Discussion:
Notifications de Kerio
(trop ancien pour répondre)
Marc-Antoine
2009-12-12 12:27:49 UTC
Permalink
Bonjour

Que faut-il faire sur les notifications suivantes de Kerio (en sortie)
qui apparaissent depuis quelque temps :

- c:\Windows\system32\sychost.exe et
- c:\Windows\system32\wgatray.exe

Faut-il les accepter ou les refuser SVP ? Merci
--
Marc-Antoine
Herser
2009-12-12 14:12:22 UTC
Permalink
Post by Marc-Antoine
Bonjour
Que faut-il faire sur les notifications suivantes de Kerio (en sortie)
- c:\Windows\system32\sychost.exe et
- c:\Windows\system32\wgatray.exe
Faut-il les accepter ou les refuser SVP ? Merci
Bonjour :

- WGATray.exe est le logiciel d'authentification de MS.
Si licence de XP, Vista ou Seven non valide, un message s'affiche dans le
systray.

Ce fichier est sujet à discussion sur le Net, certains parlant d'espion.
Mais peut-on reprocher à MS de vérifier si les licences utilisées sont
valides ?

Si licence valide, le laisser contrôler. Il ne se passera rien
Si licence piratée, c'est HS ici, sinon conseiller de régulariser :
http://www.microsoft.com/genuine/

- Svchost.exe ? (plutôt que sychost) est un service courant de MS.
Utilisé par plusieurs applications (j'en ai 6 actuellement).
Il peut y avoir des malwares l'utilisant.
Le gestionnaire des tâches dit si ces services occupent de la mémoire.
Si l'un d'entre eux tourne continuellement, méfiance : antivirus + MBAM.
Sinon, c'est normal

Des logiciels comme Process Explorer ou Process Monitoe en disent plus

Herser
kiki
2009-12-12 14:33:41 UTC
Permalink
Post by Herser
Post by Marc-Antoine
Bonjour
Que faut-il faire sur les notifications suivantes de Kerio (en sortie)
- c:\Windows\system32\sychost.exe et
- c:\Windows\system32\wgatray.exe
Faut-il les accepter ou les refuser SVP ? Merci
- WGATray.exe est le logiciel d'authentification de MS.
Si licence de XP, Vista ou Seven non valide, un message s'affiche dans
le systray.
Ce fichier est sujet à discussion sur le Net, certains parlant d'espion.
Mais peut-on reprocher à MS de vérifier si les licences utilisées sont
valides ?
Si licence valide, le laisser contrôler. Il ne se passera rien
http://www.microsoft.com/genuine/
- Svchost.exe ? (plutôt que sychost) est un service courant de MS.
Utilisé par plusieurs applications (j'en ai 6 actuellement).
Il peut y avoir des malwares l'utilisant.
Le gestionnaire des tâches dit si ces services occupent de la mémoire.
Si l'un d'entre eux tourne continuellement, méfiance : antivirus + MBAM.
Sinon, c'est normal
Des logiciels comme Process Explorer ou Process Monitoe en disent plus
Herser
Perso, svchost est "interdit de sortie" par kerio 4 depuis des lustres,
sans aucun ennui.

kiki
Marc-Antoine
2009-12-12 17:44:40 UTC
Permalink
Post by Herser
Post by Marc-Antoine
Bonjour
Que faut-il faire sur les notifications suivantes de Kerio (en sortie)
- c:\Windows\system32\sychost.exe et
- c:\Windows\system32\wgatray.exe
Faut-il les accepter ou les refuser SVP ? Merci
- WGATray.exe est le logiciel d'authentification de MS.
Si licence de XP, Vista ou Seven non valide, un message s'affiche dans le
systray.
Ce fichier est sujet à discussion sur le Net, certains parlant d'espion.
Mais peut-on reprocher à MS de vérifier si les licences utilisées sont
valides ?
Si licence valide, le laisser contrôler. Il ne se passera rien
http://www.microsoft.com/genuine/
License tout à fait légale
Post by Herser
- Svchost.exe ? (plutôt que sychost) est un service courant de MS.
Utilisé par plusieurs applications (j'en ai 6 actuellement).
Il peut y avoir des malwares l'utilisant.
Le gestionnaire des tâches dit si ces services occupent de la mémoire.
Si l'un d'entre eux tourne continuellement, méfiance : antivirus + MBAM.
Sinon, c'est normal
OK
Post by Herser
Des logiciels comme Process Explorer ou Process Monitoe en disent plus
OK Merci Herser, j'ai décidé "d'interdire", pour le moment ça ne pose
pas de problème.
En fait j'utilise Kerio PF et (selon un tutoriel trouvé en ligne), la
dernière règle bloque toutes les applications non autorisées par les
règles précédentes. Or si je veux installer une nouvelle application,
alors que le curseur de sécurité est positionner sur "me demander", je
suis tout de même obligé de désactiver provisoirement cette dernière
règle, ce qui crée ces tentatives (svchost et wgatray), d'ou ma
question.
Merci encore
--
Marc-Antoine
Herser
2009-12-12 18:30:22 UTC
Permalink
Post by Marc-Antoine
Post by Herser
Si licence valide, le laisser contrôler. Il ne se passera rien
http://www.microsoft.com/genuine/
License tout à fait légale
Tu m'as fait hésité sur l'orthographe de licence
En Fr c'est bien licence.
En US c'est plutôt license
En En c'est licence
SIW, par ex, dit license en fr !
Post by Marc-Antoine
Post by Herser
- Svchost.exe ? (plutôt que sychost) est un service courant de MS.
As-tu quand même vérfié que c'était bien svchost et non syvhost
Si syvhost, ça craint effectivement.

Herser
Marc-Antoine
2009-12-12 22:40:28 UTC
Permalink
Post by Herser
Post by Marc-Antoine
Post by Herser
Si licence valide, le laisser contrôler. Il ne se passera rien
http://www.microsoft.com/genuine/
License tout à fait légale
Tu m'as fait hésité sur l'orthographe de licence
En Fr c'est bien licence.
En US c'est plutôt license
En En c'est licence
SIW, par ex, dit license en fr !
Post by Marc-Antoine
Post by Herser
- Svchost.exe ? (plutôt que sychost) est un service courant de MS.
As-tu quand même vérfié que c'était bien svchost et non syvhost
Si syvhost, ça craint effectivement.
Herser
Oui c'était une erreur de frappe, il s'agit bien de SVCHOST. merci
--
Marc-Antoine
Laurent Jumet
2009-12-13 10:01:33 UTC
Permalink
Hello Marc-Antoine !
Post by Marc-Antoine
Oui c'était une erreur de frappe, il s'agit bien de SVCHOST. merci
SVCHOST est un service, qui est une sorte de maître-jacques et est lancé en plusieurs exemplaires avec des paramètres différents; exemples:

C:\WINDOWS\system32\svchost -k DcomLaunch
C:\WINDOWS\system32\svchost -k rpcss
C:\WINDOWS\System32\svchost.exe -k netsvcs
C:\WINDOWS\System32\svchost.exe -k imgsvc
C:\WINDOWS\System32\svchost.exe -k LocalService

Il y a peu de chances qu'il soit infecté, mais ce n'est pas une raison pour le laisser sortir sur le net comme il veut.
On peut autoriser au coup par coup certains Ports, comme l'horloge interne; pour le reste, il sortira si on règle le pare-feu en AskMeFirst.
--
Laurent Jumet - Point de Chat, Liège, BELGIUM
KeyID: 0xCFAF704C
[Restore address to laurent.jumet for e-mail reply.]
Marc-Antoine
2009-12-13 11:09:44 UTC
Permalink
Post by Laurent Jumet
Hello Marc-Antoine !
Post by Marc-Antoine
Oui c'était une erreur de frappe, il s'agit bien de SVCHOST. merci
SVCHOST est un service, qui est une sorte de maître-jacques et est lancé
C:\WINDOWS\system32\svchost -k DcomLaunch
C:\WINDOWS\system32\svchost -k rpcss
C:\WINDOWS\System32\svchost.exe -k netsvcs
C:\WINDOWS\System32\svchost.exe -k imgsvc
C:\WINDOWS\System32\svchost.exe -k LocalService
Il y a peu de chances qu'il soit infecté, mais ce n'est pas une raison
pour le laisser sortir sur le net comme il veut. On peut autoriser au
coup par coup certains Ports, comme l'horloge interne; pour le reste, il
sortira si on règle le pare-feu en AskMeFirst.
Merci de ce complément d'infos. Comme je le disais plus haut j'ai
bloqué et cela ne me semble pas poser de problème particuliers
--
Marc-Antoine
Laurent Jumet
2009-12-13 14:52:10 UTC
Permalink
Hello Marc-Antoine !
Post by Marc-Antoine
Post by Laurent Jumet
SVCHOST est un service, qui est une sorte de maître-jacques et est
C:\WINDOWS\system32\svchost -k DcomLaunch
C:\WINDOWS\system32\svchost -k rpcss
C:\WINDOWS\System32\svchost.exe -k netsvcs
C:\WINDOWS\System32\svchost.exe -k imgsvc
C:\WINDOWS\System32\svchost.exe -k LocalService
Il y a peu de chances qu'il soit infecté, mais ce n'est pas une raison
pour le laisser sortir sur le net comme il veut. On peut autoriser au
coup par coup certains Ports, comme l'horloge interne; pour le reste, il
sortira si on règle le pare-feu en AskMeFirst.
Merci de ce complément d'infos. Comme je le disais plus haut j'ai
bloqué et cela ne me semble pas poser de problème particuliers
Normalement tu devrais le laisser sortir vers les ports 123 et 443 au minimum.
--
Laurent Jumet - Point de Chat, Liège, BELGIUM
KeyID: 0xCFAF704C
[Restore address to laurent.jumet for e-mail reply.]
P@skal
2009-12-15 21:22:57 UTC
Permalink
Marc-Antoine écrivait dans le message de *News*
<uXutJT#***@TK2MSFTNGP04.phx.gbl> :

Avé Marc-Antoine,
Merci de ce complément d'infos. Comme je le disais plus haut j'ai bloqué
et cela ne me semble pas poser de problème particuliers
Tous les services svchost.exe, même en localhost, avé les commutateurs
Kivonbien ?

Si oui, vous zêtes d'une grande *divine* essence !
--
/****@skal*/
Marc-Antoine
2009-12-16 01:09:23 UTC
Permalink
Post by ***@skal
Marc-Antoine écrivait dans le message de *News*
Avé Marc-Antoine,
Merci de ce complément d'infos. Comme je le disais plus haut j'ai bloqué et
cela ne me semble pas poser de problème particuliers
Tous les services svchost.exe, même en localhost, avé les commutateurs
Kivonbien ?
Si oui, vous zêtes d'une grande *divine* essence !
Désolé ***@scal tu parle à un néophyte, mais une analyse à partir de
http://websecurite.free.fr/testez.htm me donne tous les ports discrets.
Je ne sais pas si c'est l'esprit divin ou maléfique qui "hante" mon PC
mais je n'ai "apparemment" aucune problème, sachant que par définition
un espion essaye de rester discret ;-)
--
Marc-Antoine
P@skal
2009-12-16 19:26:17 UTC
Permalink
Marc-Antoine écrivait dans le message de *News*
Post by Marc-Antoine
http://websecurite.free.fr/testez.htm me donne tous les ports discrets.
Bjr Marc-antoine,
Oui sur le site de Grc.com
https://www.grc.com/x/ne.dll?bh0bkyd2

Puisque tu es chez Free(*), si tu as une Freebox en mode modem+routeur ou
bien un autre modem routeur personnel et, que le pare-feu et filtrages
soient activés sur le routeur -->
Ce sont les ports de ta Freebox ou de ton modem routeur qui sont analysés
et non ceux de ton ordinateur.

Il faut que tu sentes à l'aise avec ton pare-feu installé sur ton ordi. Les
pare-feu, peu importe la marque, fonctionnent tous sur les mêmes bases.

Suggestion de lecture:
http://sebsauvage.net/safehex
Post by Marc-Antoine
Je ne sais pas si c'est l'esprit divin ou maléfique qui "hante" mon PC
mais je n'ai "apparemment" aucune problème
D'accord... Mais ton Windows il doit avoir besoin d'un certains nombre de
services por fonctionner
Télécharge Process Explorer
http://www.microsoft.com/france/technet/sysinternals/ProcessesAndThreads/ProcessExplorer.mspx

Lien direct de téléchargement du fichier archive:
http://download.sysinternals.com/Files/ProcessExplorer.zip

Extrait l'ensemble dans un dossier de ton choix
Clique sur procexp.exe
Tu verras des SVCHOST.EXE actifs, passe le curseur de la souris dessus, tu
découvriras à quels services (activés) cela correspond.
Post by Marc-Antoine
sachant que par définition un
espion essaye de rester discret ;-)
ToutAFée :-)

@+
(*) rien d'inscrêt, uniquement en regardant les entêtes de tes messages
--
/****@skal*/
P@skal
2009-12-16 20:08:34 UTC
Permalink
Tu verras des SVCHOST.EXE actifs,....
En complément d'info, l'on peut utiliser un prog. comme SVCHOST
INFORMATIONS, ici
http://www.ptorris.com/outils.php#svchost_informations
--
/****@skal*/
Marc-Antoine
2009-12-16 22:27:37 UTC
Permalink
Post by ***@skal
D'accord... Mais ton Windows il doit avoir besoin d'un certains nombre de
services por fonctionner
Télécharge Process Explorer
http://www.microsoft.com/france/technet/sysinternals/ProcessesAndThreads/ProcessExplorer.mspx
http://download.sysinternals.com/Files/ProcessExplorer.zip
Extrait l'ensemble dans un dossier de ton choix
Clique sur procexp.exe
Tu verras des SVCHOST.EXE actifs, passe le curseur de la souris dessus, tu
découvriras à quels services (activés) cela correspond.
Téléchargement effectué, reste à décripter ses fonctionalités et à
comprendre ce que tout cela veut dire...
Post by ***@skal
sachant que par définition un espion essaye de rester discret ;-)
ToutAFée :-)
@+
(*) rien d'inscrêt, uniquement en regardant les entêtes de tes messages
Oui je sais faire aussi ;-)

Merci
--
Marc-Antoine
Laurent Jumet
2009-12-12 13:26:15 UTC
Permalink
Hello Marc-Antoine !
Post by Marc-Antoine
Que faut-il faire sur les notifications suivantes de Kerio (en sortie)
- c:\Windows\system32\sychost.exe et
Celui-ci sent le soufre, on dirait une tromperie sur SVCHOST
Post by Marc-Antoine
- c:\Windows\system32\wgatray.exe
Celui-ci existe, il est en rapport avec Genuine Avantage.
Mais chez moi, il n'a jamais été autorisé à sortir sauf lorsque je fais un WindowsUpdate où là, peut-être est-il sorti.
--
Laurent Jumet - Point de Chat, Liège, BELGIUM
KeyID: 0xCFAF704C
[Restore address to laurent.jumet for e-mail reply.]
Loading...