vendredi 23 octobre 2009

Présentation succincte de SVCHOST.EXE

SVCHOST.EXE est un processus générique qui regroupe plusieurs services. C'est pour cette raison, d'ailleurs, qu'il apparaît souvent plusieurs fois dans le gestionnaire des tâches.

Voici un petite liste des services gérés par SVCHOST.EXE sur Windows XP Pro :


- Accès au registre à distance,
- Acquisition d'image Windows (WIA),
- Aide & Support,
- Appel de procédure distante (RPC),
- Assistance TCP/IP - NetBIOS,
- Audio Windows,
- Avertissement,
- Client de suivi de lien distribué,
- Client DHCP,
- Client DNS,
- Compatibilité avec le changement rapide d'utilisateur,
- Configuration automatique sans fil,
- Connexion secondaire,
- Détection matériel noyau,
- Explorateur d'ordinateur,
- Extension du pilote WMI,
- Gestion d'applications,
- Gestionnaire de connexion automatique d'accès distant,
- Gestionnaire de connexion d'accès distant,
- Gestionnaire de disque logique,
- Gestionnaire de téléchargement,
- Horloge Windows,
- Hôte de périphérique universel Plug-and-Play,
- Infrastructure de gestion Windows,
- Mises à jour automatiques,
- NLA (Network Location Awareness),
- Notification d'événements système,
- Numéro de série du média portable,
- Pare-feu de connexion Internet (ICF) / Partage de connexion Internet (ICS),
- Planificateur de tâches,
- Routage & Accès distant,
- Serveur,
- Service de découvertes SSDP,
- Service de rapport d'erreurs,
- Service de restauration système,
- Service de transfert intelligent en arrière-plan,
- Services de cryptographie,
- Services Terminal Server,
- Station de Travail,
- Stockage amovible,
- Système d'événements de COM+,
- Téléphonie,
- Thèmes.

Pour connaître quels sont réellement les services lancés par SVCHOST.EXE, on peut utiliser une commande DOS :

Procédure : (pour Windows XP)

1. Dans le menu Démarrer, cliquer sur Exécuter...,
2. Taper cmd,
3. A l'invite DOS, taper TASKLIST /SVC (sans les guillemets), puis valider,
4. La liste des services apparaît, avec les processus associés.

On voit, dès lors, que SVCHOST gère beaucoup de processus...

Pour les possesseurs de Windows 2000, on utilisera, plutôt que TASKLIST /SVC, la commande TLIST -S.

Si cette commande n'est pas disponible, elle est située dans le fichier support.cab, sur le CD de Windows 2000 (dans le dossier \SUPPORT\TOOLS.)

Il est possible de récupérer les données de tasklist (et de tlist) affichées à l'écran :


Saisir pour cela la commande tasklist > c:\liste.txt par exemple pour créer la liste dans un fichier liste.txt à la racine du disque dur C:\. Valider ensuite par Entrée. il est possible d'utiliser le commutateur /SVC pour avoir plus de renseignements : TASKLIST /SVC > C:\liste.txt.

Il est ensuite possible de faire un copier-coller du contenu de liste.txt dans les fora pour le soumettre à analyse...

D'autre part, il faut savoir que certains virus et autres sales bestioles, peuvent être cachées dans ce processus. Comme le virus WIN32/PE.JEEFO32, par exemple (ce virus crée, en plus, un service nommé "Power Manager" qui n'est pas détecté par le patch mis à disposition sur le net, il faut donc l'enlever manuellement en éditant la base de registre). Il faut aussi se méfier et bien répertorier les différents services En regardant de plus près, on remarquera que certains services sont nommés de manière très similaire, mais ne sont pas des services SVCHOST.EXE. Notons l'existence de services portant le nom de SCVHOST.EXE ou bien encore SVCHOT.EXE.

Aucun commentaire:

Enregistrer un commentaire