catchme : suppression de fichiers/malwares

Liste des rogues, faux-antispywares, phising, hoax etc.. et autres arnaques en tout genre sur internet.
Malekal_morte
Site Admin
Site Admin
Messages : 95507
Inscription : 10 sept. 2005 13:57
Contact :

catchme : suppression de fichiers/malwares

Message par Malekal_morte » 17 avr. 2009 12:55

catchme v0.3 de gmer est un programme puissant qui permet de supprimer des malwares même rootkité.

Vous pouvez télécharger la version 0.3 à partir du lien suivant : http://www2.gmer.net/catchme.exe

Pour utiliser catchme vous devez désactiver votre antivirus, ce dernier peut détecter catchme comme un malware (notamment catchme effectue via une DLL des injections dans certains processus dont explorer.exe, la DLL en question peut-être détecté par les antivirus comme malware Trojan.Injector).

Le GUI

Onglet Files

Une fois lancé catchme affiche deux onglets Files et Script.
Dans l'onglet Files, un bouton Scan permet de scanner l'ordinateur à la recherche d'éventuelles rootkits.

Le résultat s'affiche sur la console et dans le GUI accompagné d'une popup indiquant que le scan est terminé.

Un fichier catchme.log est alors créé sur le bureau contenant les résultats du scan.

Image

Le bouton Zip permet de zipper le contenu des fichiers dans un fichier catchme.zip qui sera créé sur le bureau (et pas ailleurs).
Une fois le zip créé.. une popup "files zipped successfully"

Image

Vous avez la possibilité d'ajouter des fichiers dans le zip à partir du bouton Add
Ca peut permettre par exemple d'ajouter un fichier infectieux, non rootkités, dans le zip pour analyse, en plus de ceux rootkités.

Image
Image


Onglet Script

L'onglet Script comme son nom l'indique permet de passer un script pour effectuer des opérations (copie de fichiers, suppressions etc).

La syntaxe des divers commandes :

Collecter des fichiers %Desktop%\catchme.zip (peut-être utile pour récupérer un fichier rootkité)
files:
C:\MesfichiersAsupprimer
C:\MesfichiersAsupprimer1
C:\MesfichiersAsupprimer2
Détruire la structure PE des fichiers, le fichier reste en place mais ne peux être exécuter (erreur win32) - les fichiers sont copiés dans %Destop%\catchme.zip
files to kill:
C:\MesfichiersAsupprimer1
C:\MesfichiersAsupprimer2
Supprimer les fichiers - les fichiers sont copiés dans %Destop%\catchme.zip
Files to delete:
C:\MesfichiersAsupprimer1
C:\MesfichiersAsupprimer2
Une fois le script copier/coller.. il faut cliquer sur le bouton Run pour lancer l'exécution.


catchme en ligne de commandes :

On peut utiliser catchme en ligne de commandes (cmd.exe) ou via des batchs..

L'aide obtenu via la commande catchme -h ou -help
Usage: catchme.exe [options]
-p processes scan --> effectue un scan de processus
-s servicess scan --> effectue un scan de services
-r autostart entries scan --> scan des clefs du registres utilisées pour démarrer des programmes
-f [folder] files scan --> effecute un scan de fichiers
-c source destination copy file --> copie un fichier (rootkits ou non)
-k filename kill file --> détruit un fichier (rootkité ou non )en le zippant dans catchme.zip
-K filename kill file without making a copy --> détruit un fichier sans effectuer de zip
-e delete kill file --> supprimer un fichier (rootkité ou non ) en le zippant dans catchme.zip
-E delete kill file without making a copy --> supprime un fichier sans effectuer de zip
-o filename dummy --> remplace un fichier endommagé, cela peut être utile dans le cas où Windows ne parvient pas à supprimer un fichier...
-O filename dummy --> remplace un fichier endommagé sans faire de copie du fichier "dummy"
-r raw registry scan : scan du registre :
* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft ( C:\WINDOWS\system32\config\software )
* HKEY_CURRENT_USER\Software\Microsoft ( %USERPROFILE%\ntuser.dat )
-s raw registry scan : scan du registre :
* ajout du scan du registre (en raw)
* HKEY_LOCAL_MACHINE\SYSTEM ( C:\WINDOWS\system32\config\system )

-u do not display GUI --> effectuer les actions sans ouvrir le gui
-a display all information --> mode verbose, affiche des informations supplémentaires
-t show all Alternate Data Streams --> voir les ADS
-g grab hidden files to %DESKTOP%\catchme.zip --> tous les fichiers détectés lors des scans seront ajoutés dans catchme.zip
-n use NTAPI --> utilise le mode de scan de catchme 0.2 (direct INT 2E call) - Etant donné la v0.3 utilise un accès direct NTFS.. Dans le cas où le FS est en FAT32.. catchme switchera automatiquement sur ce mode.
-d scan subfolders ( use with options -f and -a ) --> scan récursif
-h display this help -- d'après vous ?


Exemple d'utilisation :
catchme.exe -a -p --> scan de processus en mode verbose
catchme.exe -a -s --> scan de services en mode verbose
catchme.exe -a -f C:\WINDOWS --> scan le dossiers Windows en mode verbose
catchme.exe -a -d -f C:\WINDOWS --> scan le dossiers Windows récursivement (les sous-dossiers seront scannés) en mode verbose
catchme.exe -k C:\WINDOWS\system32:pe386.sys --> supprime l'ADS pe386.sys en effectuant un backup
catchme.exe -c C:\WINDOWS\system32:pe386.sys C:\pe386.sys --> copie l'ADS vers C:\pe386.sys


Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.


Répondre

Revenir vers « Sécurité : Prévention, Désinfection autonome, virus & arnaques et dangers d'Internet »