Comprendre les processus Windows NT/2000/XP

16 novembre, 2007 | COMPRENDRE | Pas encore de commentaires.

xp.jpgComment ça marche windows ? Pourquoi mon ordinateur rame ? Qu'est-ce que c'est que ce truc qui vient de planter ? Parfois (et même souvent) Windows est un monde impitoyable voir incompréhensible. La liste de processus qui suit vous aidera peut-être à mieux comprendre ce qui se trame au plus profond de votre ordi.
Pour accéder à la liste des processus tournant sur votre PC, pressez simplement les touches Ctrl+Alt+Sup, puis choisissez l'onglet “Processus”

Alg.exe (Application Layer Gateway Service) process de base de windows
Utilisé pour le partage de connection internet. Nécessaire en cas d'utilisation d'un firewall.

Agentsvr.exe (Microsoft Agent Server) process de base de windows
Ce processus est un processus générique de Windows NT/2000/XP fournissant un contrôle ActiveX destiné aux développeurs pour ajouter des éléments multimédias aux applications qu'ils développent. Ce process peut être arrété à partir du gestionnaire des tâches.

avserve.exe (W32.Sasser.Worm)
Ce processus est utilisé par le virus Sasser. Celui-ci se répand via le réseau (local ou internet) sur les machines Windows non mises à jour. Il ouvre des ports, tente d'infecter d'autres machines et redémarre la machine automatiquement. À supprimer impérativement.

backweb.exe (Spyware Backweb)
Ce processus backweb.exe (backweb) indique la présence du spyware backWeb. Il ne faut pas le confondre avec backweb-8876480 (backweb-8876480.exe), qui est un utilitaire de Logitech permettant de mettre à jour les pilotes des périphériques Logitech. À supprimer impérativement.

Csrss.exe (Client Server Runtime Process) process de base de windows
Il s'agit de la portion dite de mode utilisateur du sous-système Win32. Csrss signifie client server run-time subsystem est reste un sous-système essentiel qui doit fonctionner en permanence. Csrss gère les applications consoles, la créations et la destruction de threads et quelques parties de l'environnement 16 bits virtuel MS-DOS.

Ctfmon.exe (CTF Loader) process de base de windows
ce processus appartient à Windows XP / Office XP et fournit le “Alternate User Text Input Processor” (TIP) et la barre de language de Microsoft Office. Si vous voulez obtenir quelques ressources en plus, essayez de neutraliser ce processus.

Dllhost.exe (Microsoft DCOM DLL Host Process) process de base de windows
Il fait partie intégrante de Microsoft Windows. Il gère toutes les DLL utilisées par les applications. Ce process peut être arrété à partir du gestionnaire des tâches.

Explorer.exe process de base de windows
Il s'agit de l'interface utilisateur, celle qui nous présente le bureau de Windows, la barre des tâches etc… Ce processus n'est pas vital pour le système d'exploitation; il peut être arrêté et relançé à partir du gestionnaire des tâche (ouvrir puis spécifier explorer.exe).

Helpctr.exe (Microsoft Help and Support Center) process de base de windows
Ce processus est un processus générique de Windows NT/2000/XP chargé en arrière-plan lorsque vous accéder à l'aide de Windows. Ce process peut être arrété à partir du gestionnaire des tâches.

Internat.exe process de base de windows
Internat.exe fonctionne au démarrage. Il charge les différents paramètres locaux d'entrée spécifiés par l'utilisateur. Les paramètres sont pris à partir de la clé de registre suivante : HKEY_USERS\.DEFAULT\Keyboard Layout\Preload
Internat.exe charge l'icône “FR” dans le systray, ce qui permet de changer facilement entre différents paramètres régionaux. Cette icône disparait lorsque le process est arrêté mais les paramètres peuvent toujours être changés via le panneau de configuration.

iTouch.exe
C'est le process des pilotes de claviers sans fils iTouch. Crée une icone dans le System tray de windows qui lance un logiciel de Logitech pour la configuration du clavier. Ce logiciel peut également être lancé à partir du menu démarrer. Nécessaire aux utilisateurs des claviers Logitech.
Pour empêcher le lancement de ce processus, il faut supprimer la clé de registre contenue dans :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
et qui a pour valeur :
C:\Program Files\Logitech\iTouch\iTouch.exe

jusched.exe (Java Update Scheduler)
Ce processus correspond au programme de mise à jour du client Java de Sun MicroSystems. Ce process peut être arrété à partir du gestionnaire des tâches.

Lsass.exe process de base de windows
Il s'agit du serveur local d'authentification de sécurité, il génère le processus responsable de l'authentification des utilisateurs par le service Winlogon. Ce processus est permis par l'utilisation de packages d'authentifications comme msgina.dll. Si l'authentification est réussie, Lsass génère le jeton d'accès de l'utilisateur qui est utilisé pour lancer le shell initial. D'autres processus que l'utilisateur peut lancer vont hériter de ce jeton.

mssearchnet.exe
Aussi connu sous le nom de Generic Downloader.aa, ce trojan (Cheval de Troie) peut télécharger sur votre ordinateur des virus. À supprimer impérativement.

Mstask.exe process de base de windows
Il s'agit du service de planification de taches, responsable de lancer des tâches à un instant determiné par l'utilisateur. Ce process ne peut être arrété à partir du gestionnaire des tâches.

NeroCheck.exe
ce process surveille le nerocd2k.sys de Nero 5.5 ou supérieur. Cette doit empêcher les conflits avec d'autres programme de gravure.
Pour empêcher le lancement de ce processus, il faut supprimer la clé de registre contenue dans :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
et qui a pour valeur :
C:\WINDOWS\System32\NeroCheck.exe

Qttask.exe (Quick Time Tray Icon)
Permet de démarrer Quicktime à partir du System Tray (barre d'incones en bas à droite de la barre de tâches). Je vous conseille d'arrêter ce process qui est inutile.
Pour empêcher le lancement de ce processus, il faut supprimer la clé de registre contenue dans :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
et qui a pour valeur :
“C:\Program Files\QuickTime\qttask.exe” -atboottime

Realsched.exe (RealNetworks Scheduler)
Processus de mise-à-jour de RealPlayer. C'est un processus qui bouffe votre mémoire : vous pouvez l'arrêter.
Installé par RealOne, il est recréé et mise-à-jour quand RealOne est lancé même si vous essayez de le supprimer.
Pour empêcher le lancement de ce processus, il faut supprimer la clé de registre contenue dans :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
et qui a pour valeur :
C:\Program Files\Common Files\Real\Update_OB\evntsvc.exe -osboot

Services.exe (Services Control Manager) process de base de windows
Il s'agit du Service Control Manager (gestionnaire de contrôle des services) qui est responsable du démarrage, de l'arrêt et de l'interaction avec les services système.

Smss.exe (Windows NT Session Manager) process de base de windows
Il s'agit du sous-système de gestion de session (session manager subsystem) qui est responsable de démarrer la session utilisateur.
Ce processus est initié par la thread système est est responsable de différentes activités dont le lancement des process Winlogon et Win32 (csrss.exe) et du positionnement des variables système. Après qu'il ait lancé ces processus, il attend que Winlogon ou Csrss se termine. Si cela se produit normalement, le système s'arrête.

Soundman.exe (Avance Sound Effect Manager)
Avance Sound Effect Control Panel: appartient aux pilotes (driver) de carte son Avance Logic et également dans des PDA Acer ou ECS.
Cet Outil est fait pour donner un accès facile aux paramètres du son. Arrêter ce process n'a aucun effet négatif… Il est lancé par la clé de registre : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run télécharger le driver (notamment les AC'97 Audio CODECs) sur le site de realtek : http://www.avance.com/

Spoolss.exe (Printer Spooler Subsystem) process de base de windows
Le sous-ensemble du spooler d'imprimante windows despolle les données à imprimer du disque à l'imprimante.

Spoolsv.exe (spooler service) process de base de windows
Le service spooler est responsable de la gestion des travaux d'impression et de fax. Ce process ne peut être arrété à partir du gestionnaire des tâches.

Svchost.exe (servicehost) process de base de windows
Il s'agit d'un process générique, il fonctionne en tant qu'hôte pour d'autres process tournant à partir de Dlls, il peut y avoir plusieurs entrées pour ce processus. Afin de voir les processus qui utilisent svchost.exe, il faut utiliser tlist.exe à partir du cd-rom de windows 2000 (tlist -s).

taskbaricon.exe
Le processus taskbaricon.exe (taskbaricon signifiant TaskBar Icon) est un processus correspondant à l'icône de la barre des tâches du fournisseur d'accès à Internet Wanadoo. Ce process peut être arrété à partir du gestionnaire des tâches.

Taskmgr.exe process de base de windows
C'est le processus pour le gestionnaire des tâches lui même.

Winlogon.exe process de base de windows
Il s'agit du processus responsable de gérer l'ouverture et la fermeture de session. Par ailleurs, Winlongon est actif uniquement lorsque l'utilisateur appuie sur CTRL+ALT+DEL, à ce moment il affiche la boite de sécurité.

Winmgmt.exe process de base de windows
Winmgmt.exe est un composant noyau de la gestion des clients sous Windows 2000. Ce processus s'initialise lorsque la première application cliente se connecte. Winmgmt.exe correspond au service WMI qui permet de monotorer par exemple des ressources sur la machine (mémoire, disque …).


Archives pour la catégorie COMPRENDRE

Bien connaitre les menaces du net !

Posté dans 14 avril, 2007 dans COMPRENDRE. Pas encore de commentaires

 Virus

Programme malveillant capable de se propager pour infecter d'autres ordinateurs.

Trojan

Logiciel malveillant installé à l'insu de l'utilisateur et qui profite de sa présence sur la machine pour contourner le pare-feu et ouvrir aux pirates une porte dérobée.

Worm
Virus qui se propage par Internet et principalement par e-mail.

Rootkit

Petit programme capable de se dissimuler et de rendre indétectable ses activités malveillantes (vol de données personnelles, faire du PC infecté une machine à spam, etc.).

Spam

Courrier indésirable à caractère commercial envoyé en masse par des sociétés proposant en réalité des produits factices ou illicites.

Phishing

Technique consistant à diriger l'utilisateur (généralement à partir d'un e-mail) vers une copie factice d'un site (banque, e-commerce, etc.) pour lui dérober ses informations de connexion ou ses coordonnées bancaires.