Powered By Blogger

Rechercher sur ce blogue

Aucun message portant le libellé processus. Afficher tous les messages
Aucun message portant le libellé processus. Afficher tous les messages

jeudi 30 août 2018

FRSSystemWatch : visualiser les modifications de Windows en temps réel




FRSSystemWatch : visualiser les modifications de Windows en temps réel

 
Libellés
Process Explorer, processus, windows
 
FRSSystemWatch est un outil gratuit qui permet de visualiser les modifications effectuées en temps réel sur le disque par Windows ou des applications.
Cet outil liste les actions effectuées et modifications sur le disque dur ainsi que dans le registre Windows.
Cela est très pratique si vous souhaitez visualiser les changements faits lors de l’installation d’une application par exemple.

FRSSystemWatch : visualiser les modifications de Windows en temps réel

La page officielle du site FRSSystemWatch est ici.
Une fois installé, la fenêtre de FRSSystemWatch se présente ainsi avec la liste des modifications en temps réel qui défile.
Une icône permet d’indiquer s’il s’agit d’un accès sur un fichier, disque ou registre Windows.
Enfin la colonne Action permet donne les actions effectuées sur les fichiers : supprimer, renommer.
Dommage que l’outil n’indique pas le processus source à l’origine des modifications de fichiers sur le disque.

Si vous cherchez des fichiers ou clé en particulier, le bouton jumelle permet d’effectuer une recherche par mot clé.

Par défaut FRSSystemWatch traque toutes modifications sur le disque C mais vous pouvez restreindre la surveillance à un dossier, fichier ou clé du registre Windows depuis le menu Watch.
En effet l’outil n’affiche pas les modifications sur le registre Windows mais il est possible de surveiller des clés du registre.

Cette liste peut-être copier/coller en sélectionnant l’intégralité avec les touches CTRL+A ou clic droit puis select all.
Il est alors possible de coller le contenu dans le bloc-note.

Enfin, depuis le menu settings > Color Scheme, vous pouvez changer les couleurs de FRSSystemWatch

Alternative à FRSSystemWatch

Il existe beaucoup d’alternatives à FRSSystemWatch.
Le plus connu est Procmon qui est beaucoup plus complet mais aussi compliqué à utiliser.
Un aperçu de ce dernier est disponible sur la page : Procmon : surveiller l’activité Windows ou une d’application
D’autres outils de ce type sont aussi listés sur la page:  Monitorer l’activité système ou d’un programme

REF.:

mercredi 25 avril 2018

Windows Script Host : Identifier la source des messages d’erreur



Au démarrage de Windows ou à intervalles réguliers, vous pouvez rencontrer des messages d’erreur Windows Script Host.
Le message d’erreur Windows Script Host indique :
L'accès à Windows Script Host est désactivé sur cette machine.
Contactez l'administrateur système pour plus d'informations.
Windows Script Host : Identifier la source des messages d'erreurVoici quelques explications autour de ce message d’erreur Windows Script Host.

Windows Script Host

Windows Script Host est un interpréteur qui permet l’exécution de scripts VBScript et JScript dans Windows.
Il s’agit de programmes écrits dans ces langages qui peuvent être exécutés à tout moment.
Lorsqu’un script est en cours de fonctionnement, le processus wscript.exe est alors visible.
Des applications peuvent utilisées Windows Script Host mais il peut aussi s’agir de scripts malveillants notamment des virus par clé USB.
Il est possible de désactiver Windows Script Host, ce qui interdit l’exécution de ces scripts.
Dans ce cas, lorsqu’un script VBS ou JS tentent de se lancer, vous obtenez le message d’erreur donné en introduction de cette page.
En clair donc, la popup d’erreur Windows Script Host s’affiche lorsqu’un script tente de se lancer mais que Windows Script Host a été interdit.

Comment identifier la source des messages d’erreur

Pour pouvoir identifier la source de ces messages et le script qui en est à l’origine, le plus simple est d’utiliser Process Explorer.
  • Téléchargez Process Explorer et placez le sur votre bureau.
  • Lancez Process Explorer par un clic droit puis exécuter en tant qu’administrateur
  • Cliquez en haut sur l’icône cible
Windows Script Host : Identifier la source des messages d'erreur
  • puis cliquez sur le message d’erreur Windows Script Host
Windows Script Host : Identifier la source des messages d'erreur
  • Process Explorer se positionne directement sur le processus source du message, normalement, il s’agit de wscript.exe
  • Il aurait été d’ailleurs possible de le trouver directement dans la liste.
  • Double-cliquez dessus, le script source apparaît dans le champs command line
Windows Script Host : Identifier la source des messages d'erreur
Par exemple, ici, il s’agit du script « C:\Program Files\Intel\SUR\QUEENCREEK\task.vbs » qui est tout à fait sain.
Si le chemin mène à un fichier dans le dossier AppData ou TEMP, il y a de fortes chances qu’il s’agisse d’un script malveillant.
Parmi les scripts malveillants les plus répandus :
C:\Users\Fabio\Desktop\Suivi-colis-mondial-relay.vbs
C:\Users\jean-luc\AppData\Local\Fetode\Fogonabag.dat
%temp%\SysinfY2X.db
ou encore ci-dessous un script VBS lié un PUP.Yahoo
Wscript.exe C:\ProgramData\{8AC94FAA-008B-C56C-864D-5B2E1C0FD0E0}\tete.txt

Comment supprimer un script VBS malveillant ?

Avec Process Explorer, faire un clic droit sur le processus wscript.exe puis kill Processes afin que le script ne soit plus en cours d’exécution.
Une fois le chemin du script identifié, il ne reste plus qu’à supprimer le fichier manuellement.
Vous pouvez faire cela depuis l’explorateur de fichiers.
En cas de difficultés, créé un sujet dans la partie Virus du forum pour obtenir de l’aide.

Et si le script est légitime ?

Si le script est légitime mais que vous continuez à voir des messages d’erreur Windows Script Host.
Il faut alors supprimer le point de lancement et pour cela il faut le trouver, ce qui n’est pas forcément simple.
Un utilitaire comme Autoruns peut aider puisqu’il permet de lister tous les points de chargement de Windows.
Si l’on reprend l’exemple du script précédent « C:\Program Files\Intel\SUR\QUEENCREEK\task.vbs » qui provoque des erreurs Windows Script Host.
Ce dernier est lancé par une tâche planifiée, on trouve alors le script dans Task Schedulers sur Autoruns.
Windows Script Host : Identifier la source des messages d'erreur
Il ne faut pas faire une recherche sur task.vbs car Autoruns ne le trouvera pas.
Plutôt chercher sur wscript.exe, on trouve alors la source que l’on peut désactiver en décochant ce dernier.
Windows Script Host : Identifier la source des messages d'erreur

Autres liens

Quelques liens du site autour de Windows Script Host :
En lien ce tuto pour vérifier son ordinateur manuellement : Comment vérifier si ordinateur a été hacké ou piraté

REF.:

lundi 2 mai 2016

Trouver le processus lié à une fenêtre



Il peut arrivé parfois qu'une fenêtre s'ouvre sans trop savoir à quel processus correspond cette fenêtre afin éventuellement de désinstaller le programme à l'origine de celle-ci.
Les sujets qui reviennent souvent sont les fenêtres form1.

Le programme Process Explorer permet facilement de trouver le processus lié à cette fenêtre.
Télécharger Process Explorer.
Lancer ce dernier par un clic droit / exécuter en tant qu'administrateur.

Image

Ne mettez pas Process Explorer en plein écran.
Cliquez sur l'icône cible en haut en laissant appuyer dessus.
puis basculer sur la fenêtre en question.

Image

Process Explorer va alors se positionner directement sur le processus lié à la fenêtre.
Regardez bien les descriptions dans la liste.
Double-cliquez ensuite dessus afin d'obtenir la localisation sur le disque dans la partie PATH.

Image

Si vous n'avez aucune idée à quel programme, le processus est lié, n'hésitez pas à venir demander dans la partie Windows du forum.

Lien connexe :
Tutoriel Process Explorer

Source.: