1. /
  2. Security Response/
  3. W32.Sircam.Worm@mm Removal Tool
  • Ajouter

W32.Sircam.Worm@mm Removal Tool

Découvert :
20 Juillet 2001
Mis à jour :
13 Février 2007 11:33:23 AM
Type :
Removal Information

L'outil de réparation W32.Sircam.Worm@mm supprime les fichiers infectés par le ver W32.Sircam.Worm@mm et annule les modifications apportées par ce virus sur votre ordinateur.

Pour obtenir et exécuter l'outil :
  1. Accédez au site http://www.sarc.com/avcenter/FixSirc.com.
  2. Téléchargez le fichier Fixsirc.com dans un dossier approprié, tel que le dossier de téléchargement ou le bureau Windows. Si vous travaillez en réseau, l'outil de suppression doit être utilisé sur tous les ordinateurs, serveur compris.
  3. Afin de vérifier l'authenticité de la signature numérique, reportez-vous à la section Signature numérique.
  4. Fermez tous les programmes en cours d'exécution avant de lancer l'outil, y compris les analyseurs antivirus comme Auto-Protect (NAV).

    ATTENTION : Ne sautez pas cette étape (et lisez également la remarque qui suit cet avertissement). Vous devez désactiver Auto-Protect avant d'exécuter l'outil. Pour obtenir des instructions, reportez-vous au document Comment activer et désactiver la Protection automatique de Norton AntiVirus.

    REMARQUE : Il existe une exception à l'obligation de désactiver Auto-Protect : si NAV a détecté le virus et l'a mis en quarantaine, et si NAV ne fonctionne plus en raison de la modification du registre effectuée par le ver, vous ne pouvez pas désactiver Auto-Protect (puisqu'il ne fonctionne pas). Cependant, vous devez vous assurer que NAV Auto-Protect est désactivé en essayant de le désactiver comme indiqué précédemment.
  5. Si vous travaillez en réseau ou disposez d'une connexion permanente à Internet, déconnectez l'ordinateur du réseau et d'Internet. Désactivez (ou protégez par un mot de passe) le partage des fichiers, avant de reconnecter les ordinateurs au réseau ou à Internet. Comme ce ver se répand en utilisant les dossiers partagés des ordinateurs réseau, vous devez vous assurer que le ver ne réinfecte pas l'ordinateur après sa suppression. C'est pourquoi Symantec vous suggère de partager les dossiers en lecture seule ou en les protégeant par un mot de passe. Pour savoir comment procéder, reportez-vous à la documentation Windows ou au document Comment configurer les dossiers Windows partagés pour un réseau parfaitement sécurisé.

    ATTENTION : Ne sautez pas cette étape. Vous devez vous déconnecter du réseau avant d'exécuter l'outil.
  6. Si vous utilisez Windows Me ou XP, désactivez la fonction Restauration du système. Pour plus d'informations, reportez-vous à la section Option Restauration du système de Windows Me/XP.

    REMARQUE : Si vous utilisez Windows Me/XP, il est vivement recommandé d'appliquer ces consignes.
  7. Cliquez deux fois sur le fichier Fixsirc.com afin de lancer l'outil de suppression.

    REMARQUE : Si vous avez téléchargé l'outil sur une disquette et si vous souhaitez l'utiliser depuis cette disquette, reportez-vous à la section Exécution de l'outil depuis une disquette, à la fin du document.

    REMARQUE : Si vous utilisez Windows Me et que l'option Restauration du système reste activée, un message d'avertissement apparaît. Vous pouvez choisir d'exécuter l'outil de suppression avec l'option Restauration du système activée (méthode déconseillée) ou de quitter l'outil de suppression.
  8. Cliquez sur Démarrer pour lancer la procédure, puis laissez l'outil travailler.
  9. Si vous utilisez Windows Me/XP, réactivez Restauration du système.
  10. Réactivez Auto-Protect.

REMARQUE :
  • Si un message indique que l'outil doit être exécuté en mode sans échec, redémarrez l'ordinateur en mode sans échec et relancez l'outil. Suivez ces instructions pour vous assurer que le virus ne pourra plus réinfecter votre ordinateur. Afin de redémarrer en mode sans échec, consultez le document Comment démarrer Windows 95/98/Me en Mode sans échec.
  • La procédure de suppression risque de ne pas fonctionner si la fonction Restauration du système est activée sous Windows Me. En effet, Windows interdit la modification de Restauration du système par un programme tiers. Par conséquent, la tentative d'élimination du ver par l'outil de suppression peut échouer.
  • Une fois la procédure terminée, l'outil de suppression peut reconnaître que vous utilisez Windows Me avec l'option Restauration du système désactivée. Dans ce cas, un message apparaît vous proposant de réactiver cette option.
  • Si vous avez besoin d'exécuter l'outil dans des scripts de connexion ou des fichiers batch (traitement par lots), utilisez la ligne de commande suivante pour le mode silencieux :
    Fixsirc.com /s

Lorsque l'outil a terminé, un message vous indique si votre ordinateur était infecté par le ver W32.Sircam.Worm@mm. Si un ver a été supprimé, le programme affiche les résultats suivants :
  • Nombre total de fichiers analysés
  • Nombre de fichiers supprimés
  • Nombre de clés de registre corrigées

Fonctions de l'outil
L'outil de suppression de W32.Sircam.Worm@mm effectue les opérations suivantes :
  1. Il analyse et supprime les fichiers infectés par le ver W32.Sircam.Worm@mm.
  2. Il supprime les clés de registre suivantes :

    HKEY_LOCAL_MACHINE\Software\SirCam
  3. Dans la clé de registre

    HKEY_LOCAL_MACHINE\Software\Microsoft
    Windows\CurrentVersion\RunServices

    il supprime la valeur suivante :

    Driver32
  4. Dans la clé de registre

    HKEY_CLASSES_ROOTexefile\shell\open\command

    l'outil modifie la valeur [(par défaut)] en la paramétrant sur :

    "%1" %*
  5. L'outil supprime la ligne "@win \recycled\sirc32.exe" du fichier C:\Autoexec.bat.
  6. L'outil restaure le fichier Rundll32.exe, renommé par le ver.

Signature numérique
FixSirc.com porte une signature numérique. Symantec vous recommande de n'utiliser que les copies du FixSirc.com téléchargées directement depuis le site de téléchargement du SARC. Pour vérifier l'authenticité de la signature numérique, suivez ces étapes :
  1. Accédez au site http://www.wmsoftware.com/free.htm.
  2. Téléchargez le fichier Chktrust.exe et enregistrez-le dans le dossier où vous avez enregistré FixSirc.com (par exemple, C:\Downloads).
  3. Cliquez sur Démarrer, pointez sur Programmes, puis cliquez sur Commandes MS-DOS.
  4. Accédez au dossier contenant FixSirc.com et Chktrust.exe, puis saisissez :

    chktrust -i FixSirc.com

    Par exemple, si vous avez enregistré le fichier dans C:\Downloads :

    cd\
    cd downloads
    chktrust -i FixSirc.com

    Appuyez sur Entrée après avoir saisi chaque commande.
  5. Si la signature numérique est valide, le message suivant apparaît :

    Souhaitez-vous installer et exécuter "FixSirc.com" signé le 31/07/2001 9:36 AM et distribué par Symantec Corporation ?

    REMARQUES :
    • La date et l'heure affichées dans cette boîte de dialogue sont ajustées en fonction de votre fuseau horaire si votre ordinateur n'utilise pas le fuseau Pacifique.
    • Si vous utilisez l'option Ajuster l'horloge pour l'observation automatique de l'heure d'été, le système indique qu'il est exactement une heure plus tôt.
    • Si cette boîte de dialogue n'apparaît pas, n'utilisez pas votre copie de fixsirc.com. Elle n'émane pas de Symantec.
  6. Cliquez sur Oui pour fermer la boîte de dialogue.
  7. Tapez exit, puis appuyez sur Entrée. Cela ferme la session MS-DOS.

Option Restauration du système de Windows Me/XP
Les utilisateurs de Windows Me et de Windows XP doivent temporairement désactiver l'option Restauration du système. Cette fonction, activée par défaut, sert à Windows Me/XP à restaurer des fichiers sur l'ordinateur s'ils sont endommagés. Lorsqu'un ordinateur est infecté par un virus, un ver ou un cheval de Troie, les éléments infectieux peuvent être sauvegardés par Restauration du système. Par défaut, Windows empêche tout programme externe de modifier la fonction Restauration du système. Par conséquent, vous risquez de restaurer accidentellement un fichier infecté ou les analyseurs Norton AntiVirus en ligne risquent de détecter le virus à cet emplacement. Pour obtenir des instructions sur la désactivation de Restauration du système, reportez-vous à la documentation Windows ou à l'un des articles suivants :
Pour en savoir plus sur cette procédure et savoir comment procéder sans désactiver Restauration du système sous Windows Me, reportez-vous à l'article suivant (en anglais) de la Base de connaissances de Microsoft : Anti-Virus Tools Cannot Clean Infected Files in the _Restore Folder, ID d'article : Q263455.

Exécution de l'outil depuis une disquette
  1. Insérez la disquette contenant le fichier Fixsirc.com dans le lecteur.
  2. Cliquez sur Démarrer, puis sur Exécuter.
  3. Entrez ce qui suit, puis cliquez sur OK :

    a:\fixsirc.com

    REMARQUES :
    • La commande a:\fixsirc.com ne contient pas d'espace.
    • Si vous utilisez Windows Me et que l'option Restauration du système reste activée, un message d'avertissement apparaît. Vous pouvez choisir d'exécuter l'outil de suppression avec l'option Restauration du système activée ou de quitter l'outil de suppression.
  4. Cliquez sur Démarrer pour lancer la procédure, puis laissez l'outil travailler.
  5. Si vous utilisez Windows Me, réactivez Restauration du système.



Version anglaise de ce document
Veuillez noter que, en raison du temps nécessaire à la traduction en français, le contenu du document en anglais peut différer par rapport à cette version. Ce document en anglais ayant été éventuellement mis à jour durant le processus de traduction.
Résumé