1. /
  2. Security Response/
  3. W32.Antinny Removal Tool
  4. W32.Antinny Removal Tool
  • Ajouter

W32.Antinny Removal Tool

Mis à jour :
13 Février 2007 11:36:23 AM
Type :
Removal Information

Cet outil est conçu pour supprimer des infections des menaces suivantes :


Important :
  • Si vous êtes sur un réseau ou avez une connexion permanente à Internet, telle que DSL ou modem câble, déconnectez l'ordinateur du réseau et d'Internet. Désactivez le partage de fichiers ou protégez-le par mot de passe, ou configurez les fichiers partagés en mode Lecture uniquement, avant de reconnecter les ordinateurs au réseau ou à Internet. Le ver se propage en utilisant les dossiers partagés sur les postes en réseau. Par conséquent, pour vérifier que le ver ne réinfecte pas l'ordinateur une fois éliminé, Symantec suggère de n'utiliser le partage qu'en mode lecture ou en utilisant un mot de passe.

    Pour obtenir des instructions, consultez votre documentation Windows, ou le document : Comment configurer les dossiers Windows partagés pour un réseau parfaitement sécurisé.
  • Si vous supprimez une infection d'un réseau, assurez-vous d'abord que tous les partages sont désactivés ou configurés en mode Lecture uniquement.
  • Cet outil n'est pas conçu pour s'exécuter sur des serveurs Novell NetWare. Pour supprimer cette menace d'un serveur NetWare, vérifiez d'abord que vous avez les définitions de virus actuelles, et exécutez ensuite une analyse complète du système avec le produit antivirus de Symantec.


Comment télécharger et exécuter l'outil

Important : Vous devez disposer de droits d’administrateur pour exécuter cet outil sous Windows NT 4.0, Windows 2000 ou Windows XP.

Remarque à l'attention des administrateurs réseau : Si vous exécutez MS Exchange 2000 Server, il est préférable d'exclure le disque M de l'analyse en exécutant l'outil à partir d'une ligne de commande avec l'option Exclude. Pour plus d'informations, lisez le document de la base de connaissances de Microsoft : Problèmes provoqués par une sauvegarde ou par une analyse du lecteur M Exchange 2000 (Article 298924).

Suivez ces étapes pour télécharger et exécuter l'outil :
  1. Téléchargez le fichier FxAntiny.exe à partir de l'emplacement suivant : http://securityresponse.symantec.com/avcenter/FxAntiny.exe.
  2. Enregistrez le fichier à un emplacement commode, tel que votre bureau Windows.
  3. Facultatif : Pour vérifier l'authenticité de la signature numérique, reportez-vous à la section de cet article intitulée "Signature numérique".

    Remarque : Si vous êtes sûr que vous téléchargez cet outil à partir du site Web de Security Response, vous pouvez sauter cette étape. Si vous n'êtes pas sûr, ou êtes un administrateur réseau et devez authentifier les fichiers avant déploiement, suivez les étapes de la section "Signature numérique" avant de passer à l'étape 4.
  4. Fermez tous les programmes en cours d'exécution.
  5. Si vous êtes en réseau ou disposez d'une connexion permanente à Internet, déconnectez l'ordinateur du réseau ou d'Internet.
  6. Si vous exécutez Windows Me ou XP, désactivez l'option Restauration du système. Pour savoir comment désactiver la Restauration du système, consultez la documentation de Windows ou l'un des articles suivants :
  7. Localisez le fichier que vous avez juste téléchargé.
  8. Cliquez deux fois sur le fichier FxAntiny.exe pour lancer l'outil de suppression.
  9. Cliquez sur Démarrer pour commencer la procédure puis laissez l'outil s'exécuter.

    REMARQUE : Si vous avez des problèmes pour exécuter l'outil ou s'il ne semble pas supprimer la menace, redémarrez l'ordinateur en mode sans échec et réexécutez l'outil.
  10. Redémarrez l’ordinateur.
  11. Exécutez de nouveau l'outil de suppression pour vous assurer que le système est complètement nettoyé.
  12. Si vous exécutez Windows Me/XP, réactivez l'option Restauration du système.
  13. Si vous êtes en réseau ou disposez d'une connexion permanente à Internet, reconnectez l'ordinateur au réseau ou à Internet.
  14. Exécutez LiveUpdate afin de vous assurer que vous disposez des définitions de virus les plus récentes.

Lorsque l'outil a fini, un message apparaît vous indiquant si l'ordinateur est infecté par la menace. L'outil affiche des résultats semblables aux suivants :
  • Nombre total de fichiers analysés
  • Nombre de fichiers supprimés
  • Nombre de fichiers réparés
  • Nombre de processus viraux terminés
  • Nombre d'entrées de la base de registre réparées

Fonctions de l'outil

L'outil de suppression effectue les opérations suivantes :
  1. Termine les processus associés
  2. Supprime les fichiers associés
  3. Supprime les valeurs du registre ajoutées par le menace.


Options

Les options suivantes sont destinées aux administrateurs réseau :

Option

Action

/HELP, /H, /?

Affiche le message d'aide.

/NOFIXREG

Désactive la réparation du registre (l'utilisation de cette option n'est pas recommandée).

/SILENT, /S

Active le mode silencieux.

/LOG=[NOM DU CHEMIN D'ACCÈS]

Crée un fichier journal dans lequel le [NOM DU CHEMIN D'ACCÈS] désigne l'emplacement sous lequel sont conservés les résultats de l'outil. Par défaut, cette option crée le fichier journal FxAntiny.log dans le dossier à partir duquel l'outil de suppression a été exécuté.

/MAPPED

Analyse les lecteurs réseau mappés. (L'utilisation de cette option n'est pas recommandée. Cf. remarque ci-dessous.)

/START

Force le lancement immédiat de l'analyse.

/EXCLUDE=[CHEMIN D'ACCÈS]

Exclut de l'analyse le [CHEMIN D'ACCÈS] spécifié. (L'utilisation de cette option n'est pas recommandée. Cf. remarque ci-dessous.)

/NOCANCEL

Désactive la fonction d'annulation de l'outil de suppression.

/NOFILESCAN

Empêche l'analyse du système de fichiers.

/NOVULNCHECK

Désactive la vérification des fichiers auxquels le correctif n'a pas été appliqué.


Important : L'utilisation de l'option /MAPPED n'assure pas la suppression totale du virus sur l'ordinateur distant, pour les raisons suivantes :
    • L'analyse de lecteurs mappés s'applique aux dossiers mappés uniquement. Ce qui n'inclut pas nécessairement tous les dossiers de l'ordinateur distant et peut entraîner l'oubli de certaines détections.
    • Si un fichier infecté est détecté sur le lecteur mappé, la suppression échoue si ce fichier est utilisé par un programme de l'ordinateur distant.

Pour ces raisons, vous devez exécuter l'outil sur chacun des ordinateurs.

L'option /EXCLUDE fonctionnera avec un seul chemin uniquement et non avec de multiples chemins. Vous pouvez à la place utiliser l'option /NOFILESCAN suivie d'une analyse manuelle avec l'antivirus. Ceci permettra alors à l'outil d'altérer le Registre. Procédez ensuite à l'analyse du système avec votre antivirus, doté des dernières définitions de virus. Ces étapes devraient vous permettre de nettoyer le système de fichiers.

Voici un exemple de ligne de commande pour exclure un seul lecteur :

"C:\Documents and Settings\utilisateur1\Bureau\ FxAntiny.exe " /EXCLUDE=M:\ /LOG=c:\ FxAntiny.exe .txt

Vous pouvez également utiliser la ligne de commande ci-dessous qui évitera l'analyse du système de fichiers mais réparera les modifications apportées au Registre. Exécutez ensuite une analyse normale du système avec des exclusions appropriées :

"C:\Documents and Settings\utilisateur1\Bureau\ FxAntiny.exe " /NOFILESCAN /LOG=c:\ FxAntiny.exe .txt

Remarque : Vous pouvez donner au fichier journal n'importe quel nom et l'enregistrer à n'importe quel emplacement.



Signature numérique

Par mesure de sécurité, l'outil de suppression porte une signature numérique. Symantec conseille de n'utiliser que des copies de l'outil de suppression téléchargées directement depuis le site Symantec Security Response.

Si vous n'êtes pas sûr, ou êtes un administrateur réseau et devez authentifier des fichiers avant le déploiement, vous devriez vérifier l'authenticité de la signature numérique.

Suivez les instructions ci-dessous :
  1. Rendez-vous à l’adresse http://www.wmsoftware.com/free.htm.
  2. Téléchargez et enregistrez le fichier Chktrust.exe dans le même dossier que celui dans lequel vous avez enregistré l'outil de suppression.

    Remarque : La plupart des étapes suivantes sont à réaliser sur invite de commande. Si vous téléchargez l'outil de suppression sur le bureau de Windows, il sera plus facile si vous déplacez d'abord l'outil à la racine du disque C. Enregistrez alors également le fichier Chktrust.exe à la racine de C.

    (Étape 3 présupposant que l'outil de suppression et Chktrust.exe se trouvent bien à la racine du disque C.)

  3. Cliquez sur Démarrer > Exécuter.
  4. Tapez ce qui suit :
    • Windows 95/98/Me :

      command

    • Windows Me/2000/XP :

      cmd

  5. Cliquez sur OK.
  6. Dans la fenêtre de commande, tapez ce qui suit en appuyant sur la touche Entrée après chaque ligne :

    cd\
    cd downloads
    chktrust -i
    FxAntiny.exe

  7. Vous devriez voir un des messages suivants, en fonction de votre système d'exploitation :
    • Windows XP SP2 :
      La fenêtre Avertissement de sécurité s'affiche.

      Sous Editeur, cliquez sur le lien Symantec Corporation. Les détails de la signature numérique s'affichent.
      Vérifiez le contenu des champs suivants pour vous assurer que l'outil est authentique :

      Nom : Symantec Corporation
      Date de validation :30.04.06 16:10:09 AM
    • Tous les autres systèmes d'exploitation :
      Vous devriez voir le message suivant :

      Voulez-vous installer et exécuter " W32.Antinny Removal Tool " signé le   Sunday, April 30, 2006 04:10:09 AM PST   et distribué par Symantec Corporation ?

      Remarques
      :
    • La date et l'heure dans la signature numérique ci-dessus sont basées sur le fuseau horaire Pacifique. Elles seront ajustées au fuseau horaire de votre ordinateur et aux Options régionales.
    • Si vous utilisez l'option "Ajuster l'horloge pour l'observation automatique de l'heure d'été", le système indiquera une heure plus tôt.
    • Si cette boîte de dialogue n'apparaît pas, il y a deux raisons possibles :
      • L'outil ne provient pas de Symantec : A moins d'être certain que l'outil est légitime et que vous l'avez téléchargé depuis le site Web légitime de Symantec, vous ne devriez pas l'exécuter.
      • L'outil provient de Symantec et il est légitime : Cependant, votre système d'exploitation n'a pas été configuré pour faire systématiquement confiance aux contenus de Symantec. Pour obtenir plus d'informations à ce sujet et pour savoir comment afficher de nouveau la boîte de dialogue de confirmation, consultez le document : How to restore the Publisher Authenticity confirmation dialog box.

  8. Cliquez sur Oui ou sur Exécuter pour fermer la boîte de dialogue.
  9. Tapez exit puis appuyez sur la touche Entrée. (Pour fermer la session MS-DOS.)


Comment trouver des fichiers téléchargés sur le réseau Winny

L'outil de suppression ne modifie pas la configuration du dossier de téléchargement de Winny. Nous vous recommandons de supprimer la configuration du dossier de téléchargement de Winny et de déterminer quelles informations ont été détournées sur les ordinateurs compromis.

1. Ouvrez Explorer.
2. Déroulez le menu Outils > Options des dossiers > Affichage.
3. Cliquez sur Afficher les fichiers et dossiers cachés.
4. Trouvez un dossier contenant un programme Winny.
5. Ouvrez Upfolder.txt dans le dossier.
6. Déterminez et notez la ligne "Path=" (chemin d'accès) dans le fichier txt. Le chemin d'accès doit être celui d'un dossier de téléchargement de Winny.
7. Supprimez la ligne "Path=" (chemin d'accès) si vous n'en avez pas besoin.
8. Vous pouvez déterminer quels fichiers sont téléchargés sur le réseau Winny.


Résumé