Technologies expliquées simplement

11 Processus Windows Légitimes Qui Peuvent Ressembler à Des Malwares

Featured Img Top Windows Processes Look Like Malware

Les processus Windows jouent un rôle significatif dans le bon fonctionnement de votre PC ou de votre ordinateur portable. Certains, comme csrss.exe et winlogon.exe, sont si cruciaux que si vous décidez par erreur de les terminer, vous pourriez faire planter votre appareil. Les auteurs de malware profitent de cette criticité pour infecter des systèmes Windows sains. Le principe est que des virus, de l’adware, des spywares et des chevaux de Troie peuvent être étiquetés n’importe quoi - même nommés d’après des processus système Windows standards.

Voici quelques processus Windows 11 et 10 parmi les plus courants souvent confondus avec leur homonyme malveillant. Apprenez à repérer les fausses versions si elles apparaissent sur votre système.

Table des Matières

  • Comment Savoir Si Un Processus Windows Est Légitime
    1. Explorer.exe
    1. lsass.exe
    1. RuntimeBroker.exe
    1. Winlogon.exe
    1. Svchost.exe
    1. OfficeClickToRun.exe
    1. igfxem.exe
    1. Csrss.exe
    1. GoogleCrashHandler.exe
    1. Spoolsv.exe
    1. Gestionnaire de tâches
  • Résumé : Signes d’Alerte de Malware Ressemblant à des Processus Windows
  • Questions Fréquemment Posées

À lire aussi : Comment Formater un Disque en FAT32 sous Windows

Comment Savoir Si Un Processus Windows Est Légitime

Il existe deux façons de vérifier si un processus Windows est légitime ou une source de malware : via ses Propriétés d’Application et en utilisant des outils externes tels que CrowdInspect par CrowdStrike.

1. Vérification de la Légitimité d’un Processus Windows via Ses Propriétés

Tous les fichiers de processus Windows autorisés sont liés à la Microsoft Corporation, au développeur officiel de programmes/apps ou à un compte Microsoft intégré tel que TrustedInstaller.exe, qui gère des dossiers comme WindowsApps.

Pour déterminer si un processus Windows 11 ou 10 est légitime et non une source de malware, vous devez inspecter ses Propriétés d’Application. Allez dans l’onglet « Détails » et trouvez le propriétaire du droit d’auteur du processus. S’il s’agit de Microsoft, d’un développeur d’application ou de TrustedInstaller, vous êtes bon à aller.

Windows Processes Look Malware Application Properties Details Windows11

De plus, sur Windows 11/10, vous pouvez vérifier l’onglet « Signatures Numériques » des Propriétés d’un processus. Vous y trouverez les signatures numériques officielles avec les derniers horodatages, vous donnant une couche supplémentaire de sécurité.

Etant donné que la signature d’un pilote pour ces processus nécessite des autorisations standard de Microsoft (de plus, tout accès non autorisé à la racine de l’appareil est empêché par le démarrage sécurisé UEFI), il est désormais impossible pour les auteurs de malware de falsifier les signatures numériques sous Windows 11.

Windows Processes Look Malware Digital Signature Windows11

Du banal au critiques, tels que « services.exe » ou « svchost.exe », tous les processus Windows 11 sont signés numériquement avec des horodatages. À chaque mise à jour réussie de Windows, cette authentification est vérifiée à nouveau.

Windows Processes Look Malware Digital Signature Windows112

D’autre part, les Propriétés de Processus sous Windows 10 pourraient ne pas avoir l’onglet des Signatures Numériques. De plus, certains processus peuvent ne pas afficher correctement les informations de droit d’auteur.

Cependant, même sous Windows 10, des processus internes critiques comme Winlogon.exe affichent toujours ces informations. Vous pouvez vérifier l’authenticité du logiciel par d’autres moyens. De plus, si vous installez des pilotes non signés sous Windows 10 ou 11, ils ne montreront aucune signature numérique lors d’un redémarrage ultérieur.

Windows Processes Look Malware Application Propeties

À lire aussi : 11 Processus Windows Légitimes Qui Peuvent Ressembler à Des Malwares

2. Vérification de la Légitimité d’un Processus Windows en Utilisant CrowdInspect

Sous Windows 10 et Windows 11, vous pouvez vérifier l’authenticité d’un fichier de processus via une application logicielle externe : CrowdInspect par CrowdStrike. CrowdInspect est un outil d’inspection de processus en temps réel et basé sur l’hôte, qui scanne les malwares en arrière-plan en utilisant des moteurs de détection comme VirusTotal.

  1. Téléchargez le fichier ZIP de CrowdInspect depuis le lien officiel et cliquez sur le programme décompressé pour le lancer. Vous n’avez rien à installer.
  2. Acceptez un contrat de licence et procédez à l’écran où vous pouvez effectuer une analyse hybride de tous les processus en arrière-plan sur votre appareil Windows. Utilisez la clé API intégrée et cliquez sur « OK. »

Windows Processes Look Malware Crowdinspect Launch Windows11

  1. Attendez que CrowdInspect remplisse votre écran avec l’ensemble des programmes et processus en arrière-plan sur votre appareil Windows.

Vous pouvez vérifier l’état des programmes via des symboles de couleur. Tout élément qui est propre est indiqué par une icône verte. S’il y a des doutes, vous verrez des points d’interrogation à côté de l’icône. Pour les éléments présentant une menace de faible sévérité, il y a une icône jaune. Les éléments avec une menace de haute sévérité sont indiqués par une icône rouge. Vous ne verrez aucune icône jaune ou rouge si votre appareil est sain.

Windows Processes Look Malware Crowdinspect Green Processes Windows11

  1. Pour vérifier davantage qu’il n’y a pas de préoccupations de malware, faites un clic droit sur le processus et cliquez sur « Voir les résultats du test HA. » Vous ne devriez pas remarquer d’erreurs, une indication sûre que vous n’avez pas affaire à des malwares.

Windows Processes Look Malware Crowdinspect Zero Error

À lire aussi : Comment Programmer l’Arrêt et le Démarrage de Windows

Liste des Processus Windows 11/10 Courants Ressemblant à des Malwares

1. Explorer.exe

Le programme universel de l’Explorateur de fichiers Windows, explorer.exe, est facilement accessible depuis la barre des tâches et le bureau. Son principal but est d’agir comme un gestionnaire de fichiers pour tous les fichiers et dossiers de votre appareil Windows 11/10. En raison de son importance vitale, le programme explorer.exe est une cible favorite des attaquants.

Détection de Virus : le malware explorer.exe se présente généralement sous forme de chevaux de Troie, de ransomwares (surtout par email) et de fichiers Adobe Flash. Le programme légitime se trouve toujours dans « C:\Windows », et les doublons peuvent apparaître dans le lecteur D, les fichiers de programme, les dossiers cachés ou tout autre emplacement de PC.

Windows Processes Look Malware Explorerexe

Action : s’il y a deux à trois instances d’explorer.exe sur votre appareil, il n’y a pas de quoi s’inquiéter tant qu’elles ont toutes des signatures numériques valides et des emplacements valides. Lorsque plusieurs processus consomment le CPU, identifiez les faux dans CrowdInspect, puis faites un clic droit pour « tuer le processus. »

2. lsass.exe

lsass.exe signifie Local Security Authority Subsystem Service, qui fonctionne en arrière-plan de l’authentification utilisateur Windows. En dehors des malwares, vous ne devez pas terminer les processus originaux, car cela entraînera la perte d’accès de votre système aux comptes Admin et locaux, nécessitant un redémarrage de l’appareil.

Détection de Virus : un moyen courant pour les auteurs de malware de déguiser lsass est de remplacer le « l » minuscule par un « i » en majuscule, ou un « L » majuscule. Faites attention à toutes les fautes d’orthographe intentionnelles. De plus, toute signature numérique invalide et des fichiers situés en dehors du dossier « C:\Windows\System32 » sont un indice évident.

Windows Processes Look Malware Lsassexe

Action : terminez les processus lsass faux depuis le gestionnaire de tâches. Si vous n’êtes pas sûr s’il s’agit d’un « l » ou d’un « i », faites de même depuis CrowdInspect. Plusieurs instances lsass valides sont acceptables et ne doivent pas être touchées.

3. RuntimeBroker.exe

RuntimeBroker.exe est un processus Microsoft sûr dont le rôle est de gérer les autorisations pour toutes les applications téléchargées depuis le Microsoft Store. Il vérifie l’authenticité des programmes tels que l’application Photos. Si une application ne devrait pas être sur votre appareil Windows, Runtime Broker vous alerte en consommant beaucoup de mémoire supplémentaire.

Détection de Virus : si votre appareil Windows est infecté par le virus RuntimeBroker.exe, vous verrez sa présence dans d’autres emplacements PC en dehors de « C:\Windows\System32 ». Comme le programme n’est pas légitime, les fuites de mémoire vont exploser, alourdissant votre CPU. Vous remarquerez également une signature numérique invalide pour les instances fausses.

Windows Processes Look Malware Runtimebrokerexe

Action : ouvrez le gestionnaire de tâches. Cliquez sur plusieurs instances valides de Runtime Broker et cliquez sur « Fin de tâche. » Cela mettra fin à tout problème avec une application donnée. Pour les entrées bogus RuntimeBroker.exe, terminez-les depuis CrowdInspect.

4. Winlogon.exe

En ce qui concerne les processus d’arrière-plan Windows, il n’y a rien de plus important que winlogon.exe. Il gouverne non seulement le processus de connexion, mais il charge également les profils utilisateur, contrôle l’économiseur d’écran et se connecte à de nombreux réseaux. Il est situé dans « C:\Windows\System32. »

Détection de Virus : généralement un outil d’espionnage ou de keylogger, winlogon.exe est un malware très dangereux qui peut provoquer des plantages de système, ce qui est facile à reconnaître. Si vous avez Windows Defender activé, il vous avertira de supprimer immédiatement le fichier et de mettre fin à tous les vecteurs utilisés (email, navigateur web).

Windows Processes Look Malware Winlogonexe

Action : l’exécutable winlogon.exe sûr ne doit pas avoir plus d’une instance dans CrowdInspect. Les autres instances fausses doivent être supprimées à leur arrivée en suivant les suggestions de Windows Defender.

5. Svchost.exe

Svchost.exe fait référence à « service host » de Windows, un processus de service partagé qui sert de shell pour charger divers services Windows. En fonction du nombre d’applications ouvertes, il y a généralement de nombreuses instances de svchost.exe qui fonctionnent comme des processus individuels.

Détection de Virus : vous rencontrerez un épisode de malware svchost.exe lorsque vous trouverez un dossier ou programme protégé bloqué par un processus dupliqué ou avec des variantes d’orthographe telles que « svhosts.exe. » Il s’agit principalement d’outils de ransomware ou de fraude bancaire. Leurs vecteurs sources incluent des fichiers PDF, des fichiers ZIP et JavaScript.

Windows Processes Look Malware Svchostexe

Action : ces chevaux de Troie représentent généralement une menace de faible niveau, mais devraient être supprimés dès que possible. Les outils antivirus standard et Windows Defender sont équipés pour supprimer toute instance de service host non trouvée dans « C:\Windows\System32 ».

À lire aussi : Problèmes de Dernière Mise à Jour de Windows et Comment les Résoudre

6. OfficeClickToRun.exe

Si vous avez utilisé des outils Office – comme Word, Excel ou PowerPoint – vous êtes tombé sur un exécutable appelé OfficeClickToRun.exe. Son rôle est d’exécuter les dernières versions de Microsoft Office sur votre appareil et de gérer les mises à jour. Même lorsqu’il n’est pas un malware, OfficeClickToRun.exe peut être gourmand en mémoire sur votre CPU. Cependant, si vous supprimez périodiquement les fichiers temporaires, c’est beaucoup moins contraignant.

Détection de Virus : l’exécutable est-il présent dans un autre emplacement en dehors du dossier Program Files dans Microsoft Shared ? Le fichier supplémentaire est malsain pour votre système. De plus, votre appareil Windows ne devrait avoir qu’une seule instance de OfficeClickToRun.exe en cours d’exécution. Vérifiez les signatures numériques pour les autres.

Windows Processes Look Malware Officeclicktorunjpg

Action : bien qu’il ne soit pas nuisible en soi, les instances fausses de OfficeClickToRun.exe peuvent obstruer la mémoire de votre système. Elles proviennent généralement de fichiers et documents infectés, qui devraient être promptement supprimés.

7. igfxem.exe

igfxEM.exe est un processus de fond peu connu qui est crucial pour gérer la carte graphique Intel et est donc très important pour l’affichage de la carte vidéo. Il est préinstallé sur votre appareil et doit être laissé intact, car il ne surcharge pas le système du tout.

Détection de Virus : si vous avez plusieurs instances de igfxEM (et ses fautes d’orthographe comme montré), vérifiez ses signatures numériques. Si cela indique Intel et Microsoft, il n’y a pas de malware. Sinon, vous n’avez pas un fichier igfxEM authentique, et ce processus doit être supprimé.

Windows Processes Look Malware Igfxemn

Action : aucune action ne doit être entreprise si vous avez des signatures numériques valides – même avec plusieurs instances Intel. Si votre carte graphique Intel d’origine semble corrompue, essayez de réinstaller le pilote depuis « devmgmt.msc », Gestion de l’Appareil, dans le menu Démarrer.

8. Csrss.exe

Csrss.exe signifie Client Server Runtime Subsystem, un processus utilisateur légitime destiné à gérer les activités graphiques de Windows, telles que l’arrêt de l’interface utilisateur et les services de console système. Il est souvent confondu avec du malware. Le terminer peut être fatal pour votre système, conduisant à un arrêt assuré.

Détection de Virus : Comme d’autres programmes dans « C:\Windows\System32 », csrss.exe reste tranquillement en arrière-plan, et vous ne trouverez qu’une ou deux instances dans CrowdInspect. Tout fichier suspect aura des signatures numériques invalides et des Détails de Droits d’Auteur manquants.

Windows Processes Look Malware Csrssjpg

Action : csrss.exe est souvent utilisé par des entreprises de logiciels de sécurité trompeuses et des arnaqueurs techniques comme « preuve » qu’un appareil est infecté. Ce n’est pas du vrai malware, alors vous ne devez jamais terminer le processus existant à cause de mauvais conseils techniques.

À lire aussi : Comment Réinstaller DirectX sous Windows

9. GoogleCrashHandler.exe

Si vous avez des programmes Google sur votre appareil Windows, y compris Google Chrome, vous trouverez un exécutable appelé GoogleCrashHandler.exe, faisant partie des mises à jour Google. Ce n’est pas un élément critique de Windows et peut être supprimé en toute sécurité et facilement, mais ce n’est pas toujours un malware non plus.

Détection de Virus : si la signature numérique de Google CrashHandler.exe est invalide, c’est-à-dire qu’elle n’a pas été signée par Google, alors nous regardons un signe possible d’infection par spyware ou rootkit, car le processus normal est sûr.

Windows Processes Look Malware Google Crash Handler

Action : supprimez toutes les instances de GoogleCrashHandler.exe de votre gestionnaire de tâches même si ce n’est pas toujours un malware. Vous ne voulez pas alourdir le CPU inutilement à moins que vous ne vouliez envoyer des rapports d’incidents à Google.

10. Spoolsv.exe

Spoolsv.exe est un processus Windows authentique, intégré au service Spouleur d’Impression, qui traduit les polices et les graphiques en matériel d’impression et à toutes les imprimantes virtuelles. C’est un processus Windows central qui existe depuis le tout début de MS-DOS. Terminer toute entrée valable de spoolsv.exe entraînera un échec de machine et un redémarrage du système.

Détection de Virus : bien qu’il ressemble à certains malwares, spoolsv.exe est un processus Windows légitime sûr. Tout processus supplémentaire manquera de signatures numériques de Microsoft. Si des auteurs de malware utilisent un nom similaire pour cibler votre système, Windows Defender devrait vous en alerter.

Windows Processes Look Malware Spoolsv

Action : aucune action ne doit être entreprise si le processus spoolsv.exe a été validé par une signature numérique de Microsoft. Sinon, allez dans le gestionnaire de tâches pour terminer le processus.

11. Gestionnaire de tâches

Le Gestionnaire de tâches Windows (taskmgr.exe) est un programme très important qui contrôle tous les processus de base de Windows ainsi que les applications. Fermer ce programme essentiel et ses dérivés, tels que taskhostw.exe, peut être fatal pour votre système, et les auteurs de malware en sont conscients.

Détection de Virus : Si vous avez l’impression qu’un programme lié au gestionnaire de tâches ne se comporte pas correctement, vérifiez son emplacement de fichier, qui devrait être dans « C:\Windows\System32. » Redémarrez votre appareil pour voir si le problème a disparu. Si l’instance suspecte du gestionnaire de tâches persiste, nous regardons un potentiel malware. Un autre signe est sa signature numérique qui serait invalide.

Windows Processes Look Malware Taskmgr

Action : tout exécutable de type « gestionnaire de tâches » infecté par un malware peut être identifié et terminé depuis le gestionnaire de tâches lui-même. Si, cependant, vous rencontrez une erreur TaskSchedulerHelper.dll sous Windows 10, prenez des mesures correctives comme indiqué.

Résumé : Signes d’Alerte de Malware Ressemblant à des Processus Windows

Voici un rapide résumé de la manière de gérer tout processus suspect ressemblant à des processus système Windows standards. Vous pourriez avoir affaire à un malware ou non, mais il est important de garder un œil sur ces signes d’alerte.

  • Vérifiez les Détails des Propriétés de l’Application pour un droit d’auteur correct : chaque programme dans Windows 11 et Windows 10 a un emplacement de fichier. De là, vous pouvez accéder aux « Détails » dans l’onglet Propriétés. Assurez-vous que le droit d’auteur appartient à Windows, TrustedInstaller ou à des propriétaires de processus légitimes tels que Google, Intel, NVIDIA, etc. Sinon, nous regardons une source potentielle de malware qui devrait être supprimée du système.
  • Vérifiez l’utilisation du CPU des programmes de Processus Windows : il est normal que l’utilisation du CPU de Windows augmente lorsque plusieurs systèmes fonctionnent ensemble. Cependant, de nombreuses instances du même programme ralentissant le système sont préoccupantes. Les programmes inutiles devraient être identifiés et arrêtés immédiatement.
  • Vérifiez les processus Windows suspects pour des signatures numériques : c’est la manière la plus importante et la plus simple de valider l’authenticité d’un processus. Si la signature numérique d’un processus est invalide et ne provient pas de sources fiables, il y a de fortes chances qu’il s’agisse d’un malware.
  • Vérifiez l’emplacement de fichier des processus suspects : la plupart des processus de fichiers Windows ont un emplacement bien défini sur votre PC. Il peut s’agir de « C:\Windows\System32 », des fichiers de programme ou d’un autre emplacement bien défini. Vous ne devriez pas trouver des instances de ce processus dans d’autres zones, comme le lecteur D, car cela indique une chance de malware.

À lire aussi : Comment Configurer OpenVPN sous Windows

Questions Fréquemment Posées

1. Que faire si un certain processus Windows est en effet nuisible ?

Aucun processus Windows légitime ne peut nuire à votre système. Cependant, s’il y a des instances dupliquées de tels processus contenant des malwares, allez sur CrowdInspect, faites un clic droit sur ce processus, et cliquez sur « Tuer le Processus. » Si vous avez Windows Defender activé, il s’occupera de telles instances de malware. Lisez également pour savoir pourquoi Windows Defender est le seul antivirus dont vous avez besoin.

Windows Processes Look Malware Crowdinspect Kill Process Windows11

2. Que se passe-t-il lorsque vous terminez un processus Windows valide et comment en récupérer ?

Si vous terminez accidentellement un processus Windows valide, les conséquences dépendront de l’importance du processus pour votre système. Si c’est un processus logiciel non critique, il n’y aura aucun impact sur un appareil Windows.

Pour des processus à fort impact tels que winlogon.exe et csrss.exe, Windows dispose d’un mécanisme intégré pour empêcher leur terminaison accidentelle. Cependant, si vous insistez et essayez de terminer le système depuis le gestionnaire de tâches, votre appareil s’éteindra de lui-même, nécessitant un redémarrage. Dans le pire des cas, cela peut entraîner une panne complète et des dommages permanents en raison d’un crash.

Contenu

  1. Comment Savoir Si Un Processus Windows Est Légitime
  2. 1. Vérification de la Légitimité d'un Processus Windows via Ses Propriétés
  3. 2. Vérification de la Légitimité d'un Processus Windows en Utilisant CrowdInspect
  4. Liste des Processus Windows 11/10 Courants Ressemblant à des Malwares
  5. 1. Explorer.exe
  6. 2. lsass.exe
  7. 3. RuntimeBroker.exe
  8. 4. Winlogon.exe
  9. 5. Svchost.exe
  10. 6. OfficeClickToRun.exe
  11. 7. igfxem.exe
  12. 8. Csrss.exe
  13. 9. GoogleCrashHandler.exe
  14. 10. Spoolsv.exe
  15. 11. Gestionnaire de tâches
  16. Résumé : Signes d'Alerte de Malware Ressemblant à des Processus Windows
  17. Questions Fréquemment Posées
  18. 1. Que faire si un certain processus Windows est en effet nuisible ?
  19. 2. Que se passe-t-il lorsque vous terminez un processus Windows valide et comment en récupérer ?
Tableau de bord Ello

Ello : Exploration du Réseau Social Privé

Bitdefender n'installant pas : 3 solutions faciles que vous pouvez utiliser

Plus d'informations sur les corrections de Bitdefender

Google supprime Inbox et lui donne six mois à vivre

rapports-d-aspect-16x9

Comprendre les rapports d'aspect vidéo

Gestionnaire de fichiers avec des étiquettes pour organiser vos fichiers : Top 5

Réparer le réveil sur LAN qui ne fonctionne pas

Wake On LAN ne fonctionne pas sur Windows [Résolu]

easycap-mac-mspacman-console

Utiliser EasyCAP pour capturer des VHS et des consoles sur Mac

Google teste une nouvelle fonctionnalité Chrome pour l'éligibilité à la mise à niveau vers Windows 11