Processus Windows suspect : je le repère en 10 min chrono

Processus Windows suspect : je le repère en 10 min chrono

Tu ouvres le Gestionnaire des tâches, tu vois un nom chelou qui bouffe du CPU, et là... petit moment de solitude. Ça m'est arrivé plus d'une fois. La première fois, j'ai failli tuer un processus système vital (oui, j'ai appris à mes dépens). Depuis, j'ai une routine simple, rapide, et franchement efficace pour trier le "normal" du "ça sent le malware".

Le but ici, c'est pas de jouer au hacker pendant 2 heures. C'est de te donner une méthode qui tient en 10 minutes, montre en main, pour décider : je laisse, je surveille, ou je dégage.

Avant de commencer : un truc à savoir sur les "faux" processus

Tu sais ce que j'ai remarqué ? Les malwares adorent se déguiser. Ils reprennent souvent des noms quasi identiques à des vrais processus Windows : svchost.exe, explorer.exe, RuntimeBroker.exe... Sauf qu'ils vont rajouter une lettre, une faute, ou se planquer dans un dossier bizarre.

Du coup, le nom tout seul ne suffit jamais. Ce qui compte, c'est où le fichier est stocké, qui l'édite, et son comportement.

Ma méthode "10 min chrono" (celle que j'utilise vraiment)

Minute 1 : je repère le processus qui cloche

Tu l'as déjà probablement vu : CPU à 40%, disque à 100%, ou RAM qui grimpe sans raison. Ouvre le Gestionnaire des tâches (Ctrl + Maj + Échap). Si tu vois la version simplifiée, clique sur Plus de détails.

Perso, je commence par trier :

• Processeur (CPU) : idéal pour repérer les trucs qui moulinent sans raison
• Disque : pratique quand le PC rame et gratte en continu
• Réseau : top pour détecter un processus qui "parle" beaucoup trop

Un processus suspect, c'est souvent un truc qui se relance tout seul, ou qui consomme alors que tu ne fais rien. Et si ton PC chauffe en idle, franchement, ça mérite un check.

Minute 2 : j'ouvre l'emplacement du fichier (le test le plus révélateur)

Click droit sur le processus > Ouvrir l'emplacement du fichier. Ça, c'est mon raccourci préféré. En général, tu sais vite si c'est clean.

Quelques repères simples :

Normal : beaucoup de processus Windows légitimes se trouvent dans C:\Windows\System32 ou C:\Windows. Les applis installées, elles, sont souvent dans C:\Program Files ou C:\Program Files (x86).

Ça pue : si ton "svchost.exe" se balade dans C:\Users\TonNom\AppData\Roaming ou dans un dossier au nom random du style C:\Users\...\AppData\Local\Temp\fj39F\, je le mets direct dans la catégorie "suspect ++".

Minute 3 : je vérifie l'éditeur et la signature numérique

Dans le dossier ouvert, clique droit sur le fichier .exe > Propriétés. Va dans :

Détails : regarde le nom du produit, la société, la description. Un truc vide ou incohérent, ça arrive sur des logiciels normaux... mais sur un processus Windows censé être système, c'est louche.

Signatures numériques (si l'onglet existe) : un processus Microsoft legit est souvent signé. Si c'est "Microsoft Windows" et que la signature est valide, ça me rassure déjà beaucoup.

Attention : absence de signature ≠ malware automatique. Mais un "processus système" non signé, dans un dossier bizarre... là, ça commence à faire beaucoup.

Minute 4 : je regarde la ligne de commande (quand Windows veut bien la montrer)

Petit truc que peu de gens utilisent : dans le Gestionnaire des tâches, onglet Détails, tu peux ajouter la colonne Ligne de commande.

Pour ça : clic droit sur l'en-tête des colonnes > Sélectionner les colonnes > coche Ligne de commande.

Pourquoi c'est utile ? Parce que certains malwares lancent un exe avec des paramètres chelous, ou depuis un chemin planqué. Et parfois tu vois carrément un script PowerShell ou un truc du genre. Si tu vois une commande illisible, ultra longue, avec des caractères bizarres... je t'avoue que je deviens méfiant très vite.

Minutes 5-6 : je check la réputation en 30 secondes (sans installer 15 outils)

Bon, là je fais simple. Je copie le nom exact du fichier + éventuellement son chemin, et je cherche. Mais pas "au hasard" : je cherche le nom + éditeur + emplacement. Parce que "update.exe", tu vas en trouver 50 000.

Ensuite, quand j'ai un doute sérieux, je passe par VirusTotal. Le plus rapide :

1. Sur VirusTotal, je fais un scan du fichier (si je peux le récupérer facilement)
2. Sinon, je clique sur le fichier > Propriétés > je note le nom et je cherche si d'autres l'ont déjà soumis

Mon avis perso : si VirusTotal te sort 1 détection sur 70, je ne panique pas. Ça peut être un faux positif. Si tu as 15/70, là... bon, on va pas se mentir, tu tiens probablement un invité indésirable.

Minutes 7-8 : je surveille le comportement (CPU, réseau, relance)

Question simple : qu'est-ce qu'il fait, concrètement ?

Retourne dans le Gestionnaire des tâches et regarde :

Réseau : si ça envoie/recevait des données alors que tu ne fais rien, je note le nom du processus. Un navigateur, ok. Un "SystemHelperService.exe" inconnu, bof.

Relance automatique : tu le termines, et il revient en 3 secondes ? Classique des malwares (ou des services légitimes un peu collants). Ça mérite une vérif au démarrage.

Après avoir testé pas mal de cas, j'ai remarqué un schéma : les trucs vraiment suspects ont souvent un combo "dossier bizarre + nom générique + activité réseau". Quand tu as les trois, tu peux considérer que ce n'est pas juste un bug.

Minutes 9-10 : je vérifie le démarrage et je fais un scan Windows Defender

Va dans l'onglet Démarrage du Gestionnaire des tâches. Si tu vois ton processus (ou un nom associé) en "Activé" avec un éditeur inconnu, je le désactive le temps de comprendre. Pas besoin de tout casser tout de suite.

Ensuite je lance un scan avec la sécurité Windows :

Sécurité Windows > Protection contre les virus et menaces > Options d'analyse > je choisis :

Analyse complète si j'ai 20-30 minutes devant moi.

Analyse hors ligne Microsoft Defender si ça sent vraiment mauvais (processus qui revient, redirections, fenêtres bizarres). Franchement, c'est celle qui m'a déjà sauvé sur une machine qui "résistait" aux scans classiques.

Les signaux d'alerte qui me font agir tout de suite

Tu veux un raccourci mental ? Voilà les situations où je ne tergiverse pas :

• Le processus imite un nom Windows mais n'est pas dans C:\Windows\System32
• Éditeur inconnu + pas de signature + dossier Temp/AppData
• Activité réseau constante alors que tu ne fais rien
• Le processus se relance immédiatement après l'avoir terminé
• Ton navigateur change de moteur de recherche, ou tu as des pop-ups "sécurité" sortis de nulle part

Si tu coches deux ou trois cases, ne reste pas en mode "on verra demain". Les trucs qui traînent ont tendance à s'installer confortablement.

Ce que je fais si c'est vraiment suspect (sans tout casser)

Bon, imaginons : tu as un gros doute, voire une confirmation via VirusTotal. Perso, je procède calmement :

1) Je coupe le Wi‑Fi / Ethernet vite fait, histoire d'éviter que ça continue à communiquer.

2) Je note le chemin exact du fichier et son nom. Oui, même si tu vas le supprimer : ça aide à retrouver l'entrée de démarrage derrière.

3) Je tente une suppression "propre" après scan Defender. Si Defender ne peut pas, je passe en mode hors ligne.

Honnêtement, je préfère éviter les "nettoyeurs miracles" téléchargés au hasard. Le nombre de fois où ça rajoute une couche de crasse... Bref, je reste sur Defender + outils reconnus, et je fais simple.

Petit rappel : tous les processus bizarres ne sont pas des virus

Je te dis ça parce que je me suis fait avoir : un jour, j'ai vu un processus avec un nom incompréhensible, grosse conso CPU, et je l'ai pris pour un malware. En fait, c'était un composant d'un pilote audio mal fichu après une mise à jour Windows. Résultat : j'ai cassé un truc et j'ai perdu 30 minutes à réparer.

Du coup, ma règle : je ne supprime jamais juste parce que le nom est moche. Je vérifie le chemin, la signature, et le comportement. En 10 minutes, tu as déjà une conclusion solide.

Si tu veux, je t'aide à trancher

Si tu as un processus précis en tête, envoie-moi :

Le nom exact du processus + son emplacement (le chemin complet) + si possible une capture du Gestionnaire des tâches (onglet Processus ou Détails). Avec ça, je peux te dire rapidement si ça ressemble à un composant Windows normal, un logiciel tiers, ou un truc franchement louche.