Instructions pour la désinfection de "MTX"

Par les participants du groupe alt.comp.virus.
(Ces pages de sécurité sont le résultat d'un effort collectif continu.)

Anti-Virus Main Menu
Main Menu
Utilitaire d'assistance! - Gracieusement développé par Robert Green
Veuillez lire attentivement toutes les informations sur cette page avant de continuer.
  *REMMTX.EXE
(** L'option la plus commode | fichier comprimé exécutable)

  *REMMTX.zip
  (fichier comprimé)		   *Contient cinq fichiers:
  1. Findcd.bat
  2. findcd.com
  3. Mtx.reg
  4. Readme.txt
  5. Remmtx.bat

**REMMTX.EXE crée le répertoire FSI. F-Prot doit être installé dans ce répertoire.

Notez bien: REMMTX.EXE ne fonctionnera que sous Windows.
Si vous avez des problèmes, démarrez l'ordinateur en mode sécurisé ("safe mode"). Lancez REMMTX.EXE ensuite et installez les fichiers sur le disque dur.
[Note du traducteur: malheureusement, je n'avais pas á disposition les versions françaises des logiciels mentionnés dans le texte suivant. Je n'ai donc pas pu traduire exactement certains détails comme par exemple les noms de menus ou de boîtes de dialogue. Cependant je pense que cela ne devrait pas poser de problèmes. Je vous remercie de votre compréhension.]

Veuillez lire attentivement toutes les instructions ci-dessous...

Citation de la documentation de REMMTX.BAT par Robert Green (inclus dans Readme.txt):

SARC (Symantec Antivirus Research Center) note dans sa description de ce virus qu'il est "complexe et difficile à éliminer", et cela a en effet été le cas. REMMTX.BAT essaiera de soulager ces difficultés et de simplifier le nettoyage de ce virus pour les utilisateurs inexpérimentés de Windows 95, 98 et ME, particulièrement ceux pour qui la ligne de commande DOS n'est pas familière.

REMMTX effacera les fichiers créés par MTX dans le répertoire Windows, changera le nom de WSOCK32.DLL (qui est modifié par MTX) en WSOCK32.MTX, supprimera les données placées dans la clé "autorun" de la base de registres par MTX, extraira une copie fraîche de WSOCK32.DLL (à condition que le fichier CAB contenant WSOCK32.DLL soit disponible), et lancera l'antivirus de ligne de commande F-PROT.

Dressez un plan de nettoyage

L'utilisateur doit prendre la décision de quelle manière il préfère éliminer MTX. Effacerez-vous les fichiers infectés pour ensuite les remplacer par des sauvegardes, ou laisserez vous l'antivirus essayer de les nettoyer?

1ère méthode (effacer et remplacer):

POUR: le système infecté peut être remis dans son état vierge. Cela n'est pas forcément le cas avec la désinfection.

CONTRE: l'utilisateur doit réinstaller Windows et probablement la plupart de ses logiciels.

2ème méthode (désinfection):

POUR: ce procédé dure moins longtemps, le système sera utilisable plus tôt. Vous éviterez peut-être les ennuis liés à la réinstallation de la plupart de vos logiciels.

CONTRE: l'antivirus ne sera peut-être pas en mesure de désinfecter tous les fichiers infectés. Il endommagera peut-être quelques fichiers (cela est malheureusement inévitable, vu la manière dont le virus infecte ses proies). Par conséquent vous serez peut-être forcé de remplacer quelques fichiers ou même de réinstaller tout complètement.

Dans la plupart des cas, la première méthode sera préférable. Notez tout de même qu'elle ne vous épargnera pas forcément des difficultés, tout comme la seconde méthode pourra, elle aussi, très bien fonctionner.

Vous aurez à remplacer WSOCK32.DLL. Dans la plupart des cas cela sera facile car ce fichier se trouvera dans un fichier CAB sur le disque dur. Si cela n'est pas le cas, alors WSOCK32.DLL devra être extrait du CD d'installation de Windows, s'il est disponible. Voyez la page sur l'extraction de WSOCK32.DLL sur ce site pour plus de détails.

Pour l'extraction du CD, vous devez charger le pilote DOS de votre lecteur CD et également MSCDEX.EXE afin d'avoir accès au lecteur CD. Le moyen le plus facile est de démarrer l'ordinateur à l'aide d'une disquette d'urgence Windows. Cette disquette doit avoir été préparée sous la version de Windows qui se trouve sur le disque dur infecté. Sinon, l'extraction échouera.

La disquette d'urgence Windows 95 ne contient pas les pilotes nécessaires pour l'accès au lecteur CD. Vous pouvez obtenir une disquette de démarrage avec pilotes CD de www.bootdisk.com.

Si vous avez installé Windows à partir d'une disquette, ayez votre jeu de disquettes sous la main quand vous lancez REMMTX.BAT.

Pour Windows ME vous *devez* amorcer l'ordinateur à l'aide d'une disquette d'urgence pour obtenir la fonctionnalité DOS pour que REMMTX.BAT fonctionne.
  1. Insérez une disquette formatée
  2. Panneau de configuration
  3. Ajouter/Supprimer programmes
  4. Disquette de démarrage
  5. Créer une disquette de démarrage
Préparer le nettoyage
  1. Téléchargez le fichier REMMTX.EXE si ce n'est pas encore fait et lancez-le. Les fichiers seront décomprimés dans le répertoire C:\FSI (vous pouvez changer le nom du répertoire si vous le désirez).
  2. Téléchargez F-Prot pour DOS - f-prot.zip (si ce n'est pas encore fait).
  3. Décomprimez le fichier f-prot.zip dans le répertoire FSI.
  4. Redémarrez en mode DOS. [Notez que quelques utilisateurs devront démarrer DOS à l'aide d'une disquette d'urgence afin d'avoir accès au lecteur CD. Voyez la section "Dressez un plan de nettoyage" ci-dessus].
Vous devez lancer REMMTX depuis le mode DOS brut, PAS depuis la ligne de commande DOS sous Windows!
Lancer REMMTX après un démarrage depuis une disquette:
  1. A l'invite A:\>, tapez C:     puis pressez [Entrée]
    tapez CD FSI     puis pressez [Entrée]
    tapez REMMTX     puis pressez [Entrée]
  2. Suivez les invites, choisissez "y(es)"
  3. La première fois que vous lancez REMMTX, choisissez l'option de recherche 3 ("scan option"), "Only report infected files"
    (Ainsi, F-Prot examinera le système et vous présentera une liste des fichiers infectés sans les nettoyer ou les effacer. Vous pouvez ensuite inspecter cette liste pour constater les dégâts. Cela vous aidera à prendre la décision si vous voulez désinfecter les fichiers infectés ou les effacer et les remplacer par des sauvegardes. Vous pouvez ensuite relancer REMMTX. Le menu de recherche apparaîtra immédiatement et vous pourrez choisir la méthode de nettoyage que vous préférez.
  4. Sélectionnez "(y)es" pour lire le compte-rendu. Utilisez les touches fléchées de votre clavier pour naviguer dans l'éditeur DOS. Pour quitter l'éditeur, appuyez sur la touche Alt puis sélectionnez "Quitter". Pressez [Entrée].
  5. Réinstallez Windows et les applications si nécessaire.
Fichiers requis par REMMTX
REMMTX vérifie si les fichiers suivants existent, et ne fonctionnera pas si l'un d'eux manque.

%winbootdir%\COMMAND\CHOICE.COM
%winbootdir%\COMMAND\ATTRIB.EXE
%winbootdir%\COMMAND\EXTRACT.EXE
%winbootdir%\REGEDIT.EXE
MTX.REG
FINDCD.COM
FINDCD.BAT
Utilisateurs de Windows Millennium, notez bien:
Si vous ne pouvez pas nettoyer ou effacer des fichiers infectés du répertoire _Restore\Temp ou _Restore\Archive... lisez ceci.

Au cas où REMMTX.BAT n'arriverait pas à extraire WSOCK32.DLL du fichier CAB pour une raison quelconque, jetez un coup d'oeil ici pour des instructions.

L'antivirus F-Prot (Instructions plus détaillées pour F-Prot pour DOS)
REMMTX.EXE.
Instructions pour rétablir WSOCK32.DLL.


- Fin des instructions -


Quelques-uns d'entre vous se demandent peut-être...

"Comment puis-je protéger mon ordinateur dans le futur?"

Réponse: Cliquez ici pour quelques conseils!

© Claymania Creations 2001 - 2009. Tous droits réservés.

Rev. "A"   10/03/2001