Lorsque OfficeScan détecte un fichier infecté, il encode ce fichier et le stocke dans le dossier \Suspect du client, généralement C:\Program Files\Trend Micro\OfficeScan Client\Suspect. Le fichier infecté est encodé pour empêcher les utilisateurs de l’ouvrir et de propager le virus à d’autres fichiers sur l’ordinateur.
Toutefois, dans certains cas, vous devez ouvrir le fichier même si vous savez qu’il est infecté. Par exemple, un document important a été infecté et vous devez récupérer les informations issues de ce dernier ; il est donc nécessaire de décoder le fichier infecté.
Vous pouvez utiliser l’outil Restore Encrypted Virus pour décoder les fichiers infectés que vous souhaitez ouvrir.
Avertissement
Le décodage d’un fichier infecté peut entraîner la propagation du virus à d’autres fichiers.
Remarque :
Cet outil s'utilise uniquement avec OfficeScan 3.54 et versions ultérieures.
L’outil Restore Encrypted Virus requiert les fichiers suivants :
Fichier principal : VSEncode.exe
Fichiers DLL requis : Vsapi32.dll
Pour décoder des fichiers du dossier Suspect
Sur le client sur lequel vous souhaitez décoder un fichier infecté, ouvrez l’Explorateur Windows et atteignez le dossier \PCCSRV\Admin\Utility\VSEncrypt d’OfficeScan.
Copiez la totalité du dossier VSEncrypt sur l’ordinateur client.
Remarque :
Ne copiez pas le dossier VSEncrypt dans le dossier OfficeScan. L’écran Vsapi32.dll de l’outil Restore Encrypted Virus pourrait entrer en conflit avec le fichier Vsapi32.dll d’origine.
Ouvrez une fenêtre d’invite de commandes et atteignez l’emplacement où vous avez copié le dossier VSEncrypt.
Exécutez l’outil Restore Encrypted Virus à l’aide des paramètres suivants :
pas de paramètre - codage des fichiers dans le dossier Suspect.
-d - décodage des fichiers du dossier Suspect.
-debug - création d’un journal de débogage et de données de sortie dans le dossier racine du client.
/o - remplacement du fichier encodé ou décodé s’il existe déjà.
/f {nom_de_fichier} - encodage ou décodage d’un fichier unique.
/nr - pas de restauration du nom de fichier d’origine.
Par exemple, vous pouvez entrer VSEncode [-d] [-debug] pour décoder les fichiers du dossier Suspect et créer un journal de débogage. Lorsque vous décodez ou encodez un fichier, le fichier décodé ou encodé est créé dans le même dossier.
Remarque :
Il se peut que vous n’ayez pas la possibilité d’encoder ou de décoder des fichiers verrouillés.
L’outil Restore Encrypted Virus fournit les journaux suivants :
VSEncrypt.log - contient les détails de l’encodage ou du décodage. Ce fichier est créé automatiquement dans le lecteur système racine (généralement, sur le lecteur C: .
VSEncDbg.log - contient les détails du débogage. Ce fichier est créé automatiquement dans le dossier racine si vous exécutez VSEncode.exe avec le paramètre -debug .
Pour encoder ou décoder des fichiers à d’autres emplacements
Créez un fichier texte puis indiquez le chemin d’accès complet aux fichiers que vous souhaitez encoder ou décoder.
Par exemple, si vous souhaitez encoder ou décoder les fichiers à l’emplacement C:\Mes documents\Rapports, tapez C:\Mes documents\Rapports\*.* dans le fichier texte. Enregistrez ensuite le fichier texte avec une extension INI ou TXT ; vous pouvez par exemple l’enregistrer sous la forme ForEncryption.ini sur le lecteur C: .
À l’invite de commandes, exécutez Restore Encrypted Virus en tapant VSEncode.exe -d -i {emplacement du fichier INI ou TXT}, où {emplacement du fichier INI ou TXT} est le chemin d’accès au fichier INI ou TXT que vous avez créé (par exemple, C:\ForEncryption.ini).