ARK NETWORK reference.ch · populus.ch    
 
  
UN PEU DE SAVOIR 
 
 
Rubriques

Liens

 Home  | Album-Photo

Descriptif processus

Détail des processus windows que l'on trouve, en faisant CTRL ALT SUPPR 
 
 
 
 
wowexec - wowexec.exe 
 
Le processus wowexec.exe (wowexec signifiant Window On Window Execution) est un processus générique de Windows NT/2000/XP servant à fournir le support pour les anciennes applications Windows 16-bits. Le processus winlogon est lancé à partir du service NTVDM.  
Le processus wowexec n'est en aucun cas un Virus résident, un ver, un cheval de Troie, un spyware, ni un AdWare.  
Le processus wowexec est un processus système pouvant être arrêté.  
 
 
 
 
ntvdm - ntvdm.exe 
 
Le processus ntvdm.exe (Windows 16-bit Virtual Machine) est un processus générique de Windows NT/2000/XP visant à fournir un environnement 16-bit pour les anciennes applications 16 bits.  
Le processus ntvdm n'est en aucun cas un Virus résident, un ver, un cheval de Troie, un spyware, ni un AdWare.  
Il s'agit d'un processus système critique ne pouvant pas être arrêté. 
 
 
 
 
alg - alg.exe 
 
Le processus alg.exe (alg signifiant Application Layer Gateway) est un processus générique de Windows NT/2000/XP servant à fournir la prise en charge de protocole tiers pour le partage de connexion Internet et, le cas échéant, le pare-feu Internet.  
Le processus alg n'est en aucun cas un Virus résident, un ver, un cheval de Troie, un spyware, ni un AdWare.  
Il s'agit d'un processus système pouvant être arrêté. 
 
 
 
 
ctfmon - ctfmon.exe 
 
Le processus ctfmon.exe (dont le nom complet de processus est Alternative User Input Services) est un processus générique de Windows NT/2000/XP servant à gérer les entrées de saisie texte alternatives telles que les logiciels de reconnaissance de la voix (Speech recognition), les logiciels de reconnaissance d'écriture, les claviers braille ou toute alternative au clavier.  
Le processus ctfmon n'est en aucun cas un Virus résident, un ver, un cheval de Troie, un spyware, ni un AdWare.  
Le processus ctfmon est un processus système pouvant être arrêté.  
 
 
 
 
dllhost - dllhost.exe 
 
Le processus dllhost.exe (dllhost signifiant Distributed COM DLL Host Process) est un processus générique de Windows NT/2000/XP servant à gérer les librairies dynamiques (DLL) basées sur des objets COM.  
Le fichier correspondant à ce processus est normalement située dans le répertoire "stemRootystem32\dllhost.exe" (stemRoottant généralement C:\WINDOWS par défaut).  
Le processus dllhost n'est en aucun cas un Virus résident, un ver, un cheval de Troie, un spyware, ni un AdWare.  
Il s'agit d'un processus pouvant être arrêté. 
 
 
 
 
taskmgr - taskmgr.exe 
 
Le processus taskmgr.exe (taskmgr signifiant task Manager) est le gestionnaire des tâches de Windows lui-même. Il est donc systématiquement lancé à chaque fois que vous souhaitez voir les processus d'arrière-plan !  
Le processus taskmgr n'est en aucun cas un Virus résident, un ver, un cheval de Troie, un spyware, ni un AdWare.  
Il s'agit d'un processus pouvant être arrêté. 
 
 
 
 
svchost - svchost.exe 
 
Le processus svchost.exe (svchost signifiant Service Host Process) est un processus générique de Windows 2000/XP servant d'hôtes pour les autres processus dont le fonctionnement repose sur des librairies dynamiques (DLLs). Il existe ainsi autant d'entrées svchost qu'il y a de processus qui l'utilisent.  
L'utilitaire tlist.exe fourni sur le CD-ROM de Windows 2000/XP permet de lister les applications utilisant ce service grâce à la commande suivante :  
tlist -s 
Le service svchost original possède une faille de sécurité qu'il est impératif de corriger en mettant à jour le système avec le service WindowsUpdate.  
Il ne s'agit en aucun cas d'un Virus résident, d'un ver, d'un cheval de Troie, d'un spyware, ni d'un AdWare.  
 
 
 
 
explorer - explorer.exe 
 
Le processus explorer.exe est un processus générique de Windows NT/2000/XP. Il s'agit du processus gérant l'interface utilisateur (shell) ainsi que l'interface graphique de Windows (le bureau).  
Le processus explorer n'est en aucun cas un Virus résident, un ver, un cheval de Troie, un spyware, ni un AdWare.  
Il s'agit d'un processus système pouvant être arrêté. Afin de relancer le processus Explorer.exe et pouvoir à nouveau utiliser l'interface graphique il suffit de lancer le gestionnaire de programmes (CTRL ALT SUPPR), puis de sélectionner ouvrir et de saisir explorer.exe.  
 
 
 
 
spoolsv - spoolsv.exe 
 
Le processus spoolsv.exe (spoolsv signifiant Printer Spooler Service, en français spouleur d'impression) est un processus générique de Windows NT/2000/XP servant à mettre en mémoire (file d'attente) les travaux d'impression.  
Il ne s'agit en aucun cas d'un Virus résident, d'un ver, d'un cheval de Troie, d'un spyware, ni d'un AdWare.  
Il s'agit d'un processus pouvant être arrêté. 
 
 
 
 
msnmsgr - msnmsgr.exe 
 
Le processus msnmsgr.exe (msnmsgr signifiant Microsoft Network Messenger) est un processus correspondant au client de messagerie instantanée MSN Messenger.  
Il s'agit d'un processus applicatif pouvant être arrêté. 
 
 
 
 
isass - isass.exe 
 
La présence du processus isass.exe (isass) peut indiquer la présence du ver Sasser (W32.Sasser.Worm ou Win32/Sasser). 
 
 
Présentation du virus Sasser 
 
Apparu en mai 2004, le virus Sasser (connu également sous les noms W32/Sasser.worm, W32.Sasser.Worm, Worm.Win32.Sasser.a, Worm.Win32.Sasser.b ou Win32.Sasser) est un virus exploitant une faille du service LSASS (Local Security Authority Subsystem Service, correspondant à l'exécutable lsass.exe) de Windows. L'apparition du premier virus exploitant la faille du service LSASS de Windows a eu lieu à peine deux semaines après la publication de la faille et la mise à disposition des premiers correctifs. Les systèmes affectés sont les systèmes Windows NT 4.0, 2000, XP et en moindre proportion Windows Server 2003.  
 
Les actions du virus 
 
Le ver Sasser est programmé de telle façon à lancer 128 processus (1024 dans le cas de la variante SasserC) chargés de scanner une plage d'adresses IP aléatoire à la recherche de systèmes vulnérables à la faille LSASS sur le port 445/TCP.  
Le virus installe un serveur FTP sur le port 5554 afin de se rendre disponible en téléchargement aux autres ordinateurs infectés,  
Puis, lorsqu'une machine vulnérable est trouvée, le ver ouvre un shell distant sur la machine (sur le port TCP 9996), et force la machine distante à télécharger une copie du ver (nommée avserve.exe ou avserve2.exe pour la variante Sasser.B) dans le répertoire de Windows.  
Une fois le fichier téléchargé, il crée un fichier nommé win.log (ou win2.log pour la variante Sasser.B) dans le répertoire c:\ afin d'enregistrer le nombre de machines qu'il réussi à infecter. Puis il crée des entrées dans la base de registre afin de se relancer automatiquement à chaque redémarrage :  
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\avserve = avserve.exe 
ou  
HKLM\Software\Microsoft\Windows\CurrentVersion\Run 
avserve.exe -> C:\NDIRvserve.exe 
Le virus appelle la fonction "AbortSystemShutdown" afin d'empêcher le redémarrage (ou sa désactivation) par l'utilisateur ou par d'autres virus,  
 
Symptomes de l'infection 
 
L'exploitation de la vulnérabilité LSASS provoque un certain nombre de dysfonctionnements sur les systèmes affectés, liés à l'arrêt du service LSASS (processus lsass.exe). Les systèmes vulnérables présentent les symptomes suivants :  
Redémarrages intempestifs, le système affiche le message suivant :  
Arrêt du système initié par Autorite/System 
Le processus système: C:\WINDOWS\system32\Isass.exe 
s'est terminé de manière innatendue avec le code d'état 128  
Trafic réseau sur les ports TCP 445, 5554 et 9996,  
arrêt brutal de 'LSASS.EXE' avec une fenêtre d'erreur affichant :  
lsass.exe - application error 
 
Eradiquer le virus 
 
Pour éradiquer le ver Sasser, la meilleure méthode consiste en tout premier lieu à protéger le système en activant le pare-feu. Sous Windows XP il suffit d'aller dans  
Menu Démarrer > Panneau de configuration > Connexions réseau 
Cliquez ensuite avec le bouton droit sur la connexion reliée à Internet, puis cliquez sur Propriétés. Sélectionnez l'onglet "Paramètres avancés", puis cochez la case "Protéger mon ordinateur et le réseau en limitant ou interdisant l'accès à cet ordinateur à partir d'Internet, validez en cliquant sur OK.  
Il est ensuite indispensable de mettre à jour le système à l'aide du service Windows Update ou bien en mettant à jour votre système avec le patch suivant correspondant à votre système d'exploitation :  
Patchs correctifs pour Windows 2000/XP/2003  
vous pouvez enfin désinfecter le système à l'aide du kit de désinfection suivant :  
Télécharger le kit de désinfection  
D'autre part, dans la mesure où le virus se propage par l'intermédiaire du réseau, il est fortement conseillé d'installer un pare-feu personnel sur vos machines connectées à internet et de filtrer les ports tcp/445, tcp/5554 et tcp/9996. 
 
 
 
 
services - services.exe 
 
Le processus services.exe (Windows Service Controller) est un processus générique de Windows NT/2000/XP permettant de reconnaître et d'adapter les modifications matérielles du système sans intervention de l'utilisateur.  
Le processus services n'est en aucun cas un Virus résident, un ver, un cheval de Troie, un spyware, ni un AdWare.  
Il s'agit d'un processus système critique ne pouvant pas être arrêté. 
 
 
 
 
winlogon - winlogon.exe 
 
Le processus winlogon.exe (winlogon signifiant Windows LogOn Process, en français ouverture de session Windows) est un processus générique de Windows NT/2000/XP servant à gérer l'ouverture et la fermeture des sessions. Le processus WinLogOn est également actif lors de l'ouverture de la fenêtre de sécurité Windows (appelée en appuyant simultanément sur les touches CTRL ALT SUPPR).  
Le processus winlogon n'est en aucun cas un Virus résident, un ver, un cheval de Troie, un spyware, ni un AdWare.  
Il s'agit d'un processus système critique ne pouvant pas être arrêté. 
 
 
 
 
csrss - csrss.exe 
 
Le processus csrss.exe (csrss signifiant Client/Server Runtime Subsystem) est un processus générique de Windows NT/2000/XP servant à gérer les fenêtres et les éléments graphiques de Windows.  
Le processus CSRSS n'est en aucun cas un Virus résident, un ver, un cheval de Troie, un spyware, ni un AdWare.  
Il s'agit d'un processus système critique ne pouvant pas être arrêté. 
 
 
 
 
smss - smss.exe 
 
Le processus smss.exe (smss signifiant Session Management Subsystem) est un processus générique de Windows NT/2000/XP servant à créer, gérer et supprimer les sessions utilisateurs. Il s'agit du premier processus executé au démarrage en mode utilisateur.  
Le processus smss n'est en aucun cas un Virus résident, un ver, un cheval de Troie, un spyware, ni un AdWare.  
Il s'agit d'un processus système critique ne pouvant pas être arrêté par le gestionnaire des tâches.

 

(c) Cédric Rose - Créé à l'aide de Populus.
Modifié en dernier lieu le 13.02.2007
- Déjà 3950 visites sur ce site!