Identification et nettoyage des malwares avec Process Explorer
Le par
Claude L.
| 5 commentaire(s)
- Préambule
- Méthode Dr Watson
- Méthode Sherlock Holmes - Partie 1
- Méthode Sherlock Holmes - Partie 2
- Bonus logiciels
- Identifier les processus
Le mythe de l'informatique parfaite n'a jamais existé, surtout à notre époque, depuis que l'ADSL existe, nos ordinateurs sont beaucoup plus exposés qu'auparavant.Si vous constatez un comportement bizarre et inhabituel de votre Windows, il est peut être infecté par un de ces malwares. Il faut donc le rechercher, l'identifier et l'éliminer avec Process Explorer. Un petit bijou, mais qui demande un peu de savoir-faire pour l'utiliser convenablement.
Préambule
Identification et nettoyage des malwares avec Process Explorer
 | Un proverbe dit : " Il vaut mieux prévenir que guérir " et le mythe de
l’informatique parfaite n’a jamais existé, surtout à notre époque,
depuis que l’ADSL existe, nos PC sont beaucoup plus exposés
qu’auparavant. |
En respectant les quelques règles ci-dessous, vous serez quasi immunisé:
Si vous constatez un comportement bizarre et inhabituel de votre Windows, il est peut être infecté par un de ces malwares. Il faut donc le rechercher, l’identifier et l’éliminer.
- Chaque PC doit être équipé d’un firewall bien configuré et d’un anti-virus à jour. Un anti-spyware est le bienvenu aussi.
- Pendant votre surf sur internet, réfléchissez avant de cliquer sur certains liens.
- Quand vous recevez des mails de personnes inconnues, surtout s’ils contiennent des fichiers joints, supprimez-les sans les ouvrir. Utilisez les filtres de courriers et l’anti-spam.
- Quand vous installez un programme, soyez attentif sur ce qu’il propose comme options à cocher ou décocher, parfois des choses complètement inutiles s’installent à l’insu de votre plein gré.
- Utilisez Windows Update pour maintenir votre système à jour.
- En résumé, servez-vous de votre bon sens.
Si vous constatez un comportement bizarre et inhabituel de votre Windows, il est peut être infecté par un de ces malwares. Il faut donc le rechercher, l’identifier et l’éliminer.
../..
Méthode Dr Watson
Méthode " Docteur Watson "
Méthode simple qui peut fonctionner pour des malwares gentils. Installer les utilitaires suivants:
Méthode simple qui peut fonctionner pour des malwares gentils. Installer les utilitaires suivants:
- Quitter et fermer toutes les applications en cours. Stopper les services qui tournent en tâches de fond du genre P2P ou autres, ceux en général qui se trouvent dans la systray, en bas à droite dans la barre de tâches.
- Désactiver la Restauration système de Windows XP.
- Vérifier si votre anti-virus est à jour et lancer une détection sur votre système.
- Avec Spybot ou Ad-Aware faire une recherche, si le test est positif, sauvegarder dans un fichier tout ce qui a été trouvé et l'imprimer. Repérer les noms des fichiers exe et ou dll trouvés, ainsi que les endroits où ils nichaient dans le système. Cela pourrait servir plus tard.
- Faire le nettoyage proposé avec ces outils.
- Lancer CCleaner et faites un nettoyage de la base de registres pour supprimer les clés orphelines. Une sauvegarde avant le nettoyage n’est pas un luxe.
- Supprimer les anciens points de la Restauration système et la réactiver.
- Redémarrer Windows.
- Après toutes ces opérations, il faut surveiller votre système pendant quelques temps car ces bestioles peuvent se réactiver, se dupliquer et / ou muter.
Vous pouvez lire des explications plus détaillées sur les points ci-dessus dans ce dossier, et éventuellement utiliser Hijackthis.
Si votre PC recommence son comportement douteux, seule solution, il faut passer à la méthode " Sherlock Holmes ", les outils cités ci-dessus ont prouvés leurs limites.
../..
Méthode Sherlock Holmes - Partie 1
Méthode " Sherlock Holmes ":
SysInternals nous propose une série d’outils très bien faits, la plupart étant des logiciels freeware et parmi eux Process Explorer. Un petit bijou, mais qui demande un peu de savoir-faire pour l’utiliser convenablement.
Installation et configuration
- Télécharger la dernière version de Process Explorer.
- Télécharger la dernière version des Debuggings tools. Pas obligatoire.
- Installer Debuggings Tools comme tout autre programme Windows.
- Dézipper l’archive de Process Explorer, il n’y a pas d’installation, déplacer le dossier dézippé dans C:\Program Files\.
- Lors d’une nouvelle version, il suffira d’écraser les anciens fichiers avec les nouveaux dans le dossier de Process Explorer qui se trouve dans C:\Program Files\.
- Télécharger et installer CCleaner, si ce n’est déjà fait.
- Télécharger Unlocker et installer-le.
Pré-requis :
Lors de sa première utilisation, Process Explorer est configuré par défaut, il faut le modifier un peu pour plus de confort :
- Quitter et fermer toutes les applications en cours. Stopper les services qui tournent en tâches de fond du genre P2P ou autres, etc.
- Désactiver la Restauration système de Windows XP.
- Démarrer Process Explorer.
Lors de sa première utilisation, Process Explorer est configuré par défaut, il faut le modifier un peu pour plus de confort :
Faire un clic droit dans un en-tête de colonne et
choisir Select columns, ensuite
cocher comme dans les images ci-dessous :
Valider les modifications par OK. Cliquer dans le menu View
– Save columns Set, taper un nom et valider par OK.
Raisons de ces colonnes :
- Process : nom du processus.
- PID : identification du process.
- CPU : charge cpu du process.
- private bytes : espace mémoire dédié à ce process.
- peak private bytes : pic constaté de la consommation mémoire du process.
- path : chemin de localisation du fichier correspondant au process (TRES IMPORTANT).
- command line : ligne de commande ayant lancé le process (TRES IMPORTANT).
- version : version (quand c’est identifiable) du process.
../..
Méthode Sherlock Holmes - Partie 2
Méthodologie:
Pour ce dossier, comme exemple, j’utilise un process normal : wcescomm.exe, utilisé par ActivSink pour la connexion de mon PDA. Un process suspecté réclame une filature appropriée.
Dans un premier temps:
Pour ce dossier, comme exemple, j’utilise un process normal : wcescomm.exe, utilisé par ActivSink pour la connexion de mon PDA. Un process suspecté réclame une filature appropriée.
Dans un premier temps:
- Dans la colonne Process, sélectionner par un clic droit le process soupçonné et choisir Properties pour afficher sa carte d’identité et tout son pedigree :
- Nous connaissons son nom et son adresse (Path) et son parent éventuel (Parent). Vous pouvez aussi utiliser la colonne Path dans l’interface principale.
- Il faut maintenant savoir si cet individu est fiché quelque part !!!
- Soit vous allez sur GNT ici, tapez dans la zone Rechercher le nom complet du process et lancez la recherche. Avec mon exemple, la base de données de GNT me propose un lien, cliquez dessus pour avoir plus de détails. Si c’est un « personnage » dangereux c’est noté dans les rubriques : Spyware – Trojan – Virus.
- Soit vous vous connectez chez Interpol, heu pardon !!! Chez Google, là aussi, il suffit de taper le nom du process (wcescomm.exe) et de lancer la truffe. Remarquez que quand vous faites clic droit sur le process pour choisir Properties, l’option Google est proposée.
- Si votre process n’est pas fiché, recommencez une recherche avec un autre process jusqu'à ce qu’il soit identifié comme dangereux ou suspect.
Votre process est déclaré comme un dangereux fou-furieux:
- Déplacez-vous en utilisant l’Explorateur Windows dans le dossier où se trouve le process en question, sélectionnez-le par un clic droit et renommez-le.
- Si la modification de son nom ne fonctionne pas, il faut utiliser le logiciel Unlocker pour connaitre l'autre process qui verrouille le vôtre.
- Re-sélectionner votre process par un clic droit et choisir Unlocker dans le menu contextuel. Une liste est affichée :
- Dans la photo ci-dessus, comme exemple, le fichier : ~WRL0731.tmp est verrouillé par le processus : WINWORD.EXE : le Père.
- Retourner dans l’interface principale de Process Explorer, éliminer le Père, même si c'est explorer.exe, auquel cas votre PC est bien infecté !
- Ensuite, détruire le process, par un clic droit dessus, choisir kill process, s'abstenir d’utiliser kill tree.
Regarder attentivement dans l’interface de Process Explorer ce qu’il s’y passe, deux cas de figure peuvent se présenter :
CAS n°1:
Le process ne se relance plus ! Dans ce cas, le malware était une petite frappe:
- Détruiser alors le répertoire contenant ce malware si le répertoire est dédié (ne pas supprimer un dossier essentiel de Windows).
- Ou virer le fichier du process à la main et vider la poubelle.
- Supprimer les anciens points de la Restauration système et réactivez-là.
- Passer ensuite un coup de CCleaner dans la base de registres (au moins deux fois).
- Redémarrer Windows.
- Après toutes ces opérations, il faut encore surveiller votre système pendant quelques temps.
CAS n°2:
Un autre process se relance, de nom identique mais de "path" différent ou de nom différent mais de path identique !
Dans ce cas-ci le malware est un chef de bande, plus malicieux et capable de reproduire des process, sans doute à partir d'un modèle caché quelque part :
- Repérer le "path" du process qui vient de se lancer.
- Repérer la ligne de commande qui a permis le lancement et agir alors dans le répertoire identifié dans cette ligne de commande.
- Il est nécessaire de regarder attentivement ce qu’il se passe, car certains malwares se dupliquent en une trentaine de déclinaisons et se lançaient aléatoirement, souvent à cause d'un script dans Internet Explorer.
- Eliminer tous ces truands comme expliqué plus haut.
- Si plus aucun malware ne revient, fermer les outils.
- Supprimer les anciens points de la Restauration système et la réactiver.
- Lancer CCleaner et nettoyer la base de registres au moins deux fois (faire une sauvegarde avant les suppressions).
- Redémarrer Windows.
- Après toutes ces opérations, il faut encore surveiller votre système pendant quelques temps.
L'avantage de Process Explorer est qu'il permet de COMPRENDRE ce qu’il se passe, comment le malware agit et affiche les traces qu’il laisse dans son action.
Bien entendu, les ruses de Sioux de ceux qui réalisent ces machins bidules n'ont pas de limites. Cela peut être :
- Une DLL chargée par rundll32.
- Un programme installé dans C:\Windows ou C:\Windows\System32 ou C:\Program Files\Fichiers communs car ils savent que l'utilisateur n'y mettra pas les pieds volontiers.
- Un nom dérivé d'un process légitime, par exemple : svchots.exe, très ressemblant à : svchost.exe (l’officiel), en lecture rapide je vous défie de le repérer !
- etc.
../..
Bonus logiciels
Bonus de Process Explorer:
Un double clic sur un process ouvre la fenêtre Properties avec plusieurs onglets :
Bonus Unlocker:
Logiciel gratuit ( freeware ), en Français, Unlocker permet de manipuler tous les fichiers bloqués pour une raison ou une autre, pas uniquement les process.
Quand une boîte de message s’affiche sur le bureau de Windows indiquant ceci :
Vous pouvez utilisez Unlocker pour vous dépanner, évidemment ne supprimer pas n’importe quoi. Parfois un simple reboot fait bien les choses et vous permettra de supprimer le fichier récalcitrant.
Bonus CCleaner:
Logiciel gratuit ( freeware ), en Français, CCleaner nettoie bien la base de registres mais possède aussi quelques outils de maintenance pour Windows XP :
Alors ne vous en privez pas.
Voilà, nous espérons que ce dossier ne servira pas souvent. Si vous suivez les conseils de la première page de ce dossier, vous devriez être à peu près serein…
Un double clic sur un process ouvre la fenêtre Properties avec plusieurs onglets :
- Image: on retrouve les mêmes informations que celles décrites la page précédente.
- Performance: une vision très détaillée des ressources consommées par le process (aspects CPU, Virtual Memory, Physical Mémory, I/0, Handles), ceci permet une analyse assez fine du comportement du process quand il tourne.
- Performance Graph: trois graphiques (à minima) : CPU, Private Bytes et I/O Bytes pour comprendre son comportement dans le temps.
- Services: si le process en question est un service, on peut même l'arrêter ici, tout comme on le ferait avec la console services.msc de Windows XP.
- Threads: en programmation, un thread est une routine appelée par un programme, suivant la programmation qui est faite, le programme principal peut activer des threads séquentiellement ou en parallèle. On identifie ici les routines appelées par le programme en double-cliquant sur chaque routine. On dispose ainsi du stack de chaque routine. A réserver aux " chercheurs ".
- TCP/IP: pour un process qui établit une connexion sur le Net, du type " rapatrier " du code changeant, on voit ici les ports IN et OUT ouverts. En double-cliquant sur chaque ligne identifiée de connexion, on visualise le stack du programme en question; à réserver aux " initiés " aussi.
- Security: cet onglet donne les droits concédés au process en question; on peut donc vérifier si ce process s'exécute dans un environnement " ouvert " ou " bridé ".
- Environment: ce sont toutes les variables utilisées sur la machine pour la session en cours; il est possible que le process suspect génère des variables, on le verra ici en comparant avec le standard que l'on voit en analysant le poste de travail.
- Strings: juste pour se faire peur. C'est tout ce qui est en mémoire et utilisé actuellement par tous les process qui tournent; on pourra y trouver des URLs, des identifiants... etc.
Bonus Unlocker:
Logiciel gratuit ( freeware ), en Français, Unlocker permet de manipuler tous les fichiers bloqués pour une raison ou une autre, pas uniquement les process.
Quand une boîte de message s’affiche sur le bureau de Windows indiquant ceci :
- Ne peut pas supprimer le dossier, l'accès est refusé.
- Il y a eu une violation de partage.
- Le dossier source ou de destination est peut être utilisé.
- Le dossier est utilisé par un autre programme ou un autre utilisateur.
- Assurez-vous que le disque n'est pas plein ou protégé en écriture et que le dossier n'est pas actuellement utilisé.
Vous pouvez utilisez Unlocker pour vous dépanner, évidemment ne supprimer pas n’importe quoi. Parfois un simple reboot fait bien les choses et vous permettra de supprimer le fichier récalcitrant.
Bonus CCleaner:
Logiciel gratuit ( freeware ), en Français, CCleaner nettoie bien la base de registres mais possède aussi quelques outils de maintenance pour Windows XP :
- Nettoyage des cookies.
- Vidage des Caches d’Internet Explorer et de Firefox.
- Nettoyage du dossier temporaire de Windows XP.
- Agit sur différents dossiers d’XP.
- Sur les « caches » de Windows : Menus, Systray, etc.
- Désinstalle des programmes et supprime des programmes fantômes.
- De le paramétrer à votre convenance.
- Les mises à jour sont fréquentes.
Alors ne vous en privez pas.
Voilà, nous espérons que ce dossier ne servira pas souvent. Si vous suivez les conseils de la première page de ce dossier, vous devriez être à peu près serein…
../..
Identifier les processus
En complément de ces Bonus logiciels, une description des processus Windows présents sur votre système serait un atout supplémentaire pour vous aider dans vos investigations.Identification des processus Windows sur GNT
Bien souvent, nous nous retrouvons face à des processus Windows ayant des noms peu parlants voire pas du tout, GNT a décidé d'offrir un service gratuit permettant aux plus néophytes mais aussi aux utilisateurs avertis, d'identifier rapidement la fonction qu'occupe un processus bien précis dans votre système. Bien évidemment notre base de données actuelle ne regroupe pas tous les processus qui existent (il y en a des milliers), mais les plus courants ont été traités, et nous continuons à compléter cette base.
Comment utiliser ce service ' Il suffit de se rendre sur cette page :
Indiquer dans la zone de recherche le nom d'un processus actif sur votre PC pour en obtenir le descriptif complet, par exemple pour savoir s'il s'agit d'un processus système et son rôle exact, ou tout simplement d'un virus ! Si le processus recherché n'est pas présent, vous pourrez nous soumettre votre requête et nous nous chargerons de l'ajouter dans notre base rapidement.
il faut saluer le travail des gens qui essaient de désacraliser l'informatique et le rendre accessible, compréhensible . Je pense que beaucoup de gens ayant pas ou peu de connaissances en sécurité minimale seront bien avisés de lire ce dossier
Malheureusement, beaucoup trop de gens ne font pas l'effort de LIRE ce qui est à porter de leur doigts ou de leurs yeux !
Et l'on est trop souvent obligé (en tant que technicien) de pratiquer des interventions digne de la vérification du niveau de lave glace ou de la pression des pneus.... avec un MCSA !