Antivirus and Security Software from Sophos

Support en ligne

Maintenance des produits

Contacter le support

Services du support

Centres de ressources

Suppression des fichiers malveillants avec SAV32CLI

Sous Windows NT/2000/XP/2003, Sophos Anti-Virus peut ne pas parvenir à supprimer des fichiers car ils sont maintenus ouverts par le système d'exploitation. Pour supprimer ces fichiers, vous pouvez, si vous le voulez, utiliser le contrôle par lignes de commande SAV32CLI.

Remarque : veuillez consulter l'article Options de contrôle avec SAV32CLI pour plus d'informations sur les autres options que vous pouvez utiliser lors de l'exécution de SAV32CLI.

Action à mener

1. Sauvegarde des données importantes

Si des données précieuses figurent sur l'ordinateur infecté, sauvegardez les données sur CD-ROM ou DVD ou sur un périphérique USB avant de supprimer tout logiciel malveillant. L'infection peut nuire à un point où vous ne pouvez plus accéder au système d'exploitation, ou bien vous pouvez endommager l'ordinateur lors de la désinfection.

2. Suppression de l'ordinateur du réseau

Débranchez le cable réseau ou le périphérique Internet de l'ordinateur.

3. Préparation des fichiers nécessaires à l'exécution de SAV32CLI

Passez sur un ordinateur Windows non infecté et procédez ainsi :

  1. Téléchargez une copie d'urgence de SAV32CLI.
  2. Téléchargez les derniers fichiers d'identités virales (IDE).
    • Si l'ordinateur infecté utilise Windows NT/2000, téléchargez le fichier exécutable auto-extractible car il se peut que vous n'ayiez pas d'utilitaire de décompression installé localement.
    • Si l'ordinateur infecté utilise Windows XP/2003/Vista, téléchargez soit le fichier exécutable auto-extractible, soit le fichier zip.
  3. Cliquez deux fois sur le fichier sav32sfx.exe et extrayez dans C:\SAV32CLI\ (ce dossier sera créé).
  4. Ajoutez les derniers fichiers IDE dans le dossier C:\SAV32CLI\. En fonction du fichier que vous avez téléchargé, déplacez le fichier exécutable auto-extractible ou le fichier zip dans le dossier C:\SAV32CLI nouvellement créé.
    • Si vous avez téléchargé le fichier exécutable auto-extractible, cliquez deux fois sur le fichier téléchargé pour en extraire le contenu dans le dossier SAV32CLI.
    • Si vous avez téléchargé le fichier zip, cliquez deux fois sur le fichier téléchargé pour en extraire le contenu dans un dossier SAV32CLI à l'aide d'un utilitaire de décompression local.
  5. Copiez le dossier C:\SAV32CLI sur un support pouvant être protégé en écriture (l'exemple ici utilise un CD-ROM, veillez à fermer la session une fois que vous avez écrit sur le CD-ROM).

Remarque : si vous ne pouvez pas accéder à un graveur de CD ou de DVD et si Sophos est déjà installé sur la machine infecté, veuillez redémarrer l'ordinateur en mode de système minimal ou sans échec à partir d'une invite de commande (voir l'étape 4 ci-dessous), puis suivez les instructions de l'étape 5. Cette option n'est pas aussi sécurisée que l'exécution de SAV32CLI depuis un CD-R ou un DVD-R, car aucune donnée ne peut être modifiée.

4. Utilisation d'un mode de système minimal ou sans échec avec une invite de commande

Passez sur l'ordinateur infecté.

S'il n'est pas encore en mode sans échec avec l'invite de commande, choisissez ce mode maintenant, comme suit :

  1. Confirmez que vous connaissez le nom utilisateur et le mot de passe du compte administrateur local sur l'ordinateur infecté.
  2. Redémarrez l'ordinateur.
  3. Après avoir entendu une fois votre ordinateur bipper lors du démarrage, mais avant que l'icône Windows apparaisse, tapez sur la touche F8 continuellement. Au lieu que Windows se charge normalement, le menu des options avancées apparaît.
  4. Sélectionnez l'option pour exécuter Windows en mode sans échec avec invite de commande et appuyez sur Entrée.
  5. Sélectionnez votre compte s'il a les droits administrateur ou cliquez sur l'administrateur et saisissez le mot de passe administrateur.

Exécutez maintenant SAV32CLI comme décrit ci-dessous.

5a. Pour exécuter SAV32CLI depuis un CD-ROM à partir du mode sans échec

Placez le CD-ROM que vous avez créé dans le lecteur approprié (D: dans cet exemple).

  • À l'invite de commande, saisissez
    D:
    pour accéder au lecteur de CD-ROM.
  • Saisissez :
    CD SAV32CLI
    pour passer dans le répertoire SAV32CLI.
  • Puis saisissez :
    SAV32CLI -REMOVE -P=%TEMP%\SOPHOS_LOGFILE.TXT
    pour supprimer le ou les fichiers malveillants et créer un fichier journal du contrôle à la racine du lecteur C:.
  • Appuyez sur 'Y' lorsqu'on vous le demande pour supprimer les fichiers.

5b. Pour exécuter la copie installée localement de SAV32CLI à partir du mode sans échec

REMARQUE : veuillez suivre les étapes à partir du quatrième point ci-dessus pour entrer en mode sans échec

  1. À l'invite de commande, saisissez cd c:\ pour accéder au lecteur C:.
  2. Saisissez cd program files \sophos\sophos anti-virus pour passer dans le dossier programme de Sophos Anti-Virus.
  3. Saisissez SAV32CLI -REMOVE -P=C:\LOGFILE2.TXT pour supprimer le ou les fichiers malveillants et créer un fichier journal du contrôle à la racine du lecteur C:.
  4. Appuyez sur 'Y' lorsqu'on vous le demande pour supprimer les fichiers.

6. Autres instructions

Avant de quitter le mode sans échec, éditez toutes les entrées du registre mentionnées dans les instructions de récupération de l'analyse virale (pour ouvrir l'Éditeur de registre, saisissez 'regedit'). Veuillez lire l'avertissement concernant la modification du registre.

Si les problèmes persistent sur l'ordinateur infecté, consultez l'article de résolution des problèmes sur la suppression des fichiers à problèmes.

Si vous avez besoin de plus d'informations ou d'instructions, veuillez contacter le support technique.