Les processus sont une partie inévitable de Windows, et il n'est pas rare d'en voir des dizaines ou des centaines dans le Gestionnaire des tâches. Chaque processus est un programme ou une partie de programme en cours d'exécution. Malheureusement, les créateurs de logiciels malveillants le savent et sont connus pour cacher des logiciels malveillants derrière les noms de processus légitimes.
Voici quelques-uns des processus les plus couramment piratés ou dupliqués, ainsi que leur emplacement et comment repérer une version malveillante.
1. Svchost.exe
L'hôte de service, ou svchost.exe, est un processus de service partagé. Il permet à divers autres services Windows de partager des processus. Cela permet de réduire l'utilisation des ressources, ce qui rend le système plus efficace. Vous verrez presque certainement plus d'une instance de Svchost.exe dans le Gestionnaire des tâches, mais c'est normal. Si un ou plusieurs de ces fichiers sont compromis par des logiciels malveillants, vous remarquerez peut-être une nette réduction des performances.
Les fichiers Svchost légitimes doivent se trouver dans C:\Windows\System32. Si vous pensez qu'il a été piraté, vérifiez C:\Windows\Temp. Si vous voyez svchost.exe ici, il pourrait s'agir d'un fichier malveillant. Analysez le fichier avec votre logiciel antivirus et mettez-le en quarantaine si nécessaire.
2. Explorer.exe
Explorer.exe est responsable du shell graphique. Sans cela, vous n'auriez pas de barre des tâches, de menu Démarrer, de gestionnaire de fichiers ou même de bureau. Par conséquent, il s'agit d'une partie essentielle de Windows et ne peut pas être désactivée.
Plusieurs virus peuvent utiliser le nom de fichier Explorer.exe pour se cacher, notamment trojan.w32.ZAPCHAST. Le fichier légitime sera dans C:\Windows. Si vous le trouvez dans Système32, vous devez absolument le vérifier avec votre logiciel antivirus.
3. Winlogon.exe
Le processus Winlogon.exe est une partie essentielle du système d'exploitation Windows. Il gère des choses comme le chargement du profil utilisateur lors de la connexion et le verrouillage de l'ordinateur lorsque l'économiseur d'écran s'exécute. Malheureusement, comme il gère les éléments de sécurité, Windows Logon et le processus winlogon.exe sont des cibles courantes pour les menaces.
Plusieurs virus de Troie, y compris Vundo, peuvent être cachés ou déguisés en winlogon.exe. L'emplacement habituel du fichier Winlogon.exe est C:\Windows\System32. Si vous le trouvez dans C:\Windows\WinSecurity, cela pourrait être malveillant. Une bonne indication que le processus a été piraté est une utilisation anormalement élevée de la mémoire.
Les virus et les logiciels malveillants ne se cachent pas seulement derrière les processus Windows. Voilà quelque d'autres façons dont les logiciels malveillants peuvent passer inaperçus et se cacher sur votre ordinateur.
4. Csrss.exe
Le sous-système d'exécution client/serveur, ou Csrss.exe, est un processus Windows essentiel. Bien qu'il ne soit pas aussi largement utilisé dans les versions modernes de Windows, il est toujours requis par le système et ne peut pas être désactivé.
Le Nimda. Le virus E est connu pour imiter le processus Csrss.exe, bien que ce ne soit pas la seule menace potentielle. Le fichier légitime doit se trouver dans le Système32 ou SysWOW64 Dossiers. Cliquez avec le bouton droit sur le processus Csrss.exe dans le Gestionnaire des tâches et choisissez Lieu de fichier ouvert. S'il se trouve ailleurs, il s'agit probablement d'un fichier malveillant.
5. Lsass.exe
lsass.exe est un processus essentiel responsable de la politique de sécurité sous Windows. Il vérifie le nom de connexion et le mot de passe, entre autres procédures de sécurité. Il est peu probable que le processus soit détourné. S'il ne fonctionne pas correctement, vous serez généralement automatiquement déconnecté de votre ordinateur. Mais les virus sont connus pour utiliser le nom de fichier pour se cacher.
Recherchez le fichier Lsass.exe dans C:\Windows\System32. C'est le seul endroit où vous devriez le trouver. Si vous le voyez à un autre endroit, tel que C:\Windows\système ou C:\Fichiers programme, agissez avec méfiance et analysez le fichier avec votre antivirus.
6. Services.exe
Le processus Services.exe est responsable du démarrage et de l'arrêt de divers services Windows essentiels. Comme les autres processus Windows de cette liste, les virus et les logiciels malveillants le ciblent car ils leur permettent de se cacher à la vue de tous.
Si le fichier est piraté, vous remarquerez peut-être des problèmes lors du démarrage et de l'arrêt de votre PC. Recherchez le vrai fichier Services.exe dans le Système32 dossier. S'il se trouve ailleurs, comme dans C:\Windows\État de la connexion, le fichier pourrait être un virus.
Les processus mentionnés ici sont essentiels au bon fonctionnement de Windows. Mais tous ne le sont pas, et de nombreux non essentiels les processus peuvent même être fermés pour améliorer les performances.
7. Spoolsv.exe
Le service de spouleur d'impression Windows, ou Spoolsv.exe, est une partie importante de l'interface d'impression. Il s'exécute en arrière-plan, attendant de gérer des choses comme la file d'attente d'impression si nécessaire. Le processus ne dépend pas de la connexion d'une imprimante, vous ne devriez donc pas être surpris de le voir dans le Gestionnaire des tâches.
Peut-être parce que Spoolsv.exe est facilement négligé, un virus peut prendre le nom pour se faire passer pour légitime. Le véritable fichier spools se trouve dans C:\Windows\System32. Le faux fichier apparaîtra souvent dans C:\Windows, ou dans un dossier de profil utilisateur.
Comment vérifier si un processus est légitime?
Le gestionnaire de tâches est votre ami lorsque vous recherchez une activité suspecte. Les processus infectés se comportent souvent de manière erratique, consommant plus de puissance CPU et de mémoire que d'habitude. Mais ce n'est pas toujours le cas, alors voici d'autres moyens de vérifier qu'un processus est légitime.
La plupart des processus essentiels répertoriés ici ne doivent apparaître que dans le dossier System32. Vous pouvez facilement vérifier l'emplacement d'un fichier suspect dans le Gestionnaire des tâches. Faites un clic droit sur le processus et sélectionnez Lieu de fichier ouvert. Vérifiez le chemin du dossier qui s'ouvre pour vous assurer que le fichier est au bon endroit.
Une autre façon de savoir si un fichier est légitime est de vérifier sa taille. La plupart des fichiers .exe de ces processus essentiels seront inférieurs à 200 Ko. Faites un clic droit sur le nom du processus dans le Gestionnaire des tâches, sélectionnez Propriétés et regarde la taille. S'il semble inhabituellement grand, examinez-le de plus près pour déterminer s'il est sûr.
Vous pouvez aussi vérifier le certificat du fichier EXE. Un fichier authentique aura un certificat de sécurité émis par Microsoft. Si vous voyez autre chose, il est probable qu'il soit malveillant.
La dernière chose à faire est d'analyser les fichiers suspects avec un antivirus à jour. Mettez en quarantaine et supprimez tous les fichiers signalés comme infectés. Heureusement, les versions modernes de Windows sont livrées avec Microsoft Defender intégré, alors apprenez comment analyser un seul fichier ou dossier avec Microsoft Defender pour vérifier tous les fichiers suspects que vous trouvez.
Les processus Windows qui pourraient cacher un virus
Une partie de la protection de votre PC Windows contre les logiciels malveillants et les virus consiste à savoir où ils se cachent. Parfois, un fichier malveillant se comporte bizarrement, utilisant trop de CPU et de mémoire. Mais pas toujours. Repérer un fichier suspect par d'autres moyens est donc une compétence utile.
