Fiche de l'astuce

Identification et nettoyage des malwares avec Process Explorer

Identification et nettoyage des malwares avec Process Explorer
  • Catégorie : Système
  • Paru le : 05/07/2006
  • Auteur(s) : Claude L.
  • Commentaires : 5

Le mythe de l'informatique parfaite n'a jamais existé, surtout à notre époque, depuis que l'ADSL existe, nos ordinateurs sont beaucoup plus exposés qu'auparavant.Si vous constatez un comportement bizarre et inhabituel de votre Windows, il est peut être infecté par un de ces malwares. Il faut donc le rechercher, l'identifier et l'éliminer avec Process Explorer. Un petit bijou, mais qui demande un peu de savoir-faire pour l'utiliser convenablement.

mots-clés : process, explorer, malwares, sysinternal

Derniers articles

Dernières actualités
 

Identification et nettoyage des malwares avec Process Explorer

05/07/2006 par Claude L. | 5 commentaire(s)
Page 4 / 6
Méthodologie:

Pour ce dossier, comme exemple, j’utilise un process normal : wcescomm.exe, utilisé par ActivSink pour la connexion de mon PDA. Un process suspecté réclame une filature appropriée.


Dans un premier temps:
  • Dans la colonne Process, sélectionner par un clic droit  le process soupçonné et choisir Properties pour afficher sa carte d’identité et tout son pedigree :

Image

  • Nous connaissons son nom et son adresse (Path) et son parent éventuel (Parent). Vous pouvez aussi utiliser la colonne Path dans l’interface principale.
  • Il faut maintenant savoir si cet individu est fiché quelque part !!!
  • Soit vous allez sur GNT ici, tapez dans la zone Rechercher le nom complet du process et lancez la recherche. Avec mon exemple, la base de données de GNT me propose un lien, cliquez dessus pour avoir plus de détails. Si c’est un « personnage » dangereux c’est noté dans les rubriques : Spyware – Trojan – Virus.
  • Soit vous vous connectez chez Interpol, heu pardon !!! Chez Google, là aussi, il suffit de taper le nom du process (wcescomm.exe) et de lancer la truffe. Remarquez que quand vous faites clic droit sur le process pour choisir Properties, l’option Google est proposée.
  • Si votre process n’est pas fiché, recommencez une recherche avec un autre process jusqu'à ce qu’il soit identifié comme dangereux ou suspect.

Votre process est déclaré comme un dangereux fou-furieux:
  • Déplacez-vous en utilisant l’Explorateur Windows dans le dossier où se trouve le process en question, sélectionnez-le par un clic droit et renommez-le.
  • Si la modification de son nom ne fonctionne pas, il faut utiliser le logiciel Unlocker pour connaitre l'autre process qui verrouille le vôtre.
    • Re-sélectionner votre process par un clic droit et choisir Unlocker dans le menu contextuel. Une liste est affichée :
Image
    • Dans la photo ci-dessus, comme exemple, le fichier : ~WRL0731.tmp est verrouillé par le processus : WINWORD.EXE : le Père.
  • Retourner dans l’interface principale de Process Explorer, éliminer le Père, même si c'est explorer.exe, auquel cas votre PC est bien infecté !
  • Ensuite, détruire le process, par un clic droit dessus, choisir kill process, s'abstenir d’utiliser kill tree.

Regarder attentivement dans l’interface de Process Explorer ce qu’il s’y passe, deux cas de figure peuvent se présenter :

CAS n°1:

Le process ne se relance plus ! Dans ce cas, le malware était une petite frappe:
  • Détruiser alors le répertoire contenant ce malware si le répertoire est dédié (ne pas supprimer un dossier essentiel de Windows).
  • Ou virer le fichier du process à la main et vider la poubelle.
  • Supprimer les anciens points de la Restauration système et réactivez-là.
  • Passer ensuite un coup de CCleaner dans la base de registres (au moins deux fois).
  • Redémarrer Windows.
  • Après toutes ces opérations, il faut encore surveiller votre système pendant quelques temps.

CAS n°2:

Un autre process se relance, de nom identique mais de "path" différent ou de nom différent mais de path identique !

Dans ce cas-ci le malware est un chef de bande, plus malicieux et capable de reproduire des process, sans doute à partir d'un modèle caché quelque part :
  • Repérer le "path" du process qui vient de se lancer.
  • Repérer la ligne de commande qui a permis le lancement et agir alors dans le répertoire identifié dans cette ligne de commande.
  • Il est nécessaire de regarder attentivement ce qu’il se passe, car certains malwares se dupliquent en une trentaine de déclinaisons et se lançaient aléatoirement, souvent à cause d'un script dans Internet Explorer.
  • Eliminer tous ces truands comme expliqué plus haut.
  • Si plus aucun malware ne revient, fermer les outils.
  • Supprimer les anciens points de la Restauration système et la réactiver.
  • Lancer CCleaner et nettoyer la base de registres au moins deux fois (faire une sauvegarde avant les suppressions).
  • Redémarrer Windows.
  • Après toutes ces opérations, il faut encore surveiller votre système pendant quelques temps.
L'avantage de Process Explorer est qu'il permet de COMPRENDRE ce qu’il se passe, comment le malware agit et affiche les traces qu’il laisse dans son action.

Bien entendu, les ruses de Sioux de ceux qui réalisent ces machins bidules n'ont pas de limites. Cela peut être :
  • Une DLL chargée par rundll32.
  • Un programme installé dans C:\Windows ou C:\Windows\System32 ou C:\Program Files\Fichiers communs car ils savent que l'utilisateur n'y mettra pas les pieds volontiers.
  • Un nom dérivé d'un process légitime, par exemple : svchots.exe, très ressemblant à : svchost.exe (l’officiel), en lecture rapide je vous défie de le repérer !
  • etc.


Page 4 / 6
Voir les 5 commentaires - Poster un commentaire
 
 
5 commentaire(s) 5 nouveau(x)
Flux Rss Transférer Imprimer

Actualités relatives

Processus

Tous les processus
 

forum d'entraide

Tout le forum
 

Téléchargements

Tous les téléchargements
Tous les prix