Dans cette section

• Accueil
• Support
• Désinfection des virus

Support en ligne

• Accueil du support
• Base de connaissances
• Désinfection des virus

Maintenance des produits

• Téléchargements et mises à jour
• Centre de mise à niveau
• Documentation
• Cycle de vie des logiciels

Contacter le support

• Parler à un expert
• Envoyer un échantillon
• Nous envoyer un courriel

Services du support

• Présentation générale
• Support technique
• Services professionnels
• Formation technique

Centres de ressources

• Ordinateurs d'extrémité
• Chiffrement
• Email
• Web
• Solutions PME

• 
• 

Sophos : instructions et FAQ sur la désinfection de W32/Bugbear-B

Le virus Bugbear-B (aussi appelé W32/Bugbear-B) se propage en s'envoyant dans des e-mails et en se copiant sur les réseaux. Il a été créé d'après le ver Bugbear d'origine (W32/Bugbear-A) qui était en 2002 le second virus le plus fréquemment signalé. Sa nouvelle version réserve pourtant un autre tour : il est désormais polymorphe, c'est-à-dire qu'il change son apparence dans l'espoir d'éviter la détection.

1. Comment me débarrasser de W32/Bugbear-B ?
2. Quels sont les systèmes affectés ?
3. Comment mon ordinateur a-t-il été infecté ?
4. Pourquoi mes imprimantes impriment-elles du papier blanc ?
5. Comment arrêter l'impression ?
6. Dois-je réinstaller Sophos Anti-Virus après avoir supprimé W32/Bugbear-B ?
7. Où dois-je placer le fichier d'identité virale (fichier IDE) de W32/Bugbear-B ?
8. Je possède une licence me permettant uniquement d'effectuer le téléchargement. J'ai téléchargé le fichier IDE de Bugbear et, maintenant, je ne peux plus accéder à Internet Explorer ou démarrer Sophos Anti-Virus. Que dois-je faire ?
9. Qu'est-ce que W32/Bugbear-B va faire à ma carte de crédit ?
10. Comment empêcher la réinfection de mon ordinateur par des virus semblables à l'avenir ?

1. Comment me débarrasser de W32/Bugbear-B ?

Windows NT/2000

Fermez la session en tant qu'utilisateur courant et ouvrez-en une en tant qu'administrateur local.

Mettez un terme au processus du ver.

• Appuyez en même temps sur les touches Ctrl, Alt et Suppr.
• Cliquez sur le bouton "Gestionnaire des tâches" et sélectionnez l'onglet "Processus".
• Recherchez les processus portant un nom aléatoire de quatres lettres (sauf SMSS.EXE).
• Sélectionnez ces processus et cliquez sur "Terminer le processus".

Suivez ensuite les instructions pour supprimer les virus exécutables PE.

Windows 95/98/Me

Si Sophos Anti-Virus n'est pas installé sur votre ordinateur, veuillez suivre les instructions pour supprimer les virus exécutables PE.

Si Sophos Anti-Virus est installé sur votre ordinateur, placez le fichier IDE de W32/Bugbear-B dans le dossier C:\Program files\Sophos SWEEP, puis redémarrez l'ordinateur en mode MS-DOS.

• Dans Windows 95/98, allez dans le menu Démarrer et sélectionnez Fermer. Choisissez l'option "Redémarrer l'ordinateur en mode DOS".
• Dans Windows Me, créez une disquette de démarrage et relancez le système à partir de cette disquette. Choisissez Démarrer|Paramètres|Panneau de configuration. Cliquez sur "Ajout/Suppression de programmes", sélectionnez l'onglet "Disquette de démarrage", puis cliquez sur le bouton "Créer une disquette". Lorsque vous avez créé la disquette de démarrage, protégez-la en écriture et redémarrez à partir de cette disquette.

Pour aller dans le répertoire Sophos Anti-Virus, saisissez

CD C:\PROGRA~1\SOPHOS~1

(sinon, CD C:\PROGRA~1\SOPHOS~2). Saisissez DIR *.TXT pour vérifier que le fichier READ95.TXT apparaît (s'il n'apparaît pas, essayez l'autre répertoire)

Pour désinfecter les fichiers infectés, saisissez

SWEEP C: -DIPE -P=VIRLOGC.TXT

Tous les autres fichiers infectés et fichiers virus doivent être supprimés. Pour cela, saisissez

SWEEP C: -REMOVEF -P=REMVLOGC.TXT

Vous pouvez maintenant retourner dans Windows. Dans Windows Me, vous devez purger la restauration du système.

Autres plates-formes

Veuillez consulter les instructions pour supprimer les virus exécutables PE.

Si vous avez des problèmes pour supprimer W32/Bugbear-B après avoir suivi ces instructions, veuillez contacter le support technique.

2. Quels sont les systèmes affectés ?

• Windows 95/98/Me et Windows 2000/XP peuvent être infectés
• Windows NT, les stations de travail de type Apple et les autres plates-formes (notamment les assistants électroniques et les consoles de jeux) ne peuvent pas être infectés par W32/Bugbear-B.

Si un fichier infecté par W32/Bugbear-B est trouvé sur un PC, il a été placé là par un PC infecté, ou le virus a été exécuté en local.

3. Comment mon ordinateur a-t-il été infecté ?

W32/Bugbear-B se présente sous la forme d'une pièce jointe d'e-mail avec un fichier à extension double (c'est-à-dire une extension de fichier suivie d'une autre extension) : en particulier, les fichiers .EXE, .SCR ou .PIF. Le nom du fichier lui-même peut être n'importe quoi, comme peuvent l'être l'objet et le corps de texte de l'e-mail. Sur un réseau, le ver W32/Bugbear-B peut se copier d'un ordinateur vers un ordinateur, les serveurs et les stations de travail. En conséquence, votre ordinateur peut s'infecter sans avoir reçu ou exécuté d'e-mail infecté.

4. Pourquoi mes imprimantes impriment-elles du papier blanc ?

W32/Bugbear-B tente de se copier sur n'importe quelle ressource réseau disponible, y compris les imprimantes partagées. Les imprimantes ne peuvent pas être infectées. Elles peuvent en revanche, commencer à imprimer le code du ver. Ceci peut éventuellement gaspiller une grande quantité de papier, mais n'a pas de conséquences sur le matériel informatique.

5. Comment arrêter l'impression ?

Commencez par mettre l'imprimante hors tension pendant dix secondes, puis mettez-la sous tension. Si l'impression du code du ver reprend, mettez-la de nouveau hors tension. Vous devrez peut-être "nettoyer" tous les ordinateurs avant de remettre sous tension vos imprimantes. Si vous pouvez voir la file d'attente d'impression de l'imprimante réseau, essayez de supprimer toutes les tâches inachevées. Si vous ne pouvez pas ou si ça ne fonctionne pas, contactez votre administrateur. Vous pouvez, si vous le souhaitez, reporter les tâches d'impression souhaitées jusqu'à ce que la désinfection soit terminée.

6. Dois-je réinstaller Sophos Anti-Virus après avoir supprimé W32/Bugbear-B ?

W32/Bugbear-B désactive Sophos Anti-Virus, mais ne supprime aucun de ces fichiers. Une fois que W32/Bugbear-B a fait l'objet d'une désinfection, Sophos Anti-Virus peut être redémarré. Vérifiez que Sophos Anti-Virus est à jour : si ce n'est déjà fait, installez la dernière version de Sophos. A l'heure où nous écrivons, la dernière version de Sophos Anti-Virus est datée de juin 2003 (version 3.70) et peut être téléchargée. Ajoutez ensuite le fichier d'identité virale (fichier IDE) de W32/Bugbear-B .

7. Où dois-je placer le fichier d'identité virale (fichier IDE) de W32/Bugbear-B ?

Si vous êtes équipé d'un ordinateur autonome :

• Windows NT/2000/XP -> C:\Program files\Sophos SWEEP for NT
• Windows 95/98/Me -> C:\Program files\Sophos SWEEP

puis réinitialisez l'ordinateur.

Si vous gérez un réseau, reportez-vous à la rubrique Installation des fichiers d'identités virales (IDE).

8. Je possède une licence me permettant uniquement d'effectuer le téléchargement. J'ai téléchargé le fichier IDE de Bugbear et, maintenant, je ne peux plus accéder à Internet Explorer ou démarrer Sophos Anti-Virus. Que dois-je faire ?

W32/Bugbear-B empêche Sophos Anti-Virus de s'exécuter, mais une fois interrompu le processus du virus, SAV fonctionne normalement.

Pour cela, passez en mode DOS comme le décrivent les instructions de désinfection de la page sur W32/Bugbear-B.

9. Qu'est-ce que W32/Bugbear-B va faire à ma carte de crédit ?

Il se peut que W32/Bugbear-B enregistre les touches saisies sur votre ordinateur et envoie les détails à une adresse d'e-mail chiffrée distante.

Si vous pensez que cela vous est arrivé, contactez directement votre banque.

Le nom utilisateur et le mot de passe de votre compte internet ou e-mail peuvent aussi avoir été envoyés ; ils doivent donc être changés.

10. Comment empêcher la réinfection de mon ordinateur par des virus semblables à l'avenir ?

L'installation du correctif de sécurité Microsoft empêchera l'exécution automatique lors de leur visualisation de W32/Bugbear-B et des virus semblables.

Restez à jour des derniers correctifs de sécurité Microsoft en vous inscrivant au Bulletin de sécurité Microsoft et visitez régulièrement Windows Update. Si votre politique informatique le permet, vous pouvez paramétrer un accès programmé à Windows Update. Ceci peut être activé avec les dernières versions de Windows via le Panneau de configuration.

Suivez les directives pour une informatique sécurisée.