1. /
  2. Security Response/
  3. W32.Swen.A@mm Removal Tool
  4. W32.Swen.A@mm Removal Tool
  • Ajouter

W32.Swen.A@mm Removal Tool

Découvert :
19 Septembre 2003
Mis à jour :
13 Février 2007 11:35:11 AM
Type :
Removal Information

Symantec Security Response a créé un outil de suppression pour nettoyer toutes les infections de W32.Swen.A@mm.

Fonctions de l'outil

L'outil de suppression de W32.Swen.A@mm effectue les opérations suivantes :

  1. Il termine les processus viraux de W32.Swen.A@mm.
  2. Il supprime les fichiers de W32.Swen.A@mm.
  3. Il supprime les fichiers déposés.
  4. Il supprime les valeurs du registre ajoutées par le ver.

Options de ligne de commande disponibles pour cet outil


Option

Description

/HELP, /H, /?

Affiche le message d'aide.

/NOFIXREG

Désactive la réparation du registre. (L'utilisation de cette option n'est pas recommandée.)

/SILENT, /S

Active le mode silencieux.

/LOG=<nom du chemin d'accès>

Crée un fichier journal dans lequel le <nom du chemin d'accès> désigne l'emplacement sous lequel sont conservés les résultats de l'outil. Par défaut, cette option crée le fichier journal FxSwen.log dans le dossier à partir duquel l'outil de suppression a été exécuté.

/MAPPED

Analyse les lecteurs réseau mappés. (L'utilisation de cette option n'est pas recommandée. Voir la remarque ci-dessous.)

/START

Force le lancement immédiat de l'analyse.

/EXCLUDE=<chemin d'accès>

Exclut de l'analyse le <chemin d'accès> spécifié. (L'utilisation de cette option n'est pas recommandée.)

/NOFILESCAN

Empêche l'analyse du système de fichiers..


Remarques :
L'utilisation de l'option /MAPPED n'assure pas la suppression totale du virus sur l'ordinateur distant, pour les raisons suivantes :
  • L'analyse de lecteurs mappés s'applique aux dossiers mappés uniquement. Ce qui n'inclut pas nécessairement tous les dossiers de l'ordinateur distant et peut entraîner l'oubli de certaines détections.
  • Si un fichier infecté est détecté sur le lecteur mappé, la suppression échoue si ce fichier est utilisé par un programme de l'ordinateur distant.
    Pour ces raisons, vous devez exécuter l'outil sur chacun des ordinateurs.
  • L'option /EXCLUDE fonctionnera avec un seul chemin uniquement et non avec de multiples chemins. Vous pouvez à la place utiliser l'option /NOFILESCAN suivie d'une analyse manuelle avec l'antivirus. Ceci permettra alors à l'outil de modifier le Registre. Procédez ensuite à l'analyse du système avec votre antivirus, doté des dernières définitions de virus.
    • Voici un exemple de ligne de commande pour exclure un seul lecteur :

      "C:\Documents and Settings\user1\Desktop\FixSwen.exe" /EXCLUDE=M:\ /LOG=c:\FixSwen.txt
    • Vous pouvez également utiliser la ligne de commande ci-dessous qui évitera l'analyse du système de fichiers mais réparera les modifications apportées au Registre. Vous devrez alors lancer une analyse normale de votre système avec les exclusions adaptées :

      "C:\Documents and Settings\user1\Desktop\FixSwen.exe" /NOSCANFILE /LOG=c:\FixSwen.txt

      (Vous pouvez choisir le nom que vous souhaitez pour le fichier journal.)

Pour obtenir l'outil et l'exécuter

Avant de commencer :
En raison des nombreuses modifications apportées au Registre de Windows par le ver, la suppression du ver peut se révéler difficile si celui-ci s'est déjà exécuté et si votre produit antivirus Symantec l'a mis en quarantaine ou supprimé. Si c'est le cas, vous ne pourrez pas télécharger et exécuter l'outil.

Les mesures à prendre si le ver s'est exécuté et si les fichiers du ver ont été mis en quarantaine ou supprimés, dépendent de votre système d'exploitation :
    • Windows NT/2000/XP : Téléchargez l'outil comme indiqué ci-après. Cependant, renommez l'outil en utilisant l'extension .cmd comme précisé dans la remarque à l'étape 5.
    • Windows 95/98/Me : Renommer l'outil en utilisant l'extension .cmd ne fonctionne pas sur ces systèmes d'exploitation, par conséquent vous devez en premier lieu suivre les instructions de la section intitulée "W32.Swen.A@mm a déjà été mis en quarantaine ou supprimé" dans les instructions de suppression de l'article sur W32.A.Swen@mm.

Remarque : Vous devez disposer de droits d’administrateur pour exécuter cet outil sous Windows NT 4.0, Windows 2000 ou Windows XP.


ATTENTION : Note à l'attention des administrateurs réseau. Si vous exécutez MS Exchange 2000 Server, il est préférable d'exclure le lecteur M de l'analyse en exécutant l'outil à partir d'une ligne de commande avec l'option Exclude. Pour en savoir plus, consultez l'article de la base de connaissances de Microsoft XADM: Do Not Back Up or Scan Exchange 2000 Drive M - Numéro d'article 298924.

  1. Téléchargez le fichier FxSwen.exe à partir de : http://www.symantec.com/avcenter/FixSwen.exe.
  2. Enregistrez le fichier à un emplacement approprié, tel que le dossier de téléchargement ou le bureau de Windows (ou tout support amovible non infecté).
  3. Pour vérifier l'authenticité de la signature numérique, reportez-vous à la section de cet article intitulée "Signature numérique".
  4. Si vous exécutez Windows Me ou XP, désactivez l'option Restauration du système. Reportez-vous à la section de cet article intitulée "Option Restauration du système sous Windows Me/XP" pour plus d'informations.

    Remarque : Il s'agit d'une mesure préventive, afin d'éviter que le ver ne soit accidentellement restauré ultérieurement ou qu'il ne soit détecté par une analyse. Cependant, en raison des modifications apportées au Registre par le ver, il est possible que vous ne soyez pas en mesure de procéder ainsi à ce stade. Si c'est votre cas, sautez cette étape pour le moment. Nous vous recommandons toutefois de réaliser cette étape après avoir rétabli l'accès à votre système. En procédant ainsi, vous viderez le dossier Restauration du système et éviterez des problèmes éventuels par la suite.
  5. Cliquez deux fois sur le fichier FxSwen.exe pour lancer l'outil de suppression.

    Remarque : Si le ver s'est déjà exécuté, et si vous avez supprimé ou mis en quarantaine les fichiers du ver en utilisant votre produit antivirus Symantec, l'outil ne fonctionnera pas en raison des modifications apportées au Registre. Sur les systèmes Windows 95/98/Me, un message peut apparaître indiquant que Windows ne peut pas trouver un fichier <nommé de façon aléatoire>.

    - Si cette erreur se produit sous Windows 95/98/Me, arrêtez-vous là et suivez les instructions de la section intitulée "W32.Swen.A@mm a déjà été mis en quarantaine ou supprimé" dans les instructions de suppression de l'article W32.A.Swen@mm.

    - Si cette situation se produit sur des systèmes Windows NT/2000/XP system, suivez ces étapes complémentaires puis passez à l'étape 6 :
    1. Démarrez l'Explorateur Windows.
    2. Cliquez sur Affichage > Options (Windows NT) ou sur Outils > Options des dossiers (Windows 2000/XP).
    3. Cliquez sur l'onglet Affichage.
    4. Désactivez l'option "Masquer les extensions des fichiers dont le type est connu". Cliquez sur Oui si une boîte de dialogue d'avertissement s'affiche.
    5. Cliquez sur Appliquer > OK.
    6. Cliquez avec le bouton droit sur le fichier FixSwen.exe, puis cliquez sur Renommer. Renommez-le FixSwen.cmd. Confirmez le changement de nom si vous y êtes invité.
    7. Cliquez deux fois sur le fichier FixSwen.cmd, puis poursuivez avec les instructions.
  6. Cliquez sur Démarrer pour commencer puis laissez l'outil s'exécuter
  7. Redémarrez l’ordinateur.
  8. Exécutez de nouveau l'outil de suppression pour vous assurer que le système est complètement nettoyé.
  9. Si vous exécutez Windows Me/XP, réactivez l'option Restauration du système.
  10. Exécutez LiveUpdate afin de vous assurer que vous disposez des définitions de virus les plus récentes.

Remarque : La procédure de suppression peut échouer sous Windows Me/XP si la fonction Restauration du système n'a pas été désactivée comme indiqué dans les instructions, car Windows empêche la modification de l'option Restauration du système par un programme tiers.

Lorsque l'outil a fini, un message apparaît vous indiquant si l'ordinateur est infecté par W32.Swen.A@mm. S'il s'agit de la suppression d'un ver, le programme affiche les résultats suivants :
  • Nombre total de fichiers analysés.
  • Nombre de fichiers supprimés.
  • Nombre de processus viraux terminés.
  • Nombre d'entrées du registre réparées.

Signature numérique
FxSwen.exe porte une signature numérique. Symantec recommande l'utilisation de copies de FxSwen.exe téléchargées directement sur le site Symantec Security Response uniquement. Pour vérifier l'authenticité de la signature numérique, suivez les étapes suivantes :
  1. Rendez-vous à l’adresse http://www.wmsoftware.com/free.htm.
  2. Téléchargez et enregistrez le fichier chktrust.exe dans le dossier dans lequel vous avez enregistré FxSwen.exe (C:\Downloads par exemple).
  3. En fonction de votre système d'exploitation, effectuez l'une des opérations suivantes :
    • Cliquez sur Démarrer, pointez sur Programmes et cliquez sur Commandes MS-DOS.
    • Cliquez sur Démarrer, pointez sur Programmes, cliquez sur Accessoires puis cliquez sur Invite de commandes.
  4. Allez dans le dossier contenant FxSwen.exe et Chktrust.exe puis tapez : chktrust -i FxSwen.exe.

    Par exemple, si vous avez enregistré le fichier dans le dossier C:\Downloads, vous devez saisir les commandes suivantes :

    cd\
    cd downloads
    chktrust -i FxSwen.exe

    Appuyez sur Entrée après avoir tapé chaque commande. Si la signature numérique est valide, le message suivant s'affichera :

    "Voulez-vous installer et exécuter "W32.Swen.A@mm Removal Tool" signé le 24/09/2003 8:18 et distribué par Symantec Corporation ?".


    Remarques :
    • La date et l'heure affichées dans cette boîte de dialogue seront ajustées à votre fuseau horaire si votre ordinateur n'est pas configuré sur le fuseau horaire Pacifique.
    • Si vous utilisez l'option "Ajuster l'horloge pour l'observation automatique de l'heure d'été", le système indiquera une heure plus tôt.
    • Si cette boîte de dialogue ne s'affiche pas, il y a deux raisons possibles :
      • L'outil ne provient pas de Symantec : A moins d'être certain que l'outil est légitime et que vous l'avez téléchargé depuis le site Web légitime de Symantec, vous ne devriez pas l'exécuter.
      • L'outil provient de Symantec et il est légitime : Cependant, votre système d'exploitation n'a pas été configuré pour faire systématiquement confiance aux contenus de Symantec. Pour plus d'informations, et pour savoir comment visualiser à nouveau la boîte de dialogue de confirmation, consultez le document en anglais How to restore the Publisher Authenticity confirmation dialog box.
  5. Cliquez sur Oui pour fermer la boîte de dialogue.
  6. Tapez exit puis appuyez sur Entrée. (Pour fermer la session MS-DOS.)

Option Restauration du système sous Windows Me/XP
Il est conseillé aux utilisateurs de Windows Me et de Windows XP de désactiver temporairement la Restauration du système. Windows Me et XP utilisent cette fonctionnalité, activée par défaut afin de pouvoir restaurer des fichiers sur votre ordinateur, s'ils venaient à être endommagés. Si un ordinateur a été infecté par un virus, un ver ou un cheval de Troie, il est possible que ce virus, ver ou cheval de Troie soit sauvegardé sur l'ordinateur par l'option Restauration du système.

Windows empêche des programmes tiers, y compris les programmes anti-virus, de modifier la Restauration du système. Par conséquent, les programmes ou outils anti-virus ne peuvent pas éradiquer les menaces dans le dossier de Restauration du système. Ainsi, la Restauration du système peut restaurer un fichier infecté sur votre ordinateur même après que vous ayez nettoyé les fichiers infectés sur tous les autres emplacements.

Par ailleurs, dans certains cas, les analyses en ligne peuvent détecter une menace dans le dossier Restauration du système même si vous avez lancé une analyse de votre ordinateur avec un programme anti-virus et qu'aucun fichier infecté n'a été trouvé.

Pour savoir comment désactiver la Restauration du système, consultez la documentation de Windows ou l'un des articles suivants : Pour plus d'informations, et une méthode alternative pour désactiver la Restauration du système de Windows Me, consultez le document (en anglais) de la base de connaissances de Microsoft intitulé Anti-Virus Tools Cannot Clean Infected Files in the _Restore Folder ID de l'article : Q263455.
Résumé