (ou de firewall ) j'ai Kério Personnal Firewall c'est vrai qu'il est plus facile à configurer parceque tout est presque fait au départ
Recherche sur Google si tu trouves qq chose comme une incompatibilté entre ZA et le SP2 ?
Message édité par western-shadow le 05-11-2004 à 20:34:04
---------------
°*° Pan ! et Pan ! ça fait Pan-Pan ! °*°
Marsh Posté le 06-11-2004 à 05:10:28
Ben voilà, j'ai reformaté, réinstallé Wind et les applis et bien sûr je n'ai plus de problèmes de up et download intempestifs
Il va donc falloir que je le fasse aussi sur le deuxième PC
Sujets relatifs:
- Comment réinitialiser/effacer un profil 2000 proprement ?
- problème de boot en boucle suite à mise à jour SP2
- Fichier effacer par erreur (urgent)
- svchost et sygate
- Fichier bloqué par processus...
- effacer l'interface me demandant de choisir entre XP et Linux
- 2 processus iexplore pas sympatiques
- Un fichier impossible à effacer?!
- Processus actifs dans adaware
- Effacer des dossiers sélectivement en ligne de commande ou autre
Marsh Posté le 04-11-2004 à 04:31:52
Bonjour,
Depuis quelques jours, j'ai le "Generic Host Process for Win32 Services" (c'est à dire SVCHOST.EXE) qui tourne en permanence avec une activité visible pratiquement continue en dowload et upload sous Zone Alarm.
J'ai fait des recherches et trouvé que l'on pouvait installer tasklist.exe pour pouvoir visualiser les process que ce SVCHOST.exe avait en activité.
(Des recherches ont montré que les problèmes liés au SVCHOST avaient des symptomes assez différents de ce que je constatais aussi)
J'ai eu comme résultats avec tasklist /svc :
*******************
Image Name PID Services
========================= ====== =============================================
System Idle Process 0 N/A
System 4 N/A
smss.exe 808 N/A
csrss.exe 864 N/A
winlogon.exe 888 N/A
services.exe 932 Eventlog, PlugPlay
lsass.exe 944 PolicyAgent, ProtectedStorage, SamSs
svchost.exe 1092 DcomLaunch, TermService
svchost.exe 1152 RpcSs
svchost.exe 1292 AudioSrv, Browser, CryptSvc, Dhcp, ERSvc,
EventSystem, FastUserSwitchingCompatibility,
helpsvc, lanmanserver, lanmanworkstation,
Netman, Nla, Schedule, seclogon, SENS,
SharedAccess, ShellHWDetection, srservice,
Themes, TrkWks, W32Time, winmgmt, wscsvc,
wuauserv, WZCSVC
svchost.exe 1348 Dnscache
svchost.exe 1424 LmHosts, SSDPSRV, WebClient
spoolsv.exe 1816 Spooler
explorer.exe 1928 N/A
SOUNDMAN.EXE 2016 N/A
rundll32.exe 2040 N/A
MBM5.exe 140 N/A
type32.exe 164 N/A
point32.exe 172 N/A
HPLamp.exe 184 N/A
VersionCueTray.exe 192 N/A
daemon.exe 180 N/A
LVComS.exe 212 N/A
realsched.exe 220 N/A
qttask.exe 228 N/A
kav.exe 244 N/A
DUMeter.exe 264 N/A
zlclient.exe 296 N/A
jusched.exe 316 N/A
ctfmon.exe 328 N/A
MediaDico.exe 388 N/A
acrotray.exe 456 N/A
WZQKPICK.EXE 488 N/A
HOTSYNC.EXE 528 N/A
kavsvc.exe 1048 kavsvc
MDM.EXE 1136 MDM
nvsvc32.exe 1228 NVSvc
svchost.exe 1412 stisvc
wdfmgr.exe 1532 UMWdf
vsmon.exe 1620 vsmon
alg.exe 2224 ALG
Display.dll 2768 N/A
cmd.exe 3912 N/A
wpabaln.exe 3664 N/A
msiexec.exe 3852 MSIServer
HelpCtr.exe 3824 N/A
HelpSvc.exe 792 N/A
IEXPLORE.EXE 3304 N/A
tasklist.exe 3448 N/A
wmiprvse.exe 3508 N/A
******************************
J'ai bien sûr le Windows XP à jour, (SP2 et patch suivants installés avec Windows update), Zone Alarm installé et Kaspersky AV à jour (soft et bases étendues).
Kaspersky ne détecte rien de particulier sur le PC.
Est-ce qu'il y a des processus bizarres que je dois éliminer dans cette liste ?
(J'ai mon deuxième pc (en réseau avec celui-ci) qui montre le même symptôme aussi depuis 3 jours...
Merci davance pour votre aide !
Cordialement
Dplanet