Visualier et supprimer les fichiers cachés et
lockés
Beaucoup de
malwares, comme par exemple Look2Me utilisent des fichiers de types .DLL
Ces DLL sont chargées avec un des processus de Windows
généralement explorer.exe et iexplore.exe mais
n'aipparaissent pas dans le gestionnaire de tâches. Enfin,
étant donné qu'elles dépendent d'un
processus, on ne peut les supprimer manuellement sans arrêter le
processus.
Cette article va vous aider à visualiser ces DLL et vous
expliquer comment visualiser ces fichiers et comment les supprimer.
Visualiser les DLL chargés par explorer.exe et
iexplorer
Vous pouvez utiliser des programmes comme
:
- Process Explorer :
Ce programme liste les processus et les sous-processus en mémoire. C'est un gestionnaire de tâches améliorée. Il permet en cliquant sur le processus de visualier les DLL chargées, d'arrêter le processus etc.. Cependant, si vous souhaitez faire une recherche cela est difficile puisqu'il faut cliquer sur chacun des processus. Téléchargez Process Explorer
- DLL Show
contient un module de recherche de processus et Dll ( view / find
modules.. ) sur les disques durs, cela peut etre très util
aussi. Téléchargez
Dll
Show
- PSTools :
Collection de programmes en lignes de commandes qui permet de lister les processus, tuer un processus et plein d'autres fonctions utiles. ListDLLs permet de visualiser sous forme de liste les dlls utisées par un processus. Téléchargez PSTools
J'ai aussi fait un programme qui génère un fichier contenant des informations spécifiques et notamment les DLL chargées par explorer.exe et iexplore.exe.
Téléchargez le programme de visualisation Ce dernier
énumère :
- Les connexions établies avec les ports et par
quel processus (pratique pour un trojan)
- Les DLL chargées par le processus explorer.exe
et iexplorer.exe
- Les ADS utilisées dans le dossier de Windows
Voici
un exemple de résultat
Les fichiers natinfs de Windows et donc sains possèdent en
général leurs versions de types :
- 5.01.2600.xxxx
- 6.00.2800.1106
Il faut donc bien faire attention aux dlls n'ayants pas ces versions
là. Vous pouvez utiliser Google pour vérifier
leurs authenticités.
Dans l'exemple, nous avons une DLL :
0x01360000 0x1a000
C:\WINDOWS\System32\ginuerep.dll
Cette dernière ne
possède pas de version ce qui est très
suspicieux. C'est en fait une DLL utilisée par le malware
SpyFalcon.
Cependant cette DLL est utilisée par le processus
explorer.exe, il est donc impossible de la supprimer manuellement, sans
devoir arrêter le processus explorer.exe.
Cependant, dans le cas où c'est un processus non
système,
vous pouvez tenter de le supprimer à partir du gestionnaire
de
tâches :
- Cliquez sur le bouton Démarrer
puis executer
- Saisissez taskmgr
et cliquez sur OK
- Clique sur l'onglet processus
en haut
- Sélectionnez le processus et cliquez en bas
à droite sur Fin de Tâche
Supprimer une DLL dépendant d'un processus
KillBox
KillBox
est un programme qui permet de supprimer des fichiers au
redémarrage de Windows. Il peut s'avérer utile
dans le sens où il va supprimer la DLL avant que le
processus ne soit démarré et donc que la DLL soit
en mémoire.
- Cochez en bas à gauche l'option Delete
on Reboot afin de supprimer le fichier au
redémarrage
- En cliquant sur l'icône représentant
un dossier jaune en haut à droite, vous pouvez aller
chercher le fichier à supprimer, vous pouvez aussi
copier/coller dans le champs le chemin complet du fichier à
supprimer.
- Cliquez sur l'icône avec le cercle rouge et la
croix blanche pour démarrer la suppression.
NOTE : Notez
que vous arretez le processus explorer.exe au moment de la suppression
dans le cas où le fichier dépend de ce processus,
pour cela, cochez l'option
End Explorer Shell While Killing
File.
Vous pouvez aussi spéficier un
dossier à supprimer.
Unlocker
Unlocker
permet de déterminer le processus qui verrouille un fichier.
Unlocker permet de déverrouiller ce fichier afin de le
supprimer
normalement.
Après avoir installé Unlocker, en
évectuant un
clic droit / Unlocker sur le fichier que vous souhaitez supprimer un
menu apparaîtra.
Vous avez alors la possibilité de supprimer /
déplacer ou renommer le fichier.
Retour à la page
d'accueil
