Antivirus and Security Software from Sophos

Support en ligne

Maintenance des produits

Contacter le support

Services du support

Centres de ressources

Comment supprimer les virus PE (Portable Executable) par désinfection

Remarque : ces instructions ne s'appliquent pas à tous les virus de fichier exécutable.

Pour plus d'informations générales, reportez-vous aux documents suivants :

Vérifiez individuellement l'analyse de tout virus pour des détails complets sur la manière dont cela doit être traité. Si un fichier d'identité virale (IDE) est nécessaire, téléchargez-le et enregistrez-le sur disquette/CD-ROM.

  1. Utilisation de l'Enterprise Console, de l'Enterprise Manager ou du Sophos Control Center
  2. Suppression des virus PE par désinfection avec Sophos Anti-Virus pour Windows, versions 7 et 9
  3. Suppression des virus PE par désinfection dans Windows NT/2000/XP/2003
  4. Suppression des virus PE par désinfection dans Windows 95/98
  5. Suppression par désinfection ou suppression (retrait) des virus PE sur d'autres plates-formes

1. Utilisation de l'Enterprise Console, de l'Enterprise Manager ou du Sophos Control Center

Vous pouvez désinfecter les virus PE via un réseau à l'aide de l'Enterprise Console/l'Enterprise Manager ou du Sophos Control Center.

2. Suppression des virus PE par désinfection avec Sophos Anti-Virus pour Windows, versions 7 et 9

Pour supprimer un virus PE par désinfection, sur l'ordinateur affecté :

  • Fermez tous les programmes.
  • Choisissez Démarrer|Programmes|Sophos|Sophos Anti-Virus et exécutez le programme 'Sophos Anti-Virus'.
  • Dans la liste 'Contrôles disponibles', sélectionnez le contrôle pour lequel vous voulez activer la suppression, ou utilisez 'Paramétrer un nouveau contrôle' pour contrôler vos disques locaux (ne sélectionnez pas de contrôle planifié car vous ne pourrez pas l'exécuter manuellement).
  • Cliquez sur Edition|Configurer ce contrôle.
  • Sélectionnez l'onglet Nettoyage et sélectionnez 'Nettoyer automatiquement les éléments contenant un virus/spyware'. Cliquez sur Appliquer|OK.
  • Cliquez sur 'Enregistrer et démarrer' pour enregistrer la contrôle et l'exécuter immédiatement.
  • À la fin du contrôle, cliquez sur le lien 'Éléments transférés en Quarantaine' et ouvrez le gestionnaire de quarantaine.
  • Sélectionnez tous les éléments nécessitant une désinfection.
    • Dans le menu déroulant 'Exécuter l'action', sélectionnez 'Nettoyage'.
    • Sélectionnez 'Oui' ou 'Oui à Tous' pour désinfecter les fichiers.
  • Tous les éléments restants doivent être supprimés.
    • Dans le menu déroulant 'Exécuter l'action', sélectionnez 'Supprimer'.
    • Sélectionnez 'Oui' ou 'Oui à Tous' pour supprimer les fichiers.
  • Exécutez un autre contrôle pour vous assurer que le virus a été désinfecté.
  • Cliquez sur Edition|Configurer ce contrôle.
  • Sélectionnez l'onglet Nettoyage et dessélectionnez 'Nettoyer automatiquement les éléments contenant un virus/spyware'. Cliquez sur Appliquer|OK.

Si Sophos Anti-Virus ne peut pas désinfecter les fichiers parce qu'ils sont maintenus ouverts par le système d'exploitation, prenez note des noms des fichiers, puis procédez ainsi.

  1. Téléchargez une copie d'urgence de SAV32CLI. Sur un ordinateur Windows non infecté, exécutez ce fichier pour extraire le contenu dans un dossier SAV32CLI sur un support pouvant être protégé en écriture. Copiez le dossier SAV32CLI produit sur un support pouvant être protégé en écriture. Ajoutez tous les fichiers IDE correspondants dans ce dossier et protégez en écriture le disque (sur un CD/R ou CD/RW, fermez la session).
  2. Redémarrez l'ordinateur en Mode sans échec avec invite de commande.
  3. Sur l'ordinateur infecté, placez le CD-ROM dans le lecteur approprié (D: dans cet exemple). A l'invite de commande, tapez

    D:

    pour accéder au lecteur de CD-ROM. Tapez :

    CD SAV32CLI

    Puis tapez :

    SAV32CLI -DI -P=C:\LOGFILE.TXT

    pour désinfecter le virus.

    Tous les autres fichiers doivent être supprimés. Certains d'entre eux ont été abandonnés par le virus et ont besoin d'être restaurés. D'autres doivent être récupérés à partir de sauvegardes.

    SAV32CLI -REMOVE -P=C:\REMOVLOG.TXT

    Cette commande écrit un rapport dans la racine du lecteur C:. Ce rapport peut servir à vérifier quels fichiers supprimés doivent être restaurés à partir de sauvegardes.

    Dans Windows 2000/XP/2003/Vista, lorsque la désinfection et la suppression sont terminées, redémarrez l'ordinateur dans Windows.

    Installez ou réinstallez Sophos Anti-Virus, puis exécuter un contrôle 'Tous les fichiers' pour vérifier que le virus a disparu.

  4. Avant de quitter le mode sans échec, vérifiez toutes les entrées de registre mentionnées dans les instructions de récupération de l'analyse virale, et modifiez-les si nécessaire. Si les problèmes persistent, contactez le support technique.

3. Suppression des virus PE par désinfection dans Windows NT/2000/XP/2003

Sur un ordinateur légèrement infecté utilisant Windows NT/2000/XP/2003, où aucun service important n'a été infecté, il est possible d'exécuter SAV32CLI à partir d'une invite de commande avec le commutateur -DI.

Vérifiez tout d'abord les instructions de récupération dans l'analyse virale pour toute mesure supplémentaire à prendre avant (et après) désinfection. Vérifiez aussi si vous avez besoin d'un fichier IDE. Si vous le faites, téléchargez-le et enregistrez-le sur une disquette.

Téléchargez une copie d'urgence de SAV32CLI. Sur un ordinateur Windows non infecté, exécutez ce fichier pour extraire le contenu dans un dossier SAV32CLI sur un support pouvant être protégé en écriture. Copiez le dossier SAV32CLI produit sur un support pouvant être protégé en écriture. Ajoutez tous les fichiers IDE correspondants dans ce dossier et protégez en écriture le disque (sur un CD/R ou CD/RW, fermez la session).

Fermez maintenant tous les programmes et tous les services possibles, puis ouvrez une invite de commande.

Sous Windows NT

  • Fermez tous les programmes.
  • Choisissez Démarrer|Paramètres|Panneau de configuration et cliquez deux fois sur 'Services'.
  • Arrêtez autant de services que possible à l'aide du bouton Arrêter
  • Fermez le Panneau de Configuration.
  • Appuyez en même temps sur les touches Ctrl, Alt et Suppr.
  • Cliquez sur 'Gestionnaire des tâches' et sélectionnez l'onglet Processus.
  • Sélectionnez un processus et cliquez sur 'Terminer le processus'. Il peut ou ne peut pas s'arrêter.
  • Répétez cette opération pour les autres processus (y compris le bureau Windows).
  • Après la fermeture de tous les programmes possibles, allez dans Fichier|Nouvelle tâche (Exécuter) et tapez 'Cmd'.
  • Fermez l'écran Gestionnaire des tâches.
  • Insérez le disque protégé en écriture sur lequel figure SAV32CLI.

Sous Windows 2000 et supérieur

  • Choisissez Démarrer|Fermer.
  • Sélectionnez 'Redémarrer' dans la liste déroulante et cliquez sur 'OK'. Windows redémarre.
  • Appuyez sur F8 lorsque vous voyez le texte suivant en bas de l'écran "Appuyez sur F8 pour afficher les options de démarrage avancées".
  • Dans le menu des options avancées Windows 2000, sélectionnez la troisième option "Mode sans échec avec invite de commande".
  • Lorsqu'on vous le demande, connectez-vous en tant qu'administrateur local.
  • Une fois que Windows 2000 (ou une version supérieure) a démarré en mode sans échec, insérez le disque protégé en écriture à partir duquel vous utilisez SAV32CLI.

A l'invite de commande, tapez

E:

E: est le lecteur dans lequel vous avez placé le disque SAV32CLI.

Tapez :

CD SAV32CLI

Maintenant, tapez :

SAV32CLI -DI -P=C:\VIRUSLOG.TXT

pour désinfecter tous les lecteurs fixes.

La commande ci-dessus exécute SAV32CLI, lequel contrôle tous les répertoires et fichiers présents sur votre PC, y compris des sous-répertoires. Les fichiers que le virus a infectés sont nettoyés et un rapport sur ces fichiers est créé dans la racine du lecteur C:. SAV32CLI désinfecte tous les fichiers pouvant être désinfectés.

Tous les autres fichiers doivent être supprimés. Certains d'entre eux ont été abandonnés par le virus et ont besoin d'être restaurés. D'autres doivent être récupérés à partir de sauvegardes.

SAV32CLI -REMOVE -P=C:\REMOVLOG.TXT

Cette commande écrit un rapport dans la racine du lecteur C:. Ce rapport peut servir à vérifier quels fichiers supprimés doivent être restaurés à partir de sauvegardes.

Dans Windows NT, lorsque la désinfection et la suppression sont terminées, tapez 'Explorer' pour redémarrer le Bureau Windows.

Dans Windows 2000 ou supérieure, lorsque la désinfection et la suppression sont terminées, redémarrez l'ordinateur dans Windows.

Installez ou réinstallez Sophos Anti-Virus, puis exécuter un contrôle 'Tous les fichiers' pour vérifier que le virus a disparu.

Restauration du système et Windows XP

Remarque : ceci supprime tous les points de restauration précédemment créés.

  • Des fichiers infectés peuvent être trouvés dans la zone Restauration du système de Windows XP.
  • Choisissez Démarrer|Panneau de configuration|Performances et maintenance.
  • Cliquez deux fois sur 'Système', puis sélectionnez l'onglet Restauration du système.
  • Cliquez pour sélectionner la case 'Désactiver la Restauration du système sur tous les lecteurs'.
  • Cliquez sur 'Appliquer'.
  • Cliquez sur 'Oui'.
  • Cliquez maintenant pour dessélectionner la case 'Désactiver la Restauration du système sur tous les lecteurs'.
  • Cliquez sur 'OK'.
  • Redémarrez l'ordinateur.

Si le virus n'a pas disparu, contactez le support technique Sophos.

Les fichiers infectés ne sont pas toujours restaurés dans leur état d'origine. Un fichier qui a été désinfecté n'est pas garanti de fonctionner correctement. Afin de récupérer les fichiers dans leur état d'origine, ils doivent être restaurés à partir de sauvegardes, de nouveaux supports ou d'un ordinateur sain.

[TOP]

4. Suppression des virus PE par désinfection dans Windows 95/98

Pour désinfecter les exécutables PE dans Windows 95/98 et dans DOS, utilisez DOS SWEEP avec le commutateur -DIPE.

Téléchargez DOS SWEEP, extrayez les fichiers et copiez-les dans un répertoire C:\Sophtemp sur votre ordinateur. Ajoutez tous les fichiers IDE appropriés dans ce dossier.

Vérifiez tout d'abord les instructions de récupération dans l'analyse virale pour toute mesure supplémentaire à prendre avant (et après) désinfection.

Avant d'exécuter DOS SWEEP sous Windows 95/98, il est essentiel que vous vous assuriez que le virus n'est pas résident en mémoire. Pour cela, vous devez désinfecter dans un environnement 16 bits dans lequel vous pouvez être sûr que le virus 32 bits est complètement paralysé.

  • Redémarrez l'ordinateur en mode MS-DOS.
    Remarque : le lancement d'une invite de commande (une fenêtre DOS) ne suffit pas.
  • Allez dans le menu Démarrer et sélectionnez 'Fermer'. Choisissez l'option 'Redémarrer l'ordinateur en mode DOS'. Ceci désactive le virus et assure un environnement sûr pour la désinfection.

5. Suppression par désinfection ou suppression (retrait) des virus PE sur d'autres plates-formes

Les fichiers exécutables PE sont des programmes Windows 95/98/NT/2000/XP. Sur d'autres plates-formes dans la majorité des circonstances, supprimez les fichiers infectés et remplacez-les à partir de sauvegardes, de nouveaux supports ou d'un ordinateur sain.

DOS

  • À l'invite DOS, tapez :
    SWEEP *: -DIPE
  • Supprimez tous les fichiers qui ne peuvent pas être désinfectés.
    SWEEP *: -REMOVEF
  • Exécutez un contrôle pour vérifier que tous les fichiers infectés ont été désinfectés ou supprimés.

NetWare

Contactez le support technique Sophos.

Linux

  • Utilisez savscan avec l'option -di
    savscan -di
  • Supprimez tous les fichiers infectés restants avec l'option -remove
    savscan -remove
  • Exécutez un contrôle pour vérifier que tous les fichiers infectés ont été désinfectés ou supprimés.

UNIX

  • Utilisez SWEEP avec l'option -di
    sweep -di
  • Supprimez tous les fichiers infectés restants avec l'option -remove
    sweep -remove
  • Exécutez un contrôle pour vérifier que tous les fichiers infectés ont été désinfectés ou supprimés.

OS/2

  • A l'invite de commande, tapez :
    OSWEEP C: -DI
  • Supprimez tous les fichiers qui ne peuvent pas être désinfectés.
    OSWEEP C: -REMOVEF
  • Exécutez un contrôle pour vérifier que tous les fichiers infectés ont été désinfectés ou supprimés.

OpenVMS

  • Désinfectez les fichiers infectés en exécutant VSWEEP depuis DCL à l'aide du qualificateur de ligne de commande '/DI'.
  • Supprimez tous les fichiers qui ne peuvent pas être désinfectés en exécutant VSWEEP depuis DCL à l'aide du qualificateur de ligne de commande '/REMOVEF'.
  • Remarque : '/REMOVEF' n'invite pas à confirmer avant la suppression et doit être utilisé avec prudence.

Pour plus de détails sur l'utilisation de ces qualificateurs de ligne de commande et des exemples de fichiers de commandes qui les utilisent, reportez-vous au manuel Sophos Anti-Virus pour OpenVMS.

Remarque : si les problèmes persistent, contactez le support technique Sophos.

Si vous avez besoin de plus d'informations ou d'instructions, veuillez contacter le support technique.