Auteur(s) : Jesses Création : 28/01/2006 Mise à jour : 22/05/2008

 

KillBox

KillBox, en réalité Pocket KillBox, est un petit utilitaire qui permet de supprimer des fichiers récalcitrants.

La suppression des fichiers peut s'effectuer lors du redémarrage de Windows, avant que ceux-ci ne soient utilisés.
Il vous permettra ainsi de priver un nuisible de tous ses fichiers avant qu'il ne s'active.

Il vous sera souvent conseillé à la suite d'un scan HijackThis.
Bien que HijackThis possède une fonction similaire, Killbox est plus complet et convivial pour les suppressions multiples.

Attention, ce n'est pas un jouet !
Comme tous les outils de ce genre, il est à manipuler avec les précautions d'usage.
L'erreur n'est pas admise sous peine de supprimer un fichier système indispensable.
En cas de doute, demandez l'avis d'un expert.

La mise en place

Téléchargez KillBox

Ce lien est le lien officiel, c'est la garantie d'obtenir la dernière version :
http://www.killbox.net/
Cliquez en haut à gauche sur le lien "Dowload KillBox".
Le téléchargement se lancera automatiquement.
Vous obtenez le fichier "KillBox.exe" directement utilisable.

Sur les liens suivants, vous obtiendrez un fichier archive "KillBox.zip" qu'il faudra décompacter :
http://www.malwareremoval.com/downloads.html
http://www.bleepingcomputer.com/files/spyware/KillBox.zip
http://www.downloads.subratam.org/KillBox.zip

La mise en place

Ce petit outil ne nécessite aucune installation.

Si vous avez chargé un fichier archive "Killbox.zip", décompactez-le pour obtenir le fichier "KillBox.exe".

Placez le fichier "KillBox.exe" sur le bureau ou dans un dossier que vous lui avez créé à la racine du disque dur.
Vous pouvez également le placer sur une disquette ou une clé USB.
Si cet outil est utilisé conjointement à HijackThis, vous pouvez le placer dans le même dossier que HijackThis.

Avant de l'utiliser

Les nuisibles adorent affecter l'attribut "Caché" à leurs fichiers ou les placer dans des dossiers normalement dissimulés par Windows.
Assurez-vous que vous forcez bien Windows à afficher tous les fichiers et leurs extensions.
L'affichage des extensions de fichiers est une affaire de bons sens. Inutile de risquer l'erreur judiciaire.

Etape 1 - Entrez le chemin du ou des fichiers à traiter.

Il vous suffit d'indiquer le chemin COMPLET du ou des fichiers à supprimer dans le champ "Full Path of File to Delete"
Exemple : C:\Windows\System32\SaleBete.exe

Cinq solutions pour entrer ce chemin :

Solution 1 - Recherchez ce fichier

Utilisez l'icône qui représente un dossier ouvert ("Browse for File").

Un formulaire classique d'accès aux fichiers s'ouvre.

- Commencez par dérouler "Poste de travail".
(On déroule un dossier en cliquant sur le signe "+" placé devant son nom)

- Déroulez de même le disque sur lequel se trouve le fichier (exemple C:)

- Déroulez ensuite les dossiers successifs qui permettent d'arriver au fichier à supprimer.
Utilisez au besoin l'ascenseur pour les trouver.

Dans l'exemple "C:\Windows\System32\SaleBete.exe", il faut dérouler : "C:" puis "Windows" puis "System32".

- Une fois dans le bon dossier, cherchez votre fichier puis sélectionnez-le (cliquez sur son nom, il est alors surligné en bleu).
Dans l'exemple précédent : sélectionnez "SaleBete.exe"

- Cliquez sur le bouton "OK".

De retour dans le panneau principal, vous devez voir indiqué le chemin complet du fichier à supprimer.
Vérifiez une dernière fois que ce chemin est bien exact et complet, après il sera trop tard.
Il est encore temps d'annuler l'opération en supprimant l'inscription dans le champ "Full Path of File to Delete" puis de recommencer.
Voyez ci-dessous le paragraphe "En cas d'erreur".

Solution 2 - Tapez ou copiez/collez le chemin COMPLET.

Exemple : C:\Windows\System32\SaleBete.exe

Le copier/coller d'un chemin fourni par un expert est souvent la méthode la plus sûre pour éviter les bavures.
Personne n'est à l'abri d'une faute de frappe !

Solution 3 - Entrer une liste de fichiers par copier/coller

Dans le cas de la suppression de plusieurs fichiers, vous pouvez copier toute la liste de fichiers (un fichier par ligne).
Puis d'entrer cette liste dans KillBox par Menu "File" -> "Past from Clipboard"

Exemple :

Celui qui vous aide vous demande de supprimer les fichiers suivants (immédiatement ou au redémarrage) :
C:\Windows\System32\SaleBete1.exe
C:\Windows\System32\SaleBete2.exe
C:\Windows\System32\SaleBete3.exe
Effectuez un "Copier" de la liste complète de fichiers ci-dessus. Ne la tapez surtout pas à la main, c'est une source d'erreur.
De retour dans KillBox : Menu "File" -> "Past from Clipboard"
Pour y avoir accès en permanence, vous devrez peut-être la sauvegarder d'abord dans un fichier texte (voir ci-dessous).

A noter :

Dans le cas d'une liste, l'utilisation de cette fonction "Past from Clipboard" est impératif.
Le "Coller" simple ne colle que le premier fichier de la liste.

Sauvegarder une liste de fichiers

Il vous sera souvent demandé de travailler en mode sans-échec. Vous n'aurez donc pas accès au Web.
Il vous sera peut-être demandé également de modifier cette liste en fonction des circonstances (fichiers à nom variable).
Il est peut donc être nécessaire de créer un fichier texte contenant la liste des fichiers à supprimer.

- Clic bouton droit sur le bureau -> "Nouveau" -> "Document texte"

- Renommez "Nouveau Document texte" en "DelFiles.txt" (sans les guillemets).
Si vous loupez votre coup : clic bouton droit sur le fichier -> "Renommer"

- Ouvrez ce fichier "DelFiles.txt" (double-cliquez dessus), le bloc-notes s'ouvre.

- Effectuez un copier/coller de la liste des fichiers à supprimer dans la fenêtre du bloc-notes.

- Enregistrez le fichier (Menu "Fichier" -> "Enregistrer").

- Quittez le bloc-notes.

Quand vous désirerez utiliser cette liste, il vous suffira de la copier :

- Ouvrez le fichier "DelFiles.txt" (double-cliquez dessus), le bloc-notes s'ouvre.

- Menu "Edition" -> "Sélectionner tout"

- Menu "Edition" -> "Copier"

Vous pouvez fermer le bloc-notes, vous êtes prêt à insérer cette liste dans Killbox par Menu "File" -> "Past from Clipboard".

Solution 4 - Tirer un fichier à partir de l'Explorateur Windows

Avec la souris, tirez le fichier à partir de l'Explorateur Windows (ou du Poste de Travail) pour le déposer dans le champ d'entrée de KillBox.

Solution 5 - La fonction de recherche

Vous devez d'abord activer la fonction de recherche :
Menu "Tools" -> Cochez "File Find" ou la combinaison de touches [Ctrl]+[F]
Le titre du champ d'entrée indique en rouge "Type something to Search for".

Entrez le nom ou une partie du nom du fichier à rechercher. Les caractères génériques sont admis.
Exemple : C:\Wiindows\Fil*.* recherchera tous les fichiers dont le nom commence par "Fil" présents dans le dossier "C:\Windows\" et ses sous-dossiers.

Tous les fichiers trouvés seront ajoutés à la liste dans le champ d'entrée.
Si vous ne désirez pas les supprimer tous, vous devrez utiliser une fonction du menu "Remove Item" pour retirer les fichiers à conserver de la liste (voir le paragraphe "En cas d'erreur" ci-dessous).

A noter que lorsque la recherche est terminée, l'option de recherche est désactivée.
Relancer une recherche ajoutera les nouveaux fichiers à la liste.

En cas d'erreur

Vous pouvez annuler une inscription en la sélectionnant dans le champ "Full Path of File to Delete" (cliquez dessus).
Puis Menu "Remove Item" -> "Remove Selected".

Notez que dans ce menu, "Clear All Items" supprime toutes les entrées.

Vous constaterez que "Remove Duplicates" est coché par défaut. Cela évite d'avoir plusieurs entrées identiques dans la liste.

A noter

Vous pouvez demander l'affichage des propriétés du fichier par le bouton

Les limitations de KillBox

- KillBox sait également supprimer un dossier (il suffit de le sélectionner à la place d'un fichier), mais il ne supprime que des dossiers vides.
Cela ne présente donc pas un grand intéret.
C'est une sécurité dans le cas de l'entrée d'un chemin incomplet. Imaginez que vous supprimiez un dossier système par accident !

- Killbox n'accepte pas encore les caractères génériques ("*" et "?") permettant de supprimer toute une famille de fichiers.
Ce n'est d'ailleurs pas un mal, pour de simples raisons de sécurité.

Etape 2 - La suppression

Suppression d'un ou de plusieurs fichiers au démarrage

Cochez "Delete on Reboot" (Supprimer au redémarrage)

S'il vous est demandé d'utiliser KillBox, c'est sûrement cette méthode qui sera préconisée. Il est donc normal d'en parler d'abord.

1 - Vérifiez une dernière fois.

A l'étape 1, vous avez entré le chemin complet du ou des fichiers à supprimer dans le champ "Full Path of File to Delete".
Vérifiez une dernière fois que ce ou ces chemins sont bien exacts, avant qu'il ne soit trop tard.
En déroulant le champ "Full Path of File to Delete" assurez-vous que tous les fichiers sont bien correctement inscrits.
(Pour dérouler le champ, il faut cliquer sur le petit triangle noir pointe en bas placé à droite du champ).
Il est encore temps de recommencer ou d'annuler toute l'opération.
Ne vous inquiétez pas s'il en manque quelques uns, KillBox vérifie et ne retient que les fichiers existants.

2 - Pour les fichiers dll

Si un ou des fichiers ".dll" sont présents dans la liste, cochez "Unregister .dll Before Deleting".
Si cette option n'est pas disponible (ce peut être le cas si vous avez entré une liste de fichiers) :
déroulez la liste, sélectionnez un fichier dll quelconque pour activer l'option et pouvoir la cocher.

3 - Choisir la méthode de traitement de la liste

- Bouton "All Files"
Cette option enregistrera en une seule fois la suppression de tous les fichiers présents dans le champ d'entrée.
Ce sera l'option la plus utilisée. Elle n'est malheureusement pas sélectionnée par défaut.

- Bouton "Single File"
Cette option enregistrera un par un chacun des fichiers présents dans le champ d'entrée.
Vous devrez donc répéter la demande d'enregistrement de suppression pour chacun des fichiers de la liste.
C'est l'option sélectionné par défaut.

4 - Enregistrez la suppression des fichiers

Cliquez sur la croix blanche dans le cercle rouge
KillBox vous pose alors la question suivante :
"Files will be Removed on Reboot, Do you want to reboot now ?"
(Les fichiers seront supprimés au redémarrage. Souhaitez redémarrer maintenant ?)

Attention à votre réponse !

- Si vous êtes prêt à redémarrer, cliquez "Oui".
Ce sera le cas si vous avez fini d'entrer tous les fichiers à supprimer et accompli toutes les tâches.
Patientez, le redémarrage est automatique.

- Si vous avez encore des fichiers à entrer ou une tâche à accomplir, vous devez cliquer sur "Non"
Notez également que c'est votre dernière chance en cas d'erreur (voir "Annuler l'opération" ci-dessous).
Ne vous inquiétez pas, les tâches de suppression sont enregistrées au fur et à mesure.
Si vous avez décidé d'entrer les fichiers un par un, il faut alors renouveler l'opération pour le fichier suivant.
Ces suppressions seront effectuées lors du prochain redémarrage, que vous le demandiez ou qu'il soit automatique.

Annuler l'opération

Si vous avez répondu "Non" au redémarrage immédiat, vous pouvez encore annuler l'opération de suppresion.
Menu "Remove Item" -> "Remove PendingFileRenameOperations"
Cela aura pour effet d'effacer toutes les opérations de suppression ou de remplacement de fichiers.

Suppression immédiate d'un fichier

Cochez "Standard File Kill"

KillBox permet de supprimer un ou des fichiers de façon immédiate donc sans redémarrage.
Il n'est pas indispensable pour cette opération puisque tous les outils sont disponibles dans Windows (exploration de dossiers et fichiers, suppression, interruption de processus, désinscription des fichiers dll,...). Son seul avantage est de regrouper toutes ces fonctions en un seul outil.

1 - Vérifiez une dernière fois

A l'étape 1, vous avez entré le chemin complet du ou des fichiers à supprimer dans le champ "Full Path of File to Delete".
Vérifiez une dernière fois que ce chemin est bien exact, après il sera trop tard.
Il est encore temps de recommencer ou d'annuler toute l'opération.

2 - Pour les fichiers dll

Si un ou des fichiers ".dll" sont présents dans la liste, cochez "Unregister .dll Before Deleting".
Si cette option n'est pas disponible (ce peut être le cas si vous avez entré une liste de fichiers) :
déroulez la liste, sélectionnez un fichier dll quelconque pour activer l'option et pouvoir la cocher.

3 - Pour les fichiers récalcitrants

Si vous utilisez KillBox, c'est sûrement parce que ce fichier fait de la résistance ou pour désinscrire un fichier dll.

Stopper un processus

Vous devrez peut-être stopper le processus (ou celui qui utilise ce fichier) avant de lancer la suppression.
- Déroulez le champ "System Process", sélectionnez le processus en cause (souvent le nom de ce fichier)

- Cliquez sur le triangle jaune contenant un point d'exclamation

Une confirmation vous est demandée, cliquez sur le bouton "Oui".

Interrompre le processus "Explorer.exe"

Cochez "End Explorer Shell While Killing File".

"Explorer.exe" est l'interface graphique de Windows donc le bureau.Ce processus sera interrompu avant la suppression.
Vous verrez alors le bureau disparaitre brièvement puis réapparaitre après suppression.
Ceci est particulièrement utile pour certains nuisibles qui inscrivent une ligne O20 dans les scans HijackThis.
(J'avoue préférer la suppression au démarrage dans ce cas).

4 - Lancez la suppression du fichier

Cliquez sur la croix blanche dans le cercle rouge
Une confirmation est demandée, confirmez.
Si vous avez un doute, vous pouvez encore annuler l'opération en cliquant sur "Non".

Une boîte d'alerte vous indique si l'opération s'est bien déroulée ("Success") ou un message d'erreur.

Si vous avez entré une liste de fichiers, il faudra répéter cette opération pour chaque fichier de la liste.

Fichiers générés par KillBox.

KillBox utilise le dossier "!KillBox" placé à la racine du disque Système (Normalement le disque C:).
Si ce dossier n'existe pas, il est créé à la première utilisation.
Ce dossier contiendra tous les dossiers et fichiers générés par KillBox.

Fichiers journaux (log)

Les fichiers journaux de KillBox sont placés dans le dossier !KillBox\Logs\

Toutes les actions effectuées sont indiquées dans son fichier journal "kb.log".
Vous pouvez y accéder dans KillBox : Menu "File" -> "Logs" -> "Actions History Log"

Il est possible de commencer un nouveau journal :
Menu "File" -> "Logs" -> "* Start New Log" Une confirmation est demandée.
L'ancien fichier "kb.log" est alors renommé en kb.mmmm-jj-hhmm.log
(mmmm = mois en lettres, jj = jour sur deux chiffres, hhmm = heure et minutes).

Vous pouvez consulter la liste des fichiers actuellement entrés dans KillBox.
Menu "File" -> "Logs" -> "Current items Log"
Cette liste est stockée dans les fichiers temporaires Windows sous le nom "kbls.txt".

Sauvegarde

Avant leur suppression, KillBox sauvegarde les fichiers dans le dossier "!KillBox".
Tout n'est donc pas perdu en cas d'erreur si vous savez où replacer ces fichiers (il suffit de consulter son fichier journal).
Vous pouvez ouvrir ce dossier "Submit!" dans KillBox : Menu "File" -> "Open !KillBox Backups "

Notez que si vous avez demandé la suppression de fichiers possédant le même nom qu'un fichier déjà sauvegardé, il sera affecté d'un numéro.
Exemple : SaleBete.exe, SaleBete.exe( 1), SaleBete.exe( 2), etc...

Le remplacement d'un fichier au démarrage

Cochez "Replace on Reboot"

Un second champ d'entrée va s'ouvrir pour entrer le chemin complet du fichier de remplacement.


Vous pouvez entrer le chemin du fichier de remplacement de deux manières :
- Soit en le tapant ou en le collant directement dans le champ
- Soit en utilisant l'icône de sélection de fichier.

Vous ne pouvez entrer qu'un seul fichier dans ce champ, entrer une liste est impossible.
Si vous aviez indiqué une liste de fichiers dans le champ "Full Path of File to Delete", tous ces fichiers verront leur contenu remplacé par celui du fichier de remplacement.

Cette opération est intéressante par exemple pour :
- Remplacer le fichier d'un nuisible par une version inoffensive. Cela peut lui faire croire qu'il est toujours vivant !
- Remplacer un fichier système endommagé par une copie saine. Utile pour les fichiers système verrouillés par Windows.

Le contenu du fichier original semble être remplacé par celui du fichier de remplacement.
En fait, les étapes de la procédure sont les suivantes :
- Le fichier est d'abord sauvegardé par KillBox dans son dossier de récupération (C:\!Submit\).
Lors du redémarrage, c'est Windows qui travaillera :
- Le fichier à remplacer est supprimé.
- Le fichier de remplacement est copié à l'emplacement du fichier initial.
- Cette copie est renommée sous le nom du fichier à remplacer.

L'option "Use Dummy"

Si vous la cochez, le contenu des fichiers sera remplacé par les deux lignes de texte :
dummy file for KillBox
It is safe to delete this file

Ces fichiers "dummy" de remplacement sont générés dans le dossier des fichiers temporaires Windows.
Ils ont pour nom "kbdummy.0", kbdummy.1, kbdummy.2, etc...
Vous pouvez supprimer tous ces fichiers par Menu "File" -> "Delete all Dummy Files"

Lancer l'opération

Utilisez le bouton habituel de suppression

Les messages seront les mêmes que lors de la suppression des fichiers.

"All listed Files will be Deleted on Next Reboot" (Tous les fichiers listés seront supprimés au prochain redémarrage).
Si vous avez un doute, vous pouvez encore annuler l'opération en cliquant sur "Non".
Pour enregistrer l'opération, cliquez sur "Oui".

"Change will be Made after Reboot, Reboot Now?" (Les modifications seront effectuées après redémarrage, redémarrer maintenant ?)

Si vous êtes prêt à redémarrer, cliquez "Oui" et patientez, le redémarrage est automatique.

Si vous avez encore des fichiers à entrer ou une tâche à accomplir, vous devez cliquer sur "Non"
Ne vous inquiétez pas, les tâches de suppression sont enregistrées au fur et à mesure.
Ces suppressions seront effectuées lors du prochain redémarrage, que vous le demandiez ou qu'il soit automatique.

La boîte à outils de KillBox

Ces outils sont placés dans le menu "Tools"

"Start Explorer Shell"

Peut être utilisé pour rétablir le bureau s'il ne réapparait pas après interruption du Shell lors d'une suppresion de fichier.
Si le bureau est présent, lance l'Explorateur Windows en plein écran pour afficher le contenu du disque système (ordinairement C:)
Rien de plus que ce que peut vous permettre l'Explorateur Windows ou le poste de travail.

"Delete Temp Files"

Effectue le nettoyage des fichiers temporaires Windows.

"Go to SessionManager"

Ouvre l'Editeur du registre à la clé HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\
C'est justement la clé où sont enregistrés les opérations à lancer lors du redémarrage.
En particulier dans la valeur "PendingFileRenameOperations" utilisée par KillBox sous Windows XP (voir le chapitre "Pour les experts").

Si vous n'avez vraiment pas tenu compte des avertissements précédents, il existe encore une chance de supprimer la valeur "PendingFileRenameOperations" avant le redémarrage.
A signaler que la technique utilisée par KillBox peut très bien être utilisée par un nuisible. Vous avez alors accès à cette valeur.

"Open Wininit.ini"

Le fichier Wininit.ini est utilisé par Windows 95/98/Me pour supprimer ou remplacer un fichier au démarrage.
Ce sera la méthode utilisée par KillBox pour ces systèmes d'exploitation. Vous aurez ainsi accès au fichier.
Cette option est normalement inactivée sous Windows XP qui n'utilise pas ce fichier.

Si vous n'avez vraiment pas tenu compte des avertissements précédents, il existe encore une chance de supprimer le contenu du fichier Wininit.ini.
A signaler que la technique utilisée par KillBox peut très bien être utilisée par un nuisible (le ver W32/Deadhat-A par exemple).

"Hosts File"

Permet un accès au fichier hosts.
Son contenu s'affiche dans le bloc-notes. Cela vous permettra de le modifier.
Certain nuisibles s'amusent en effet à bloquer l'accès aux sites qui les dérangent par ce moyen.

"Open Services"

Vous permet d'accéder à la console de gestion des services.

Désinstallation de KillBox

Cet outil ne possède aucune inscription dans la base de registre.

Quand vous aurez fini de l'utiliser, si vous voulez vous en débarrasser il vous suffira simplement :

- De supprimer le fichier "KillBox.exe", au besoin le fichier "KillBox.zip" que vous aviez téléchargé.

- De supprimer son dossier de sauvegarde "!KillBox" placé à la racine du disque C: (chemin "C:\!KillBox" ).
Sauf si vous désirez conserver un moment la sauvegarde des fichiers supprimés, le temps de tester votre poste.
Je ne vous conseille pas de conserver ces fichiers trop longtemps si ce sont des nuisibles avérés, bien qu'ils soient hors d'état de nuire à cet endroit. Votre antivirus risque de réagir (enfin ?) à leur présence.

- Quand aux autres fichiers générés par KillBox : "kbls.txt", "kbdummy.0", kbdummy.1, kbdummy.2, etc...
Ils sont placés dans les fichiers temporaires Windows. Ils disparaîtront lors d'un nettoyage de disque.

Pour les experts et curieux

Pour la suppression des fichiers au démarrage de Windows NT/2000/XP, tout se passe dans la clé :
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\
Les chemins des fichiers à supprimer ou à remplacer sont inscrits les uns à la suite des autres dans la valeur "PendingFileRenameOperations" de type REG_MULTI_SZ. Cette valeur est créée pour cette occasion et supprimée par Windows une fois la tâche accomplie lors du redémarrage.
Le contenu de cette valeur est de la forme :
Pour la suppression d'un fichier : \??\CheminFichierASupprimer
Pour un remplacement de fichier : \??\CheminFichierDeRemplacement !\??\CheminFichierARemplacer
Si plusieurs fichiers sont à traiter, ces instructions sont séparées par des caractères nuls.

Pour la suppression sous Windows 95/98/Me, le fichier Wininit.ini est utilisé.
Vous trouverez les détails sur les pages indiquées au chapitre "liens utiles".

Liens utiles

Le site officiel de KillBox :
http://www.killbox.net
A partir de ce site, vous pourrez télécharger la dernière version et accéder au forum officiel.

La page d'aide de KillBox :
http://www.killbox.net/help.html
C'est la page à laquelle vous accédez dans KillBox par Menu "Help" -> "KillBox Description and Usage"

"Instructions to use Pocket Killbox". Un post écrit par l'auteur de KillBox Option^Explicit lui-même :
http://forum.malwareremoval.com/viewtopic.php?t=320

Pour le fichier Wininit.ini :
http://www.bellamyjc.org/fr/windows9x.html#wininit
http://www.aidewindows.net/programmes.php#wininit

Pour le contenu de la valeur "PendingFileRenameOperations"
http://www.laboratoire-microsoft.org/t/1234/

 

Jesses Entraide. Création 03/2005