Norton.com > Virus et Risques > W32.Bofra@mm Removal Tool

W32.Bofra@mm Removal Tool

Découvert :
17 Novembre 2004
Mis à jour :
13 Février 2007 11:35:47 AM
Type :
Removal Information

Symantec Security Response a développé un outil de suppression pour nettoyer les infections suivantes :

Veuillez télécharger l'outil à l'adresse : http://securityresponse.symantec.com/avcenter/FixBofra.exe

Remarque : Cet outil a été précédemment publié comme outil de suppression de W32.Mydoom@mm. Il a été renommé pour s'adapter aux changements des noms de la famille de menaces W32.Bofra@mm.

Fonctions de l'outil

L'outil de suppression de W32.Bofra@mm effectue les actions suivantes :
  • Termine des processus viraux de W32.Bofra@mm.
  • Termine le thread viral s'exécutant sous Explorer.exe.
  • Supprime les fichiers de W32.Bofra@mm.
  • Rétablit les changements faits au registre par W32.Bofra@mm.

Options de ligne de commande disponibles pour cet outil


Option

Action

/HELP, /H, /?

Affiche le message d'aide.

/NOFIXREG

Désactive la réparation du registre (l'utilisation de cette option n'est pas recommandée).

/SILENT, /S

Active le mode silencieux.

/LOG=<nom du chemin d'accès>

Crée un fichier journal dans lequel <nom du chemin d'accès> désigne l'emplacement auquel sont conservés les résultats de l'outil. Par défaut, cette option crée le fichier journal FixBofra.log dans le même dossier à partir duquel l'outil de suppression s'est exécuté.

/MAPPED

Analyse les lecteurs réseau mappés (L'utilisation de cette option n'est pas recommandée. Cf. remarque ci-dessous.)

/START

Force le lancement immédiat de l'analyse.

/EXCLUDE=<chemin>

Exclut le <chemin> spécifié de l'analyse (L'utilisation de cette option n'est pas recommandée. Cf. remarque ci-dessous.)

/NOFILESCAN

Empêche l'analyse du système de fichiers.


Remarques :
  • Symantec Security Response déconseille vivement l'utilisation de l'option /NOFIXREG lors de la première exécution de l'outil de suppression. Si l'outil de suppression est exécuté en utilisant cette option, vous ne pourrez plus supprimer les clés de registre associées à ce ver lors de la nouvelle exécution de l'outil.

  • L'utilisation de l'option /MAPPED n'assure pas la suppression totale du virus sur les ordinateurs distants, pour les raisons suivantes :
    • L'analyse de lecteurs mappés s'applique aux dossiers mappés uniquement. Ce qui n'inclut pas nécessairement tous les dossiers de l'ordinateur distant et peut entraîner l'oubli de certaines détections.
    • Si un fichier infecté est détecté sur le lecteur mappé, la suppression échoue si ce fichier est utilisé par un programme de l'ordinateur distant.

      Pour ces raisons, vous devez exécuter l'outil sur chacun des ordinateurs.

  • L'option /EXCLUDE fonctionnera avec un seul chemin uniquement et non avec de multiples chemins. Une alternative est l'option /NOFILESCAN, qui permettra à l'outil de changer le registre. Puis, analysez l'ordinateur avec votre produit antivirus, en utilisant les définitions de virus actuelles. Ces étapes devraient nettoyer le système de fichiers.

    Voici un exemple de ligne de commande pour exclure un seul lecteur :

    >"C:\Documents and Settings\user1\Desktop\ FixBofra.exe " /EXCLUDE=M:\ /LOG=c:\ FixBofra. txt

    où le symbole supérieur à (>) ne fait pas partie du chemin.


    Vous pouvez également utiliser la ligne de commande ci-dessous qui évitera l'analyse du système de fichiers mais réparera les modifications apportées au Registre. Vous devrez alors lancer une analyse normale de votre système avec les exclusions adaptées :

    > "C:\Documents and Settings\user1\Desktop \ FixBofra.exe " /NOFILESCAN /LOG=c:\ FixBofra.txt


    Vous pouvez choisir le nom que vous souhaitez pour le fichier journal. Le nom utilisé ici a pour seul but d'illustrer notre exemple.



Pour obtenir l'outil et l'exécuter


Remarque : Vous devez disposer de droits d'administrateur pour exécuter cet outil sous Windows NT/2000/XP.


AVERTISSEMENT : Pour les administrateurs réseau. Si vous exécutez MS Exchange 2000 Server, il est préférable d'exclure le disque M de l'analyse en exécutant l'outil à partir d'une ligne de commande avec l'option Exclude. Pour plus d'informations, consultez l'article de la base de données Microsoft, intitulé Problèmes provoqués par une sauvegarde ou par une analyse du lecteur M Exchange 2000 (n° d'article : 298924).
  1. Téléchargez le fichier FixBofra.exe du site : http://securityresponse.symantec.com/avcenter/FixBofra.exe.
  2. Enregistrez le fichier à un emplacement approprié, tel que le dossier de téléchargement ou le bureau de Windows (ou tout support amovible non infecté).
  3. Pour vérifier l'authenticité de la signature numérique, reportez-vous à la section de cet article intitulée "Signature numérique".
  4. Fermez tous les programmes en cours d'exécution avant d'exécuter l'outil.
  5. Si vous êtes en réseau ou disposez d'une connexion permanente à Internet, déconnectez l'ordinateur du réseau ou d'Internet.
  6. Si vous exécutez Windows Me ou XP, désactivez l'option Restauration du système. Reportez-vous à la section de cet article intitulée "Option Restauration du système sous Windows Me/XP" pour plus d'informations.


    Attention : Si vous exécutez Windows Me/XP, nous vous conseillons vivement de ne pas sauter cette étape.

  7. Cliquez deux fois sur le fichier FixBofra.exe pour lancer l'outil de suppression.
  8. Cliquez sur Démarrer pour commencer puis laissez l'outil s'exécuter.
  9. Redémarrez l'ordinateur.
  10. Exécutez de nouveau l'outil de suppression pour vous assurer que le système est complètement nettoyé.
  11. Si vous exécutez Windows Me/XP, réactivez l'option Restauration du système.
  12. Si vous utilisez Active Desktop, vous devrez peut-être le restaurer.
  13. Exécutez LiveUpdate afin de vous assurer que vous disposez des définitions de virus les plus récentes.


    Lorsque l'outil a fini, un message apparaît vous indiquant si l'ordinateur est infecté par W32.Bofra@mm. S'il s'agit de la suppression d'un ver, le programme affiche les résultats suivants :
  • Nombre total de fichiers analysés
  • Nombre de fichiers supprimés
  • Nombre de fichiers réparés
  • Nombre de processus viraux terminés
  • Nombre d'entrées de la base de registre réparées


Signature numérique

FixBofra.exe porte une signature numérique. Symantec conseille de n'utiliser que des copies de FixBofra.exe téléchargées directement à partir du site Symantec Security Response. Pour vérifier l'authenticité de la signature numérique, suivez les étapes suivantes :
  1. Consultez la page http://www.wmsoftware.com/free.htm.
  2. Téléchargez et enregistrez le fichier chktrust.exe sous le même dossier que celui dans lequel vous avez enregistré FixBofra.exe (C:\Downloads par exemple).
  3. En fonction de votre système d'exploitation, effectuez l'une des opérations suivantes :
    • Cliquez sur Démarrer, pointez sur Programmes et cliquez sur Commandes MS-DOS.
    • Cliquez sur Démarrer, pointez sur Programmes, cliquez sur Accessoires puis cliquez sur Invite de commandes.

  4. Allez dans le dossier contenant FixBofra.exe et Chktrust.exe puis tapez :

    chktrust -i FixBofra.exe .

    Par exemple, si vous avez enregistré le fichier dans le dossier C:\Downloads, vous devez saisir les commandes suivantes :

    cd\
    cd downloads
    chktrust -i FixBofra.exe

    Appuyez sur Entrée après avoir tapé chaque commande. Si la signature numérique est valide, le message suivant s'affichera :

    "Voulez-vous installer et exécuter "W32.Bofra@mm Removal Tool" signé le 17 novembre 2004 ; 08:09:19 (PDT) et distribué par Symantec Corporation ?"

    Remarques :
    • La date et l'heure affichées dans cette boîte de dialogue seront ajustées à votre fuseau horaire si votre ordinateur n'est pas configuré sur le fuseau horaire Pacifique.
    • Si vous utilisez l'option "Ajuster l'horloge pour l'observation automatique de l'heure d'été", le système indiquera une heure plus tôt.
    • Si cette boîte de dialogue n'apparaît pas, il y a deux raisons possibles :
      • L'outil ne provient pas de Symantec : A moins d'être certain que l'outil est légitime et que vous l'avez téléchargé depuis le site Web légitime de Symantec, vous ne devriez pas l'exécuter.
      • L'outil provient de Symantec et il est légitime, cependant votre système d'exploitation n'a pas été configuré pour faire systématiquement confiance aux contenus de Symantec. Pour en savoir plus à ce sujet et savoir comment afficher la boîte de dialogue de confirmation une nouvelle fois, consultez le document (en anglais) Restoring the Publisher Authenticity confirmation dialog box
  5. Cliquez sur Oui pour fermer la boîte de dialogue.
  6. Tapez exit puis appuyez sur Entrée. (Pour fermer la session MS-DOS.)

Option Restauration du système sous Windows Me/XP
Il est conseillé aux utilisateurs de Windows Me et de Windows XP de désactiver temporairement la Restauration du système. Windows Me et XP utilisent cette fonctionnalité, activée par défaut afin de pouvoir restaurer des fichiers sur votre ordinateur, s'ils venaient à être endommagés. Si un ordinateur a été infecté par un virus, un ver ou un cheval de Troie, il est possible que ce virus, ver ou cheval de Troie soit sauvegardé par la Restauration du système.

Windows empêche des programmes tiers, y compris les programmes antivirus, de modifier la Restauration du système. Par conséquent, les programmes ou outils antivirus ne peuvent pas éradiquer les menaces dans le dossier de Restauration du système. Par conséquent, la Restauration du système peut restaurer un fichier infecté sur votre ordinateur même après avoir nettoyé les fichiers infectés sur tous les autres emplacements.

Une analyse des virus peut également détecter une menace dans le dossier de restauration du système même si vous avez supprimé la menace.


Pour savoir comment désactiver la Restauration du système, consultez la documentation de Windows ou l'un des articles suivants :

Pour des informations complémentaires et une méthode alternative pour désactiver la Restauration du système de Windows Me, consultez l'article de la base de connaissances de Microsoft "Les outils antivirus ne peuvent pas nettoyer les fichiers infectés dans le dossier _Restore", Numéro d'article : Q263455.