svchost.exe cherche à se connecter???

svchost.exe cherche à se connecter??? - Sécurité - Windows & Software

Marsh Posté le 07-06-2005 à 01:02:25    

Bonjour, ce soir mon par-feu m'a communiquer que svchost.exe cherchait à joindre l'IP 213.200.97.61
 
Est-ce normal? Car c'est bien la première fois qu'il en fait la demande. Et dans ce cas comment supprimer cette demande?
 
MAJ... Il utilise les port 1319 et 1320 avec l'adresse IP 213.200.97.61. Après une recherche ces ports sont utilisés par ça :Panja-ICSP Qu'est-ce donc???
 
Merci beaucoup


Message édité par sioowan le 07-06-2005 à 01:16:46
Reply

Marsh Posté le 07-06-2005 à 01:02:25   

Reply

Marsh Posté le 11-06-2005 à 17:01:26    

Je vois que j'ai posé une megacolle lol

Reply

Marsh Posté le 11-06-2005 à 21:13:28    

salut,  
 
Je ne suis pas expert mais a priori svchost ferait parti du processus généric host process de window$, donc à priori normal,voir :
-  http://www.docmemo.com/windows/processus.php
Mais parfois des bestioles s'y cache.
Je serait toi je ferais un scan en ligne ou un log hijack this, que tu analyserais d'abord avec les deux robots, ce qui pourrait t'aiguiller, mais ne fixe rien car il ne sont pas vraiment fiable, fait une recherche avant ou post ton log sur le site, il y aura bien une âme charitable pour te l'analyser.
 
téléchargement + robot : http://www.hijackthis.de/index.php?langselect=french
autre robot in english : http://hjt.iamnotageek.com/
Bon courage !!

Reply

Marsh Posté le 12-06-2005 à 11:44:25    

merci, le plus étrange c'est que depuis 2 jours il ne pose plus de problème. Donc effectivement il y a peut-être une saloperie qui s'y serait greffé.
Donc bien que je connaisse pas grand chose à hijack! je vais voir comment ça fonctionne et quel est son utilité.
Sinon de temps en temps, pas tous les jours, firefox me demande une sortie sur le port 443 que je refuse toujours.
 
Pourtant j'ai testé tous les ports et ils sont "stealth"....
 
Encore merci ;o)

Reply

Marsh Posté le 12-06-2005 à 13:40:27    

Bonjour,
 
Exact, svchost est un processus générique qui en fait tourner d'autres, des bons et parfois ... des mauvais.
 
Je n'ai pas trouvé qui est derrière 213.200.97.61 (Mais je ne suis pas spécialiste non plus).
Par contre, comme il est rare que des s... disparaissent toutes seules, je ferais effectivement des recherches de spywares, virus, etc.
 
Sinon, le port 443 est le port https ("s" comme sécurisé), c'est celui qui est utilisé par les sites sérieux lorsqu'il y a des infos personnelles à saisir (N° carte bleue p.ex.)
Il est normal que Firefox désire y aller si tu cliques sur un lien "https:// ... ", et il devrait être ouvert au même titre que le port 80 (http simple). Ce sont d'ailleurs les deux seuls que j'ai ouvert dans Kerio pour FF, et ça marche très bien.
 
La notion de port "stealth" concerne l'autre sens : les communications entrantes qui ne sont pas une réponse à une de tes requètes.
Et c'est bien ainsi : la machine ne répond à aucune sollicitation inattendue, et les ceusses qui scannent le web pour trouver des victimes ne voient même pas qu'elle existe. En principe.
 
A+

Reply

Marsh Posté le 12-06-2005 à 15:01:55    

Merci à toi,
 
Mais lorsque Firefox n'est pas sur une page HTTPS et qu'il demande le port 443... Dois-je le lui accorder?

Reply

Marsh Posté le 12-06-2005 à 16:47:25    

Re,
 
Ce n'est pas la page ou tu es (Celle dont l'adresse est affichée dans la berre d'adresses en haut) qui compte, mais celle qui est pointée par le lien ou tu cliques, celle dont tu vois l'adresse en bas de la fenêtre quand la souris passe sur le lien.
De toutes façons, le port 443 est parfaitement légitime, comme le 80.
Le plus simple est de l'ouvrir dans le firewall, en sortie bien sûr, au même titre que le 80.
 
Chez moi, je ne me souviens pas d'être tombé sur des sites sécurisés, mais au boulot, avec IE par contre, j'ai même une fenêtre d'avertissement qui me signale les transitions sécurisé / non sécurisé. Avec Firefox, je n'ai pas cherché  :whistle: .
 
Maintenant, s'il essaye de sortir vers un port 443 alors que c'est un lien http-pas-s, c'est plutôt curieux, et il me semble même que ça ne peut pas marcher, mais je ne suis pas spécialiste réseau ...
 
A+

Reply

Marsh Posté le 12-06-2005 à 17:00:57    

bah, il est là le problème, je peut-être sur une page anodine, faire autre choses (donc firefox en arrière plan) et de temps en temps. Firefox me demande l'autorisation pour le 443. Peut-être que IE le fait sans me le demander (comme beaucoup de choses lol). Donc je lui autoriserais sa demande, je verrais bien où il veut m'emmener.
 
Encore merci.

Reply

Marsh Posté le 12-06-2005 à 17:07:58    

Ah, il vit sa vie tout seul, le coquin !
Là, c'est autre chose. Il faudrait faire un HijackThis et passer au formu sécurité, non ?
 
A+

Reply

Marsh Posté le 12-06-2005 à 17:16:51    

Bon, j'ai lancé Adaware 6... Il m'a trouvé 15 cookies hors-normes... Donc pour le moment firefox tourne mais ne me demande rien... Au pire effectivement je me lancerais dans un "salut moi ça jack" lol.
Mais je risque de rien comprendre à sa litanie et donc effectivement je le posterais ici.
 
Au pire ça fait plus de 800 jours que mon Win2K n'a pas été réinstalé... Mais bon c'est pas une raison s'il fonctionne toujours bien ;o)

Reply

Marsh Posté le 12-06-2005 à 17:16:51   

Reply

Marsh Posté le 12-06-2005 à 17:51:25    

Sinon, il y a aussi a2(free).
 
Télécharge le, fais la mise à jour et scan.
 
http://www.emsisoft.net/fr/software/download/

Reply

Marsh Posté le 12-06-2005 à 18:01:32    

207.126.111.218 c'est l'adresse ip que firefox demande pour le port 443  dont le port source est 1046 et le port de destination est le 443
Ca l'a refait.
 
Merci Dylan60

Reply

Marsh Posté le 12-06-2005 à 18:40:15    

sioowan a écrit :

207.126.111.218 c'est l'adresse ip que firefox demande pour le port 443  dont le port source est 1046 et le port de destination est le 443
Ca l'a refait.
 
Merci Dylan60


207.126.111.218 correspond au domaine mozilla.org, donc c'est normal : ça doit être pour la vérification de mises à jour lors du démarrage...

Reply

Marsh Posté le 12-06-2005 à 18:52:06    

merci beaucoup. C'est cool, grace à vous tous je vais pouvoir passer tranquillement le cap des 900jours sans réinstal lol
 
C'est vrai que j'aurais dû penser à un "reverse ip" histoire de voir qui causait. Encore merci clap clap clap.

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed