Bonjour à tous
 
J'ai un processus super étrange que je ne connais pas qui tourne sur mon PC depuis quelques temps.
J'ai eu beau chercher dans google, rien trouvé sur ce processus.
Petit détail, et je suis donc peut être à côté de la plaque, je suis en Windows Insider 1709 (17046.1000), c'est donc peut étre un nouveau process.
Autre information, je suis dans un domaine active directory sous Windows 2012 R2 full patché et assez sécurisé (Security Baseline de MS appliquée : https://blogs.technet.microsoft.com/secguide/).
 

 
Le process est impossible a killer : Accès refusé
 
J'ai lancé un psexec en compte Système (psexec -i -s cmd.exe).
Puis ensuite j'ai lancé un process explorer : procexp64.exe
 

 
Voila les informations que process explorer me donne sur ce processus bizarre soit pas grand chose (y'a même pas de foutu éditeur) :




A priori pas de requéte sur le web ni même sur la boucle locale.

Peu d'activité sur le PC
 
Bref :
1 - Est-ce que quelqu’un à ce processus sur son PC ?
2 - Que peux je faire d'autre pour avoir plus d'information ?
3 - Y'a t'il un moyen radical de tuer ce processus en outrepassant la sécurité Windows ?
 
Merci pour votre aide
 
PS : Je poste ça dans Sécurité parce que ça pue le virus mais c'est peut être moi qui suis un gros paranoïaque !

Symantec a besoin de nous pour alimenter sa base antivirale ?

Y a pas de description.
 
Path: [un périphérique ......], parce que PROCESS EXP lancé en tant que SYSTEME, qu'est ce que ça donne en tant qu'admin ?
Quel est le path ?  
 
Activer verify image signature et check virus total dans les options de PE.
Qu'est ce qu'il y a sous les colonnes (à ajouter) COMPANY NAME, VERIFIED SIGNER et VIRUS TOTAL.
 
Essaye de le désactiver au boot avec Autoruns de SYSINT.

c'est pas un process

Bonjour à tous
 
Désolé de ma réponse si tardive... Comme je suis parano bah j'ai réinstallé mon Windows...  
 
Mais j'ai trouvé ma réponse !
C'est un nouveau process Microsoft inclut dans les builds Insider !
 
Réponse ici :
https://blogs.windows.com/windowsex [...] -17063-pc/
 
 
Registry Process
 
In recent Insider Preview builds, you may have noticed a new process labelled “Registry” in Task Manager. The purpose of this process is similar to that of the memory compression store process in that it is a minimal process whose address space is used to hold data on behalf of the kernel. However, while the memory compression process is used to hold compressed pages, the registry process is used to hold registry hive data (e.g. HKEY_LOCAL_MACHINE\SOFTWARE, HKEY_CURRENT_USER).
 
Storing registry hive data in the registry process gives the registry access to more powerful memory management capabilities which will allow us to reduce the registry’s memory usage in the future.
 
Today’s Insider Preview build is the first to store hive data in the registry process and this is visible in Task Manager as increased memory usage by that process. Since this data was previously in kernel paged pool there is also a corresponding decrease in paged pool usage so overall there is no net change in hive data memory usage.
 
 
Figure 1: Example increase in Registry process memory usage (before/after).
 

 

 
 
Figure 2: Example decrease in Paged Pool (before/after).