0. Pré-requis concernant la sécurisation du réseau :
- Appliquer toutes les updates/Service pack Microsoft sur toutes les machines
- Désactiver System Restore via GPO (http://support.microsoft.com/kb/283073/fr)
- Désactiver l’utilisation des fichiers autorun.inf via GPO (http://support.microsoft.com/kb/967715/fr)
- S’assurer que TOUTES les machines sont bien protégées par Symantec Endpoint Protection, et que les définitions utilisées sont à jour
1. Si le problème est propre à un poste : télécharger puis exécuter la RapidRelease sur la machine (http://definitions.symantec.com/defs/rapidrelease/symrapidreleasedefsv5i32.exe pour un système 32bits, http://definitions.symantec.com/defs/rapidrelease/symrapidreleasedefsv5i64.exe pour un système 64bits). La date de définitions des virus pour la Protection Antivirus/Antispyware sur le client (en double-cliquant sur le bouclier jaune Symantec) devrait alors avoir changé
Si le problème est global sur le parc : utiliser à la place le fichier au format JDB et l’injecter dans la console de gestion SEPM afin que tous les postes clients géré soient pris en compte (http://www.symantec.com/business/support/index?page=content&id=TECH102607&locale=en_US). Il est également possible d’utiliser le module Risk Tracer (http://www.symantec.com/business/support/index?page=content&id=TECH94526&locale=en_US), lequel essaye de détecter l’origine des infections. Ce module ne pourra fonctionner que pour les machines possédant le module Protection contre les menaces réseaux
2. Exécuter un scan complet sur la machine (double-cliquer sur le bouclier jaune Symantec > Rechercher les menaces > Analyse complète), si possible en mode sans échecs (http://www.symantec.com/business/support/index?page=content&id=TECH106310&locale=en_US)
3. Si jamais le scan en mode sans échecs n’a pas résolu le problème, ou bien si le démarrage en mode sans échecs est impossible, utiliser Symantec Endpoint Recovery Tool :
- Accéder à https://fileconnect.symantec.com
- Utiliser votre numéro de série présent sur votre contrat (Mxxxxxxxxx) et télécharger Symantec Endpoint Recovery Tool (SERT)
- Suivre la procédure suivante pour utiliser SERT : http://www.symantec.com/business/support/index?page=content&id=TECH131732&locale=en_US
4. S’il y a des doutes concernant d’éventuelles réinfections ou infections non détectées, utiliser SEP Support Tool (http://www.symantec.com/business/support/index?page=content&id=TECH105414), ouvrir un dossier au support technique Symantec et leur faire parvenir le log pour analyse (à faire en mode normal et pas en mode sans échecs)