Norton.com > Virus et Risques > W32.Bugbear@mm Removal Tool

W32.Bugbear@mm Removal Tool

Découvert :
1 Octobre 2002
Mis à jour :
13 Février 2007 11:34:06 AM
Type :
Removal Information

Fonctions de l’outil

L'outil de suppression W32.Bugbear@mm exécute les opérations suivantes :
  1. Il met fin aux processus du virus W32.Bugbear@mm.
  2. Il supprime les fichiers infectés par le virus W32.Bugbear@mm ainsi que le cheval de Troie déposé par le ver (détecté par les produits antivirus de Symantec tels que PWS.hooker.Trojan)
  3. Il efface la valeur de registre ajoutée par le ver.

REMARQUE : L’outil supprime toutes les valeurs situées dans la clé de la base de registre suivante :

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce

Normalement le système d’exploitation supprime toute valeur située dans cette clé de la base de registre dès le lancement des processus. Le processus est automatique. Toutefois, le ver recrée la valeur supprimée par l’outil de réparation. Avant de lancer l’outil, assurez-vous d’avoir terminé toute installation de logiciels en cours, puis redémarrez votre ordinateur le cas échéant.

Options de lignes de commande disponibles avec cet outil

Option
Description
/HELP, /H, /?
    Affiche le message d'aide.
/NOFIXREG
    Désactive la réparation du registre (l'utilisation de cette option n'est pas recommandée).
/SILENT, /S
    Active le mode silencieux.
/LOG=<path name>
    Crée un fichier journal dans lequel le <chemin d’accès> représente l'emplacement où le résultat de l'outil doit être conservé. Par défaut, cette option crée le fichier journal Fxbgbear.log dans le même dossier à partir duquel l’outil de suppression s’est exécuté.
/MAPPED
    Analyse les lecteurs réseau mappés (l'utilisation de cette option n'est pas recommandée - voir la remarque ci-dessous).
/START
    Force le démarrage immédiat de l’analyse.
/EXCLUDE=<path>
    Exclut de l’analyse le <chemin d'accès> spécifié (l'utilisation de cette option n'est pas recommandée).


REMARQUE : L'utilisation de l’option /MAPPED n'assure pas la suppression totale du virus sur l'ordinateur distant, pour les raisons suivantes :
  • L'analyse de lecteurs mappés ne concerne que les dossiers mappés. Ce qui n’inclut pas nécessairement tous les dossiers de l'ordinateur distant et peut entraîner l'oubli de certaines détections.
  • Si un fichier infecté est détecté sur le lecteur mappé, la suppression échoue si ce fichier est utilisé par un programme de l'ordinateur distant.

Pour ces raisons, vous devez exécuter l'outil sur tous les ordinateurs.

Obtention et exécution de l’outil

REMARQUES :
  • Vous devez disposer des droits administratifs pour exécuter cet outil sous Windows NT4/2000/XP.
  • Selon certains rapports, il a fallu exécuter l’outil en mode sans échec, principalement pour des ordinateurs fonctionnant sous Windows 95/98/Me. Si vous rencontrez des problèmes en exécutant l’outil, commencez par le télécharger en suivant les instructions des étapes 1 et 2, puis redémarrez votre ordinateur en mode sans échec. Vous pouvez redémarrer en mode sans échec tous les systèmes d’exploitation Windows 32-bits, à l’exception de Windows NT. Pour plus d'informations sur cette méthode, lisez le document Comment démarrer l’ordinateur en mode sans échec.
  • Si vous êtes connecté à un réseau (une ligne ADSL ou une connexion par le câble sont des types de réseaux), vous devez vous déconnecter du réseau, comme décrit à l’étape 5.
  1. Téléchargez le fichier FxBgbear.exe à partir de :

    http://securityresponse.symantec.com/avcenter/FxBgbear.exe
  2. Enregistrez le fichier dans un emplacement approprié, tel que le dossier de téléchargement ou le bureau de Windows (ou bien un support amovible non infecté, si possible).
  3. Pour vérifier l’authenticité de la signature digitale, référez-vous à la section Signature digitale.
  4. Fermez toutes les applications avant d’exécuter l’outil.
  5. Si vous êtes en réseau, ou avez une connexion Internet permanente, déconnectez l'ordinateur du réseau et d’Internet.
  6. Si vous utilisez Windows Me ou XP, désactivez Restauration du système. Pour plus d'informations, consultez la section Option Restauration du système dans Windows Me/XP.

    REMARQUE :
    Si vous utilisez Windows Me/XP, il est vivement recommandé de lire attentivement cette étape.
  7. Cliquez deux fois sur le fichier FxBgbear.exe pour lancer l’outil de suppression.
  8. Cliquez sur Démarrer pour commencer la procédure, puis laissez l’outil opérer.
  9. Redémarrez l’ordinateur.
  10. Exécutez de nouveau l'outil de suppression pour vous assurer que le système est totalement nettoyé.
  11. Si vous utilisez Windows Me ou XP, activez de nouveau Restauration du système.
  12. Exécutez LiveUpdate pour vous assurer que vous possédez les toutes dernières définitions de virus.

    REMARQUE : La procédure de suppression peut échouer sous Windows Me/XP si la fonction Restauration du système n'a pas été désactivée, car Windows empêche la modification de Restauration du système par un programme tiers. Pour ces raisons, il y un risque que l’outil de suppression échoue.

Lorsque l’outil a terminé, un message indiquant si l’ordinateur était infecté par W32.Bugbear@mm s'affiche. Si le ver est supprimé, le programme affiche les résultats suivants :
    • Le nombre total de fichiers analysés
    • Le nombre de fichiers supprimés
    • Le nombre de processus viraux stoppés
    • Le nombre d’entrées de registre supprimées

Signature digitale
FxBgbear.exe porte une signature digitale. Symantec vous recommande de n’utiliser que les copies de FxBgbear.exe téléchargées directement depuis le site Symantec Security Response. Pour vérifier l’authenticité de la signature digitale, suivez ces étapes :
  1. Rendez-vous sur le site http://www.wmsoftware.com/free.htm
  2. Téléchargez et enregistrez le fichier Chktrust.exe dans le même dossier où FxBgbear.exe a été enregistré (par exemple le dossier C:\Downloads).
  3. En fonction de votre système d’exploitation, effectuez l'une des opérations suivantes :
    • Cliquez sur Démarrer, pointez sur Programmes, puis cliquez sur Commandes MS-DOS.
    • Cliquez sur Démarrer, pointez sur Programmes, cliquez sur Accessoires, puis sur Invite de commandes.
  4. Allez dans le dossier contenant FxBgbear.exe et Chktrust.exe, puis entrez :

    chktrust -i FxBgbear.exe
  5. Par exemple, si vous avez enregistré le fichier dans le dossier C:\Downloads, vous devrez saisir les commandes suivantes (appuyez sur Entrée après chaque saisie) :

    cd\
    cd downloads
    chktrust -i FxBgbear.exe

    Si la signature digitale est valide, le message suivant s’affiche :

    Souhaitez-vous installer et exécuter "W32.Bugbear@mm Fix Tool" signé le 03/10/02 19:17:00 et distribué par Symantec Corporation.

    REMARQUES :
      • La date et l’heure affichées dans cette boîte de dialogue seront ajustées à votre fuseau horaire si votre ordinateur n’est pas configuré sur le fuseau horaire Pacifique.
      • Si vous utilisez l'option « Daylight Saving Time », l’heure affichée sera exactement une heure plus tôt.
      • Si cette boîte de dialogue ne s’affiche pas, deux raisons sont possibles :
        • L’outil ne provient pas de Symantec. A moins d’être sûr de la légitimité de l’outil et de l’avoir téléchargé à partir du Site officiel de Symantec, ne l'exécutez pas.
        • L’outil provient de Symantec et est légitime. Toutefois, votre système d’exploitation avait pour instruction de toujours se fier au contenu provenant de Symantec. Pour plus d’informations sur ce point, et sur l’affichage de la boîte de dialogue de confirmation, veuillez consulter le document anglais How to restore the Publisher Authenticity confirmation dialog box.
  6. Cliquez sur Oui pour fermer la boîte de dialogue.
  7. Entrez exit, puis appuyez sur Entrée. Cela termine la session MS-DOS.

Option Restauration du système de Windows Me/XP
Les utilisateurs de Windows Me et de Windows XP doivent temporairement désactiver l'option Restauration du système. Cette fonction, activée par défaut, est utilisée par Windows ME/XP pour restaurer des fichiers au cas où ils seraient endommagés. Lorsqu’un ordinateur est infecté par un virus, un ver ou un cheval de Troie, il est possible que la menace soit sauvegardée par Restauration du système. Par défaut, Windows empêche tout programme extérieur d’apporter des modifications à la fonction Restauration du système. Par conséquent, il est possible que vous restauriez accidentellement un fichier infecté ou que les Analyseurs Norton AntiVirus en ligne détectent la menace à cet emplacement. Pour des instructions relatives à la désactivation de la restauration du système, veuillez consulter la documentation Windows ou l’un des articles suivants : Pour plus d'informations sur cette procédure et les alternatives existant pour désactiver la fonction Restauration du système, consultez le document anglais de la Base de Données de Microsoft : Anti-Virus Tools Cannot Clean Infected Files in the Restore Folder. Numéro d’article (ID) : Q263455.

Exécution de l’outil depuis une disquette
  1. Insérez la disquette contenant le fichier FxBgbear.exe dans le lecteur de disquettes.
  2. Cliquez sur Démarrer, puis sur Exécuter.
  3. Entrez ce qui suit, puis cliquez sur OK :

    a:\fxbgbear.exe

    REMARQUES :
    • Il n’y a pas d’espaces dans la commande a:\fxbgbear.exe
    • Si vous utilisez Windows Me et que l’option Restauration du système reste activée, un message d’avertissement s’affiche. Vous pouvez choisir d’exécuter l’outil de suppression avec l'option Restauration du système activée, ou vous pouvez quitter l’outil de suppression.
  4. Cliquez sur Démarrer pour commencer la procédure, puis laissez l’outil opérer.
  5. Si vous utilisez Windows Me, activez de nouveau la fonction Restauration du système.