ca sert a quoi?on peut sen passé?

 

tiens la reponse de JCB suite à une m^me question:
 
> [...]
> lancé le gestionnaire de tâche de Windows et j'ai remarqué que le
> processeur était utilisé à 100% et que le fichier SVCHOST.EXE était
> lancé plusieurs fois.
> Après une recherche sur Google, j'ai appris que ce fichier pouvait être
> créé par le virus BLUE CODE sur un serveur IIS. Je n'ai pas ce genre de
> serveur.
Oui, une vacherie! ;+)
Ce virus crée un FAUX "svchost.exe" dans c:\, afin de ne pas éveiller les
soupçons de l'utilisateur.
 
> Mes questions:
> Est-ce que les fichiers SVCHOST.EXE  présent sur mon PC dans les
> répertoires c:\windows\system et c:\windows\system32\dllcache sont des
> fichiers créés par ce virus ou sont-ils nécessaires au bon
> fonctionnement de XP?
 
1)"svchost.exe" est un fichier en permance "in use",
  donc non remplaçable "on line".
  De plus, grâce à la présence de "dllcache", on ne peut
  pas (simplement) le remplacer dans %systemroot%\system32
 
2)Ce que tu vois ainsi répété sont des instances successives de svchost.exe
 
3)Ce n'est pas du tout un virus, mais un composant INDISPENSABLE de tout OS
de type NT!
 
C'est un processus générique, qui sert à lancer des services contenus dans
des DLL.
Au démarrage, SVCHOST scrute le contenu de la clef :
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost
 
Des entrées de type REG_MULTI_SZ contiennent une énumération de services à
lancer.
P.ex. chez moi les 3 entrées suivantes contiennent respectivement :
"netsvcs" :
    EventSystem
    Ias
    Iprip
    Irmon
    Netman
    ...
"rpcss" :
    RpcSs
"tapisrv" :
    TapiSrv
qui correspondent à autant de NOMS de services à démarrer.
 
Vu qu'il y a 3 entrées, il y aura 3 instances de SVCHOST lancées sur ma
babasse.
 
Pour savoir ce qu'il doit faire exactement, SVCHOST consulte ensuite la clef
:
 
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\
 
et cherche les sous-clefs ayant les mêmes noms que dans les listes
précédentes
 
Par exemple :
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IAS
 
Dans cette clef il trouve ce dont il a besoin.
 
P.ex. l'entrée "DisplayName" contient "Service authentification Internet"
qui est l'identification du service (pour l'utilisateur, c'est ce qui va
apparaitre dans la MMC "Services", ou si on tapoe la commande "net start" )
 
Dans la sous-clef  "Parameters",
l'entrée "ServiceDll" contient le chemin de la DLL associée
("%SystemRoot%\System32\ias.dll" )
 
NB: SVCHOST est un processus "non tuable" !
(et ça vaut mieux !)
 
 
PS: Pour info, sous Windows ME, l'appli qui joue un rôle analogue à
"SVCHOSTS.EXE" s'appelle "STIMON.EXE"
 
--
May the Force be with You ! La Connaissance s'accroît quand on la partage
--------------------------------------------------------------------------
Jean-Claude BELLAMY
 
'espère qu'il n'y a pas de copyright sinon,caramba ! yé soui rouiné !!