[OK]Generic Host Process win 32 serv. veut aller sur le net?

Sécurité et insécurité. Virus, Trojans, Spywares, Failles etc. …

Modérateur: Modérateurs et Modératrices

Règles du forum
Assiste.com a suspendu l'assistance à la décontamination après presque 15 ans sur l'ancien forum puis celui-ci. Voir :

Procédure de décontamination 1 - Anti-malware
Décontamination anti-malwares

Procédure de décontamination 2 - Anti-malware et antivirus (La Manip)
La Manip - Procédure standard de décontamination

Entretien périodique d'un PC sous Windows
Entretien périodique d'un PC sous Windows

Protection des navigateurs, de la navigation et de la vie privée
Protéger le navigateur, la navigation et la vie privée

[OK]Generic Host Process win 32 serv. veut aller sur le net?

Messagede zaurus » 12 Mai 2004, 18:02

Bonjour, Generic Host Process for win 32 services svchost.exe veut se promener sur le net. Faut dire que je lui ai autorisé avant, aprés un refus de ma part car les pages web ne s'affichaient pas correctement. alors j'ai cru que c'était normal, mais il s'est avéré que il y avait d'autres problèmes.... résolus aujourd'hui

Seulement, aujourd'hui svchost a eu une activité anormalement élevé 10-40% UC. j'ai redémarré, tout est ok et j'ai bloqué svchost son accés au net.
Alors ya peut etre la réponse dans ma question...mais j'ai fait tourné AVG, Spybot, CWshredder que néni!
ce Generic Host truc peut il se promener librement sur le net?
zaurus
 
Messages: 10
Inscription: 12 Mai 2004, 17:44

svchost sur le net...

Messagede Garagonth » 12 Mai 2004, 18:23

Bonjour :-)


Il y a 2 applications "légitimes" de svchost qui peuvent "aller" sur le net:

1- les mises à jour automatiques de Windows
2- la synchronisation de l'horloge Windows sur un serveur NTP de votre choix.

Tout le reste doit être bloqué en entrée comme en sortie pour tout les protocoles et en tout temps et tout les ports ou plus précisément de 1024
à 1030 (les autres ports doivent être soumis à d'autres règles...)

Dans le cas des MàJ autom. de W. c'est en TCP en sortie seulement,ports locaux 1031 à 4999,ports distants 80 et 443 ,pour les adresses IP des serveurs de MS....(N'est-ce pas mieux de faire vous même la mise à
jour ... :-) )

Dans le cas de la synchronisation de l'horloge : en UDP , port 123 local et distant,et pour l'adresse IP du serveur NTP correspondant à celui que vous avez choisi dans l'horloge W. ...

Vérifiez avec Google NTP server et choisissez en un pas nécessairement dans votre fuseau horaire.
E.G. ptbtime1.ptb.de

Comme vous le constatez si vous n'utilisez pas les MàJ autom. de W.
il ne reste plus que la synchronisation laquelle n'a pas besoin d'être faite à tout bout de champs ! ( 1 X semaine max)

Vérifiez bien quels sont les services activées et mettez en manuel ou désactivez ceux inutiles ou non-sécuritaires.
Voir le site de Black Viper pour l'info en PDF sur les services de W xp
Voir aussi sysinternals.com pour les utilitaires de très haute qualité de
Mark Russinovich , en particulier ceux-ci:
ProcessExplorer et Tcpview...

Je pense qu'avec ça vous allez être sur la piste.
Bonne journée :-)
Garagonth
 
Messages: 28
Inscription: 18 Avr 2004, 18:33
Localisation: Canada

Messagede pierre » 12 Mai 2004, 19:26

Bonjour Garagonth

Yeah..! Black Viper. Très bon.

Lorsque j'avais commencé mes propres tableaux en français, il y a longtemps déjà, il n'avait pas encore fait (ou fini, je ne sais plus) ceux de XP. Il a fini les siens et moi pas.

Pour ce qui est de la synchro horloge et des mises à jour auto :

Mise à jour auto = donner la possibilité d'installer et exécuter du code arbitraire non vérifié ni vérifiable donc faille de sécurité. Interdit. Mise à jour manuelle 1 fois par mois ou suivant l'actualité.

Horloge
La synchro à lieu toutes les 604 800 secondes (1 semaine). Je préfère utiliser un truc hors produits MS, comme Atomic TimeSync d'AnalogX. Celui que j'utilise est d'un développeur de confiance (genre Merijn) mais je m'en sert tellement que j'ai oublié le nom du programme et de son auteur et je ne sais même pas où j'ai fouré ça sur mes disques. Je dois être désynchronisé d'un ou deux milliardièmes de nano seconde ce qui, à coup sur, ruine ma vie et ceux des autres.

Conclusion, Generic Host Process est complètement interdit de Net au niveau du firewall, tous protocoles et tous ports.
Image
__________________
Pierre (aka Terdef)
Appel à donation - Le site a besoin de votre aide

Comment je me fais avoir/infecter ? - Protéger navigateur, navigation et vie privée - Bloquer publicité et surveillance sur le Web
Accélérer Windows - Accélérer Internet - Décontamination - Installer Malwarebytes - Forums d'entraide

Il ne sera répondu à aucune demande de dépannage posée en MP (Messagerie Privée). Les demandes doivent être publiques et les réponses doivent profiter au public.
Image
Avatar de l’utilisateur
pierre
 
Messages: 27348
Inscription: 20 Mai 2002, 23:01
Localisation: Ici et maintenant

Messagede zaurus » 12 Mai 2004, 19:33

effectivement, j'avais la mise a jour de l'heure activée...moi qui pensé l'avoir désactivé mais ça c'était avant ma réinstalle du système alors si ce n'est que ça tant mieux! genneric host maintenant il ne sort plus de la maison!
merci.
zaurus
 
Messages: 10
Inscription: 12 Mai 2004, 17:44

Messagede Vazkor » 13 Mai 2004, 01:18

Salut,

Encager tous les produits MS est certainement une très bonne chose.
Pour synchroniser mon horloge, j'utilise Dimension 4. Synchronisation au 1/100 de seconde. Espérer mieux est ridicule, il faut laisser au top de synchro le temps d'arriver, non?

La version 5 vient justement de sortir.
http://www.thinkman.com/dimension4/d4time50.exe (226 Ko)
Disponible via le site de Gratilog.Net, ce qui est est quand même plus recommandable que tous les CNet, ZDNet et Cie, où l'on trouve le meilleur mais aussi le pire.
http://www.gratilog.net

Pour les logiciels en anglais n'oubliez jamais de consulter la List of Lists http://lists.gpick.com/index.html , qui a été établie par de vrais spéblurptes de la sécurité, membres des forums de Steve Gibson!

@+
Avatar de l’utilisateur
Vazkor
 
Messages: 9808
Inscription: 05 Nov 2002, 23:39
Localisation: Ans, BE

svchost etc

Messagede Garagonth » 13 Mai 2004, 03:29

Bonjour Pierre et les autres aussi :-)

Bien vrai ! Les MàJ manuelles restent sous le contrôle de l'utilisateur.
Pour ce qui est de la synchronisation , en ce qui me concerne,ce n'est pas vraiment une priorité ni une raison de laisser svchost se promener sur le net...
J'utilise un logiciel intéressant de Paw Print en Colombie Britannique
http://www.pawprint.net/wt/
Voir aussi un convertisseur universel de toutes les unités de mesures...
Pas mal.

Autre chose à avoir à l'oeil : croyez-le ou non Windows Explorer lui aussi
va faire un tour sur le net : en écoute seulement cependant...
(Vous avez bien lu : W E pas I E !!!)

Vous pouvez surveiller ce machin avec Process Explorer et TCP View de sysinternals.com....

WE : bloquée par mon FW.

Amicalement.
Garagonth
 
Messages: 28
Inscription: 18 Avr 2004, 18:33
Localisation: Canada

Re: svchost etc

Messagede zaurus » 15 Mai 2004, 14:09

Bonjour,
J'ai réinstallé mon OS, avec format , enfin toutes la procédure et toutes les protections internet. Je n'ai pas encore fait un tour dans les services de windows xp pour les désactiver, je ne trouve plus l'explication sur assiste.com, si quelqu'un a le lien, merci
J'ai désactivé MAJ horloge et xp.

SVCHOST veut avoir accés à internet et je le bloque (Zone alarm), mais maintenant, Mozilla ou IE ne peut plus charger les pages internet!!!!! quand j'autorise, Mozilla et IE marchent!
Quelqu'un a une explication????????????

je précise que mes svchost.exe n'utilisent peu ou pas l'UC

Merci
zaurus
 
Messages: 10
Inscription: 12 Mai 2004, 17:44

Messagede Vazkor » 15 Mai 2004, 14:27

Bonjour,

J'utilise Sygate PF Pro comme pare-feu.
J'ai 3 possibilités pour les applications, qui sont Allow (Autoriser), Ask (Demander) et Block (Bloquer).

Pour toutes les applications inconnues Sygate me demande ce que je veux faire. Pour tout ce qui est Microsoft c'est clair, c'est Block par défaut et si cela me pose problème c'est Ask.

Internet Explorer, Explorer et Word par exemple, doivent rester bien couchés dans leur panier, dans leur cage. S'ils veulent aller faire une tour sur Internet je veux savoir pourquoi, donc ils doivent demander à chaque fois.

Pourquoi mon Word de MS Office 97 devrait aller sur le Web pour chercher une mise à jour? Il a déjà les yeux bandés, prêt à être fusillé parce que j'ai installé Open Office!
Explorer n'a rien y faire donc il est bloqué.

Tous les services lancés par svchost sont également bloqués ou strictement autorisés à se connecter uniquement à une adresse 192.168.*.* sur notre réseau local.

@+
Avatar de l’utilisateur
Vazkor
 
Messages: 9808
Inscription: 05 Nov 2002, 23:39
Localisation: Ans, BE

Messagede zaurus » 15 Mai 2004, 19:30

Je te remercie Vazkor pour ta réponse.

Je n'ai plus de souci avec svchost qui devait pouvoir acceder sur internet si je voulais faire marcher un navigateur avec les pages web qui s'affichent.

En effet, j'ai modifié les services.msc de xp en suivant le lien donné sur ce forum et les explications et hop! plus besoin que svchost puisse aller sur internet pour vous écrire!

Merci pour votre compétence!
zaurus
 
Messages: 10
Inscription: 12 Mai 2004, 17:44

le chat et la souris

Messagede Gargantua » 16 Mai 2004, 04:44

Salut les pros,

A propos de "Generic Host Process for win 32 services svchost.exe veut se
promener sur le net"

Pierre écrit : "Conclusion, Generic Host Process est complètement interdit
de Net au niveau du firewall, tous protocoles et tous ports"
et Vazkor écrit : "Tous les services lancés par svchost sont également
bloqués ou strictement autorisés à se connecter uniquement à une adresse
192.168.*.* sur notre réseau local"

Et bien pour ma part,
une fois connecté chez mon FAI, si je veux me connecter sur ma messagerie,
internet, ou la m.a.j liveupdate de mon antivirus, la première chose que me
demande mon firewall est : "voulez vous autoriser generic host process for
win
32 services à se connecter sur le site 80.10.246.134:DNS .
Si je bloque ce bidule aucune transaction n'est possible.

Il me semble donc indispensable que ce svshost accède à internet au moins
une
fois.
Alors encager les produits MS, mythe ou réalité ?

Est ce normal Doc ?

Amicalement vôtre, Garguantua.
GARGANTUA
Windows 7 pack familial & IE8, Kaspersky Internet Security 2011 et Toutou linux 4.3.1
Avatar de l’utilisateur
Gargantua
 
Messages: 452
Inscription: 05 Mai 2004, 17:39
Localisation: 50 km sud d'Angoulême (Charente)

Suivante

Retourner vers Sécurité (Contamination - Décontamination)

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 26 invités

cron