Visualiser et supprimer les fichiers cachés et lockés

Visualier et supprimer les fichiers cachés et lockés


Beaucoup de malwares, comme par exemple Look2Me utilisent des fichiers de types .DLL
Ces DLL sont chargées avec un des processus de Windows généralement explorer.exe et iexplore.exe mais n’aipparaissent pas dans le gestionnaire de tâches. Enfin, étant donné qu’elles dépendent d’un processus, on ne peut les supprimer manuellement sans arrêter le processus.

Cette article va vous aider à visualiser ces DLL et vous expliquer comment visualiser ces fichiers et comment les supprimer.

Visualiser les DLL chargés par explorer.exe et iexplorer

Vous pouvez utiliser des programmes comme :

  • Process Explorer : Ce programme liste les processus et les sous-processus en mémoire. C’est un gestionnaire de tâches améliorée. Il permet en cliquant sur le processus de visualier les DLL chargées, d’arrêter le processus etc.. Cependant, si vous souhaitez faire une recherche cela est difficile puisqu’il faut cliquer sur chacun des processus. Téléchargez Process Explorer
  • DLL Show contient un module de recherche de processus et Dll ( view / find modules.. ) sur les disques durs, cela peut etre très util  aussi. Téléchargez Dll Show
  • PSTools : Collection de programmes en lignes de commandes qui permet de lister les processus, tuer un processus et plein d’autres fonctions utiles. ListDLLs permet de visualiser sous forme de liste les dlls utisées par un processus. Téléchargez PSTools

J’ai aussi fait un programme qui génère un fichier contenant des informations spécifiques et notamment les DLL chargées par explorer.exe et iexplore.exe. Téléchargez le programme de visualisation Ce dernier énumère :

  • Les connexions établies avec les ports et par quel processus (pratique pour un trojan)
  • Les DLL chargées par le processus explorer.exe et iexplorer.exe
  • Les ADS utilisées dans le dossier de Windows

Voici un exemple de résultat
Les fichiers natinfs de Windows et donc sains possèdent en général leurs versions de types :

  • 5.01.2600.xxxx
  • 6.00.2800.1106

Il faut donc bien faire attention aux dlls n’ayants pas ces versions là. Vous pouvez utiliser Google pour vérifier leurs authenticités.
Dans l’exemple, nous avons une DLL : 0x01360000 0x1a000 C:WINDOWSSystem32ginuerep.dll
Cette dernière ne possède pas de version ce qui est très suspicieux. C’est en fait une DLL utilisée par le malware SpyFalcon.

Cependant cette DLL est utilisée par le processus explorer.exe, il est donc impossible de la supprimer manuellement, sans devoir arrêter le processus explorer.exe.

Cependant, dans le cas où c’est un processus non système, vous pouvez tenter de le supprimer à partir du gestionnaire de tâches :

  • Cliquez sur le bouton Démarrer puis executer 
  • Saisissez  taskmgr et cliquez sur OK
  • Clique sur l’onglet processus en haut
  • Sélectionnez le processus et cliquez en bas à droite sur Fin de Tâche

Utiliser Process Explorer

Se reporter au Tutorial Process Explorer
et suivre l’exemple Exemple d’utilisation avancée de Process Explorer
Ceci est réservé à aux utilisateurs expérimentés.

Supprimer une DLL dépendant d’un processus

KillBox

KillBox est un programme qui permet de supprimer des fichiers au redémarrage de Windows. Il peut s’avérer utile dans le sens où il va supprimer la DLL avant que le processus ne soit démarré et donc que la DLL soit en mémoire.

KillBox suppression de fichiers lockés
  • Cochez en bas à gauche l’option Delete on Reboot afin de supprimer le fichier au redémarrage
  • En cliquant sur l’icône représentant un dossier jaune en haut à droite, vous pouvez aller chercher le fichier à supprimer, vous pouvez aussi copier/coller dans le champs le chemin complet du fichier à supprimer.
  • Cliquez sur l’icône avec le cercle rouge et la croix blanche pour démarrer la suppression.

NOTE : Notez que vous arretez le processus explorer.exe au moment de la suppression dans le cas où le fichier dépend de ce processus, pour cela, cochez l’option End Explorer Shell While Killing File.
Vous pouvez aussi spéficier un dossier à supprimer.



Unlocker


Unlocker permet de déterminer le processus qui verrouille un fichier. Unlocker permet de déverrouiller ce fichier afin de le supprimer normalement.

Après avoir installé Unlocker, en évectuant un clic droit / Unlocker sur le fichier que vous souhaitez supprimer un menu apparaîtra.
Vous avez alors la possibilité de supprimer / déplacer ou renommer le fichier.

OTMoveIT2

OTMoveIT2 fonctionne un peu comme Killbox.
Mettez sous forme de liste les fichiers dans la colonne de gauche puis cliquez sur le bouton MoveIT!
La commande [kill explorer] permet de tuer le processus explorer.

Les fichiers seront déplacés dans le dossier C:_OTMoveIt[b]MovedFiles

OTMoveIT2


Retour à la page d’accueil

Comment lire d'autres tutoriels de malekal.com ?

Si le site vous a aidé, svp, débloquez les bloqueurs de publicités, n'hésitez pas non plus à partager l'article ou le site sur les réseaux sociaux.

Pour pouvoir lire plus d'articles et tutoriels, utilisez le menu en haut du site. Plein d'articles et tutos utiles vous attendent !

Besoin d'aide ?

Posez votre question ou soumettez votre problème sur le forum malekal.com pour obtenir une aide efficace : Aller sur le forum malekal.com
(Visited 143 times, 1 visits today)

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *