Dans cette section

• Accueil
• Support
• Désinfection des virus

Support en ligne

• Accueil du support
• Base de connaissances
• Désinfection des virus

Maintenance des produits

• Téléchargements et mises à jour
• Centre de mise à niveau
• Documentation
• Cycle de vie des logiciels

Contacter le support

• Parler à un expert
• Envoyer un échantillon
• Nous envoyer un courriel

Services du support

• Présentation générale
• Support technique
• Services professionnels
• Formation technique

Centres de ressources

• Ordinateurs d'extrémité
• Chiffrement
• Email
• Web
• Solutions PME

• 
• 

Instructions de suppression de W32/ElKern-C et de W32/Klez-H

W32/Klez-H est un ver Win32 qui porte une copie compressée du virus W32/ElKern-C, qu'il injecte et exécute lorsque le ver est exécuté. La détection de W32/Klez-G inclut la détection de W32/Klez-H et d'autres variantes. Ces remarques peuvent servir à désinfecter les variantes W32/Klez-E, -F, -G et -H et W32/ElKern-A, -B et -C.

W32/ElKern-C est un virus de fichier exécutable qui agit seulement sous Windows 98, Windows Me, Windows 2000 et Windows XP.

W32/Klez-H corrompt toute installation de Sophos Anti-Virus qu'il trouve, il doit donc être supprimé avec SWEEP pour DOS ou SAV32CLI avant l'installation d'une nouvelle version.

Déconnexion du réseau

Sophos vous recommande de déconnecter les ordinateurs infectés du réseau pour empêcher le virus de se propager davantage lors des préparations.

Si vous désinfectez un ordinateur Windows NT/2000/XP, allez dans la section Windows NT/2000/XP.

Windows 95/98/Me

Désinfectez à l'aide de SWEEP pour DOS

• directement depuis le dossier Tools\ESD présent sur le CD-ROM de Sophos
• téléchargez-le et décompressez-le dans un dossier C:\Sophtemp
• si le virus n'a pas corrompu votre installation Sophos Anti-Virus, vous pouvez utiliser la copie de SWEEP pour DOS dans C:\Program files\Sophos SWEEP.

Vous devez désinfecter en mode 16-bit (MS-DOS), non pas à l'invite de commande ("fenêtre DOS").

• Windows 95/98. Redémarrez l'ordinateur en mode MS-DOS. Sélectionnez Démarrer|Arrêter, puis sélectionnez "Redémarrer l'ordinateur en mode DOS".
• Windows Me. Créez une disquette de démarrage et réinitialisez à partir de celle-ci. Sélectionnez Démarrer|Paramètres|Panneau de configuration. Cliquez sur "Ajout/Suppression de programmes", sélectionnez l'onglet "Disquette de démarrage" et cliquez sur "Créer une disquette". Lorsque vous avez créé la disquette de démarrage, protégez-la en écriture et effectuez une réinitialisation à partir de celle-là.

Allez dans le répertoire contenant SWEEP pour DOS

• si vous partez d'un CD-ROM dans le lecteur E:, saisissez
  E:
  CD \TOOLS\ESD
• si vous avez extrait les fichiers dans C:\Sophtemp type
  CD \
  CD SOPHTEMP
• si la copie de SWEEP pour DOS a survécu dans Program files\Sophos SWEEP utilisez :
  CD \
  CD PROGRA~1
  CD SOPHOS~1

Puis exécutez SWEEP pour DOS

SWEEP C: -PB -DIPE -P=ELKLOGC.TXT

Votre ordinateur est analysé. Les fichiers infectés sont nettoyés et un rapport est réalisé. Les fichiers corrompus et les fichiers ver ne peuvent pas être nettoyés. Ils doivent donc être supprimés.

SWEEP C: -PB -REMOVEF -P=KLEZLOGC.TXT

Le fichier journal KLEZLOGC.TXT sert à identifier les fichiers utiles.

Remarque : supprimez uniquement les fichiers W32/Klez ou W32/ElKern. Traitez séparément les fichiers infectés par d'autres virus.

Répétez cette opération pour toutes les autres unités de disque dur, par exemple le lecteur D:

SWEEP D: -PB -DIPE -P=ELKLOGD.TXT

et

SWEEP D: -PB -REMOVEF -P=KLEZLOGD.TXT

Les fichiers supprimés doivent être rétablis à partir d'une sauvegarde saine ou du CD-ROM d'origine.

Après désinfection, redémarrez l'ordinateur dans Windows et allez dans la section Récupération ci-dessous.

Windows NT/2000/XP

Supprimez W32/Klez sur Windows NT/2000/XP avec SAV32CLI.

• Vous pouvez exécuter SAV32CLI directement depuis le dossier WIN32\I386\SAV32CLI présent sur le CD-ROM de Sophos.
• Sinon, utilisez le téléchargement d'urgence de SAV32CLI à sav32sfx.exe. Sur un ordinateur Windows non infecté, exécutez ce fichier pour en extraire le contenu dans un dossier SAV32CLI sur un support pouvant être protégé en écriture (par exemple, un CD-ROM) puis protégez-le en écriture (sur un CD/R ou un CD/RW, fermez la session).

Avant d'exécuter SAV32CLI, vous devez impérativement vous assurer que W32/ElKern n'est pas résident en mémoire. Dans Windows 2000 et Windows XP, utilisez le mode de sécurité ("Safe Mode"). Comme W32/ElKern-C n'infecte pas les fichiers Windows NT, vous pouvez utiliser une invite de commande.

• Windows NT. Fermez tous les programmes. Choisissez Go to Démarrer|Exécuter et saisissez Command.
• Windows 2000. Choisissez Démarrer|Arrêter, sélectionnez Redémarrer dans la liste déroulante et cliquez sur OK. Windows redémarre.
  Lorsque vous voyez le texte "Pressez F8 pour la résolution de problèmes et les options de démarrage avancées" en bas de l'écran, appuyez sur F8. Dans le menu des options avancées de Windows 2000, sélectionnez l'option du haut "Mode sans échec". Lorsqu'on vous le demande, ouvrez une session en tant qu'administrateur local.
  Lorsque le Mode sans échec est lancé, sélectionnez Démarrer|Paramètres|Panneau de configuration|Outils d'administration et cliquez deux fois sur Services. Parmi les services qui apparaissent, il y en a un qui s'appelle Wink* (où * représente des caractères aléatoires). S'il fonctionne, utilisez le bouton Arrêter pour le fermer. Fermez toutes les fenêtres.
  Choisissez Démarrer|Exécuter et saisissez Command.
• Windows XP. Choisissez Démarrer|Arrêter, sélectionnez Redémarrer dans la liste déroulante et cliquez sur OK. Windows redémarre.
  Lorsque l'ordinateur est réinitialisé, appuyez plusieurs fois sur F8 pour accéder au menu des options avancées de Windows. Sélectionnez l'option du haut "Mode sans échec", puis Windows XP. Lorsqu'on vous le demande, ouvrez une session en tant qu'administrateur local.
  Une fois le mode sans échec lancé, choisissez Démarrer|Paramètres|Panneau de configuration|Outils d'administration et cliquez deux fois sur Services. Parmi les services qui apparaissent, il y en a un qui s'appelle Wink* (où * représente des caractères aléatoires). Pour fermer ce service Wink*, utilisez le bouton Arrêter. Puis fermez toutes les fenêtres.
  Choisissez Démarrer|Exécuter et saisissez "Cmd".

Insérez la disquette protégée en écriture sur laquelle SAV32CLI est présent. A l'invite de commande, saisissez :
E:
où E: représente le lecteur dans lequel vous avez placé la disquette.

• Si vous utilisez le CD-ROM de Sophos, saisissez :
  CD WIN32\I386\SAV32CLI
• Si vous utilisez une disquette SAV32CLI, saisissez :
  CD SAV32CLI

Then type:

SAV32CLI -DI -P=C:\ELKLOGC.TXT

pour désinfecter tous les lecteurs fixes.

SAV32CLI effectue le contrôle de votre ordinateur. Les fichiers infectés sont nettoyés et un rapport est réalisé. Les fichiers corrompus et les fichiers ver ne peuvent pas être nettoyés. Ils doivent donc être supprimés.

SAV32CLI -REMOVE -P=C:\KLEZLOGC.TXT

Le fichier journal KLEZLOGC.TXT sert à identifier les fichiers utiles.

Remarque : supprimez uniquement les fichiers W32/Klez ou W32/ElKern. Traitez séparément les fichiers infectés par d'autres virus.

Une fois la désinfection terminée, exécutez un second contrôle pour vérifier que les virus ont disparu. S'ils n'ont pas disparu ou si vous rencontrez des problèmes, contactez le support technique de Sophos.

Redémarrez Windows et allez dans la section Récupération ci-dessous.

Récupération

1. Restauration du système
   Purgez la restauration du système dans Windows Me et Windows XP.
2. Réinstallation de Sophos Anti-Virus et contrôle de l'ordinateur dans Windows
   Réinstallez Sophos Anti-Virus comme l'indique le guide d'installation correspondant, puis exécutez un contrôle pour vérifier les répertoires dont les noms ne peuvent pas être reconnus sous DOS (dont les noms contiennent des caractères illégaux comme "!" et "?"). Lancez Sophos Anti-Virus. Cliquez avec le bouton droit sur votre unité de disque dur et sélectionnez Tous les fichiers dans le menu qui apparaît. Assurez-vous que l'option Sous répertoires est sélectionnée. Puis lancez un contrôle. Après avoir terminé, cliquez de nouveau avec le bouton droit sur l'unité et sélectionnez Exécutables.
3. Réparation du registre
   Il se peut que vous ayez besoin de supprimer les entrées du registre qui désignent des fichiers et des services infectés. Veuillez consulter l'avertissement concernant la modification du registre. Le fichier infecté apparaîtra dans KLEZLOGC.TXT (vérifiez dans SOPHTEMP, Sophos SWEEP et sur la racine du lecteur C:). Cliquez deux fois sur KLEZLOGC.TXT pour l'ouvrir dans le Bloc-Notes et recherchez le mot "virus" pour trouver les noms des fichiers infectés. Laissez-le ouvert pour la recherche tout en modifiant le registre.
   Dans la Barre des tâches, cliquez sur Démarrer|Exécuter. Saisissez "Regedit" et appuyez sur Entrée. L'éditeur du registre s'ouvre.
   Avant de modifier le registre, effectuez une sauvegarde. Dans le menu "Registre", cliquez sur "Exporter un fichier du Registre". Dans la zone "Etendue de l'exportation", cliquez sur "Tout", puis enregistrez votre registre sous Backup.
   Recherchez l'entrée HKEY_LOCAL_MACHINE :
   
   HKLM\Software\Microsoft\Windows
   \CurrentVersion\Run\"infected file"
   
   où "fichier infecté" est l'un des fichiers infectés dans le journal. Supprimez cette entrée.
   Vous pouvez aussi avoir besoin de supprimer l'entrée de service Wink*. Recherchez
   
   HKLM\System\CurrentControlSet\Services\Wink*
   
   où "*" représente des caractères aléatoires. Supprimez cette entrée.
   Fermez l'éditeur du registre.
4. Remplacement des fichiers désinfectés
   Les fichiers infectés ne sont pas toujours récupérés dans leur état d'origine. Il est impossible de réparer ces dégâts sans une copie du fichier d'origine. Vous devez, par conséquent, remplacer tous les fichiers qui ont été infectés par des copies provenant de sauvegardes, de nouveaux supports ou d'un PC sain. Le fichier KLEZLOGC.TXT vous permet d'identifier ces fichiers.
5. Utilisation du correctif Microsoft
   Dans certaines versions de Microsoft Outlook, Microsoft Outlook Express et Internet Explorer, W32/Klez-H exploite une faille MIME qui permet l'exécution automatique d'un fichier sans que l'utilisateur n'ait à cliquer deux fois sur le fichier joint.
   Téléchargez le correctif que Microsoft a publié en guise de sécurité contre cette faille.
6. Recherche des fichiers renommés
   W32/Klez-H renomme et cache les copies de certains fichiers remplacés dans le répertoire d'origine. Le nom du fichier est retenu, mais son extension est aléatoire et ses attributs sont changés. S'ils ne sont pas disponibles à partir de sauvegardes, ces fichiers peuvent être renommés.

Autres plates-formes

Si vous trouvez des fichiers infectés sur des plates-formes autres que Windows 95/98/Me et Windows NT/2000/XP, supprimez W32/ElKern-C à l'aide des instructions de Désinfection des exécutables PE et supprimez les variantes de W32/Klez à l'aide des instructions de la section Suppression des fichiers exécutables infectés.