Dans cette section

• Accueil
• Support
• Désinfection des virus

Support en ligne

• Base de connaissances
• Désinfection des virus

Maintenance des produits

• Téléchargements et mises à jour
• Documentation
• Cycle de vie des logiciels

Contacter le support

• Parler à un expert
• Envoyer un échantillon
• Nous envoyer un courriel

Services du support

• Présentation générale
• Support technique
• Services professionnels
• Formation technique

• 

Désinfection des exécutables PE

Remarque : ces instructions ne s'appliquent pas à tous les virus de fichiers exécutables. Consultez l'analyse de chaque virus pour obtenir plus de détails sur la manière de procéder. Si un fichier d'identité virale (IDE) est nécessaire, téléchargez et enregistrez-le sur une disquette.

1. A l'aide de l'Enterprise Console ou du Sophos Control Center
2. Désinfection des exécutables PE avec Sophos Anti-Virus pour Windows, version 7
3. Désinfection des exécutables PE dans Windows NT/2000/XP/2003
4. Désinfection des exécutables PE dans Windows 95/98
5. Désinfection ou suppression des exécutables PE sur d'autres plates-formes

1. A l'aide de l'Enterprise Console ou du Sophos Control Center

Vous pouvez désinfecter vos machines des virus d'exécutables PE à l'aide de l'Enterprise Console ou du Sophos Control Center.

2. Désinfection des exécutables PE avec Sophos Anti-Virus pour Windows, version 7

Pour désinfecter votre machine d'un virus d'exécutable PE :

• Fermez tous les programmes.
• Dans Démarrer|Programmes|Sophos|Sophos Anti-Virus, exécutez le programme 'Sophos Anti-Virus'.
• Dans la liste des 'Contrôles disponibles', sélectionnez le contrôle pour lequel vous souhaitez activer la suppression ou utilisez 'Paramétrer un nouveau contrôle' pour contrôler vos disques locaux. (Ne sélectionnez pas le contrôle planifié car vous ne serez pas en mesure de l'exécuter manuellement.)
• Cliquez sur Editer|Configurer ce contrôle.
• Sélectionnez l'onglet Nettoyage et sélectionnez 'Nettoyer automatiquement les éléments contenant un virus/spyware'. Cliquez sur Appliquer|OK.
• Cliquez sur 'Enregistrer et démarrer' pour enregistrer le contrôle et l'exécuter immédiatement.
• A la fin du contrôle, cliquez sur le lien dans 'Eléments mis en quarantaine' et ouvrez le Gestionnaire de quarantaine.
• Sélectionnez tous les éléments nécessitant une désinfection.
  • Depuis le menu déroulant 'Lancer une action', sélectionnez 'Nettoyer'.
  • Sélectionnez 'Oui' ou 'Oui à tous' pour désinfecter les fichiers.
• Tous les éléments restants doivent être supprimés.
  • Depuis le menu déroulant 'Lancer une action', sélectionnez 'Supprimer'.
  • Sélectionnez 'Oui' ou 'Oui à tous' pour supprimer les fichiers.
• Exécutez un autre contrôle pour vous assurer que le virus a été désinfecté.
• Cliquez sur Editer|Configurer ce contrôle.
• Sélectionnez l'onglet Nettoyage et dessélectionnez 'Nettoyer automatiquement les éléments contenant un virus/spyware'. Cliquez sur Appliquer|OK.

Si Sophos Anti-Virus ne peut pas désinfecter les fichiers parce qu'ils sont ouverts par le système d'exploitation, notez les noms de ces fichiers, puis, procédez comme suit :

1. Téléchargez une copie d'urgence de SAV32CLI. Sur un ordinateur Windows non infecté, exécutez ce fichier pour en extraire le contenu dans le dossier SAV32CLI sur un support pouvant être protégé en écriture. Copiez le dossier SAV32CLI produit sur un support pouvant être protégé en écriture. Ajoutez tout fichier IDE approprié à ce dossier et protégez le disque en écriture (sur un CD/R ou un CD/RW, fermez la session).
2. Redémarrez l'ordinateur en Mode sans échec à l'aide de l'invite de commande.
3. Sur l'ordinateur infecté, insérez le CD-ROM dans le lecteur de CD-ROM (D: dans cet exemple). A l'invite de commandes, saisissez
   

   D:

   pour accéder au lecteur de CD-ROM. Saisissez :

   CD SAV32CLI

   Puis, saisissez :

   SAV32CLI -DI -P=C:\LOGFILE.TXT

   pour désinfecter le virus.

   Tous les autres fichiers doivent être supprimés. Certains d'entre eux ont été injectés par le virus et ne doivent pas être restaurés. D'autres doivent être récupérés depuis des sauvegardes.

   SAV32CLI -REMOVE -P=C:\REMOVLOG.TXT

   Cette commande permet d'écrire un rapport à la racine du lecteur C: Ce rapport peut être utilisé pour vérifier quels fichiers supprimés doivent être récupérés depuis les sauvegardes.

   Dans Windows 2000/XP/2003/Vista, lorsque la désinfection et la suppression sont terminées, redémarrez l'ordinateur dans Windows.

   Installez ou réinstallez Sophos Anti-Virus, puis lancez un contrôle de 'Tous les fichiers' pour vérifier que le virus a bien disparu.

4. Avant de quitter le Mode sans échec, vérifiez toutes les entrées de registre mentionnées dans les instructions de désinfection et éditez-les si nécessaire. Si les problèmes persistent, contactez le support.

3. Désinfection des exécutables dans Windows NT/2000/XP/2003

Sur un ordinateur Windows NT/2000/XP/2003 légèrement infecté et sur lequel aucun service important n'a été infecté, il est possible d'exécuter SAV32CLI depuis une invite de commande à l'aide du switch -DI.

Consultez d'abord les instructions de désinfection de l'analyse des virus pour connaître les mesures supplémentaires à prendre avant (et après) l'opération de désinfection. Vérifiez aussi si vous avez besoin d'un fichier IDE. Si oui, téléchargez-le et enregistrez-le sur une disquette.

Téléchargez une copie d'urgence de SAV32CLI. Sur un ordinateur Windows non infecté, exécutez ce fichier pour en extraire le contenu dans le dossier SAV32CLI sur un support pouvant être protégé en écriture. Copiez le dossier SAV32CLI généré sur un support pouvant être protégé en écriture. Ajoutez tout fichier IDE approprié à ce dossier et protégez le disque en écriture (sur un CD/R ou un CD/RW, fermez la session).

Fermez à présent tous les programmes et services que vous pouvez et ouvrez une invite de commande.

Sur Windows NT

• Fermez tous les programmes.
• Dans Démarrer|Paramètres|Panneau de configuration, cliquez deux fois sur 'Services'.
• Arrêtez autant de services que possible à l'aide du bouton Arrêter.
• Fermez le Panneau de configuration.
• Appuyez simultanément sur les touches Ctrl, Alt et Suppr.
• Cliquez sur 'Gestionnaire des tâches', puis sélectionnez l'onglet Processus.
• Sélectionnez un processus et cliquez sur 'Terminer le processus'. Celui-ci va ou ne va pas s'arrêter.
• Répétez cette opération pour les autres processus (y compris le poste de travail Windows).
• Après avoir fermé tous les programmes possibles, allez dans Fichier|Nouvelle tâche (Exécuter) et saisissez 'Cmd'.
• Fermez la fenêtre du Gestionnaire des tâches.
• Insérez le disque protégé en écriture depuis lequel vous utilisez SAV32CLI.

Sur Windows 2000 et supérieur

• Allez dans Démarrer|Arrêter.
• Sélectionnez 'Redémarrer' dans la liste déroulante et cliquez sur 'OK'. Windows va redémarrer.
• Appuyez sur F8 lorsque le texte "Pressez F8 pour la résolution des problèmes et les options de démarrage avancées pour Windows 2000" apparaît en bas de l'écran.
• Dans le menu des options avancées Windows 2000, sélectionnez la troisième option "Mode sans échec avec invite de commande".
• Lorsqu'on vous le demande, ouvrez une session en tant qu'administrateur local.
• Une fois que Windows 2000 (ou supérieur) a démarré en Mode sans échec, insérez le disque protégé en écriture à partir duquel vous utilisez SAV32CLI.

A l'invite de commandes, saisissez

E:

ou E: correspond au lecteur dans lequel vous avez placé le disque SAV32CLI.

Saisissez :

CD SAV32CLI

A présent, saisissez :

SAV32CLI -DI -P=C:\VIRUSLOG.TXT

pour désinfecter tous les lecteurs fixes.

La commande ci-dessus exécute SAV32CLI, qui contrôle tous les répertoires et fichiers de votre PC, y compris les sous-répertoires. Les fichiers que le virus a infecté sont nettoyés et un rapport est créé à la racine du lecteur C:. SAV32CLI désinfecte tous les fichiers pouvant l'être.

Tous les autres fichiers doivent être supprimés. Certains d'entre eux ont été injectés par le virus et ne doivent pas être restaurés. D'autres doivent être récupérés depuis des sauvegardes.

SAV32CLI -REMOVE -P=C:\REMOVLOG.TXT

Cette commande permet d'écrire un rapport à la racine du lecteur C: Ce rapport peut être utilisé pour vérifier quels fichiers supprimés doivent être récupérés depuis les sauvegardes.

Dans Windows NT, lorsque la désinfection et la suppression sont terminées, saisissez 'Explorer' pour redémarrer le poste de travail Windows.

Dans Windows 2000 ou supérieur, lorsque la désinfection et la suppression sont terminées, redémarrez l'ordinateur dans Windows.

Installez ou réinstallez Sophos Anti-Virus, puis lancez un contrôle de 'Tous les fichiers' pour vérifier que le virus a bien disparu.

Restauration du système sur Windows XP

Remarque : cette opération va supprimer tous les points de restauration précédemment créés.

• Vous pouvez trouver les fichiers infectés dans la zone Restauration du système de Windows XP.
• Choisissez Démarrer|Panneau de configuration|Performances et maintenance.
• Cliquez deux fois sur Système, puis sélectionnez l'onglet Restauration du système.
• Cliquez dans la case "Désactiver la restauration du système" pour la sélectionner.
• Cliquez sur "Appliquer".
• Cliquez sur 'Oui'.
• Maintenant, cliquez de nouveau dans la case "Désactiver la restauration du système sur tous les lecteurs" pour la dessélectionner.
• Cliquez sur 'OK'.
• Redémarrez l'ordinateur.

Si le virus n'a pas disparu, contactez le support technique de Sophos.

Il arrive que les fichiers infectés ne soient pas toujours rétablis dans leur état d'origine. Il n'est pas garanti qu'un fichier qui a été désinfecté fonctionne correctement. Pour rétablir les fichiers dans leur état d'origine, ils doivent donc être restaurés à partir des sauvegardes, de nouveaux supports ou d'un ordinateur sain.

4. Désinfection des exécutables PE dans Windows 95/98

Pour désinfecter les exécutables PE dans Windows 95/98 et dans DOS, utilisez DOS SWEEP avec le switch -DIPE.

Téléchargez DOS SWEEP, procédez à l'extraction des fichiers et copiez-les dans le répertoire C:\Sophtemp sur votre ordinateur. Ajoutez tout fichier IDE approprié dans ce dossier.

Consultez d'abord les instructions de désinfection de l'analyse des virus pour connaître les mesures supplémentaires à prendre avant (et après) l'opération de désinfection.

Avant de lancer DOS SWEEP sous Windows 95/98, il est essentiel de vous assurer que le virus ne réside pas dans la mémoire. Pour cela, vous devez procéder à la désinfection dans un environnement 16 bits sous lequel vous êtes sûr que le virus 32 bits est complètement neutralisé.

Sur Windows 95/98

• Redémarrez l'ordinateur en mode MS-DOS.
  Remarque : le lancement d'une Invite de commande (une fenêtre DOS) n'est pas suffisant.
• Allez dans le menu Démarrer et sélectionnez 'Arrêter'. Choisissez l'option 'Redémarrer l'ordinateur en mode DOS'. Cette opération désactive le virus et assure un environnement sain pour la désinfection.

5. Désinfection ou suppression des exécutables PE sur d'autres plates-formes

Les fichiers exécutables PE sont des programmes Windows 95/98/NT/2000/XP. Sur d'autres plates-formes, dans la plupart des circonstances, il convient de supprimer les fichiers infectés et de les remplacer à partir de sauvegardes, de nouveaux supports ou d'un ordinateur sain.

DOS

• A l'invite DOS, saisissez :
  SWEEP *: -DIPE
• Supprimez tous les fichiers qui n'ont pas pu être désinfectés.
  SWEEP *: -REMOVEF
• Effectuez un contrôle pour vérifier que tous les fichiers infectés ont été désinfectés ou supprimés.

NetWare

Contactez le Support technique Sophos.

3.3. Désinfection des exécutables PE dans Linux

• Utilisez savscan avec l'option -remove
  savscan -di
• Supprimez tous les fichiers infectés restants avec l'option -remove
  savscan -remove
• Effectuez un contrôle pour vérifier que tous les fichiers infectés ont été désinfectés ou supprimés.

UNIX

• Utilisez SWEEP avec l'option -di
  sweep -di
• Supprimez tous les fichiers infectés restants avec l'option -remove
  sweep -remove
• Effectuez un contrôle pour vérifier que tous les fichiers infectés ont été désinfectés ou supprimés.

OS/2

• A la ligne de commande, saisissez :
  OSWEEP C: -DI
• Supprimez tous les fichiers qui n'ont pas pu être désinfectés.
  OSWEEP C: -REMOVEF
• Effectuez un contrôle pour vérifier que tous les fichiers infectés ont été désinfectés ou supprimés.

OpenVMS

• Désinfectez les fichiers infectés en exécutant VSWEEP depuis DCL avec le qualificatif de ligne de commande '/DI'.
• Supprimez tous les fichiers qui n'ont pas pu être désinfectés en exécutant VSWEEP depuis DCL avec le qualificatif de ligne de commande '/REMOVEF'.
• Remarque : '/REMOVEF' ne demande pas de confirmation avant la suppression et doit donc être utilisé avec précaution.

Pour plus de détails sur l'utilisation de ces qualificatifs de ligne de commande et sur les échantillons de fichiers batch les utilisant, consultez le manuel utilisateur Sophos Anti-Virus pour OpenVMS (anglais).

Remarque : si les problèmes persistent, contactez le Support technique Sophos.