Powered By Blogger

Rechercher sur ce blogue

jeudi 6 juillet 2017

Société : La vingtaine est finie, vive la vingtaine!




dimanche 25 juin 2017

Comment supprimer un fichier insupprimable





Bien souvent, lorsque l’ordinateur est infecté, il est impossible de supprimer le fichier malicieux car celui-ci est verrouille étant en cours d’exécution.
Pour rappel, s’il s’agit un programme, privilégiez la désinstallation de ce dernier depuis le Panneau de configuration > Programmes et fonctionnalités : Désinstaller des programmes sur Windows
S’ensuit alors une utilisation de toute sorte de programmes comme Unlocker.
Sur cette page, vous trouverez quelques explications et comment parvenir à supprimer un fichier ou dossier insupprimable.
windows_10_logo


Cas du Trustedinstaller

Vous obtenez le message “accès refusé” :
Vous devez disposer d'une autorisation pour effectuer cette action.
Vous avez besoin d'une autorisation de la part de TrustedInstaller pour modifier ce fichier.
Se reporter à la page : Comment retirer les autorisations Trustedinstaller

Fichiers/dossiers verrouillés

Si le programme n’est pas présent dans la liste des programmes installés : Allez dans le dossier de ce dernier (souvent un sous-dossier de Program Files), vérifiez si un fichier uninstall.exe ou uninst.exe est présent.
Dans le cas des antivirus, vérifiez si un programme de suppression n’est pas fournit par l’éditeur, reportez-vous à la page : Suppression d’antivirus
Ici nous allons plutôt nous intéresser au Trojan Bedep qui se charge dans l’explorateur de fichier explorer.exe
Ceci a tendance à verrouiller le fichier du virus, ce qui fait que vous ne pouvez pas le supprimer.
Lorsque l’on tente de supprimer ce dernier, on obtient le message “Cette action ne peut pas être réalisée car le fichier est ouvert dans Explorateur Windows
fichier_insupprimable_fichier_ouvert_explorateur_fichiers
J’ai fait une vidéo qui récapitule trois méthodes différentes (oui il existe d’autres programmes qui permettent de supprimer des fichiers comme unlocker).
  • Première méthode avec FRST, qui consiste à effectuer un “fix” sur le fichier en question.
  • Deuxième méthode avec GMER qui permet de tuer n’importe quel fichier.
  • Troisième et dernière méthode avec Process Explorer, le but étant de tuer le processus explorer.exe afin que la DLL insuprimable ne soit plus active.
A propos de Process Explorer, il existe une ancienne page Process Explorer : Exemple d’utilisation avancée qui explique comment supprimer une DLL de l’infection Vundo/Virtumonde (plus active de nos jours).
Celle-ci se chargeait dans le processus système winlogon.exe à partir d’une clef notify.
Le principe est un peu le même que dans la vidéo, à savoir, repérer le DLL, tenter de fermer le handle/thread afin de la rendre inactive et supprimer celle-ci du disque.
Comprenez bien ici qu’il s’agit d’une DLL qui se charge dans explorateur.exe ce qui est relativement courant.
Les méthodes ne fonctionnent pas avec des malwares de type rootkit, notamment avec les drivers Windows (fichiers .sys), comme par exemple bsdriver et cherimoya.
Quoique la méthode GMER peut fonctionner mais dans tous les cas Malwarebytes Anti-Malware se charge de ces derniers.
Parfois, c’est plus complexe, notamment par exemple avec l’infection MYOSPROTECT / WEBPROTECT / PCWATCH (plus active maintenant).
Celle-ci se composait d’une DLL par exemple MyOSProtect.dll qui se chargeait dans la couche Winsock pour manipuler les chargements de pages et injecter des publicités.
Ce fichier DLL ne pouvait pas être supprimé car un driver/pilote la protégeait en hookant les fonctions de suppression de Windows (méthode de rootkit), c’est à dire que la fonction de suppression de Windows était détournée pour passer par le rootkit et intercepter les tentatives de suppression de la DLL.
En d’autre terme, le pilote protégeait la DLL de la suppression manuellement.
Dans tous les cas, j’espère que cette vidéo va vous permettre d’apprendre quelques trucs =)

Suppression de fichier récalcitrant sur Windows 10

Une vidéo qui montre comment supprimer des fichiers récalcitrant en invite de commandes de Windows à partir des options de récupération de Windows 10.
On utilise la commande del en invite de commandes.
Cette méthode est très efficace mais il faut avoir quelques connaissances.
L’autre solution est d’utiliser un CD Live, comme le CD Live Malekal qui possède une interface graphique pour naviguer dans les dossiers.

Autres cas : problème de permissions

Voici le message le plus courant :

Accès au dossier refusé

Vous devez disposer d'une autorisation pour effectuer cette action.
supprimer_dossier_fichier_insupprimable_probleme_autorisation
Ce message d’autorisation est dû à des permissions sur le dossier/fichier qui font que vous n’avez pas les permissions pour modifier/supprimer ou même lire le contenu du dossier.
Si vous êtes administrateur de Windows, vous pouvez modifier ces permissions pour vous donner les permissions adéquates.
Ainsi vous aurez les autorisations pour supprimer le fichier/dossier.
Principe : Les autorisations NTFS et partage sur Windows

Menu Clic droit

Il est notamment possible d’ajouter un menu déroulant qui permet de devenir propriétaire des fichiers et réinitialiser les permissions.
Plus d’informations, lire la page : Réinitialiser les permissions de fichiers par un clic droit.

Reset Files Permissions

Reset Files Permissions permet de réinitialiser les autorisations sur un dossier.
Page de téléchargement : http://lallouslab.net/2013/08/26/resetting-ntfs-files-permission-in-windows-graphical-utility/
Dézippez l’utilitaire, lancez-le.
Dans Choose Folder, sélectionnez le dossier en parcourant vos disques.
Cochez toutes les options et cliquez sur GO.
Tentez ensuite de supprimer le dossier.
resetfilespermissions

Permission Time Machine Lite

Permission Time Machine Lite permet aussi de : modifier permissions fichiers.
Rendez-vous sur la fiche du logiciel : Permission Time Machine Lite

Manuellement en graphique

Sur le dossier ou fichiers, faites un clic droit puis Propriétés.
Cliquez sur l’onglet Sécurité.
windows_modifier_autorisations_dossier_fichiers
Cliquez sur le bouton Avancé en bas à droite
Dans la nouvelle fenêtre cliquez sur l’onglet Autorisations
(sur Windows XP, Vista et 7, l’onglet est Propriétaires).
Aussurez-vous en haut que le nom du Propriétaire est votre nom d’utilisation.
Si ce n’est pas le cas, cliquez sur Modifier et mettez votre nom d’utilisateur.
windows_modifier_autorisations_dossier_fichiers_2
Faites ok sur toutes les fenêtres puis à nouveau sur le dossier ou fichiers, faites un clic droit puis Propriétés.
windows_modifier_autorisations_dossier_fichiers_3
Saisissez votre nom d’utilisateur Windows.
Cliquez à droite sur Vérifier les noms.
Votre nom d’utilisateur doit passer en souligné, s’il est bien reconnu.
Cliquez sur OK.
windows_modifier_autorisations_dossier_fichiers_4
Sur les permissions de votre compte utilisateur Windows,
Mettez les permissions en bas sur Contrôle Total.
windows_modifier_autorisations_dossier_fichiers_5
Cliquez sur OK et tentez de supprimer le dossier.

Manuellement en ligne de commandes


Vous pouvez aussi supprimer les fichiers en ligne de commandes.
L’article suivant vous donne tous les détails : Supprimer un fichier ou dossier en ligne de commandes


 REF.:

samedi 24 juin 2017

Cell volé : Vérifiez le statut d’un appareil

Vérifier un appareil Canada

Vérifier un appareil vous donne accès
instantanément au répertoire national
canadien d’appareils déclarés perdus
ou volés.
Vérifiez le statut d’un appareil
d’occasion avant de le vendre
ou de l’acheter.
Consommateurs
Vous achetez un appareil d’occasion? Vérifiez-en ici-même le numéro IMEI afin de vous assurer qu’il n’a pas été déclaré perdu ou volé au Canada.

FRST : L'outil de diagnostique,le tutoriel du Farbar Recovery Scan Tool (FRST)

FRST est un programme qui effectue un analyse de Windows et génère des rapports.
Ces rapports contiennent des points de chargements de Windows, les processus en cours d’exécution, une partie des DLL chargées en mémoire, les derniers fichiers modifiés dans le système et bien d’autres données.
A partir, d’une analyse de ces informations, il est possible de trouver certains logiciels malveillants et de les éradiquer.
La suppression se fait à partir d’un script de correction que l’on fournit à FRST et qui indique les fichiers, clés et autres éléments à supprimer de Windows.

Fabar Recovery Scan Tool (FRST) n’est pas un antivirus mais un outil de diagnostique comme OTL.
Le programme analyse  le système et génère un ou plusieurs rapports qui peuvent être analysés par exemple avec le service pjjoint afin de déceler des menaces informatiques (Trojan, Adwares etc).
Le tutoriel vous explique comment générer les rapports et les envoyer à http://pjjoint.malekal.com qui va vous retourner un lien à donner à l’interlocuteur qui vous aide.
Si vous avez été redirigé ici depuis un forum de désinfection, le but est de faire passer les rapports FRST à la personne qui vous aide à travers le service pjjoint afin que celui-ci puisse déterminer si l’ordinateur est infecté et éventuellement vous passer un “fix”, c’est à dire les commandes FRST qui vont bien pour désinfecter votre ordinateur.
Ce tutoriel est disponible sous forme de vidéo et en image.
Il est conseillé de suivre les deux… Ce n’est pas compliqué, prenez votre temps et lisez bien.



Lancer un scan FRST

Téléchargement FRST :
(Pour savoir si vous êtes en 32-bits ou 64-bits, lire la page : Comment vérifier si Windows est en 32-bits ou 64-bits)
Cliquez sur le bouton Download à droite pour obtenir le programme.
Si cela est plus simple, voici le tutoriel en vidéo, n’hésitez pas à suivre le tutoriel en image en parallèle :
SmartScreen peut émettre une alerte – vous pouvez forcer l’exécution en cliquant sur informations complémentaires puis exécuter quand même.
FRST_SmartScreen

Avast! et Norton peuvent bloquer le programme… Désactiver le, le temps de l’utiliser : clic droit sur l’icône en bas à droite côté de l’horloge puis Gestion des agents Avast => Désactiver définitivement.
FRST_detection_Avast_rk
FRST_detection_Avast_desactiver



Après avoir téléchargé le programme FRST, ce dernier doit se trouver dans votre dossier Téléchargement.
FRST doit être placé sur le bureau, pour cela :
  • Ouvrez le dossier de Téléchargement, faites un clic droit sur FRST puis Couper.
  • Placez vous sur votre Bureau en faisait clic droit puis Coller. (Attention à ne pas créer un raccourci de l’application FRST)
  • Cela va placer FRST sur le bureau.
Tutorial_FRST_deplacer_bureau
Tutorial_FRST_deplacer_bureau2
  • Lancez FRST qui se trouve maintenant sur votre bureau.
  • Accepter les modifications de l’ordinateur en cliquant sur Oui.
  • Acceptez les Clauses de non responsabilité (Dislaimer) en cliquant sur le bouton YES.
  • FRST_FR_DislaimerFabar_FRST
  • Cochez les options comme indiqué dans la fenêtre ci-dessous (à savoir il faut cocher Shortcut.txt qui ne l’est pas par défaut).
  • Cliquez sur le bouton Analyser/Scan pour démarrer l’analyse.
  • L’analyse se lance, les éléments scannés apparaissent en haut.
Version Française :
FRST_FR
Version en anglais :
FRST

Une fois le scan terminé, les rapports s’ouvrent sur le bloc-note : FRST.txt, Shortcut.txt et Addition.txt Fabar_FRST3
  • Ces trois rapports se trouvent sur le bureau avec le programme FRST.
    Fabar_FRST4
Si vous vous faites aider sur un forum : Ne copier/coller pas les rapports pas directement sur le forum, utilisez pjjoint pour les transmettre.
Allez sur le site http://pjjoint.malekal.com afin d’y déposer les rapports pour une consultation par un tiers.
Le principe est simple, vous envoyez chacun des rapports, à chaque fois un lien menant à ces rapports vous sera donné. Il faut donner ce lien à votre interlocuteur afin qu’il puisse lire les rapports.

  • Sur pjjoint, dans la partie, Chemin du fichier à soumettre, cliquez sur Parcourir.
  • Sélectionnez le fichier FRST.txt qui se trouve sur votre bureau.
Tutorial_FRST_pjjoint
Cliquez sur Envoyer le fichier :
Tutorial_FRST_pjjoint2
Le site pjjoint, vous donne en retour un lien qui mène à ce rapport afin d’être consulter.
Le but est de transmettre ce lien à votre interlocuteur, pour cela : Il suffit pour cela, de faire un clic droit sur le lien donné par pjjoint puis “Copier l’adresse du lien”.
Tutorial_FRST_pjjoint3
En réponse sur le forum, dans un nouveau message, faites un clic droit et coller.
Répétez l’opération pour le fichier Additionnal.txt et transmettez le  lien pjjoint de votre rapport Additionnal.txt

Voici un exemple de ce que cela donne au final :
Tutorial_FRST_pjjoint4

Correction (fix) avec FRST

Si vous vous faites aider sur un forum, il est possible que l’on vous fournisse un script qui permet d’être joué par FRST afin d’effectuer des commandes, notamment pour supprimer des éléments malicieux sur votre ordinateur.
Le script est transmis en retour de réponse des rapports donnés précédemment.
Tutorial_FRST_fixLe script donné doit être enregistré dans un fichier fixlist.txt qui doit se trouver dans le même dossier que le programme FRST.
FRST doit se trouver sur votre bureau, il faut donc enregistrer le fichier fixlist.txt sur le bureau.
Pour cela :
  • Ouvrez le Bloc-Note- Touche Windows +R et dans le champs exécuter, saisir notepad et OK.
  • C’est un éditeur de texte vide, Coller le script que l’on vous a fourni.
Ci-dessous un exemple de script :
FRST_fixCliquez sur le menu Fichier puis Enregistrez-sous :
1/ Placez-vous sur le bureau en cliquant sur bureau à gauche.
2/ Saisir dans le nom du fichier : fixlist.txt
3/ Cliquez sur le bouton Enregsitrer : fixlist.txt est enregistré sur le bureau.
FRST_fix_suite Relancez FRST qui doit aussi se trouver sur votre bureau.
Cliquez sur le bouton Corriger / fix. La correction doit s’effectuer, il est possible que la correction nécessite le redémarrage de l’ordinateur.
FRST_FR_Corriger
FRST_Fix
Si vous avez une erreur “fixlist.txt not found”, cela signifie que FRST ne trouve pas le fichier fixlist.txt
Soit vous n’avez pas enregistré le fichier sous le nom fixlist.txt, soit le fichier fixlist.txt ne se trouve pas dans le même dossier que FRST.
Encore une fois, FRST et fixlist.txt doivent se trouver sur votre bureau.

Note informative

FRST créé un dossier C:/FRST dedans se trouvent un dossier Logs où sont automatiquement enregistrés les rapports mais aussi un dossier Quarantine où se trouve les fichiers qui ont été supprimés depuis l’application.
Fabar_FRST7

Farbar et CD Live Malekal

Si le programme est executé en environnement CD Live, ce dernier va scanner le Windows hôte (comme le fait OTLPE).
Cela permet de générer un rapport depuis un environnement CD Live afin de diagnoster les infections et les faire supprimer.
Se reporter au paragraphe FARBAR sur la page CD Live Malekal : https://www.malekal.com/2013/02/22/malekal-live-cd/
Maleka_CD_Live_Farbar3

Désinfection FRST autonome

Se rendre sur le tutoriel : Désinfection manuelle de Windows (Trojan, Adware etc)
Tout y est expliqué afin d’analyser les rapports FRST et produire le fixlist.txt en conséquence.

Lien connexes à la désinfection virale

Désinfection virus :
REF.:

The Dark Web: la face criminelle de l'internet

Vous pouvez y acheter de la drogue, y échanger des armes ou y louer les services d'un pirate : en quelques clics en effet, vous pouvez accéder à la face cachée de l'internet. Voyage au centre de ce web invisible, un monde impitoyable en ligne sur lequel les pouvoirs publics et la police n'ont que peu d'impact.



Précisons tout d'abord que le Dark Web et le Deep Web sont deux choses différentes. En effet, le terme Deep Web s'applique essentiellement aux pages qui ne sont pas indexées par les moteurs de recherche comme Google. Et donc aussi les pages web qui ne sont accessibles qu'avec un mot de passe et ne sont donc pas ouvertes au grand public.
En revanche, le Dark Web concerne les pages non-indexées qui ne sont visibles qu'avec un navigateur spécial anonymisé, comme Tor. Le réseau Tor assure cette anonymité grâce à des 'noeuds' différents, des serveurs informatiques gérés par des milliers de bénévoles. Les données transmises avec un navigateur Tor sont d'abord consolidées au sein de paquets cryptés dans lesquels toutes les informations susceptibles d'identifier l'expéditeur sont supprimées. Sur le trajet vers leur destination, ces informations transitent ensuite par toute une série de 'noeuds' où elles sont à nouveau cryptées et 'emballées' dans de nouveaux paquets. Les différentes couches de cryptage rendent pratiquement impossible le traçage de la source du paquet en question.

A vos propres risques

Notre guide dans le Dark Web est Olivier Bertrand, expert en sécurité chez Trend Micro. Mais avant de partir, conseille-t-il, quelques mesures de prudence s'imposent. Car l'internaute moyen n'y a pas sa place. En effet , si accéder au Dark Web n'a rien d'illégal, l'utilisateur n'en prend pas moins certains risques. En effet, nous ne serez jamais bien loin d'un site de vente d'armes ou de drogues notamment. Selon Bertrand, mieux vaut donc ne pas cliquer sur des liens qui paraissent suspects, ou tout au moins plus suspects que le reste, d'autant qu'ils peuvent renfermer des malwares et autres virus. Vous surferez donc à vos propres risques et périls.




Voyage au centre de ce web invisible, un monde impitoyable en ligne
Voyage au centre de ce web invisible, un monde impitoyable en ligne © Getty Images/iStockphoto
Quoi qu'il en soit, la première étape consiste à télécharger le navigateur Tor, lequel est largement disponible sur l'internet et aussi facile à installer que Spotify par exemple. Il est préférable de ne pas utiliser Tor avec son propre système d'exploitation, mais de se doter par exemple de la distribution Linux Tails, laquelle est configurée pour optimiser le réseau Tor et peut tourner sur un clé USB. Ou d'installer un desktop virtuel sur votre ordinateur grâce à un logiciel comme VMware.
Deux bonnes raison à cela. D'abord, vous serez plus en sécurité puisque vous travaillerez dans un environnement distinct qui permet de protéger vos fichiers et données personnels des malwares et autres logiciels malveillants. Ensuite, votre vie privée s'en trouvera aussi sécurisée. Car si le navigateur Tor permet certes de surfer en tout anonymat, certains fichiers n'en sont pas moins stockés au niveau local qui permettent de contrôler votre activité.

Ebay pour criminels

Une fois Tor lancé, l'important consiste à trouver une page de recherche intéressante, une sorte de Google du Dark Web en somme. A partir de là, tout est pratiquement possible. Ainsi, il est possible d'accéder à l'Ebay du Dark Web pour y remplir votre panier criminel de fausses cartes de crédit, d'argent contrefait ou de passeports falsifiés. A titre d'exemple, une fausse carte d'identité belge revient à 275 ? seulement. Tous les paiements se font de manière totalement anonyme avec des bitcoins.
En louant les services d'un pirate, il est possible d'anéantir la réputation d'une personne, de faire de l'espionnage économique ou de collecter des informations personnelles. Le pirate affirme pouvoir installer de la pédopornographie sur l'ordinateur de la personne de votre choix, de ruiner sa situation financière ou de le faire arrêter. Les petites missions, comme le piratage d'un courriel ou d'un compte Facebook, coûte 200 euros. Et pour les opérations plus complexes, comme l'espionnage, il vous en coûtera au moins 500 euros.




Partager
Les prix varient de 23 euros pour un cheval de Troie capable de dérober un mot de passe à 1.650 euros pour un rançongiciel.
Vous pourrez également acheter des logiciels malveillants comme des rançongiciels, des chevaux de Troie, des enregistreurs de frappe ou des attaques DDoS. Les prix varient de 23 euros pour un cheval de Troie capable de dérober un mot de passe à 1.650 euros pour un ransomware. Des comptes de streaming pirates sur Netflix sont vendus à 10 cents. A la recherche d'un cadeau ? Cartes de voeux en ligne, billets d'avion avec réservation d'hôtel ou cartes frequent flyer sont en vente à des prix largement inférieurs aux montants réels. De même, toutes sortes d'armes, comme des mitrailleuses ou des lance-fusées sont aussi en vente libre.
Le règlement de la transaction se fait en général via un 'escrow service', un intermédiaire qui bloque le transfert de bitcoins si le client n'est pas satisfait de son achat. Cette solution permet d'éviter que tant l'acheteur que le vendeur ne soit dupé par une place de marché anonyme.

Totalement anonyme?

Les utilisateurs sont-ils totalement anonymes et invisibles aux yeux de la loi ? Pas toujours. Selon Bertrand, il est possible, en y mettant le temps et les moyens nécessaires, d'identifier les personnes. Ainsi, la Chine et les Etats-Unis collaborent avec les fournisseurs d'accès à des 'sniffers' capables de surveiller et d'analyser le trafic de données. Mais d'autres pays ne disposent pas de ce type d'infrastructure coûteuse. Parfois, il est plus facile d'attendre que les criminels commettent une faute, comme l'utilisation du même surnom sur l'internet classique et le Dark Web. C'est ce type de corrélation qui aurait permis de démasquer l'exploitant de Silk Road, autrefois l'une des places de marché les plus connues du Dark Web.




The Dark Web: la face criminelle de l'internet
De même, les entreprises spécialisées en cybersécurité comme Trend Micro analysent le Dark Web. Grâce à des algorithmes automatisés, les liens vers les logiciels potentiellement dangereux sur le Dark Web sont analysés : le code est comparé aux menaces déjà existantes et, lorsqu'il existe au moins une similitude partielle, le logiciel est catalogué comme une menace possible. Bref, cette partie cachée de l'internet est également surveillée. Même si la différence reste marquante avec l'internet classique où le moindre mouvement semble suivi par les entreprises privées et les autorités publiques.
Ce ne sont d'ailleurs pas uniquement les criminels qui surfent sur le Dark Web. C'est ainsi que des journalistes y ont installé un réseau pour communiquer avec leur rédaction dans des zones où l'internet est bridé. De même, dans les pays dictatoriaux, le Dark Web est parfois utilisé pour communiquer librement. Tandis que des lanceurs d'alerte comme Edward Snowden ou Julian Assange ne peuvent se passer de ce type de réseau.
Reste que pour chaque activiste qui utilise ce réseau comme un outil pour rendre le monde meilleur, il existe des criminels qui l'exploite pour des activités délictueuses. Dans cet internet de l'ombre, la police, les criminels, les activistes et les pouvoirs publics jouent au jeu du chat et de la souris, lequel n'est pas prêt de s'arrêter.

REF.: