Comment supprimer un fichier insupprimable

Bien souvent, lorsque l’ordinateur est infecté, il est impossible de supprimer le fichier malicieux car celui-ci est verrouille étant en cours d’exécution.
Pour rappel, s’il s’agit un programme, privilégiez la désinstallation de ce dernier depuis le Panneau de configuration > Programmes et fonctionnalités : Désinstaller des programmes sur Windows
Si le programme n’est pas présent, allez dans le dossier de ce dernier (souvent un sous-dossier de Program Files), vérifiez si un fichier uninstall.exe ou uninst.exe est présent.
Dans le cas des antivirus, vérifiez si un programme de suppression n’est pas fournit par l’éditeur, reportez-vous à la page : Suppression d’antivirus
Ici nous allons plutôt nous intéresser au Trojan Bedep qui se charge dans l’explorateur de fichier explorer.exe
Lorsque l’on tente de supprimer ce dernier, on obtient le message « Cette action ne peut pas être réalisée car le fichier est ouvert dans Explorateur Windows »

fichier_insupprimable_fichier_ouvert_explorateur_fichiers

J’ai fait une vidéo qui récapitule trois méthodes différentes (oui il existe d’autres programmes qui permettent de supprimer des fichiers comme unlocker).

  • Première méthode avec FRST, qui consiste à effectuer un « fix » sur le fichier en question.
  • Deuxième méthode avec GMER qui permet de tuer n’importe quel fichier.
  • Troisième et dernière méthode avec Process Explorer, le but étant de tuer le processus explorer.exe afin que la DLL insuprimable ne soit plus active.

A propos de Process Explorer, il existe une ancienne page Process Explorer : Exemple d’utilisation avancée qui explique comment supprimer une DLL de l’infection Vundo/Virtumonde (plus active de nos jours).
Celle-ci se chargeait dans le processus système winlogon.exe à partir d’une clef notify.
Le principe est un peu le même que dans la vidéo, à savoir, repérer le DLL, tenter de fermer le handle/thread afin de la rendre inactive et supprimer celle-ci du disque.

Comprenez bien ici qu’il s’agit d’une DLL qui se charge dans explorateur.exe ce qui est relativement courant.
Les méthodes ne fonctionnent pas avec des malwares de type rootkit, notamment avec les drivers Windows (fichiers .sys), comme par exemple bsdriver et cherimoya.
Quoique la méthode GMER peut fonctionner mais dans tous les cas Malwarebytes Anti-Malware se charge de ces derniers.
Parfois, c’est plus complexe, notamment par exemple avec l’infection MYOSPROTECT / WEBPROTECT / PCWATCH (plus active maintenant).
Celle-ci se composait d’une DLL par exemple MyOSProtect.dll qui se chargeait dans la couche Winsock pour manipuler les chargements de pages et injecter des publicités.
Ce fichier DLL ne pouvait pas être supprimé car un driver/pilote la protégeait en hookant les fonctions de suppression de Windows (méthode de rootkit), c’est à dire que la fonction de suppression de Windows était détournée pour passer par le rootkit et intercepter les tentatives de suppression de la DLL.
En d’autre terme, le pilote protégeait la DLL de la suppression manuellement.

Dans tous les cas, j’espère que cette vidéo va vous permettre d’apprendre quelques trucs =)

Comment lire d'autres tutoriels de malekal.com ?

Si le site vous a aidé, svp, débloquez les bloqueurs de publicités, n'hésitez pas non plus à partager l'article ou le site sur les réseaux sociaux.

Pour pouvoir lire plus d'articles et tutoriels, utilisez le menu en haut du site. Plein d'articles et tutos utiles vous attendent !

Besoin d'aide ?

Posez votre question ou soumettez votre problème sur le forum malekal.com pour obtenir une aide efficace : Aller sur le forum malekal.com
(Visited 550 times, 10 visits today)

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *