1. /
  2. Security Response/
  3. W32.Magistr Removal Tool
  • Ajouter

W32.Magistr Removal Tool

Découvert :
27 Février 2002
Mis à jour :
13 Février 2007 11:34:03 AM
Type :
Removal Information

Symantec fournit un outil, Fixmagi.com, pour supprimer les infections de toutes les variantes connues de W32.Magis"tr@mm.

Ce que fait l'outil
L'outil de suppression de W32.Magistr effectue les actions suivantes :
  • Il interrompt tous les processus associés à W32.Magistr.24876@mm ou W32.Magistr.39921@mm.
  • Il supprime les services W32.Magistr.24876@mm ou W32.Magistr.Magistr@mm.
  • Il supprime les entrées de registre qui ont été crée par W32.Magistr.24876@mm ou W32.Magistr.39921@mm.
  • Il détecte les infections par W32.Magistr.24876@mm et W32.Magistr.39921@mm, et répare les fichiers qui peuvent l'être.
  • Il sauvegarde les fichiers qui ne peuvent pas être réparés.
  • Il affiche les actions qui ont pris lieu, et stocke la description dans un fichier journal.

REMARQUE: La réparation W32 Magistr supprime le code viral du fichier. Il n'assure pas qu'un fichier infecté par W32.Magistr.24876@mm ou W32.Magistr.39921@mm s'exécutera après que le code viral soit supprimé car les virus corrompent souvent les fichiers.

Options de ligne de commande disponibles pour cet outil

ligne de commande
Description
pathUtilisé pour spécifier le chemin d'accès à analyser. Ceci peut inclure des lecteurs mappés. Tous les sous dossiers sous le chemin d'accès spécifié sont analysés.
/aAnalyse tous les lecteurs excepté le lecteur de disquette.
/log=<logpath>Utilisé pour spécifier le nom et l'emplacement du fichier journal. Le fichier journal par défaut est C:\Magi.log.
/backup=<backdir>Utilisé pour spécifier l'emplacement où les fichiers irréparables doivent être déplacés. Le dossier de sauvegarde par défaut est C:\Backup.



Comment obtenir et exécuter l'outil.

REMARQUE: Vous devez posséder les droits d’administrateur pour exécuter cet outil sous Windows NT 4.0, Windows 2000 ou Windows XP.
  1. Téléchargez Fixmagi.com depuis :

    http://securityresponse.symantec.com/avcenter/Fixmagi.com
  2. Enregistrez le fichier sur un de ces emplacements, en fonction de votre système d'exploitation :
    • Windows 95/98/Me : Enregistrez le fichier sur le bureau de Windows.
    • Windows 2000/XP : Enregistrez le fichier sur la racine du disque C.
  3. Pour vérifier l'authenticité de la signature numérique, référez-vous à la section La signature numérique.
  4. Redémarrer l’ordinateur en Mode sans échec. (Toutes les versions 32 bits de Windows excepté Windows NT peuvent être redémarrées en mode sans échec.) Pour des instructions sur la manière de procéder, consultez le document Comment démarrer l'ordinateur en Mode sans échec
  5. Après avoir redémarré l'ordinateur en mode sans échec, suivez les étapes suivantes pour exécuter l'outil de réparation :
    1. Cliquez sur Démarrer, puis sur Exécuter. La boîte de dialogue Exécuter apparaît.
    2. Tapez la commande suivante, puis cliquez sur OK.

      command

      Si le message d'avertissement «Si vous exécutez un programme MS-DOS en Mode sans échec vous risquez de corrompre l’affichage...» s'affiche, cliquez sur Oui.
    3. Pour exécuter l'outil, effectuez l'une des étapes suivantes, en fonction de votre système d'exploitation :
      • Windows 95/98/Me :
        Tapez ce qui suit, puis appuyez sur Entrée :

        fixmagi.com C:\
      • Windows 2000/XP :
        Tapez les commandes suivantes (appuyez sur Entrée après avoir tapé chaque ligne) ;

        cd\
        fixmagi.com C:\
    4. Lisez le message d'avertissement, puis tapez sur la lettre Y lorsque l'invite "Do you accept this condition?" s'affiche.

      L'ordinateur sera analysé afin de détecter toute trace de l'infection Magistr. Une fois l'analyse terminée, l'outil de réparation crée un fichier journal décrivant ce qui a été trouvé. Le fichier journal est appelé C:\Magi.log par défaut. Cliquez deux fois sur celui-ci pour visualiser le contenu.
  6. Le virus devait maintenant être désactivé. Redémarrez l’ordinateur en Mode normal.
  7. Une fois que l'ordinateur s'exécute en mode normal, démarrez Norton AntiVirus et exécutez LiveUpdate jusqu'à ce que vous ayez obtenu les définitions de virus les plus récentes et toute mise à jour de programme disponible.
  8. Exécutez une analyse complète du système.
    La signature numérique
    Fixmagi.com est signé numériquement. Symantec recommande que vous n'utilisiez uniquement que des copies de Fixmagi.com que vous avez téléchargé directement depuis le site de téléchargement Symantec Security Response. Pour vérifier l'authenticité de la signature numérique, suivez les étapes suivantes :
      1. Rendez-vous à l’adresse http://www.wmsoftware.com/free.htm.
      2. Téléchargez et enregistrez le fichier Chktrust.exe sous le même dossier dans lequel vous avez enregistré Fixmagi.com (par exemple, C:\Windows\Desktop).
      3. En fonction de votre version de Windows, effectuez l'une des étapes suivantes :
        • Cliquez sur Démarrer, pointez sur Programmes et cliquez sur Commandes MS-DOS.
        • Cliquez sur Démarrer, pointez sur Programmes, cliquez sur Accessoires puis cliquez sur Invites de commande.
        • Rendez-vous au dossier qui contient Fixmagi.com et Chktrust.exe, puis exécutez la commande suivante :

          chktrust -i fixmagi.com

          Par exemple, si le fichier existe dans le dossier C:\Windows\Desktop, exécutez les commandes suivantes :

          cd \windows\desktop
          chktrust -i fixmagi.com

          Appuyez sur Entrée après avoir tapé chaque commande. Si la signature numérique est valide, le message suivant s'affichera :

          Voulez vous installer et exécuter "W32.Magistr Fix Tool" signé le 27/02/2002 5:29 PM et distribué par Symantec Corporation.

          REMARQUES :
          • La date et l'heure qui s'affichent dans cette boite de dialogue sera ajusté à votre fuseau horaire si votre ordinateur n'est pas configuré sur le fuseau horaire Pacifique.
          • Si l'observation automatique de l'heure d'été est sélectionnée, l'horaire qui s'affichera dans le message sera précisément une heure en avance.
          • Si cette boite de dialogue n'apparaît pas, il y a deux raisons possibles :
            • L'outil ne provient pas de Symantec. A moins d'être certain que l'outil est légitime, et que vous l'avez téléchargé depuis le site web légitime de Symantec, vous ne devriez pas l'exécuter.
            • L'outil provient de Symantec, et est légitime. Cependant, votre système d'exploitation n'a pas été configuré pour faire systématiquement confiance des contenus de Symantec. Pour plus d'informations, et pour savoir comment visualiser à nouveau la boite de dialogue de confirmation, consultez le document anglais How to restore the Publisher Authenticity confirmation dialog box.
      4. Cliquez sur Oui pour fermer la boîte de dialogue.
      5. Tapez exit puis appuyez sur Entrée pour fermer la session MS-DOS.
    Résumé