Norton.com > Virus et Risques > W32.Brid.A@mm/W32.Funlove.4099 Removal Tool

W32.Brid.A@mm/W32.Funlove.4099 Removal Tool

Découvert :
15 Novembre 2002
Mis à jour :
13 Février 2007 11:34:12 AM
Type :
Removal Information


Fonctions de l'outil

L'outil de suppression de W32.Brid.A@mm/W32.Funlove.4099 procède comme suit :
  1. Termine tous les processus viraux de W32.Brid.A@mm et W32.Funlove.4099 en mémoire.
  2. Arrête le service FunLove.
  3. Supprime les fichiers infectés par W32.Brid.A@mm ou par W32.Funlove.int.
  4. Répare tous les fichiers infectés par W32.Funlove.4099, s'ils peuvent être réparés. Sinon, il supprime les fichiers infectés.
  5. Supprime les entrées de registre liées aux virus.
  6. Protège le système contre une réinfection par W32.Funlove.4099.

Remarques :
  • Que vous supprimiez cette menace manuellement ou en utilisant l'outil de suppression fourni, il est probable que le ver ait écrasé le fichier Windows Msconfig.exe sur les ordinateurs Windows 98/Me. Bien que ce fichier ne soit pas essentiel au fonctionnement de Windows, il est utile et devrait être remplacé par une copie de sauvegarde saine ou extrait des fichiers d'installation d'origine. Consultez la documentation de Windows pour obtenir des instructions à ce sujet.
  • Il nous a été signalé (bien que cela n'ait pas été confirmé) que, dans certains cas, l'Editeur de registre Windows (Regedit.exe) ne fonctionne plus après l'infection. Dans ce cas, remplacez Regedit.exe avec la même méthode que celle mentionnée pour Msconfig.exe.

Options de ligne de commande disponibles pour cet outil


Option

Action

/HELP, /H, /?

Affiche le message d'aide.

/NOFIXREG

Désactive la réparation du registre (non recommandé).

/SILENT, /S

Active le mode silencieux.

/LOG=<nom du chemin d'accès>

Crée un fichier journal dans lequel <nom du chemin d'accès> désigne l'emplacement auquel sont conservés les résultats de l'outil. Par défaut, cette option crée le fichier journal Fixbrid.log dans le même dossier à partir duquel l'outil de suppression s'est exécuté.

/MAPPED

Analyse les lecteurs réseau mappés (non recommandé ; cf. remarques).

/START

Force l'outil à lancer immédiatement l'analyse.

/EXCLUDE=<chemin>

Exclut le <chemin> spécifié de l'analyse (non recommandé).

Remarque : L'utilisation de l'option /MAPPED n'assure pas la suppression totale du virus sur l'ordinateur distant, pour les raisons suivantes :
  • L'analyse de lecteurs mappés s'applique aux dossiers mappés uniquement. Ceci n'inclut pas nécessairement tous les dossiers de l'ordinateur distant et peut entraîner l'oubli de certaines détections.
  • Les virus W32.Brid.A@mm et W32.Funlove.4099 résident en mémoire. L'outil de suppression ne peut arrêter des processus à distance.
  • Si un fichier infecté est détecté sur le lecteur mappé, la suppression échoue si ce fichier est utilisé par un programme de l'ordinateur distant.

Pour ces raisons, vous devez exécuter l'outil sur chacun des ordinateurs.

Pour obtenir et exécuter l'outil

Remarque : Vous devez disposer de droits d’administrateur pour exécuter cet outil sous Windows NT4/2000/XP.
  1. Téléchargez le fichier Fixbrid.com à partir de :

    http://securityresponse.symantec.com/avcenter/Fixbrid.com
  2. Enregistrez le fichier dans un emplacement approprié, tel que le dossier de téléchargement ou le bureau de Windows (ou tout support amovible non infecté, si possible).
  3. Pour vérifier l'authenticité de la signature numérique, reportez-vous à la section intitulée Signature numérique.
  4. Fermez tous les programmes avant d'exécuter l'outil.
  5. Si vous êtes en réseau ou disposez d'une connexion permanente à Internet, déconnectez l'ordinateur du réseau ou d'Internet.
  6. Si vous exécutez Windows Me ou XP, désactivez l'option Restauration du système. Reportez-vous à la section de cet article intitulée "Option Restauration du système sous Windows Me/XP" pour plus d'informations.

    Remarque : Si vous exécutez Windows Me/XP, nous vous conseillons vivement de ne pas sauter cette étape.
  7. Cliquez deux fois sur le fichier Fixbrid.com pour lancer l'outil de suppression.
  8. Cliquez sur Démarrer pour commencer puis laissez l'outil s'exécuter.
  9. Redémarrez l'ordinateur.
  10. Exécutez de nouveau l'outil de suppression pour vous assurer que le système est complètement nettoyé.
  11. Si vous exécutez Windows Me ou XP, désactivez l'option Restauration du système.
  12. Exécutez LiveUpdate afin de vous assurer que vous disposez des définitions de virus les plus récentes.

    Remarque : La procédure de suppression peut échouer sous Windows Me/XP si la fonction Restauration du système n'a pas été désactivée car Windows empêche tout programme tiers de modifier la Restauration du système. L'outil de suppression pourrait ne pas fonctionner pour cette raison.

Lorsque l'outil a terminé, un message indiquant si l'ordinateur était infecté par W32.Brid.A@mm, W32.Funlove.4099 ouW32.Funlove.int s'affiche. S'il s'agit de la suppression de la menace, le programme affiche les résultats suivants :
    • Nombre total de fichiers analysés
    • Nombre de fichiers réparés
    • Nombre de fichiers supprimés
    • Nombre de processus viraux terminés
    • Nombre d'entrées de registre virales supprimées

Signature numérique
Fixbrid.com porte une signature numérique. Symantec conseille de n'utiliser que des copies de Fixbrid.com téléchargées directement depuis le site Symantec Security Response. Pour vérifier l'authenticité de la signature numérique, suivez les étapes suivantes :
  1. Rendez-vous à l’adresse http://www.wmsoftware.com/free.htm
  2. Téléchargez et enregistrez le fichier Chktrust.exe sous le même dossier que celui dans lequel vous avez enregistré Fixbrid.com (C:\Downloads par exemple).
  3. En fonction de votre système d'exploitation, effectuez l'une des opérations suivantes :
    • Cliquez sur Démarrer, pointez sur Programmes et cliquez sur Commandes MS-DOS.
    • Cliquez sur Démarrer, pointez sur Programmes, cliquez sur Accessoires puis cliquez sur Invite de commandes.
    • Allez dans le dossier contenant Fixbrid.com et Chktrust.exe puis tapez :

      chktrust -i Fixbrid.com

      Par exemple, si vous avez enregistré le fichier dans le dossier C:\Downloads, vous devez saisir les commandes suivantes (appuyez sur Entrée après chaque commande) :

      cd\
      cd downloads
      chktrust -i Fix
      brid.com

      Si la signature numérique est valide, le message suivant s'affichera :

      Voulez-vous installer et exécuter "Outil de suppression de W32.Brid" signé le 15/11/2002 4:09 PM et distribué par Symantec Corporation ?

      Remarques :
      • La date et l'heure affichées dans cette boîte de dialogue seront ajustées à votre fuseau horaire si l'heure de votre ordinateur n'est pas celle du Pacifique.
      • Si vous utilisez l’horaire DST (été/hiver), l'heure affichée aura exactement une heure de moins.
      • Si cette boîte de dialogue n'apparaît pas, il y a deux raisons possibles :
        • L'outil ne provient pas de Symantec. A moins d'être certain que l'outil est légitime et que vous l'avez téléchargé depuis le site Web légitime de Symantec, vous ne devriez pas l'exécuter.
        • L'outil provient de Symantec et il est légitime, cependant votre système d'exploitation n'a pas été configuré pour faire systématiquement confiance aux contenus de Symantec. Pour en savoir plus à ce sujet et savoir comment afficher la boîte de dialogue de confirmation une nouvelle fois, consultez le document (en anglais) How to restore the Publisher Authenticity confirmation dialog box.
  4. Cliquez sur Oui pour fermer la boîte de dialogue.
  5. Tapez exit puis appuyez sur la touche Entrée. Ceci terminera la session MS-DOS.

Option Restauration du système sous Windows Me/XP
Il est conseillé aux utilisateurs de Windows Me et de Windows XP de désactiver temporairement la Restauration du système. Cette fonctionnalité, qui est activée par défaut, est utilisée par Windows Me/XP pour restaurer des fichiers sur votre ordinateur au cas où ils seraient endommagés. Si un ordinateur a été infecté par un virus, un ver ou un cheval de Troie, il est possible que ce virus, ver ou cheval de Troie soit sauvegardé par la restauration du système. By default, Windows prevents System Restore from being modified by outside programs. Par conséquent, il est possible que vous puissiez accidentellement restaurer un fichier infecté, ou que les analyses en ligne détectent la menace dans cet emplacement. Pour savoir comment désactiver la Restauration du système, consultez la documentation de Windows ou l'un des articles suivants:
Pour plus d'informations et une autre méthode permettant de désactiver la Restauration du système, consultez le document de la base de connaissances de Microsoft intitulé Les outils antivirus ne peuvent pas nettoyer les fichiers infectés dans le dossier _Restore (Numéro d'article : 263455).

Comment exécuter l'outil à partir d'une disquette
  1. Insérez la disquette contenant Fixbrid.com.
  2. Cliquez sur Démarrer > Exécuter.
  3. Tapez le texte suivant, puis cliquez sur OK :

    a:\fixbrid.com

    Remarques :
    • Il n'y a pas d'espaces dans la commande a:\fixbrid.com
    • Si vous utilisez Windows Me et que l'option Restauration du système est restée activée, un message d'avertissement apparaît. Vous pouvez choisir d'exécuter l'outil de suppression avec l'option Restauration du système activée ou vous pouvez quitter l'outil de suppression.
  4. Cliquez sur Démarrer pour commencer puis laissez l'outil s'exécuter.
  5. Si vous exécutez Windows Me, réactivez l'option Restauration du système.