1. /
  2. Security Response/
  3. W32.Klez Removal Tool
  • Ajouter

W32.Klez Removal Tool

Mis à jour :
13 Février 2007 11:33:57 AM
Type :
Removal Information

Symantec propose un outil permettant de supprimer les infections causées par toutes les variantes connues de W32.Klez@mm et de W32.Elkern.

Pour voir une démonstration en ligne (en anglais) de la procédure à suivre pour télécharger et exécuter cet outil et bien d'autres, cliquez ici.

Remarque sur les éléments détectés par W32.Klez.gen@mm :
W32.Klez.gen@mm est un outil de détection générique qui reconnaît toutes les variantes du virus W32.Klez. Les ordinateurs infectés par W32.Klez.gen@mm ont généralement été exposés à W32.Klez.E@mm ou à W32.Klez.H@mm. Si le système indique que votre ordinateur est infecté par W32.Klez.gen@mm, téléchargez et exécutez l'outil. Dans la plupart des cas, cet outil peut supprimer l'infection.

Fonctions de l'outil
L'outil de suppression W32.Klez exécute les opérations suivantes :
  • Il termine tous les processus associés à W32.Klez@mm ou à W32.Elkern.
  • Il supprime les services W32.Klez@mm.
  • Il supprime les entrées de registre créées par W32.Klez@mm.
  • Il détecte toutes les infections provoquées par W32.Klez@mm et W32.ElKern, et répare les fichiers qui peuvent l'être.
  • Il inocule les fichiers réparés après élimination de W32.Elkern.4926 pour éviter qu'ils soient réinfectés.

REMARQUES :
  • Un fichier infecté par W32.Klez.E@mm ou W32.Klez.H@mm comprend un lien vers le fichier hôte chiffré. Si le fichier chiffré n'existe pas au bout du lien, l'outil supprime le fichier infecté parce qu'il n'est pas réparable et le fichier chiffré n'est pas restauré.
  • La réparation des éléments infectés par W32.ElKern supprime le code viral du fichier. Il ne garantit pas qu'un fichier est réparé après infection par W32.ElKern parce que, la plupart du temps, le virus endommage les fichiers.
Options de lignes de commande disponibles pour cet outil
Option
Description
/HELP, /H, /?Affiche le message d'aide.
/NOFIXREGDésactive la réparation du registre (l'utilisation de cette option n'est pas recommandée).
/SILENT, /SActive le mode silencieux.
/LOG=<chemin>Crée un fichier journal. <chemin> représente l'emplacement où le résultat de l'outil doit être stocké. Par défaut, ce switch crée le fichier FixKlez.log dans le dossier depuis lequel l'outil a été exécuté.
/MAPPEDAnalyse les lecteurs réseau mappés (l'utilisation de cette option n'est pas recommandée. Reportez-vous à la remarque ci-dessous).
/STARTForce le démarrage immédiat de l'analyse.
/EXCLUDE=<chemin>Exclut de l'analyse le <chemin> spécifié (l'utilisation de ce switch n'est pas recommandée).

REMARQUE : L'utilisation de /MAPPED n'assure pas la suppression totale du virus sur l'ordinateur distant, pour les raisons suivantes :
  • L'analyse de lecteurs mappés n'examine que les dossiers mappés. Cela n'inclut pas nécessairement tous les dossiers de l'ordinateur distant et peut entraîner la non-détection de certains éléments infectés.
  • Si un fichier infecté est détecté sur le lecteur mappé, la suppression échoue si ce fichier est utilisé par un programme de l'ordinateur distant.
  • La réparation d'un fichier infecté par W32.Klez@mm peut échouer même s'il est trouvé sur le lecteur mappé. En effet, le chemin d'accès au fichier maître chiffré d'origine est un chemin d'accès local.
Par conséquent, vous devez exécuter l'outil sur chacun des ordinateurs.

Obtention et exécution de l'outil

REMARQUE : Vous devez disposer de droits d'administrateur afin d'exécuter cet outil sous Windows NT 4.0, Windows 2000 ou Windows XP.
  1. Téléchargez le fichier FixKlez.com depuis l'adresse http://securityresponse.symantec.com/avcenter/FixKlez.com (anglais).
  2. Enregistrez le fichier dans un dossier approprié, tel que le dossier de téléchargement ou le bureau Windows (ou sur un support amovible non infecté, si possible).
  3. Pour vérifier l'authenticité de la signature numérique, reportez-vous à la section Signature numérique de cet article.
  4. Fermez tous les programmes.
  5. Si vous travaillez en réseau ou disposez d'une connexion permanente à Internet, déconnectez l'ordinateur du réseau et d'Internet.
  6. Si vous utilisez Windows Me ou Windows XP, désactivez l'utilitaire Restauration du système. Pour plus d'informations, reportez-vous à la section Option Restauration du système de Windows Me/XP.

    REMARQUE : Si vous utilisez Windows Me/XP, Symantec vous recommande vivement de ne pas sauter cette étape.
  7. Arrêtez l'ordinateur et mettez-le hors tension. Patientez pendant trente secondes. Ne sautez pas cette étape.
  8. Redémarrez l'ordinateur en mode sans échec. Tous les systèmes d'exploitation Windows 32 bits peuvent être redémarrés en mode sans échec, à l'exception de Windows NT. Pour plus d'informations sur cette méthode, reportez-vous au document Comment démarrer l'ordinateur en Mode sans échec.
  9. Cliquez deux fois sur le fichier FixKlez.com afin de lancer l'outil de suppression.
  10. Cliquez sur Démarrer pour lancer la procédure, puis laissez l'outil travailler.
  11. Redémarrez l'ordinateur normalement.
  12. Si vous utilisez un produit anti-virus Symantec, vous devez l'installer de nouveau.
  13. Exécutez LiveUpdate pour vous assurer que vous possédez les toutes dernières définitions de virus, puis analysez à nouveau l'ordinateur. Si NAV détecte des fichiers infectés et ne peut pas les réparer, supprimez ces fichiers.
  14. Si vous utilisez Windows Me/XP, réactivez la fonction Restauration du système.

REMARQUE : La procédure de suppression peut échouer sous Windows Me/XP si la fonction Restauration du système n'a pas été désactivée, parce que Windows empêche la modification de cette fonction par un programme tiers. Par conséquent, l'outil de suppression risque d'échouer. Dans la plupart des cas, si W32.Klez.gen@mm a été activé avant l'exécution de l'outil de suppression, vous ne pourrez plus démarrer Norton AntiVirus (NAV). Les instructions relatives à l'exécution de NAV depuis la ligne de commande et à sa réinstallation se trouvent dans la section traitant de la suppression de W32.Klez.E@mm.

Lorsque l'outil a terminé, un message indique si l'ordinateur était infecté par des variantes de W32.Klez@mm et/ou de W32.ElKern. Si une infection a été enrayée, le programme affiche les résultats suivants :
  • Nombre total de fichiers analysés
  • Nombre de fichiers supprimés
  • Nombre de fichiers réparés
  • Nombre de processus viraux terminés
  • Nombre de services viraux supprimés
  • Nombre d'entrées de registre corrigées

Signature numérique
FixKlez.com porte une signature numérique. Symantec vous recommande de n'utiliser que les copies de FixKlez.com téléchargées directement depuis le site de Symantec Security Response. Pour vérifier l'authenticité de la signature numérique, suivez ces étapes :
  1. Accédez au site http://www.wmsoftware.com/free.htm.
  2. Téléchargez le fichier Chktrust.exe et enregistrez-le dans le dossier où vous avez enregistré FixKlez.com (par exemple, C:\Downloads).
  3. En fonction de votre version de Windows, effectuez l'une des opérations suivantes :
    • Cliquez sur Démarrer, pointez sur Programmes, puis cliquez sur Commandes MS-DOS.
    • Cliquez sur Démarrer, pointez sur Programmes, cliquez sur Accessoires, puis sur Invite de commandes.
    • Accédez au dossier contenant FixKlez.com et Chktrust.exe, puis saisissez :

      chktrust -i FixKlez.com

      Par exemple, si le fichier est stocké dans C:\Downloads, entrez les commandes suivantes :

      cd\
      cd downloads
      chktrust -i FixKlez.com

      Appuyez sur Entrée après avoir saisi chaque commande. Si la signature numérique est valide, le message suivant apparaît :

      Souhaitez-vous installer et exécuter "W32.Klez Fix Tool" signé le 10/09/2002 7:11 PM et distribué par Symantec Corporation ?

      REMARQUES :
      • La date et l'heure affichées dans cette boîte de dialogue sont ajustées en fonction de votre fuseau horaire si votre ordinateur n'utilise pas le fuseau Pacifique.
      • Si vous utilisez l'option Ajuster l'horloge pour l'observation automatique de l'heure d'été, le système indique qu'il est exactement une heure plus tôt.
      • Si cette boîte de dialogue n'apparaît pas, il peut y avoir deux explications :
        • L'outil ne provient pas de Symantec. A moins d'être certain de la légitimité de l'outil et de l'avoir téléchargé à partir du site officiel de Symantec, ne l'exécutez pas.
        • L'outil provient de Symantec et est légitime. Toutefois, votre système d'exploitation avait pour instruction de toujours accepter le contenu provenant de Symantec. Pour plus d'informations sur ce point et sur la manière d'afficher de nouveau la boîte de dialogue de confirmation, reportez-vous au document (en anglais) How to restore the Publisher Authenticity confirmation dialog box.
  4. Cliquez sur Oui pour fermer la boîte de dialogue.
  5. Tapez exit, puis appuyez sur Entrée pour fermer la session MS-DOS.

Option Restauration du système de Windows Me/XP
Les utilisateurs de Windows Me et de Windows XP doivent temporairement désactiver l'option Restauration du système. Cette fonction, activée par défaut, sert à Windows Me/XP à restaurer des fichiers sur l'ordinateur s'ils sont endommagés. Lorsqu'un ordinateur est infecté par un virus, un ver ou un cheval de Troie, les éléments infectieux peuvent être sauvegardés par Restauration du système. Par défaut, Windows empêche tout programme extérieur d'apporter des modifications à Restauration du système. Par conséquent, vous pouvez restaurer accidentellement un fichier infecté ou les antivirus en ligne peuvent détecter le virus à cet emplacement. Pour obtenir des instructions sur la désactivation de Restauration du système, reportez-vous à la documentation Windows ou à l'un des articles suivants :
Pour en savoir plus sur cette procédure et savoir comment procéder sans désactiver Restauration du système sous Windows Me, reportez-vous à l'article suivant (en anglais) de la Base de connaissances de Microsoft : Anti-Virus Tools Cannot Clean Infected Files in the _Restore Folder ID d'article : Q263455.

Exécution de l'outil depuis une disquette
  1. Insérez la disquette contenant le fichier FixKlez.com dans le lecteur.
  2. Cliquez sur Démarrer et sélectionnez Exécuter.
  3. Entrez ce qui suit :

    a:\fixklez.com

    puis cliquez sur OK.

    REMARQUES :
    • La commande a:\fixklez.com ne contient pas d'espace.
    • Si vous utilisez Windows Me et que l'option Restauration du système reste activée, un message d'avertissement apparaît. Vous pouvez choisir d'exécuter l'outil de suppression en laissant Restauration du système activée ou de quitter l'outil de suppression.
  4. Cliquez sur Démarrer pour lancer la procédure, puis laissez l'outil travailler.
  5. Si vous utilisez Windows Me, réactivez la fonction Restauration du système.

REMARQUE : Dans la plupart des cas, si vous utilisez Norton AntiVirus (NAV) 2000/2001/2002, vous devez le désinstaller et le réinstaller après avoir supprimé le virus. Pour en savoir plus sur cette procédure, reportez-vous au document Comment restaurer Norton AntiVirus après avoir supprimé un virus.
Résumé