Discussion :

[Instruis moi]

Bonjour,

Je m'inquiète grandement de la présente d'un compte ou groupe appelé TrustedInstaller dans mon système. Ce groupe ou compte secret possède tous les droits d'un administrateur et à invalidé les autres comptes de toutes écritures/modifications possibles.

TrustedInstaller gére à distance depuis l'Internet des programme comme WmiPrvSE.exe ou unsecapp.exe que l'on trouve dans le windows\system32\wbem\

1) Est-il normal que ce compte, qui n'apparait que lorsque je clique sur un fichier pour affficher Propriétés onglet Sécurité, posséde plus de droits qu'un administrateur et empêche toute actions en écriture/modification/modification de droits pour tous les autres comptes y compris celui de l'administrateur du système ?

2) Quelle est la fonction de ce compte TrustedInstaller ? A quoi servent les processus WmiPrvSE.exe, unsecapp.exe ? Sont-ils vitaux pour le système ? Car ils ne sont apparus que ces derniers mois.

2) Pourrais t-il s'agir d'un malware déguisé en compte et/ou processus windows ?

3) Et-il possible de l'éradiquer de son système ? Si oui comment.

Merci de m'aider à comprendre cette situation d'humiliation des système Windows pour lequel je ne suis plus l'administrateur de mon ordinateur du fait que certains comptes ou processus gérent mon ordinateur depuis l'Internet désormais.

[JML19]

Bonjour

Il s'agit soit d'un problème de mise à jour soit d'un virus

[Shr3ck]

Le compte "TrustedInstaller" est un compte natif Windows. Il a vu le jour avec Windows Vista lors de l'amélioration de l'ACL.

1) Est-il normal que ce compte, qui n'apparait que lorsque je clique sur un fichier pour affficher Propriétés onglet Sécurité, posséde plus de droits qu'un administrateur et empêche toute actions en écriture/modification/modification de droits pour tous les autres comptes y compris celui de l'administrateur du système ?

Oui car ce compte est en fait un compte d'installation de confiance qui a été mis en place entre autre pour pouvoir garantir l'intégrité des fichiers systèmes. Il est le seul compte à avoir le contrôle total sur l'ensemble de ces fichiers (si je ne m'abuse l'ensemble du dossier "System32" est concerné).

2) Quelle est la fonction de ce compte TrustedInstaller ? A quoi servent les processus WmiPrvSE.exe, unsecapp.exe ? Sont-ils vitaux pour le système ? Car ils ne sont apparus que ces derniers mois.

Comme je viens de le signaler il permet de garantir l'intégrité du système et ainsi il empêche les utilisateurs non initiés de réaliser des modifications impactant le système d'exploitation. Ainsi, cela réduit les risques de détérioration du système par un utilisateur non averti ou par un programme tiers.

WmiPrvSE.exe : Est un provider WMI (Gestionnaire interne à Windows)
unsecapp.exe : Est lié à WMI, permet les réceptions asynchrones des clients WMI
Deux processus Windows (Pour le vérifier, saisir le nom dans le champ de recherche et passer la souris dessus, vous aurait l'information sur l'éditeur )

2) Pourrais t-il s'agir d'un malware déguisé en compte et/ou processus windows ?

Pour le vérifier :
- Démarrer
- Dans le champ de recherche saisir Comptes
- Cliquer sur Compte d'utilisateur si TrustedInstaller n'y ait pas, tout va bien

Pour les .exe :
- Démarrer
- Dans le champ de recherche saisir wmiprvse
- Faire clic droit propriété sur le .exe
- Si l'emplacement est C:\Windows\System32\wbem, tout va bien (La lettre du lecteur correspondant à celle ou l'OS est intallé)

3) Et-il possible de l'éradiquer de son système ? Si oui comment.

Cela va dépendre du résultat des deux manipulations

Merci de m'aider à comprendre cette situation d'humiliation des système Windows pour lequel je ne suis plus l'administrateur de mon ordinateur du fait que certains comptes ou processus gérent mon ordinateur depuis l'Internet désormais.

Pourquoi penses-tu que ton ordinateur est géré depuis l'extérieur ?

[JML19]

Ce compte peut être piraté par un virus et peut posé problème suite à une mise à jour

En condition normal il n'apparait que comme un service Windows Arrêté.

[BenjGe]

la présence de ce compte est normal dans windows
de même que la présence des services WMI.

Ne touchez à rien il ne faut pas éradiquer ce compte.

Même si le compte a retiré des droits à l'administrateur, l'administrateur a toute la liberté de les récupérer à sa guise, car l'administrateur a le pouvoir de changer le propriétaire d'un fichier. Et le propriétaire a le droit de modifier les ACL (droits sur un fichier).

[JML19]

Mais il faut quand même vérifier qu'il n'occupe pas 100% de la ressource processeur.

Ce compte est un compte de Windows, s'il pose la question c'est peut être qu'il a un problème avec.

Comme tous les services ce service peut être Désactivé pour résoudre des problèmes de Virus ou de mise à jour.

Mais si tout fonctionne bien, il ne faut pas y toucher.

[BenjGe]

je comprends votre raisonnement, mais Windows a besoin de ce service pour faire des installation et des maj. Si on le met à "désactivé" il y aura des bogues lors de MAJ.

EDIT: en fouillant j'ai trouvé le problème que vous mentionnez sur la consommation de cpu par ce service (suite à une mauvaise maj windows). Microsoft a publié un fixit pour ceux qui sont concernés:
http://support.microsoft.com/mats/windows_update/fr-fr

[Instruis moi]

Merci à tous pour vos réponses.

Quelques précisions :


Les fichiers :

TrustedInstaller.exe se trouve dans c:\windows\servicing\ taille 190 ko date 20-11-2010
WmiPrvSE.exe se trouve dans c:\windows\system32\wbem\ taille 364 ko date 20-11-2010
Unsecapp.exe se trouve dans c:\windows\system32\wbem\ taille 46 ko date 14-07-2009

Les processus :

TrustedInstaller lancé sous system
WmiPrvSE lancé sous Service Réseau
unseecapp lancé sous mon_nom_de_compte_utilisateur


Observations :

Au démarrage de windows sont lancés TrustedInstaller, WmiPrvSE et unseeapp. Ces programmes restent en mémoire tous le temps. Un svchost est lancé leur correspondant d'environ entre 230 et 250 ko.

Lorsque je force la suppression volontaire des processus persistant en mémoire :
TrustedInstaller il ne se relance pas
WmiPrvSE il se relance sans arrêt pire qu'un virus (il faut 4 à 5 suppression pour qu'il se calme)
unseecapp il ne se relance pas

Je précise que j'ai volontairement invalidé les mises-à-jour automatique de windows mais je fais une maj manuelle tous les jours.

J'ai également trop de svchost en mémoire limité à 2 Go à cause de la carte mère et de la DDR2.

[JML19]

Bonjour

Lorsque tu fais Ctrl + Alt + Suppr tu choisies Ouvrir le gestionnaire de tâche dans l'onglet Services comment est le service TrustedInstaller ?

[sevyc64]

Le processus TrustedInstaller sert entre-autre notamment à l'installation des mises à jours de Windows. C'est un composant interne de l'os.
Même si tu le tue, il se relancera automatiquement au minimum lors de l'installation d'une mise à jour. C'est inévitable, il est nécessaire à cette tache.
Si tu ne veux pas qu'il tourne en permanence, tu vas dans la console des services et tu le passe en démarrage manuel. Mais dès qu'il est lancé, il reste en mémoire jusqu'au prochain arrêt. Je te déconseille de le désactiver complètement, tu ne pourras plus installer de mises à jour, ou alors elles s'installeront pas correctement et créeront des dysfonctionnements

Les processus WmiPrvSE et Unsecapp fonctionnent de concert. Ils sont nécessaire au bon fonctionnement du système d'exploitation, les tuer n'est pas forcément une bonne idée.

WmiPrvSE est le WMI Provider Host, en gros l'hébergeur des services WMI que le système et le logiciels pourraient mettre en place. Unsecapp est, lui, le gestionnaire des callback, en gros pour faire simple, le central téléphonique des services WMI.
Si tu désactive l'un ou l'autre, tu pourras être confronté à des dysfonctionnements de divers logiciels et du système d’exploitation lui-même.

[stef1964]

bonjour,
j'ai un problème similaire à l’initiateur du fil

j'aimerais que unsecapp.exe ne se charge pas, juste pour voir.

je ne trouve pas la réponse dans les messages.

j'ai ce processus sur un pc, je ne l'ai sur aucun autre pc
je précise que le service trusted installer est toujours arrêté sur ce pc
je n'ai pas de service du nom de : unsecapp.exe
comment faire pour empêcher son chargement au démarrage ( juste pour tester)

merci

[sevyc64]

Ce n'est pas un service, c'est un logiciel chargé en mémoire de façon silencieuse par le système.

il se trouve dans C:\Windows\System32\wbem

[stef1964]

Ce n'est pas un service, c'est un logiciel chargé en mémoire de façon silencieuse par le système.

il se trouve dans C:\Windows\System32\wbem

ok, merci, je comprends mieux

mais est-il possible d’empêcher son chargement ?
(car quand j'aurais rebranché ce pc, je vais simplement tenter de renommer le fichier pour voir)

[sevyc64]

Aucune idée.

Par contre, il est possible que s'il n'est pas chargé, plusieurs composants du système fonctionnent mal ou pas.

[stef1964]

Aucune idée.

Par contre, il est possible que s'il n'est pas chargé, plusieurs composants du système fonctionnent mal ou pas.

ok , merci beaucoup !

[noob4ever]

Bonjour,

Je déterre un peu le sujet car je viens d'avoir un peu problème récemment et je me suis aussi posé la question pour unsecapp.exe
Pour ma part impossible de renommer (ou suppr) ce fichier même en mode sans échec.

Il semblerait que Avast, ou bien encore la dernière version de CCleaner utilisent unsecapp.exe et il est possible de désactiver le monitoring pour ne plus lancer "unsecapp.exe".

Source :
http://forum.piriform.com/?showtopic=41252

[BenjGe]

si tu lis bien le sujet tu verras que ce fichier est un composant important de windows et donc il ne faut pas le virer.....

[Christian24]

Bonjour,
Depuis plusieurs jours je me sens espionné.
En effet le voyant de ma webcam s'allume chaque fois que j'ouvre une nouvelle page avec Chrome. Je suis sous windows 8.1.
J'ai scanné le PC avec tous les anti-virus du monde (malwarebytes, spybot, avast, ccleaner, glary, ...) et rien n'y fait.
J'ai eu ma carte Visa piratée, certainement en relation avec cet espion.
Je soupçonne une version de unseccap.exe d'en être la cause.
J'ai 3 versions de unseccap qui font 40 ko et une version qui fait 8 ko.
Les versions 40 ko sont dans (C:\Windows\System32\wbem), (C:\Windows\WinSxS\x86_microsoft-windows-wmi-core_31bf3856ad364e35_6.3.9600.17415_none_4e4062783af8a1b9) et (C:\Windows\WinSxS\x86_microsoft-windows-wmi-core_31bf3856ad364e35_6.3.9600.16384_none_4df3c79c3b323531).
La version 8 ko est dans (C:\Windows\WinSxS\x86_microsoft-windows-wmi-core_31bf3856ad364e35_6.3.9600.17116_none_4e415d103af7c39b). Sa description ne contient rien, alors que la description des 3 autres est (Sink to receive asynchronous callbacks for WMI client application).
J'ai essayé de renommer le fichier 8 ko pour empêcher son chargement, mais je ne peux pas avoir la main dessus, les accès ne sont pas autorisés.
Voila, je crois que je vous ai tout dit. Savez-vous comment je peux neutraliser cette appli de 8 ko qui semble être la cause de mes ennuis ?
Cordialement,
Christian

[JML19]

Bonjour

Il faut te donner les droits sur ce fichier clic droit dessus Propriétés Onglet Sécurité.

[Christian24]

Bonjour

Il faut te donner les droits sur ce fichier clic droit dessus Propriétés Onglet Sécurité.

________________________________________________________________________________________________________________

Merci, mais je n'ai pas accès. Les cases à cocher sont grisées et non modifiables, elles sont gérées par l'utilisateur "TrustedInstaller" qui est verrouillé.
Les autres utilisateurs (Système et administrateur) n'ont pas la main.
C'est la même chose pour les applis 40 ko, elles sont aussi verrouillées par windows.