Eliminer le virus Bloodhound.Packed (Norton Antivirus)

Les logiciels Norton Antivirus (Symantec) utilisent le nom « Bloodhound.Packed » pour identifier un éventuel virus inconnu.

Il est inconnu dans la mesure où il n’est pas encore répertorié dans votre base des signatures virales, soit parce que votre logiciel n’est pas à jour, soit parce que l’éditeur ne le connaît pas encore.
Voici la procédure de désinfection suivie de quelques explications.

Eliminer Bloodhound.Packed sur un ordinateur contaminé

La procédure indiquée par l’éditeur comprend 5 étapes :

  1. désactiver la restauration système (concerne Windows XP et Me)
  2. mettre à jour la base des signatures virales de Norton Antivirus
  3. redémarrer l’ordinateur :
  4. lancer un examen complet et supprimer tous les programmes infectés
  5. vider le dossier des fichiers Internet temporaires (Temporary Internet Files) au besoin

1. Désactiver la restauration système (Windows XP et Me)

Elle sauvegarde automatiquement des fichiers pour pouvoir les restaurer par la suite si ils sont endommagés. Ils sont sauvegardés dans un dossier protégé par le système, c’est à dire qu’aucun programme ne peut y avoir accès.

Sur un ordinateur contaminé, il est possible qu’un fichier infecté soit sauvegardé par cette fonction : n’ayant pas accès à ce dossier protégé, le logiciel ne pourra pas éliminer complètement le virus. Pire, le programme infecté pourrait être restauré par la suite.
C’est pourquoi il faut désactiver (temporairement) cette fonction, ce qui détruira toutes les sauvegardes.

2. Mettre à jour la base des signatures virales

Pour pouvoir identifier un virus Bloodhound.Packed par son nom réel. La mise à jour manuelle de Norton Antivirus – symantec.com
Je profite de la parole qui m’est donnée pour préciser ce qu’on entend par mise à jour :

  • celles de la base des signatures sont offertes par l’éditeur pendant un an à partir de la date d’achat (c’est le cas à la date de publication affichée en bas de cette page)
  • pour le moteur qui recherche les menaces virales dans vos fichiers : l’éditeur offre aussi les évolutions pendant un an (pour une version donnée)
  • quand il s’agit de passer d’une version du logiciel à une autre, c’est bien sûr payant.

3. Re-démarrer en mode sans échec (sous Windows 98, 95, Me, 2000, XP)

Lorsque vous re-démarrez l’ordinateur en mode sans échec (safe mode), seuls les composants strictement
nécessaires sont chargés : il n’active pas certaines fonctions, comme la connexion sur le net par exemple.

Le but principal est de donner accès à un maximum de fichiers du système, éventuellement
infectés. En démarrage normal ces derniers sont tous protégés et le logiciel ne pourra pas
l’enlever complétement.

Re-démarrer en mode sans échec (Windows XP, Vista, 2000, 98, etc).

4. Lancer un examen complet et supprimer tous les programmes infectés

Comment configurer Norton pour un examen (au scanner) complet (anglais) – symantec.com
L’éditeur recommande de détruire tout fichier infecté par un virus Bloodhound.Packed, en cliquant sur le bouton « supprimer » (ou « delete »).

S’il se trouve dans le cache du navigateur (Temporary Internet Files), le logiciel ne pourra pas le détruire car ce dossier est protégé par le système :

  • notez le chemin complet et le nom du fichier infecté (par exemple C:Documents and SettingLindaLocal SettingsTemporary Internet Filesqrwmqczd.dll)
  • à la fin de cette 4ème étape, appliquez la suivante.

Pour terminer redémarrez votre ordinateur normalement.

5. Vider le cache du navigateur

Internet Explorer

Connectez-vous avec le nom d’utilisateur indiqué dans le chemin complet, lancez Internet Explorer et videz le cache. Dans cet exemple :

  • C:Documents and SettingLindaLocal SettingsTemporary Internet Filesqrwmqczd.dll
  • connectez-vous avec Linda
  • démarrez IE,
  • sélectionnez le menu Outils/Options Internet, cliquez sur « supprimer les fichiers », cochez « supprimer tout le contenu hors connexion », cliquez sur « Ok »

Autres navigateurs

Comme certains navigateurs enregistrent le cache dans un format illisible par un autre programme, il est conseillé de le vider.

Quelques explications

Norton Antivirus fait une analyse heuristique pour détecter des programmes malveillants inconnus de la base de signatures virales.
Bloodhound.Packed ne peut exister que dans un fichier PE (Portable Executable), c’est à dire un programme qui fonctionne sur tous les systèmes d’exploitation 32 bits de Microsoft : Windows XP, 98, 98 SE, 95, Me, NT, 2000.
Un exemple de fichier PE : un économiseur d’écran (truc.scr).

Si une application ne fonctionne plus suite à la suppression d’un programme infecté, il faut la désinstaller et la réinstaller (après avoir passé au scanner la source de l’installation 😉 ).