1. /
  2. Security Response/
  3. W32.Sober Removal Tool
  4. W32.Sober Removal Tool
  • Ajouter

W32.Sober Removal Tool

Découvert :
29 Octobre 2003
Mis à jour :
13 Février 2007 11:35:14 AM
Type :
Removal Information

Symantec Security Response a créé un outil de suppression pour nettoyer toutes les infections des variantes suivantes de W32.Sober :
W32.Sober@mm
W32.Sober.B@mm
W32.Sober.C@mm
W32.Sober.D@mm
W32.Sober@mm.enc
W32.Sober.gen
W32.Sober.E@mm
W32.Sober.F@mm
W32.Sober.G@mm
W32.Sober.I@mm
W32.Sober.L@mm
W32.Sober.N@mm
W32.Sober.O@mm
W32.Sober.Q@mm
W32.Sober.V@mm
W32.Sober.W@mm
W32.Sober.X@mm


Remarque : W32.Sober.gen est une détection générique des variantes de W32.Sober. Si une infection par W32.Sober.gen est détectée sur votre ordinateur, téléchargez et exécutez l'outil. Dans la plupart des cas, l'outil sera en mesure de supprimer l'infection.

Fonctions de l'outil

L'outil de suppression de W32.Sober effectue les opérations suivantes :
  1. Il termine les processus viraux de W32.Sober.
  2. Il supprime les fichiers de W32.Sober.
  3. Il supprime les fichiers déposés.
  4. Il supprime les valeurs du registre ajoutées par le ver.

Options de ligne de commande disponibles pour cet outil

Option
Action
/HELP, /H, /?Affiche le message d'aide.
/NOFIXREGDésactive la réparation du registre. (L'utilisation de cette option n'est pas recommandée.)
/SILENT, /SActive le mode silencieux.
/LOG=[NOM DU CHEMIN D'ACCÈS]Crée un fichier journal dans lequel le [NOM DU CHEMIN D'ACCÈS] désigne l'emplacement sous lequel sont conservés les résultats de l'outil. Par défaut, cette option crée le fichier journal FxSbr.log dans le même dossier à partir duquel l'outil de suppression s'est exécuté.
/MAPPEDAnalyse les lecteurs réseau mappés. (L'utilisation de cette option n'est pas recommandée. Reportez-vous aux remarques ci-dessous.)
/STARTForce le lancement immédiat de l'analyse.
/EXCLUDE=[CHEMIN D'ACCÈS]Exclut de l'analyse le [CHEMIN D'ACCÈS] spécifié. (L'utilisation de cette option n'est pas recommandée.)
/NOFILESCANEmpêche l'analyse du système de fichiers.


Remarques :
  • Symantec Security Response déconseille vivement l'utilisation de l'option /NOFIXREG lors de la première exécution de l'outil de suppression. Si l'outil de suppression est exécuté en utilisant cette option, vous ne pourrez plus supprimer les clés de registre associées à ce ver lors de la nouvelle exécution de l'outil.
  • L'utilisation de l'option /MAPPED n'assure pas la suppression totale du virus sur l'ordinateur distant, pour les raisons suivantes :
    • L'analyse de lecteurs mappés s'applique aux dossiers mappés uniquement. Ce qui n'inclut pas nécessairement tous les dossiers de l'ordinateur distant et peut entraîner l'oubli de certaines détections.
    • Si un fichier infecté est détecté sur le lecteur mappé, la suppression échoue si ce fichier est utilisé par un programme de l'ordinateur distant.

    Pour ces raisons, vous devez exécuter l'outil sur chacun des ordinateurs.



Pour obtenir l'outil et l'exécuter


Remarque : Vous devez disposer de droits d’administrateur pour exécuter cet outil sous Windows NT 4.0, Windows 2000 ou Windows XP.


ATTENTION : Note à l'attention des administrateurs réseau. Si vous exécutez MS Exchange 2000 Server, il est préférable d'exclure le disque M de l'analyse en exécutant l'outil à partir d'une ligne de commande avec l'option Exclude. Pour en savoir plus, consultez l'article de la base de connaissances de Microsoft intitulé Problèmes provoqués par une sauvegarde ou par une analyse du lecteur M Exchange 2000 (Article 298924).

  1. Téléchargez le fichier FxSbr.exe à partir de http://securityresponse.symantec.com/avcenter/FixSbr.exe.
  2. Enregistrez le fichier dans un emplacement approprié, tel que le dossier de téléchargement ou le bureau de Windows (ou tout support amovible non infecté).
  3. Pour vérifier l'authenticité de la signature numérique, reportez-vous à la section intitulée Signature numérique.
  4. Fermez tous les programmes en cours d’exécution avant d'exécuter l'outil.
  5. Si vous êtes en réseau ou disposez d'une connexion permanente à Internet, déconnectez l'ordinateur du réseau ou d'Internet.
  6. Si vous exécutez Windows Me ou XP, désactivez l'option Restauration du système. Reportez-vous à la section de cet article intitulée "Option Restauration du système sous Windows Me/XP" pour plus d'informations.


    ATTENTION : Si vous exécutez Windows Me/XP, nous vous conseillons vivement de ne pas sauter cette étape. La procédure de suppression peut échouer sous Windows Me/XP si la fonction Restauration du système n'a pas été désactivée car Windows empêche tout programme tiers de modifier la Restauration du système.
  7. Cliquez deux fois sur le fichier FxSbr.exe pour lancer l'outil de suppression.
  8. Cliquez sur Démarrer pour commencer puis laissez l'outil s'exécuter.


    Remarque : Si lorsque vous exécutez l'outil, un message d'erreur vous informe que l'outil n'a pas pu supprimer un ou plusieurs fichiers, vous devez redémarrer l'ordinateur en mode sans échec puis exécuter de nouveau l'outil. Arrêtez l'ordinateur, éteignez-le et patientez 30 secondes. Redémarrez alors l’ordinateur en mode sans échec puis exécutez de nouveau l'outil. Tous les systèmes d'exploitation 32 bits Windows, sauf Windows NT, peuvent être redémarrés en mode sans échec. Pour des instructions détaillées sur le démarrage en mode sans échec, consultez le document intitulé Comment démarrer l'ordinateur en mode sans échec.
  9. Redémarrez l’ordinateur.
  10. Exécutez de nouveau l'outil de suppression pour vous assurer que le système est complètement nettoyé.
  11. Si vous exécutez Windows Me/XP, réactivez l'option Restauration du système.

    Remarque : Avant de passer à l'étape suivante, il est possible que vous deviez réinstaller LiveUpdate car certaines variantes, comme W32.Sober.O@mm par exemple, ciblent Symantec LiveUpdate en particulier et tentent de supprimer ou d'écraser de nombreux fichiers associés à ce programme. Pour réinstaller LiveUpdate, suivez les instructions ci après :

    Pour réinstaller la version actuelle de LiveUpdate
    1. Cliquez sur télécharger LiveUpdate.

      Remarque : Si vous ne lisez pas cette page Web sur l'ordinateur qui obtient la notification d'erreur, l'adresse pour télécharger le fichier est :

      ftp://ftp.symantec.com/public/francais/liveupdate/lusetup.exe

      Au besoin, vous pouvez taper cette adresse dans la barre d'adresses de l'ordinateur rencontrant le problème. Les modifications apportées au fichier Hosts ne vous empêcheront pas de vous rendre sur ce site.
    2. Enregistrez le fichier sur le bureau Windows.
    3. Cliquez deux fois sur l'icône lusetup.exe sur le bureau pour installer LiveUpdate.
  12. Exécutez LiveUpdate afin de vous assurer que vous disposez des définitions de virus les plus récentes.


Lorsque l'outil a fini, un message apparaît vous indiquant si l'ordinateur est infecté par W32.Sober. S'il s'agit de la suppression d'un ver, le programme affiche les résultats suivants :
  • Nombre total de fichiers analysés
  • Nombre de fichiers supprimés
  • Nombre de processus viraux terminés
  • Nombre d'entrées de la base de registre réparées

Signature numérique
FxSbr.exe porte une signature numérique. Symantec conseille de n'utiliser que des copies de FxSbr.exe téléchargées directement depuis le site Symantec Security Response. Pour vérifier l'authenticité de la signature numérique, réalisez les étapes suivantes :
  1. Rendez-vous à l’adresse http://www.wmsoftware.com/free.htm.
  2. Téléchargez et enregistrez le fichier Chktrust.exe dans le même dossier que celui dans lequel vous avez enregistré l'outil de suppression.

    Remarque : La plupart des étapes suivantes s'effectuent à une invite de commandes. Si vous téléchargez l'outil de suppression sur le bureau de Windows, il sera plus facile si vous déplacez d'abord l'outil à la racine du disque C. Enregistrez alors également le fichier Chktrust.exe à la racine de C.

    (Étape 3 présupposant que l'outil de suppression et Chktrust.exe se trouvent bien à la racine du disque C.)
  3. Cliquez sur Démarrer > Exécuter.
  4. Tapez ce qui suit :
    • Windows 95/98/Me :

      command
    • Windows Me/2000/XP :

      cmd
  5. Cliquez sur OK.
  6. Dans la fenêtre de commande, tapez le texte suivant, en appuyant sur la touche Entrée après avoir tapé chaque ligne :

    cd\
    cd downloads
    chktrust -
    i FxSbr.exe
  7. Vous devriez voir un des messages suivants, en fonction de votre système d'exploitation :
    • Windows XP SP2 :

      La fenêtre Avertissement de sécurité s'affiche.

      Sous Editeur, cliquez sur le lien Symantec Corporation. Les détails de la signature numérique s'affichent.
      Vérifiez le contenu des champs suivants pour vous assurer que l'outil est authentique :

      Nom : Symantec Corporation
      Date de validation : Monday, May 02, 2005 5:45:06 PM
    • Tous les autres systèmes d'exploitation :
      Vous devriez voir le message suivant :

      Voulez-vous installer et exécuter "W32.Sober Removal Tool" signé le 02.05.05 17:45:06 et distribué par Symantec Corporation ?


      Remarques :
      • La date et l'heure affichées dans cette boîte de dialogue seront ajustées à votre fuseau horaire si votre ordinateur n'est pas configuré sur le fuseau horaire Pacifique.
      • Si vous utilisez l'option "Ajuster l'horloge pour l'observation automatique de l'heure d'été", le système indiquera une heure plus tôt.
      • Si cette boîte de dialogue ne s'affiche pas, il y a deux raisons possibles :
        • L'outil ne provient pas de Symantec. A moins d'être certain que l'outil est légitime et que vous l'avez téléchargé depuis le site Web légitime de Symantec, vous ne devriez pas l'exécuter.
        • L'outil provient de Symantec et il est légitime : Cependant, votre système d'exploitation n'a pas été configuré pour faire systématiquement confiance aux contenus de Symantec. Pour plus d'informations, et pour savoir comment visualiser à nouveau la boîte de dialogue de confirmation, consultez le document (en anglais) How to restore the Publisher Authenticity confirmation dialog box.

  8. Cliquez sur Oui ou Exécuter pour fermer la boîte de dialogue.
  9. Tapez Exit puis appuyez sur Entrée. Ceci terminera la session MS-DOS.

Option Restauration du système sous Windows Me/XP
Il est conseillé aux utilisateurs de Windows Me et de Windows XP de désactiver temporairement la Restauration du système. Windows Me et XP utilisent cette fonctionnalité, activée par défaut afin de pouvoir restaurer des fichiers sur votre ordinateur, s'ils venaient à être endommagés. Si un ordinateur a été infecté par un virus, un ver ou un cheval de Troie, il est possible que ce virus, ver ou cheval de Troie soit sauvegardé par la Restauration du système.

Windows empêche des programmes tiers, y compris les programmes anti-virus, de modifier la Restauration du système. Par conséquent, les programmes ou outils anti-virus ne peuvent pas éradiquer les menaces dans le dossier de Restauration du système. Par conséquent, la Restauration du système peut restaurer un fichier infecté sur votre ordinateur même après avoir nettoyé les fichiers infectés sur tous les autres emplacements.

Par ailleurs, dans certains cas, les analyses en ligne peuvent détecter une menace dans le dossier Restauration du système même si vous avez lancé une analyse de votre ordinateur avec un programme anti-virus et qu'aucun fichier infecté n'a été trouvé.

Pour savoir comment désactiver la Restauration du système, consultez la documentation de Windows ou l'un des articles suivants :
Pour plus d'informations, et une méthode alternative pour désactiver la Restauration du système de Windows Me, consultez le document de la base de connaissances de Microsoft intitulé Les outils antivirus ne peuvent pas nettoyer les fichiers infectés dans le dossier _Restore - Numéro de l'article : Q263455.

Comment exécuter l'outil à partir d'une disquette
  1. Insérez la disquette contenant le fichier FxSbr.exe dans le lecteur de disquettes.
  2. Cliquez sur Démarrer > Exécuter.
  3. Tapez le texte suivant :

    a:\FixSober.exe

    puis cliquez sur OK.


    Remarques :
    • Il n'y a pas d'espaces dans la commande a:\FixSober.exe.
    • Si vous utilisez Windows Me et que l'option Restauration du système est restée activée, un message d'avertissement apparaît. Vous pouvez choisir d'exécuter l'outil de suppression avec l'option Restauration du système activée ou vous pouvez quitter l'outil de suppression.

  4. Cliquez sur Démarrer pour commencer puis laissez l'outil s'exécuter.
  5. Si vous êtes sous Windows Me, réactivez l'option Restauration du système.



Résumé