Norton.com > Virus et Risques > W32.Sobig.A@mm Removal Tool

W32.Sobig.A@mm Removal Tool

Découvert :
14 Janvier 2003
Mis à jour :
13 Février 2007 11:34:15 AM
Type :
Removal Information

Ce que fait l'outil

L'outil de suppression de W32.Sobig.A@mm effectue les actions suivantes :
  1. Il termine les processus viraux de W32.Sobig.A@mm.
  2. Il supprime les fichiers de W32.Sobig.A@mm.
  3. Il supprime les entrées de la base de registre ajoutées par le ver.


Options de ligne de commande disponibles pour cet outil



Option

Description

/HELP, /H, /?

Affiche le message d'aide.

/NOFIXREG

Désactive la réparation du registre (l'utilisation de cette option n'est pas recommandée).

/SILENT, /S

Active le mode silencieux.

/LOG=<chemin d'accès>

Crée un fichier journal dans lequel le <chemin d'accès> désigne l'emplacement pour conserver le résultat de l'outil. Par défaut, cette option crée le fichier journal FixSobig.log dans le même dossier à partir duquel l'outil de suppression s'est exécuté.

/MAPPED

Analyse les lecteurs réseau mappés (l'utilisation de cette option n'est pas recommandée Voir la remarque ci-dessous.

/START

Force le lancement immédiat de l'analyse.

/EXCLUDE=<chemin d'accès>

Exclut de l'analyse le <chemin d'accès> spécifié (l'utilisation de cette option n'est pas recommandée).


Remarque : L'utilisation de l'option /MAPPED n'assure pas la suppression totale du virus sur l'ordinateur distant, pour les raisons suivantes :
  • L'analyse de lecteurs mappés s'applique aux dossiers mappés uniquement. Ce qui n'inclut pas nécessairement tous les dossiers de l'ordinateur distant et peut entraîner l'oubli de certaines détections.
  • Si un fichier infecté est détecté sur le lecteur mappé, la suppression échoue si ce fichier est utilisé par un programme de l'ordinateur distant.


Pour ces raisons, vous devez exécuter l'outil sur chacun des ordinateurs.

Pour obtenir l'outil et l'exécuter


Remarque : Vous devez posséder les droits d’administrateur pour exécuter cet outil sous Windows NT 4.0, Windows 2000 ou Windows XP.

  1. Téléchargez le fichier FixSobig.exe à partir de : http://securityresponse.symantec.com/avcenter/FixSobig.exe.
  2. Enregistrez le fichier dans un emplacement approprié, tel que le dossier de téléchargement ou le bureau de Windows (ou tout support amovible non infecté).
  3. Pour vérifier l'authenticité de la signature numérique, référez-vous à la section de cet article intitulée "Signature numérique".
  4. Fermez tous les programmes en cours d’exécution avant d'exécuter l'outil.
  5. Si vous êtes en réseau ou disposez d'une connexion permanente à Internet, déconnectez l'ordinateur du réseau ou d'Internet.
  6. Si vous êtes sous Windows Me ou XP, désactivez l'option Restauration du système. Reportez-vous à la section de cet article intitulée "Option Restauration du système sous Windows M/XP" pour plus d'informations.


    Attention : Si vous utilisez Windows Me/XP, nous vous conseillons vivement de ne pas sauter cette étape.
  7. Cliquez deux fois sur le fichier FixSobig.exe pour lancer l'outil de suppression.
  8. Cliquez sur Démarrer pour commencer puis laissez l'outil s'exécuter.
  9. Redémarrez l’ordinateur.
  10. Exécutez de nouveau l'outil de suppression pour vous assurer que le système est complètement nettoyé.
  11. Si vous êtes sous Windows Me/XP, réactivez l'option Restauration du système.
  12. Exécutez LiveUpdate pour vous assurer que vous disposez des définitions de virus les plus récentes.


Remarque : La procédure de suppression peut échouer sous Windows Me/XP si la fonction Restauration du système n'a pas été désactivée comme indiqué dans les instructions, car Windows empêche la modification de Restauration du système par un programme tiers.

Lorsque l'outil a terminé, un message indiquant si l'ordinateur était infecté par W32.Sobig.A@mm s'affiche. Si le ver est supprimé, le programme affiche les résultats suivants :
  • Nombre total de fichiers analysés.
  • Nombre de fichiers supprimés.
  • Nombre de fichiers réparés.
  • Nombre de processus viraux terminés.
  • Nombre d'entrées de la base de registre réparées.

Signature numérique
FixSobig.exe est signé numériquement. Symantec conseille de n'utiliser que des copies de FixSobig.exe téléchargées directement depuis le site Symantec Security Response. Pour vérifier l'authenticité de la signature numérique, suivez les étapes suivantes :
  1. Rendez-vous à l’adresse http://www.wmsoftware.com/free.htm.
  2. Téléchargez et enregistrez le fichier chktrust.exe sous le même dossier dans lequel vous avez enregistré FixSobig.exe (C:\Downloads par exemple).
  3. En fonction de votre système d'exploitation, effectuez l'une des opérations suivantes :
    • Cliquez sur Démarrer, pointez sur Programmes et cliquez sur Commandes MS-DOS.
    • Cliquez sur Démarrer, pointez sur Programmes, cliquez sur Accessoires puis cliquez sur Invites de commande.
  4. Allez dans le dossier contenant FixSobig.exe et Chktrust.exe puis tapez : chktrust -i FixSobig.exe.

    Par exemple, si vous avez enregistré le fichier dans le dossier C:\Downloads, exécutez les commandes suivantes :

    cd\
    cd downloads
    chktrust -i FixSobig.exe


    Appuyez sur Entrée après avoir tapé chaque commande. Si la signature numérique est valide, le message suivant s'affichera :

    "Voulez vous installer et exécuter "W32.Sobig.A@mm Fix Tool" signé le 14/01/2003 à 9:45 et distribué par Symantec Corporation ?"


    Remarques :
    • La date et l'heure affichées dans cette boîte de dialogue seront ajustées à votre fuseau horaire si votre ordinateur n'est pas configuré sur le fuseau horaire Pacifique.
    • Si vous suivez l'horaire Daylight Saving, l'horaire affiché dans le message sera exactement une heure en avance.
    • Si cette boîte de dialogue ne s'affiche pas, il y a deux raisons possibles :
        • L'outil ne provient pas de Symantec : A moins d'être certain que l'outil est légitime et que vous l'avez téléchargé depuis le site web légitime de Symantec, vous ne devriez pas l'exécuter.
        • L'outil provient de Symantec et il est légitime : Cependant, votre système d'exploitation n'a pas été configuré pour faire systématiquement confiance des contenus de Symantec. Pour plus d'informations, et pour savoir comment visualiser à nouveau la boîte de dialogue de confirmation, consultez le document en anglais How to restore the Publisher Authenticity confirmation dialog box.

  5. Cliquez sur Oui pour fermer la boîte de dialogue.
  6. Tapez exit puis appuyez sur Entrée. (Pour fermer la session MS-DOS.)

Option de restauration du système de Windows Me/XP
Les utilisateurs de Windows Me et de Windows XP devraient désactiver temporairement la Restauration du système. Windows Me/XP utilise cette fonctionnalité, qui est activée par défaut afin de restaurer des fichiers sur votre ordinateur s'ils devaient être endommagés. Si un ordinateur a été infecté par un virus, un ver ou un cheval de Troie, il est possible que ce virus, ver ou cheval de Troie soit sauvegardé par la restauration du système.

Par défaut, Windows empêche des programmes tiers de modifier la Restauration du système, y compris les programmes anti-virus. Les programmes ou outils anti-virus ne peuvent donc pas supprimer les menaces dans le dossier de Restauration du système. Par conséquent, la Restauration du système peut restaurer un fichier infecté sur votre ordinateur même après que vous ayez nettoyé les fichiers infectés sur tous les autres emplacements.

Par ailleurs, dans certains cas, les analyseurs en ligne peuvent détecter une menace dans le dossier Restauration du système même si vous avez lancé une analyse de votre ordinateur avec un programme anti-virus et qu'aucun fichier infecté n'a été trouvé.

Pour des instructions sur la manière de désactiver la Restauration du système, consultez la documentation de Windows ou l'un des articles suivants :
Pour plus d'informations, et une méthode alternative pour désactiver la Restauration du système de Windows Me, consultez le document (en anglais) de la base de connaissances de Microsoft intitulé Anti-Virus Tools Cannot Clean Infected Files in the _Restore Folder ID de l'article : Q263455.