différence entre explorateur et fenêtre DOS

Le
Alain
Bonjour,

J'ai supprim ds le dossier windowsDownloaded Program
Files, par le biais de l'explorateur, un contrle active
X (brdg class) contenant un trojean. Ce contrle tait
rfrenc ds le registre par le nom suivant : bridge.dll.
Mais lorsque je vrifie ds la fentre DOS (menu
accessoire) le pgm bridge.dll est toujours prsent ds le
dossier Downloaded Program Files, bien qu'il n'apparaisse
plus sous l'explorateur. Comment expliquer que bridge.dll
n'apparaissent pas sous l'explorateur (ni sous
l'appelation brdg class ni sous l'appelation bridge.dll)
bien que l'affichage de mes dossiers soit configur pour
afficher les dossiers et fichiers cachs ainsi que
systme.
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Jean-Claude BELLAMY
Le #135093
Dans le message news:1ca0e01c452c9$2b2fbef0$ ,
Alain
Bonjour,

J'ai supprimé ds le dossier windowsDownloaded Program
Files, par le biais de l'explorateur, un contrôle active
X (brdg class) contenant un trojean. Ce contrôle était
référencé ds le registre par le nom suivant : bridge.dll.
Mais lorsque je vérifie ds la fenêtre DOS
CE N'EST PAS UNE FENÊTRE DOS !!!!

C'est une console, ou fenêtre de commandes.
Il n'y a pas un yocto-octet de DOS là dedans !

(menu
accessoire) le pgm bridge.dll est toujours présent ds le
dossier Downloaded Program Files, bien qu'il n'apparaisse
plus sous l'explorateur. Comment expliquer que bridge.dll
n'apparaissent pas sous l'explorateur (ni sous
l'appelation brdg class ni sous l'appelation bridge.dll)
bien que l'affichage de mes dossiers soit configuré pour
afficher les dossiers et fichiers cachés ainsi que
système.


Parce que le dossier "%systemroot%Downloaded Program Files", apparu avec IE
4, est un dossier SYSTÈME, très particulier, qui sert à rassembler en une
seule vue les contrôles ActiveX et programmes Java téléchargés. (son ancien
nom est "occache" , = Object Component Cache)

Dans l'explorateur, ce dossier affiche les informations à partir :
- des fichiers ".osd" ("Open Software Description", ce sont des fichiers
XML)
- des fichiers ".inf"

P.ex. j'ai un fichier "swflash.inf"
le GUID indiqué par ce fichier est
"{D27CDB6E-AE6D-11CF-96B8-444553540000}"
Dans la BDR, la clef
HKCRCLSID{D27CDB6E-AE6D-11cf-96B8-444553540000}
a comme valeur par défaut
"Shockwave Flash Object"
qui est un libellé contenu dans "C:WINDOWSDownloaded Program Files"

Mais l'emplacement RÉEL du contrôle ActiveX associé est
C:WINDOWSSystem32macromedflashFlash.ocx
défini dans la clef :
HKCRCLSID{D27CDB6E-AE6D-11cf-96B8-444553540000}InprocServer32

Mais si on veut voir TOUS les fichiers de ce dossier depuis l'explorateur,
il suffit de procéder ainsi :
- Ouvrir une fenêtre de commandes
- Se placer dans le dossier %systemroot% (c:windows)
- Exécuter la commande
attrib -s "Downloaded Program Files"
et là, ô surprise, ce dossier a repris le style habituel :
- les colonnes s'appellent désormais :
"nom", "taille", type",....
au lieu de :
"fichier programme", état", "taille totale",..
- tous les fichiers apparaissent

NB: une fois que c'est fait et qu'on a vu, rétablir l'attribut "système" :
attrib +s "Downloaded Program Files"


L'apparence spéciale de ce dossier est définie par le fichier DESKTOP.INI,
qui contient :
[.ShellClassInfo]
CLSID={88C6C381-2E85-11d0-94DE-444553540000}

et ce CLSID correspond au contrôle défini dans
HKCRCLSID{88C6C381-2E85-11D0-94DE-444553540000}
"Dossier ActiveX Cache"
%SystemRoot%System32occache.dll
(Object Control Viewer)

Pour l'anecdote, cette DLL contient en particulier une ressource AVI où l'on
voit un document "voler" entre un globe terrestre et un dossier...


--
May the Force be with You!
La Connaissance s'accroît quand on la partage
----------------------------------------------------------
Jean-Claude BELLAMY [MVP] - http://www.bellamyjc.org
http://www.bellamyjc.org *


ypoons
Le #134483
Jean-Claude BELLAMY a écrit:

[...]


Pour rebondir sur cette (toujours brillante, avec toi)
explication, peut-on profiter du passage où ce dossier n'est plus
un dossier système pour virer cette saloperie de bridge.dll, ou
cette suppression ne suffira-t'elle pas à se débarrasser de ce
trojan ? (tu parles de .xml et de .inf dans ce dossier, est-ce
que les autre objets éventuellement placés là sont
superfétatoires ?) Ou bien faut-il d'abord identifier le GUID,
puis le CLSID, puis je sais pas quoi encore pour pouvoir faire un
nettoyage plus en profondeur et être "tranquille" ?


--
Ypoons
« Un ordinateur, ça sert à résoudre les problèmes que l'on
n'aurait pas sans lui » (Confucius paraît-il)

Jean-Claude BELLAMY
Le #134364
Dans le message news: ,
ypoons s'est ainsi exprimé:

Jean-Claude BELLAMY a écrit:

[...]


Pour rebondir sur cette (toujours brillante, avec toi)
explication, peut-on profiter du passage où ce dossier n'est plus
un dossier système pour virer cette saloperie de bridge.dll, ou
cette suppression ne suffira-t'elle pas à se débarrasser de ce
trojan ?


En principe, OUI.

(tu parles de .xml et de .inf dans ce dossier, est-ce
que les autre objets éventuellement placés là sont
superfétatoires ?)


J'ai répondu plus haut "en principe" parce que cela dépend de l'ActiveX
Certains se limitent à un fichier .dll ou .ocx, d'autres pas.
Dans ce cas, il faut fouiller dans le .inf associé et examiner quels sont
les fichiers concernés


--
May the Force be with You!
La Connaissance s'accroît quand on la partage
----------------------------------------------------------
Jean-Claude BELLAMY [MVP] - http://www.bellamyjc.org
http://www.bellamyjc.org *



ypoons
Le #136984
Jean-Claude BELLAMY a écrit:

J'ai répondu plus haut "en principe" parce que cela dépend de l'ActiveX
Certains se limitent à un fichier .dll ou .ocx, d'autres pas.
Dans ce cas, il faut fouiller dans le .inf associé et examiner quels sont
les fichiers concernés


Merci JCB. Je vais fouiller maintenant avec plus de discernement.

--
Ypoons
« Un ordinateur, ça sert à résoudre les problèmes que l'on
n'aurait pas sans lui » (Confucius paraît-il)

Jceel
Le #136400
Bonjour ...Jean-Claude BELLAMY qui nous as a dit
* Dans le message news: ,
* ypoons s'est ainsi exprimé:
* > Pour rebondir sur cette (toujours brillante, avec toi)
* > explication, peut-on profiter du passage où ce dossier n'est plus
* > un dossier système pour virer cette saloperie de bridge.dll, ou
* > cette suppression ne suffira-t'elle pas à se débarrasser de ce
* > trojan ?
*
* En principe, OUI.
*
* > (tu parles de .xml et de .inf dans ce dossier, est-ce
* > que les autre objets éventuellement placés là sont
* > superfétatoires ?)
*
* J'ai répondu plus haut "en principe" parce que cela dépend de
l'ActiveX
* Certains se limitent à un fichier .dll ou .ocx, d'autres pas.
* Dans ce cas, il faut fouiller dans le .inf associé et examiner
quels sont
* les fichiers concernés


je pense que pour la plupart dans options internet-général-fichiers
temporaires-paramètres-afficher les objets
click droit et supprimer devrait suffire

--
@++++Jceel - MVP Win, I E, Media Player

En vérité je te le dis mais sous O E
internaute indécis pour le HacheuTeuMeuLeu
seul le click droit Control+F deux
la lumière t'apportera C'est ce qu'il y a de mieux
netevangile..selon Jceel.livre du windows.psaume alt-255..verset ÿp
Jceel http://jceel.free.fr l'hyper du gratuit du net
Founding Chairman of the International Pebkac Busters Company

Le #135986
-----Message d'origine-----
Dans le message
news: ,

ypoons s'est ainsi exprimé:

Jean-Claude BELLAMY a écrit:

[...]


Pour rebondir sur cette (toujours brillante, avec toi)
explication, peut-on profiter du passage où ce dossier
n'est plus


un dossier système pour virer cette saloperie de
bridge.dll, ou


cette suppression ne suffira-t'elle pas à se
débarrasser de ce


trojan ?


En principe, OUI.

(tu parles de .xml et de .inf dans ce dossier, est-ce
que les autre objets éventuellement placés là sont
superfétatoires ?)


J'ai répondu plus haut "en principe" parce que cela
dépend de l'ActiveX

Certains se limitent à un fichier .dll ou .ocx,
d'autres pas.

Dans ce cas, il faut fouiller dans le .inf associé et
examiner quels sont

les fichiers concernés


--
May the Force be with You!
La Connaissance s'accroît quand on la partage
---------------------------------------------------------
-

Jean-Claude BELLAMY [MVP] - http://www.bellamyjc.org
http://www.bellamyjc.org *



.
Merci avant tout pour ces explications.

Dernière chose, j'ai supprimé hativement le fichier
Bridge.inf qui contenait (à te lire) des infos sans doute
utiles pour dépister les fichiers associés à ce trojan.
Existe t-il un moyen de récupérer ce fichier qui n'est
plus ds ma corbeille. Auparavant la cmde undelete sous
DOS permettait de récupérer les fichiers récemment
détruits mais cette cmde n'existe plus sous XP.



Jean-Claude BELLAMY
Le #139013
Dans le message news:1d30101c45389$31972330$ ,
s'est ainsi exprimé:
[...]
Dernière chose, j'ai supprimé hativement le fichier
Bridge.inf qui contenait (à te lire) des infos sans doute
utiles pour dépister les fichiers associés à ce trojan.
Existe t-il un moyen de récupérer ce fichier qui n'est
plus ds ma corbeille. Auparavant la cmde undelete sous
DOS permettait de récupérer les fichiers récemment
détruits mais cette cmde n'existe plus sous XP.


Undelete existait sous DOS seulement parce qu'il n'y avait pas de corbeille
!
La corbeille c'est en quelque sorte un "undelete" intégré.
Par contre, il n'existe pas de "super-corbeille" !
(et à ce moment là, il faudrait envisager une corbeille de la
super-corbeille, ....)

On ne peut récupérer un fichier que si aucune écriture d'un autre fichier
n'a eu lieu à l'emplacement du fichier détruit.

Tu peux essayer "Revival", disponible sur le site de mon homoprényme JCeel
http://jceel.free.fr/revival.zip

sinon "Easy Recovery Pro", qui fait des merveilles
C'est un produit commercial, assez onéreux, mais on peut le trouver à "bas
prix" de l'autre côté de l'Oural ! ;+))
(http://fosi.da.ru)


--
May the Force be with You!
La Connaissance s'accroît quand on la partage
----------------------------------------------------------
Jean-Claude BELLAMY [MVP] - http://www.bellamyjc.org
http://www.bellamyjc.org *


Publicité
Poster une réponse
Anonyme