Voici l'outil de symantec pour ce vicieux de vundo :

Important :

Si vous êtes sur un réseau ou avez une connexion permanente à Internet, telle que DSL ou modem câble, déconnectez l'ordinateur du réseau et d'Internet.

Désactivez le partage de fichiers ou protégez-le par mot de passe, ou configurez les fichiers partagés en mode Lecture uniquement, avant de reconnecter les ordinateurs au réseau ou à Internet. Le ver se propage en utilisant les dossiers partagés sur les postes en réseau. Par conséquent, pour vérifier que le ver ne réinfecte pas l'ordinateur une fois éliminé, Symantec suggère de n'utiliser le partage qu'en mode lecture ou en utilisant un mot de passe.

Pour des instructions détaillées, reportez-vous à votre documentation Windows ou au document intitulé Comment configurer les dossiers Windows partagés pour un réseau parfaitement sécurisé.

Si vous supprimez une infection d'un réseau, assurez-vous d'abord que tous les partages sont désactivés ou configurés en mode Lecture uniquement.

Cet outil n'est pas conçu pour s'exécuter sur des serveurs Novell NetWare. Pour supprimer cette menace d'un serveur NetWare, vérifiez d'abord que vous avez les définitions de virus actuelles, et exécutez ensuite une analyse complète du système avec le produit antivirus de Symantec.

Comment télécharger et exécuter l'outil

Important :

Vous devez disposer de droits d’administrateur pour exécuter cet outil sous Windows NT 4.0, Windows 2000 ou Windows XP.

Remarque à l'attention des administrateurs réseau :

Si vous exécutez MS Exchange 2000 Server, il est préférable d'exclure le disque M de l'analyse en exécutant l'outil à partir d'une ligne de commande avec l'option Exclude.

Pour en savoir plus, consultez l'article de la base de connaissances de Microsoft intitulé Problèmes provoqués par une sauvegarde ou par une analyse du lecteur M Exchange 2000 (Article 298924).

Suivez ces étapes pour télécharger et exécuter l'outil :

1. Téléchargez le fichier FixVundo(2).exe plus bas dans ce document.
2. Enregistrez le fichier à un emplacement commode, tel que votre bureau Windows.
4. Fermez tous les programmes en cours d'exécution.
5. Si vous êtes en réseau ou disposez d'une connexion permanente à Internet, déconnectez l'ordinateur du réseau ou d'Internet.
6. Si vous exécutez Windows Me ou XP, désactivez l'option Restauration du système.
7. Localisez le fichier que vous avez juste téléchargé.
8. Cliquez deux fois sur le fichier FixVundo.exe pour lancer l'outil de suppression.
9. Cliquez sur Démarrer pour commencer la procédure puis laissez l'outil s'exécuter.

Remarque :

Si vous rencontrez des problèmes lorsque l'outil s'exécute ou s'il ne semble pas supprimer la menace, redémarrez l'ordinateur en mode sans échec et relancez l'outil.

10. Redémarrez l’ordinateur.
11. Exécutez de nouveau l'outil de suppression pour vous assurer que le système est complètement nettoyé.
12. Si vous exécutez Windows Me/XP, réactivez l'option Restauration du système.
13. Si vous êtes en réseau ou disposez d'une connexion permanente à Internet, reconnectez l'ordinateur au réseau ou à Internet.

Lorsque l'outil a fini, un message apparaît vous indiquant si l'ordinateur est infecté par Trojan.Vundo. L'outil affiche des résultats semblables aux suivants :

* Nombre total de fichiers analysés
* Nombre de fichiers supprimés
* Nombre de processus viraux terminés
* Nombre de thread viraux terminés
* Nombre d'entrées de la base de registre réparées

Fonctions de l'outil

L'outil de suppression de Trojan.Vundo effectue les opérations suivantes :

1. Termine les processus de Trojan.Vundo.
2. Supprime les fichiers de Trojan.Vundo.
3. Supprime les valeurs de registre ajoutées par la menace.

Options

Les options suivantes sont destinées aux administrateurs réseau :

/HELP, /H, /?
Affiche le message d'aide.

/NOFIXREG
Désactive la réparation du registre (l'utilisation de cette option n'est pas recommandée).

/SILENT, /S
Active le mode silencieux.

/LOG=[NOM DU CHEMIN D'ACCÈS]
Crée un fichier journal dans lequel le [NOM DU CHEMIN D'ACCÈS] désigne l'emplacement sous lequel sont conservés les résultats de l'outil. Par défaut, cette option crée le fichier journal FixVundo.log dans le même dossier à partir duquel l'outil de suppression s'est exécuté.

/MAPPED
Analyse les lecteurs réseau mappés. (L'utilisation de cette option n'est pas recommandée. Cf. remarque ci-dessous.)

/START
Force le lancement immédiat de l'analyse.

/EXCLUDE=[CHEMIN D'ACCÈS]
Exclut de l'analyse le [CHEMIN D'ACCÈS] spécifié. (L'utilisation de cette option n'est pas recommandée. Cf. remarque ci-dessous.)

/NOFILESCAN
Empêche l'analyse du système de fichiers.


Important : L'utilisation de l'option /MAPPED n'assure pas la suppression totale du virus sur l'ordinateur distant, pour les raisons suivantes :

o L'analyse de lecteurs mappés s'applique aux dossiers mappés uniquement. Ce qui n'inclut pas nécessairement tous les dossiers de l'ordinateur distant et peut entraîner l'oubli de certaines détections.
o Si un fichier infecté est détecté sur le lecteur mappé, la suppression échoue si ce fichier est utilisé par un programme de l'ordinateur distant.

Pour ces raisons, vous devez exécuter l'outil sur chacun des ordinateurs.

L'option /EXCLUDE fonctionnera avec un seul chemin uniquement et non avec de multiples chemins.

Vous pouvez à la place utiliser l'option /NOFILESCAN suivie d'une analyse manuelle avec l'antivirus.

Ceci permettra alors à l'outil d'altérer le Registre. Procédez ensuite à l'analyse du système avec votre antivirus, doté des dernières définitions de virus.

Message édité par : sospc33 / 08-03-2007 08:03