Un programme douteux démarre en même temps que windows,quel est ce .exe (processus) en cours d’exécution sur mon PC ?....un malware virulent ?

 Un programme douteux démarre en même temps que windows,quel est ce .exe (processus) en cours d’exécution sur mon PC ?....un malware virulent ?

Notre équipe chez SpyShelter se concentre sur la vérification des menaces dans les exécutables (processus) PC, et nous le faisons depuis plus de 15 ans. Vous pouvez utiliser les mêmes techniques que notre équipe utilise pour vérifier rapidement les menaces dans les exécutables.

Alors, comment pouvez-vous vérifier rapidement si un processus exécuté sur votre PC est sûr ou constitue une menace ? Nous vous recommandons de commencer par les quatre étapes ci-dessous.

Liste des processus exécutables

Étape 1 : Scannez le fichier gratuitement avec Windows

Saviez-vous que Microsoft vous permet d'analyser gratuitement n'importe quel exécutable sur votre PC grâce à sa sécurité Windows intégrée ? Faites un clic droit sur le fichier, puis choisissez « afficher plus d'options » dans le menu, puis choisissez « analyser ».

Microsoft a rapporté en 2023 qu'il gérait plus de 135 millions d'appareils pour la sécurité et les menaces, et qu'il bloquait plus de 4 000 menaces par seconde.

Pourquoi ne pas profiter de la technologie gratuite et extrêmement puissante de détection des menaces de Microsoft ?

Si votre analyse n'a posé aucun problème, le fichier est probablement en sécurité, et s'il ne l'est pas, Windows a probablement mis le fichier en quarantaine pour vous protéger.

Vous ne savez toujours pas si le processus est sécurisé même après l’analyse de Microsoft ? Aucun problème. Analysons votre .exe encore plus attentivement...

Étape 2 : Enquêter sur l'éditeur

Votre exécutable est-il signé ? Un exécutable signé vous indique qui l'a créé. La signature de l'éditeur peut confirmer s'il s'agit d'une véritable affaire ou d'un virus se faisant passer pour la réalité.

Faites un clic droit sur l'exécutable et choisissez « propriétés ». Recherchez maintenant l'onglet "Signatures numériques". Il faudrait indiquer qui est l'éditeur. Est-il signé et l'éditeur est-il celui que vous attendiez ? Dans ce cas, l’exécutable est probablement sécurisé.

Par exemple, est-il signé par Microsoft lui-même, ou par un autre éditeur connu comme Mozilla ?

L'exécutable n'est-il pas signé ? Cela peut toujours être sûr dans certains cas... et il y a une troisième étape ci-dessous que vous pouvez suivre pour continuer à enquêter plus en profondeur...

Étape 3 : Vérifiez le hachage de l'exécutable avec VirusTotal

Saviez-vous que chaque processus sur votre ordinateur possède un identifiant de hachage unique ? Vous pouvez rechercher ce hachage unique sur un site Web d'analyse de fichiers populaire appelé VirusTotal pour voir s'il est sûr. VirusTotal est un service gratuit d'analyse de fichiers de sécurité (propriété de Google) qui peut vérifier simultanément l'exécutable de votre PC par rapport à de nombreux moteurs antivirus différents. Ceci est utile car si plusieurs moteurs antivirus déclarent que le fichier est sûr, il l'est probablement.

Il existe de nombreuses sociétés antivirus différentes, et nombre d’entre elles utilisent des moteurs de détection des menaces uniques. VirusTotal analyse simultanément votre fichier exécutable avec tous ces différents moteurs antivirus pour voir s'il pourrait constituer une menace.

VirusTotal vous permet de télécharger un fichier entier sur VirusTotal.com si vous préférez, mais certaines personnes n'aiment pas le faire pour des raisons de confidentialité, elles préfèrent donc simplement rechercher le hachage du fichier (ID unique).

Rechercher le hachage du processus exécutable

Trouvez rapidement le hachage de n'importe quel processus sur votre PC avec SpyShelter.

Obtenir le hachage est facile si vous utilisez SpyShelter (téléchargez SpyShelter si vous ne l'avez pas encore). Cliquez simplement sur l'icône de l'application dans SpyShelter, puis faites défiler jusqu'à « hachage », puis faites un clic droit pour copier le hachage. Vous pouvez ensuite accéder à VirusTotal et cliquer sur « rechercher » puis coller le hachage.

Aucun résultat pour le hachage, ou vous avez du mal à l'obtenir ? Aucun problème. Vous pouvez ensuite accéder à l'emplacement de l'exécutable et télécharger l'intégralité du fichier sur VirusTotal et le vérifier, si c'est quelque chose que vous vous sentez en sécurité de partager.

Virustotal exe ou vérification de hachage

Comment savoir si un fichier .exe est un malware ou non ? VirusTotal peut souvent vous donner la réponse.

Après avoir téléchargé le fichier, si VirusTotal montre que l'exécutable est sûr, c'est probablement le cas. Mais que se passe-t-il si VirusTotal montre que l’exécutable pourrait être une menace ?

Si VirusTotal montre que l'exécutable pourrait constituer une menace, vous pouvez le mettre en quarantaine avec SpyShelter ou avec votre antivirus. Pour mettre en quarantaine un exécutable avec SpyShelter, cliquez sur « Quarantaine » en haut à gauche de la fenêtre au-dessus de l'endroit où vous avez trouvé le chemin et le hachage du fichier.

Serait-ce un faux positif ?

Malheureusement, certains moteurs antivirus répertoriés dans VirusTotal peuvent vous donner un résultat appelé « faux positif », ce qui signifie qu'il ne s'agit pas vraiment d'une menace. Par conséquent, vous devez considérer qu’il peut s’agir d’un faux positif si seulement un ou deux moteurs antivirus considèrent votre exécutable comme une menace.

Je vais donner un exemple…

Lorsque notre société publie de nouvelles versions de notre propre application antispyware SpyShelter, nous vérifions souvent le nouveau programme d'installation de SpyShelter .exe sur VirusTotal pour nous assurer que nous n'obtenons pas beaucoup de faux positifs. Presque chaque fois que nous téléchargeons pour la première fois le fichier setup.exe, nous constatons qu’au moins un moteur VirusTotal présente notre application comme une menace.

Mais avec le temps, ces faux positifs disparaissent généralement. Par conséquent, si seulement un ou deux moteurs montrent que votre exécutable constitue une menace, il s’agit probablement simplement d’un faux positif.

Après avoir vérifié auprès de VirusTotal, vous ne savez toujours pas si le .exe est sûr ? Heureusement, il existe une quatrième étape que vous pouvez franchir…

Étape 4 : Surveiller le comportement de l'exécutable

L'exécutable est-il actuellement en cours d'exécution sur votre PC (en tant que processus) et dans quelle mesure,Le processeur ou la mémoire utilise-t-il ? Quand cet exécutable est-il apparu ? Combien d’instances de l’exécutable sont en cours d’exécution ?

Le Gestionnaire des tâches de Windows peut révéler le comportement de l'exécutable, et ces comportements peuvent vous aider à déterminer si l'application est sûre ou constitue une menace.

Pour commencer, cliquez d'abord avec le bouton droit sur votre barre des tâches Windows en bas de l'écran et lancez le Gestionnaire des tâches Windows. Vous verrez alors une liste de « processus » Windows (également appelés exécutables ou applications).

Maintenant, recherchez l'exécutable (également appelé processus) dans la liste et faites un clic droit sur son nom, puis choisissez « propriétés ». Recherchez maintenant la date « Créé ». C'est la date à laquelle le .exe aurait dû apparaître sur votre PC.

Le processus/.exe que vous analysez est-il apparu récemment après avoir consulté un mystérieux fichier PDF qui vous a été envoyé par courrier électronique, ou cela semble-t-il être un très ancien fichier fourni avec votre PC ? S’il s’agit d’une application très ancienne, elle fait peut-être simplement partie du système normal dont votre PC a besoin pour fonctionner.

Quelle quantité de CPU ou de mémoire l’exécutable utilise-t-il ? Utilise-t-il un pourcentage raisonnable des ressources de votre PC, ou est-il devenu incontrôlable et aspirant votre mémoire ?

Les logiciels malveillants utilisent souvent une quantité inhabituellement élevée de ressources sur votre PC. Si vous faites un clic droit et essayez de « Fin de tâche », Windows vous le permet-il ou la suppression de l'exécutable est-elle refusée ? Si vous supprimez le .exe, remarquez-vous des problèmes ?

Maintenant, allez dans l’onglet « Démarrage » dans le Gestionnaire des tâches sur le côté gauche. Cet exécutable est-il répertorié ici ? Cela signifierait que l'exécutable s'est configuré pour démarrer lorsque vous démarrez votre PC. Pour arrêter cela, vous pouvez cliquer avec le bouton droit sur l'exécutable et choisir « désactiver ». Les logiciels malveillants se lancent souvent au démarrage.

Une autre fonctionnalité utile du Gestionnaire des tâches est l'onglet « Historique des applications ». Vous pouvez voir instantanément le temps CPU des différentes applications sur votre PC. Le fichier .exe que vous étudiez apparaît-il ici ? Depuis combien de temps fonctionne-t-il ? Les logiciels espions ou malveillants peuvent souvent avoir une durée d’exécution extrêmement longue.

Si vous utilisez notre application antispyware SpyShelter, vous pouvez rechercher le nom de l'exécutable, puis cliquer sur son icône, puis cliquer sur « mettre en quarantaine » pour désactiver instantanément l'application. Vous pouvez télécharger SpyShelter gratuitement ici.

Après avoir essayé toutes les étapes ci-dessus, vous n'êtes toujours pas sûr de l'exécutable ? Si tel est le cas, rejoignez notre forum gratuit sur la sécurité SpyShelter PC. Notre équipe adore discuter des exécutables (applications et processus) suspects !

Demandez ce que vous voulez et notre équipe basée aux États-Unis répondra généralement rapidement si elle a la réponse. Discutez dès maintenant des exécutables suspects ou de tout ce qui concerne la sécurité du PC avec l'équipe SpyShelter !

Étape 1 : Scannez le fichier gratuitement avec Windows

Étape 2 : Enquêter sur l'éditeur

Étape 3 : Vérifiez le hachage de l'exécutable avec VirusTotal

Étape 4 : Surveiller le comportement de l'exécutable

Étape 5- *Désinstaller le programme avec regedit , pour ceux qui sont plus a l'aise avec la base registre.Sinon,security task manger ou Ccleaner. 

*voir le processus avec un exemple complet: 

https://docteo2.wordpress.com/2024/05/23/comment-desinstaller-les-logiciels-de-creation-dimage-de-reallusion/

Pourquoi devriez-vous nous faire confiance ?

Notre équipe chez SpyShelter étudie les exécutables PC Windows depuis plus de 15 ans, pour aider à lutter contre les logiciels espions, les logiciels malveillants et autres menaces. SpyShelter a été présenté dans des publications telles que The Register, PC Magazine et bien d'autres. Nous travaillons désormais à partager des informations gratuites, exploitables et faciles à comprendre sur les exécutables (processus) Windows avec le monde entier, afin d'aider le plus grand nombre de personnes possible à assurer la sécurité de leurs appareils. Apprenez-en davantage sur nous sur notre page « À propos de SpyShelter ».

REF.: https://www.spyshelter.com/whats-that-pc-executable/#step4_anchor

FRSSystemWatch : visualiser les modifications de Windows en temps réel

  FRSSystemWatch : visualiser les modifications de Windows en temps réel

 

Libellés

Process Explorer, processus, windows

 

FRSSystemWatch est un outil gratuit qui permet de visualiser les modifications effectuées en temps réel sur le disque par Windows ou des applications.
Cet outil liste les actions effectuées et modifications sur le disque dur ainsi que dans le registre Windows.
Cela est très pratique si vous souhaitez visualiser les changements faits lors de l’installation d’une application par exemple.

FRSSystemWatch : visualiser les modifications de Windows en temps réel

La page officielle du site FRSSystemWatch est ici.
Une fois installé, la fenêtre de FRSSystemWatch se présente ainsi avec la liste des modifications en temps réel qui défile.
Une icône permet d’indiquer s’il s’agit d’un accès sur un fichier, disque ou registre Windows.
Enfin la colonne Action permet donne les actions effectuées sur les fichiers : supprimer, renommer.
Dommage que l’outil n’indique pas le processus source à l’origine des modifications de fichiers sur le disque.

Si vous cherchez des fichiers ou clé en particulier, le bouton jumelle permet d’effectuer une recherche par mot clé.

Par défaut FRSSystemWatch traque toutes modifications sur le disque C mais vous pouvez restreindre la surveillance à un dossier, fichier ou clé du registre Windows depuis le menu Watch.
En effet l’outil n’affiche pas les modifications sur le registre Windows mais il est possible de surveiller des clés du registre.

Cette liste peut-être copier/coller en sélectionnant l’intégralité avec les touches CTRL+A ou clic droit puis select all.
Il est alors possible de coller le contenu dans le bloc-note.

Enfin, depuis le menu settings > Color Scheme, vous pouvez changer les couleurs de FRSSystemWatch

Alternative à FRSSystemWatch

Il existe beaucoup d’alternatives à FRSSystemWatch.
Le plus connu est Procmon qui est beaucoup plus complet mais aussi compliqué à utiliser.
Un aperçu de ce dernier est disponible sur la page : Procmon : surveiller l’activité Windows ou une d’application
D’autres outils de ce type sont aussi listés sur la page:  Monitorer l’activité système ou d’un programme

REF.:

Windows Script Host : Identifier la source des messages d’erreur

Au démarrage de Windows ou à intervalles réguliers, vous pouvez rencontrer des messages d’erreur Windows Script Host.
Le message d’erreur Windows Script Host indique :

L'accès à Windows Script Host est désactivé sur cette machine.
Contactez l'administrateur système pour plus d'informations.

Voici quelques explications autour de ce message d’erreur Windows Script Host.

Table des matières [masquer]

• 1 Windows Script Host
  • 1.1 Comment identifier la source des messages d’erreur
  • 1.2 Comment supprimer un script VBS malveillant ?
  • 1.3 Et si le script est légitime ?
• 2 Autres liens

Windows Script Host

Windows Script Host est un interpréteur qui permet l’exécution de scripts VBScript et JScript dans Windows.
Il s’agit de programmes écrits dans ces langages qui peuvent être exécutés à tout moment.
Lorsqu’un script est en cours de fonctionnement, le processus wscript.exe est alors visible.
Des applications peuvent utilisées Windows Script Host mais il peut aussi s’agir de scripts malveillants notamment des virus par clé USB.
Il est possible de désactiver Windows Script Host, ce qui interdit l’exécution de ces scripts.
Dans ce cas, lorsqu’un script VBS ou JS tentent de se lancer, vous obtenez le message d’erreur donné en introduction de cette page.
En clair donc, la popup d’erreur Windows Script Host s’affiche lorsqu’un script tente de se lancer mais que Windows Script Host a été interdit.

Comment identifier la source des messages d’erreur

Pour pouvoir identifier la source de ces messages et le script qui en est à l’origine, le plus simple est d’utiliser Process Explorer.

• Téléchargez Process Explorer et placez le sur votre bureau.
• Lancez Process Explorer par un clic droit puis exécuter en tant qu’administrateur
• Cliquez en haut sur l’icône cible

• puis cliquez sur le message d’erreur Windows Script Host

• Process Explorer se positionne directement sur le processus source du message, normalement, il s’agit de wscript.exe
• Il aurait été d’ailleurs possible de le trouver directement dans la liste.
• Double-cliquez dessus, le script source apparaît dans le champs command line

Par exemple, ici, il s’agit du script « C:\Program Files\Intel\SUR\QUEENCREEK\task.vbs » qui est tout à fait sain.
Si le chemin mène à un fichier dans le dossier AppData ou TEMP, il y a de fortes chances qu’il s’agisse d’un script malveillant.
Parmi les scripts malveillants les plus répandus :

C:\Users\Fabio\Desktop\Suivi-colis-mondial-relay.vbs
C:\Users\jean-luc\AppData\Local\Fetode\Fogonabag.dat
%temp%\SysinfY2X.db

ou encore ci-dessous un script VBS lié un PUP.Yahoo

Wscript.exe C:\ProgramData\{8AC94FAA-008B-C56C-864D-5B2E1C0FD0E0}\tete.txt

Comment supprimer un script VBS malveillant ?

Avec Process Explorer, faire un clic droit sur le processus wscript.exe puis kill Processes afin que le script ne soit plus en cours d’exécution.
Une fois le chemin du script identifié, il ne reste plus qu’à supprimer le fichier manuellement.
Vous pouvez faire cela depuis l’explorateur de fichiers.
En cas de difficultés, créé un sujet dans la partie Virus du forum pour obtenir de l’aide.

Et si le script est légitime ?

Si le script est légitime mais que vous continuez à voir des messages d’erreur Windows Script Host.
Il faut alors supprimer le point de lancement et pour cela il faut le trouver, ce qui n’est pas forcément simple.
Un utilitaire comme Autoruns peut aider puisqu’il permet de lister tous les points de chargement de Windows.
Si l’on reprend l’exemple du script précédent « C:\Program Files\Intel\SUR\QUEENCREEK\task.vbs » qui provoque des erreurs Windows Script Host.
Ce dernier est lancé par une tâche planifiée, on trouve alors le script dans Task Schedulers sur Autoruns.

Il ne faut pas faire une recherche sur task.vbs car Autoruns ne le trouvera pas.
Plutôt chercher sur wscript.exe, on trouve alors la source que l’on peut désactiver en décochant ce dernier.

Autres liens

Quelques liens du site autour de Windows Script Host :

• Comment désactiver Windows Script Host
• Comment se protéger des scripts malicieux sur Windows

En lien ce tuto pour vérifier son ordinateur manuellement : Comment vérifier si ordinateur a été hacké ou piraté

REF.:

Trouver le processus lié à une fenêtre

Il peut arrivé parfois qu'une fenêtre s'ouvre sans trop savoir à quel processus correspond cette fenêtre afin éventuellement de désinstaller le programme à l'origine de celle-ci.
Les sujets qui reviennent souvent sont les fenêtres form1.

Le programme Process Explorer permet facilement de trouver le processus lié à cette fenêtre.
Télécharger Process Explorer.
Lancer ce dernier par un clic droit / exécuter en tant qu'administrateur.



Ne mettez pas Process Explorer en plein écran.
Cliquez sur l'icône cible en haut en laissant appuyer dessus.
puis basculer sur la fenêtre en question.



Process Explorer va alors se positionner directement sur le processus lié à la fenêtre.
Regardez bien les descriptions dans la liste.
Double-cliquez ensuite dessus afin d'obtenir la localisation sur le disque dans la partie PATH.



Si vous n'avez aucune idée à quel programme, le processus est lié, n'hésitez pas à venir demander dans la partie Windows du forum.

Lien connexe :
Tutoriel Process Explorer

Source.: