1. /
  2. Security Response/
  3. W32.Bugbear.B@mm Removal Tool
  4. W32.Bugbear.B@mm Removal Tool
  • Ajouter

W32.Bugbear.B@mm Removal Tool

Découvert :
5 Juin 2003
Mis à jour :
13 Février 2007 11:34:49 AM
Type :
Removal Information


IMPORTANT - LISEZ ATTENTIVEMENT :
  • Si vous êtes en réseau ou disposez d'une connexion permanente à Internet, déconnectez l'ordinateur du réseau ou d'Internet. Désactivez le partage de fichiers ou protégez-le par mot de passe avant de reconnecter les ordinateurs au réseau ou à Internet. Le ver se propage en utilisant les dossiers partagés sur les postes en réseau. Par conséquent, pour vous assurer qu'il ne réinfecte pas l'ordinateur une fois éliminé, nous vous suggérons de n'utiliser le partage qu'en mode lecture ou en utilisant un mot de passe. Pour des instructions sur la manière de procéder, référez-vous à votre documentation Windows ou consultez le document Comment configurer les dossiers Windows partagés pour un réseau parfaitement sécurisé.
    Si vous nettoyez une infection sur un réseau, assurez-vous que tout partage a été préalablement désactivé ou configuré en mode lecture uniquement avant de continuer.
  • Cet outil n'est pas conçu pour fonctionner sur des serveurs Novell NetWare. Pour éliminer cette menace d'un serveur NetWare, après vous être assuré de disposer des dernières définitions de virus, exécutez une analyse complète du système avec votre produit anti-virus Symantec.

Fonctions de l'outil

L'outil de suppression de W32.Bugbear.B@mm effectue les opérations suivantes :
  1. Il termine les processus viraux de W32.Bugbear.B@mm.
  2. Il supprime les fichiers non réparables de W32.Bugbear.B@mm.
  3. Il répare les fichiers infectés par W32.Bugbear.B@mm.


Options de ligne de commande disponibles pour cet outil


Option

Description

/HELP, /H, /?

Affiche le message d'aide.

/NOFIXREG

Désactive la réparation du registre (l'utilisation de cette option n'est pas recommandée).

/SILENT, /S

Active le mode silencieux.

/LOG=<nom chemin d'accès>

Crée un fichier journal dans lequel le <nom chemin d'accès> désigne l'emplacement sous lequel sont conservés les résultats de l'outil. Par défaut, cette option crée le fichier journal FixBugb.log dans le même dossier à partir duquel l'outil de suppression s'est exécuté.

/MAPPED

Analyse les lecteurs réseau mappés (l'utilisation de cette option n'est pas recommandée - cf. Remarques).

/START

Force le lancement immédiat de l'analyse.

/EXCLUDE=<chemin d'accès>

Exclut de l'analyse le <chemin d'accès> spécifié (l'utilisation de cette option n'est pas recommandée).

REMARQUE : L'utilisation de l'option /MAPPED n'assure pas la suppression totale du virus sur l'ordinateur distant, pour les raisons suivantes :
  • L'analyse de lecteurs mappés s'applique aux dossiers mappés uniquement. Ce qui n'inclut pas nécessairement tous les dossiers de l'ordinateur distant et peut entraîner l'oubli de certaines détections.
  • Si un fichier infecté est détecté sur le lecteur mappé, la suppression échoue si ce fichier est utilisé par un programme de l'ordinateur distant.

Pour ces raisons, vous devez exécuter l'outil sur chacun des ordinateurs.

Comment obtenir et exécuter l'outil

REMARQUES :
  • Vous devez posséder les droits d’administrateur pour exécuter cet outil sous Windows NT 4/2000/XP.
  • Il a été signalé que sur des postes Windows 95/98/Me plus particulièrement, il était nécessaire d'exécuter l'outil en mode sans échec. Si vous rencontrez des difficultés pour exécuter cet outil, procédez à son téléchargement en suivant les instructions des étapes 1 et 2, puis redémarrez l'ordinateur en mode sans échec. Tous les systèmes d'exploitation 32 bits Windows, à l'exception de Windows NT, peuvent être redémarrés en mode sans échec. Pour des instructions sur la manière de procéder, consultez le document Comment démarrer l'ordinateur en mode sans échec.
  • Si vous êtes connecté sur un réseau - une ligne ADSL ou une connexion par câble est un type de réseau - déconnectez l'ordinateur du réseau comme indiqué à l'étape 5.
  1. Téléchargez le fichier FixBugb.exe à partir de :

    http://securityresponse.symantec.com/avcenter/FixBugb.exe
  2. Enregistrez le fichier dans un emplacement approprié, tel que le dossier de téléchargement ou le bureau de Windows (ou tout support amovible non infecté).
  3. Pour vérifier l'authenticité de la signature numérique, reportez-vous à la section intitulée Signature numérique.
  4. Fermez tous les programmes avant d'exécuter l'outil.
  5. Si vous êtes en réseau ou disposez d'une connexion permanente à Internet, déconnectez l'ordinateur du réseau ou d'Internet.
  6. Si vous êtes sous Windows Me ou XP, désactivez l'option Restauration du système. Reportez-vous à la section de cet article intitulée "Option Restauration du système sous Windows Me/XP" pour plus d'informations.

    REMARQUE : Si vous utilisez Windows Me/XP, nous vous conseillons vivement de ne pas sauter cette étape.
  7. Cliquez deux fois sur le fichier FixBugb.exe pour lancer l'outil de suppression.
  8. Cliquez sur Démarrer pour commencer puis laissez l'outil s'exécuter.
  9. Redémarrez l’ordinateur.
  10. Exécutez de nouveau l'outil de suppression pour vous assurer que le système est complètement nettoyé.
  11. Si vous êtes sous Windows Me ou XP, réactivez l'option Restauration du système.
  12. Exécutez LiveUpdate pour vous assurer que vous disposez des définitions de virus les plus récentes.

    REMARQUE : La procédure de suppression peut échouer sous Windows Me/XP si la fonction Restauration du système n'a pas été désactivée comme indiqué dans les instructions, car Windows empêche la modification de Restauration du système par un programme tiers. L'outil de suppression pourrait ne pas fonctionner pour cette raison.

Lorsque l'outil a terminé, un message indiquant si l'ordinateur était infecté par W32.Bugbear.B@mm s'affiche. Si le ver est supprimé, le programme affiche les résultats suivants :
    • Nombre total de fichiers analysés
    • Nombre de fichiers supprimés
    • Nombre de fichiers réparés
    • Nombre de processus viraux terminés
    • Nombre d'entrées virales de la base de registre réparées

Signature numérique
FixBugb.exe porte une signature numérique. Symantec vous recommande de n'utiliser que des copies de FixBugb.exe téléchargées directement depuis le site de téléchargement Symantec Security Response. Pour vérifier l'authenticité de la signature numérique, suivez les étapes suivantes :
  1. Rendez-vous à l’adresse http://www.wmsoftware.com/free.htm
  2. Téléchargez et enregistrez le fichier Chktrust.exe sous le même dossier dans lequel vous avez enregistré FixBugb.exe (C:\Downloads par exemple).
  3. En fonction de votre système d'exploitation, effectuez l'une des opérations suivantes :
    • Cliquez sur Démarrer, pointez sur Programmes et cliquez sur Commandes MS-DOS.
    • Cliquez sur Démarrer, pointez sur Programmes, cliquez sur Accessoires puis cliquez sur Invites de commande.
  4. Allez dans le dossier contenant FixBugb.exe et Chktrust.exe puis tapez :

    chktrust -i FixBugb.exe

    Par exemple, si vous avez enregistré le fichier dans le dossier C:\Downloads, exécutez les commandes suivantes (tapez Entrée après avoir saisi chaque commande) :

    cd\
    cd downloads
    chktrust -i FixBugb.exe


    Si la signature numérique est valide, le message suivant s'affichera :

    Voulez-vous installer et exécuter "l'outil de suppression de W32.Bugbear.B@mm" signé le 05/06/2003 21:36 et distribué par Symantec Corporation ?.

    REMARQUES :
        • La date et l'heure qui s'affichent dans cette boîte de dialogue seront ajustées à votre fuseau horaire si votre ordinateur n'est pas configuré sur le fuseau horaire Pacifique.
        • Si vous utilisez l'option "Ajuster l'horloge pour l'observation automatique de l'heure d'été", le système indique alors qu'il est exactement une heure plus tôt.
        • Si cette boîte de dialogue ne s'affiche pas, il y a deux raisons possibles :
          • L'outil ne provient pas de Symantec. A moins d'être certain que l'outil est légitime et que vous l'avez téléchargé depuis le site web légitime de Symantec, vous ne devriez pas l'exécuter.
          • L'outil provient de Symantec et il est légitime. Cependant, votre système d'exploitation n'a pas été configuré pour faire systématiquement confiance aux contenus de Symantec. Pour plus d'informations, et pour savoir comment afficher à nouveau la boîte de dialogue de confirmation, consultez le document How to restore the Publisher Authenticity confirmation dialog box.
  5. Cliquez sur Oui pour fermer la boîte de dialogue.
  6. Tapez exit puis appuyez sur Entrée. (Pour fermer la session MS-DOS).

Option Restauration du système sous Windows Me/XP
Les utilisateurs de Windows Me et de Windows XP devraient désactiver temporairement la Restauration du système. Cette fonctionnalité, qui est activée par défaut, est utilisée par Windows Me/XP pour restaurer des fichiers sur votre ordinateur si ceux-ci ont été endommagés. Si un ordinateur a été infecté par un virus, un ver ou un cheval de Troie, il est possible que ce virus, ver ou cheval de Troie soit sauvegardé par la restauration du système. Par défaut, Windows empêche des programmes tiers de modifier la Restauration du système. Par conséquent, il est possible que vous restauriez accidentellement un fichier infecté ou que des analyseurs en-ligne détectent la menace à cet emplacement. Pour des instructions sur la manière de désactiver la Restauration du système, consultez la documentation de Windows ou l'un des articles suivants :

Pour plus d'informations, et pour connaître une autre méthode pour désactiver la Restauration du système, consultez le document (en anglais) de la base de connaissances de Microsoft intitulé Anti-Virus Tools Cannot Clean Infected Files in the _Restore Folder, Article ID: Q263455.

Comment exécuter l'outil à partir d'une disquette
  1. Insérez la disquette contenant le fichier FixBugb.exe dans le lecteur de disquettes.
  2. Cliquez sur Démarrer puis sur Exécuter.
  3. Tapez le texte suivant, puis cliquez sur OK.

    a:\FixBugb.exe

    REMARQUES :
    • Il n'y a pas d'espaces dans la commande a:\FixBugb.exe
    • Si vous utilisez Windows Me et que l'option Restauration du système est restée activée, un message d'avertissement apparaît. Vous pouvez choisir d'exécuter l'outil de suppression avec l'option Restauration du système activée ou vous pouvez quitter l'outil de suppression.
  4. Cliquez sur Démarrer pour commencer puis laissez l'outil s'exécuter.
  5. Si vous êtes sous Windows Me, réactivez l'option Restauration du système.



Résumé