Bien souvent, lorsque l’ordinateur est infecté, il est impossible de supprimer le fichier malicieux car celui-ci est verrouille étant en cours d’exécution.
Pour rappel, s’il s’agit un programme, privilégiez la désinstallation de ce dernier depuis le Panneau de configuration > Programmes et fonctionnalités : Désinstaller des programmes sur Windows
S’ensuit alors une utilisation de toute sorte de programmes comme Unlocker.
Sur cette page, vous trouverez quelques explications et comment parvenir à supprimer un fichier ou dossier insupprimable.
Table des matières [masquer]
Fichiers/dossiers verrouillés
Si le programme n’est pas présent dans la liste des programmes installés : Allez dans le dossier de ce dernier (souvent un sous-dossier de Program Files), vérifiez si un fichier uninstall.exe ou uninst.exe est présent.Dans le cas des antivirus, vérifiez si un programme de suppression n’est pas fournit par l’éditeur, reportez-vous à la page : Suppression d’antivirus
Ici nous allons plutôt nous intéresser au Trojan Bedep qui se charge dans l’explorateur de fichier explorer.exe
Ceci a tendance à verrouiller le fichier du virus, ce qui fait que vous ne pouvez pas le supprimer.
Lorsque l’on tente de supprimer ce dernier, on obtient le message « Cette action ne peut pas être réalisée car le fichier est ouvert dans Explorateur Windows »
- Première méthode avec FRST, qui consiste à effectuer un « fix » sur le fichier en question.
- Deuxième méthode avec GMER qui permet de tuer n’importe quel fichier.
- Troisième et dernière méthode avec Process Explorer, le but étant de tuer le processus explorer.exe afin que la DLL insuprimable ne soit plus active.
Celle-ci se chargeait dans le processus système winlogon.exe à partir d’une clef notify.
Le principe est un peu le même que dans la vidéo, à savoir, repérer le DLL, tenter de fermer le handle/thread afin de la rendre inactive et supprimer celle-ci du disque.
Comprenez bien ici qu’il s’agit d’une DLL qui se charge dans explorateur.exe ce qui est relativement courant.
Les méthodes ne fonctionnent pas avec des malwares de type rootkit, notamment avec les drivers Windows (fichiers .sys), comme par exemple bsdriver et cherimoya.
Quoique la méthode GMER peut fonctionner mais dans tous les cas Malwarebytes Anti-Malware se charge de ces derniers.
Parfois, c’est plus complexe, notamment par exemple avec l’infection MYOSPROTECT / WEBPROTECT / PCWATCH (plus active maintenant).
Celle-ci se composait d’une DLL par exemple MyOSProtect.dll qui se chargeait dans la couche Winsock pour manipuler les chargements de pages et injecter des publicités.
Ce fichier DLL ne pouvait pas être supprimé car un driver/pilote la protégeait en hookant les fonctions de suppression de Windows (méthode de rootkit), c’est à dire que la fonction de suppression de Windows était détournée pour passer par le rootkit et intercepter les tentatives de suppression de la DLL.
En d’autre terme, le pilote protégeait la DLL de la suppression manuellement.
Dans tous les cas, j’espère que cette vidéo va vous permettre d’apprendre quelques trucs =)
Suppression de fichier récalcitrant sur Windows 10
Une vidéo qui montre comment supprimer des fichiers récalcitrant en invite de commandes de Windows à partir des options de récupération de Windows 10.On utilise la commande del en invite de commandes.
Cette méthode est très efficace mais il faut avoir quelques connaissances.
L’autre solution est d’utiliser un CD Live, comme le CD Live Malekal qui possède une interface graphique pour naviguer dans les dossiers.
Autres cas : problème de permissions
Voici le message le plus courant :Accès au dossier refusé Vous devez disposer d'une autorisation pour effectuer cette action.
Ce message d’autorisation est dû à des permissions sur le dossier/fichier qui font que vous n’avez pas les permissions pour modifier/supprimer ou même lire le contenu du dossier.
Si vous êtes administrateur de Windows, vous pouvez modifier ces permissions pour vous donner les permissions adequates.
Ainsi vous aurez les autorisations pour supprimer le fichier/dossier.
Principe : Les autorisations NTFS et partage sur Windows
Reset Files Permissions
Reset Files Permissions permet de réinitialiser les autorisations sur un dossier.Page de téléchargement : http://lallouslab.net/2013/08/26/resetting-ntfs-files-permission-in-windows-graphical-utility/
Dézippez l’utilitaire, lancez-le.
Dans Choose Folder, sélectionnez le dossier en parcourant vos disques.
Cochez toutes les options et cliquez sur GO.
Tentez ensuite de supprimer le dossier.
Permission Time Machine Lite
Permission Time Machine Lite permet aussi de : modifier permissions fichiers.Rendez-vous sur la fiche du logiciel : Permission Time Machine Lite
Manuellement
Sur le dossier ou fichiers, faites un clic droit puis Propriétés.Cliquez sur l’onglet Sécurité.
Cliquez sur le bouton Avancé en bas à droite
Dans la nouvelle fenêtre cliquez sur l’onglet Autorisations
(sur Windows XP, Vista et 7, l’onglet est Propriétaires).
Aussurez-vous en haut que le nom du Propriétaire est votre nom d’utilisation.
Si ce n’est pas le cas, cliquez sur Modifier et mettez votre nom d’utilisateur.
Faites ok sur toutes les fenêtres puis à nouveau sur le dossier ou fichiers, faites un clic droit puis Propriétés.
Saisissez votre nom d’utilisateur Windows.
Cliquez à droite sur Vérifier les noms.
Votre nom d’utilisateur doit passer en souligné, s’il est bien reconnu.
Cliquez sur OK.
Sur les permissions de votre compte utilisateur Windows,
Mettez les permissions en bas sur Contrôle Total.
Cliquez sur OK et tentez de supprimer le dossier.
Source.: