Le ver Sasser exploite la vulnérabilité de sécurité corrigée par la mise à
jour MS04-011 disponible depuis le 13 Avril 2004
(http://www.microsoft.com/france/technet/themes/Secur/Info/info.asp?mar=/fra
nce/technet/themes/Secur/Info/MS04-011.html).
Pour éliminer ce ver, passez directement à l'étape 1.
Il semble que les variantes de ce ver appelée W32.Sasser.A et W32.Sasser.B
se propagent très rapidement aussi bien chez des particuliers que dans des
entreprises. Leur point commun est de ne pas avoir appliquée la mise à jour
citée ci-dessus.
Ce ver est également appelé W32/Sasser.worm [McAfee], Win32.Sasser[Computer
Associates], Sasser [F-Secure], WORM_SASSER.A et WORM_SASSER.B [Trend
Micro], W32/Sasser-A [Sophos], Sasser.A [Panda].
Ces versions du ver ne s'attaquent qu'à Windows 2000 et Windows XP.
Les objectifs de ce ver semblent être :
o Saturer le réseau d'entreprise en se propageant
o Perturber le fonctionnement des postes (redémarrage, crash.).
Le principal symptôme de ce ver est le redémarrage intempestif de la
machine. Une boîte de dialogue informe qu'une erreur de LSASS s'est produite
et que le système va redémarrer.
Ce document propose une solution en deux étapes :
. Etape 1 : Mode correction permettant d'exécuter toutes les opérations
nécessaires visant la protection définitive.
. Etape 2 : Protections supplémentaires
Pour information, ce document permet aussi d'éradiquer les virus AgoBot,
GaoBot et PhatBot.
Etape I - Eradication dde Sasser et protection de l'ordinateur contre une
nouvelle attaque de ce ver
AVERTISSEMENT: une utilisation incorrecte de l'éditeur du Registre peut
générer des problèmes graves, pouvant vous obliger à réinstaller votre
système d'exploitation. Microsoft ne peut garantir que les problèmes
résultant d'une utilisation incorrecte de l'éditeur du Registre puissent
être résolus. Vous assumez l'ensemble des risques liés à l'utilisation de
cet outil.
Pour plus d'informations sur la procédure de modification du Registre,
consultez la rubrique d'aide "Modifier les clés et les valeurs" dans
l'éditeur du Registre (Regedit.exe) ou les rubriques d'aide "Ajouter et
supprimer des informations dans le Registre" et "Modifier les données du
Registre" dans Regedit.exe. Pensez à sauvegarder le Registre avant de le
modifier. Si vous travaillez sous Windows NT, Windows 2000, Windows XP et
Windows Server 2003, nous vous conseillons de mettre à jour votre disquette
de réparation d'urgence.
1. Débrancher le modem ou le câble réseau afin de déconnecter l'ordinateur
d'Internet
2. Si l'ordinateur n'arrive pas à démarrer correctement, démarrer en mode
sans échec.
Pour cela il faut:
. Redémarrez votre ordinateur et commencez à appuyer sur la touche F8 de
votre clavier. Sur un ordinateur configuré pour démarrer sous plusieurs
systèmes d'exploitation, vous pouvez appuyer sur la touche F8 lorsque le
menu de démarrage s'affiche.
. Lorsque le menu Options avancées de Windows s'affiche, sélectionnez une
option, puis appuyez sur ENTRÉE.
. Lorsque le menu de démarrage s'affiche à nouveau, avec les mots "Mode sans
échec" inscrits en bleu en bas de l'écran, sélectionnez l'installation que
vous souhaitez démarrer, puis appuyez sur ENTRÉE.
Plus d'informations sur le démarrage en mode sans échec, vous pouvez vous
référer aux fiches techniques suivantes:
. Description du mode de démarrage sans échec sous Windows 2000 :
http://support.microsoft.com/?id=202485
. Description des options du mode de démarrage sans échec dans Windows XP :
http://support.microsoft.com/?id=315222
3. Activer le pare-feu de Windows XP
(http://support.microsoft.com/default.aspx?scid=kb;fr;283673) ou tout autre
pare-feu installé.
Pour configurer le Pare-feu de connexion Internet manuellement pour une
connexion:
. Dans le Panneau de configuration, double-cliquer sur Connexions réseau et
Internet, puis cliquer sur Connexions réseau.
. Cliquer avec le bouton droit sur la connexion sur laquelle vous voulez
activer le Pare-feu de connexion Internet, puis cliquer sur Propriétés.
. Sous l'onglet Paramètres Avancés, cocher la case pour sélectionner
l'option Protéger mon ordinateur ou mon réseau.
. Si vous voulez activer l'utilisation de certaines applications et de
certains services via le Pare-feu, vous devez les activer en cliquant sur le
bouton Paramètres, puis en sélectionnant les programmes, protocoles et
services à activer pour la configuration du Pare-feu de connexion Internet.
Note : Si vous utilisez un kit de connexion de votre fournisseur d'accès à
Internet (comme celui de Wanadoo) et que l'onglet Paramètres Avancés n'est
pas disponible, veuillez suivre la procédure de Wanadoo pour activer votre
pare-feu disponible sur le lien suivant :
http://www.wanadoo.fr/bin/frame2.cgi?u=http%3A//assistance.wanadoo.fr/reponse649.asp
4. Utiliser le gestionnaire de tâche pour terminer les processus suivants
(Pour lancer le gestionnaire de tâches, cliquez sur Démarrer, Exécuter puis
tapes taskmgr.exe puis validez. La liste des processus se trouve dans l'
onglet processus.) :
. *_up.exe
. avserv*.exe
. hkey.exe
. msiwin84.exe
. wmiprvsw.exe
5. Lancer l'éditeur de base de registre (Regedit.exe) depuis le menu
Exécuter, puis suivre l'arborescence
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ pour
ensuite supprimer les entrées suivantes:
. "windows"="hkey.exe"
. "Microsoft Update"="msiwin84.exe"
. "System Updater Service"="wmiprvsw.exe"
. "avserve.exe"="C:\WINDOWS\avserve.exe"
. "avserve2.exe = %WINDIR%\avserve2.exe"
6. Rechercher et supprimer les fichiers suivants du disque dur en incluant
les fichiers cachés et système:
Pour afficher les fichiers cachés :
. lancer la fenêtre Rechercher
. aller dans le menu Outils -> Options des dossiers -> onglet Affichage
puis,
. cliquer sur Afficher les fichiers et dossiers cachés du répertoire
Fichiers et dossiers
Pour lancer la recherche :
Sous Windows XP
. Cliquer sur Démarrer et puis Rechercher.
. Sélectionner l'option "Tous les Fichiers et tous les dossiers" et ensuite
cliquer sur "Options Avancées"
. Cocher les 3 cases si elles ne sont pas cochées :
o "Rechercher dans les dossiers systèmes"
o "Rechercher dans les fichiers et les dossiers cachés"
o "Rechercher dans les sous-dossiers"
. Taper le nom du fichier à rechercher.
. Appuyer sur le bouton Rechercher
Sous Windows 2000
. Cliquer sur Démarrer et puis Rechercher.
. Sélectionner l'option "Des fichiers ou des dossiers"
. Taper le nom du fichier à rechercher
. Appuyer sur le bouton Rechercher
La liste des fichiers à supprimer est la suivante:
. *_up.exe
. avserve*.exe
. hkey.exe
. msiwin84.exe
. wmiprvsw.exe
7. Si l'ordinateur a été démarré en mode sans échec, le redémarrer en mode
standard
8. Se Connecter à Internet
9. Appliquer le correctif de sécurité MS04-011 en utilisant Windows Update,
la mise à jour de sécurité est aussi disponible à l'adresse (en version
française) :
. Pour Windows XP (toutes versions)
http://www.microsoft.com/downloads/details.aspx?FamilyId=3549EA9E-DA3F-43B9-A4F1-AF243B6168F3&displaylang=fr
. Pour Windows 2000 (Service Pack 2, Service Pack 3 et Service Pack 4)
http://www.microsoft.com/downloads/details.aspx?FamilyId=0692C27E-F63A-414C-B3EB-D2342FBB6C00&displaylang=fr
Etape II - Protections supplémentaires
1. Afin de savoir si l'ordinateur est toujours contaminé ou non par le ver
Sasser, il est possible d'effectuer une vérification depuis le site
http://www.microsoft.com/security/incident/sasser.asp
2. Mettre à jour votre antivirus avec la dernière signature et scanner votre
poste
3. Afin de mieux protéger son ordinateur, il est fortement conseillé de
suivre les recommandations décrites sur le site
http://www.microsoft.com/france/securite/protection/default.asp dont en
particulier l'activation des Mises à jour automatiques afin de maintenir le
niveau de sécurité de votre machine en appliquant automatiquement les
dernières mises à jour visant à vous protéger contre l'exploitation
malveillante de vulnérabilités.
--
Eric AMOUSSOU, Sitel pour l'assistance utilisateur Microsoft
Support en Ligne : http://support.microsoft.com
Bulletins de sécurité : http://www.microsoft.com/france/securite/
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
michelz
bonjour j'ai un petit soucis avec w xp et sasser : j'ai chargé MS04 -11 et l'anti virus de sasser , mais lorsque j'exécute MS04 , mon pc m'envoie l'info ERREUR du programme d'installation du KB835732; n'a pas pu vérifier l'intégralité du fichier update.inf. Assurer vous que le service cryptographie est en cours d'éxécution sur cet ordinateur
Les spécialistes de club internet n'ont pu m'aider
Que dois je faire ? c'est quoi la cryptographie au niveau PC ? Comment résoudre ce pb pour éxécuter les programmes d'éradication contre ce p.. de ver
merci BEAUCOUP POUR VOTRE AIDE , je ne sais vers qui aller
AMITIE
MICHE
bonjour
j'ai un petit soucis avec w xp et sasser : j'ai chargé MS04 -11 et l'anti virus de sasser , mais lorsque j'exécute MS04 , mon pc m'envoie l'info ERREUR du programme d'installation du KB835732; n'a pas pu vérifier l'intégralité du fichier update.inf. Assurer vous que le service cryptographie est en cours d'éxécution sur cet ordinateur
Les spécialistes de club internet n'ont pu m'aider
Que dois je faire ? c'est quoi la cryptographie au niveau PC ? Comment résoudre ce pb pour éxécuter les programmes d'éradication contre ce p.. de ver
merci BEAUCOUP POUR VOTRE AIDE , je ne sais vers qui aller
bonjour j'ai un petit soucis avec w xp et sasser : j'ai chargé MS04 -11 et l'anti virus de sasser , mais lorsque j'exécute MS04 , mon pc m'envoie l'info ERREUR du programme d'installation du KB835732; n'a pas pu vérifier l'intégralité du fichier update.inf. Assurer vous que le service cryptographie est en cours d'éxécution sur cet ordinateur
Les spécialistes de club internet n'ont pu m'aider
Que dois je faire ? c'est quoi la cryptographie au niveau PC ? Comment résoudre ce pb pour éxécuter les programmes d'éradication contre ce p.. de ver
merci BEAUCOUP POUR VOTRE AIDE , je ne sais vers qui aller
AMITIE
MICHE
j'espere que ca va aller bonne journée à ton service et à tout ceux à qui ca peut servir sarabelle
des infos sur sasser pris sur secuser.com 1/05/04 : une variante mineure Sasser.B (également nommée W32/, , WORM_SASSER.B, W32/Sasser-B ou Win32.Sasser.B) a été identifiée. Elle se distingue de Sasser.A par le nom du fichier exécutable viral (AVSERVE2.EXE au lieu de AVSERVE.EXE) et le nom du fichier log (WIN2.LOG au lieu de WIN.LOG). Un utilitaire de désinfection gratuit est aussi disponible contre Sasser.B.
voila le lien http://www.secuser.com/telechargement/desinfection.htm tu cliques sur sasser en fait c'est l'outil de symantec il y a qu'a faire start et il cherche
02/05/04 : une variante mineure Sasser.C (également nommée W32/, , WORM_SASSER.C, W32/Sasser-C ou Win32.Sasser.C) a été identifiée. Elle se distingue de Sasser.B par le fait qu'elle lance 1024 processus simultanés au lieu de 128 pour exécuter la routine d'infection et favoriser la propagation du virus.
un lien pour faire une recherche en ligne
http://www.secuser.com/antivirus/
un lien pour le fix de symantec
Obtenir des détails techniques complémentaires Vous pouvez obtenir d'autres informations et des outils gratuits pour supprimer ce ver en visitant les sites Web des fournisseurs d'antivirus : · Computer Associates · F-secure · Network Associates · Norman · Panda · Sophos · Symantec · Trend Micro Vous pouvez aussi supprimer (automatiquement ou manuellement) le ver de votre système (réservé aux utilisateurs avancés) :
Procédure détaillée d'éradication du ver SasserDate de première publication : 3 mai 2004 | Dernière mise à jour : 3 mai 2004 à 16h45
SymptômeRedémarrage intempestif de la machine. Une boîte de dialogue informe qu'une erreur de LSASS s'est produite et que le système va redémarrer. Ou plus aléatoirement : Systèmes concernés· Windows 2000 · Windows XP NettoyageDeux procédures sont possibles :· L'une automatisée via un accès à Internet · L'autre manuelle 1/Procédure automatisée de vérification et d'éradicationÉtape A : Activer un pare-feu Avant toute autre action, vérifiez qu'un pare-feu est opérationnel sur votre ordinateur pour le protéger d'une infection. Si votre ordinateur est déjà infecté, l'activation d'un pare-feu limitera les effets du ver sur votre ordinateur.Activer le pare-feu de Windows XP ou tout autre pare-feu installé. Pour configurer le Pare-feu de Windows XP manuellement : · Dans le Panneau de configuration, double-cliquer sur Connexions réseau et Internet, puis cliquer sur Connexions réseau. · Cliquer avec le bouton droit sur la connexion sur laquelle vous voulez activer le Pare-feu de connexion Internet, puis cliquer sur Propriétés. · Sous l'onglet Paramètres Avancés, cocher la case pour sélectionner l'option Protéger mon ordinateur ou mon réseau. · Si vous voulez activer l'utilisation de certaines applications et de certains services via le Pare-feu, vous devez les activer en cliquant sur le bouton Paramètres, puis en sélectionnant les programmes, protocoles et services à activer pour la configuration du Pare-feu de connexion Internet. Note : Si vous utilisez un kit de connexion de votre fournisseur d'accès à Internet (comme celui de Wanadoo) et que l'onglet Paramètres Avancés n'est pas disponible, veuillez suivre la procédure de Wanadoo pour activer votre pare-feu disponible. Sinon activer un pare- feu du marché. Étape B : Eradication automatiséeCliquez- ici pour suivre les étapes suivantes de la procédure d'éradication automatisée.ATTENTION : il est important d'avoir d'abord activé le pare-feu avant de vous connecter sur Internet. Remarque : la procédure automatisée utilise un composant ActiveX pour détecter le ver et l'éliminer. Si la configuration de sécurité de votre navigateur ne permet pas l'exécution de ce composant, vous pouvez soit suivre la procédure manuelle ci-dessous, soit modifier votre configuration de sécurité. 2/ Procédure manuelle d'éradictionÉtape 1 : isoler l'ordinateur d'InternetPour ce faire, vous pouvez par exemple débrancher le modem ou le câble réseau afin de déconnecter l'ordinateur d'InternetÉtape 2 : arrêter les processus utilisés par le ver· Cliquez sur Démarrer, Exécuter · Tapez taskmgr.exe, puis validez · Sélectionnez l'onglet Processus · Terminez les processus suivants : o *_up.exe o avserv*.exe o hkey.exe o msiwin84.exe o wmiprvsw.exe Note : Si l'ordinateur n'arrive pas à démarrer correctement, démarrer en mode sans échec. Pour cela il faut : · Redémarrez votre ordinateur et commencez à appuyer sur la touche F8 de votre clavier. Sur un ordinateur configuré pour démarrer sous plusieurs systèmes d'exploitation, vous pouvez appuyer sur la touche F8 lorsque le menu de démarrage s'affiche. · Lorsque le menu Options avancées de Windows s'affiche, sélectionnez une option, puis appuyez sur ENTRÉE. · Lorsque le menu de démarrage s'affiche à nouveau, avec les mots "Mode sans échec" inscrits en bleu en bas de l'écran, sélectionnez l'installation que vous souhaitez démarrer, puis appuyez sur ENTRÉE. Pour plus d'informations sur le démarrage en mode sans échec, vous pouvez vous référer aux fiches techniques suivantes: · Description du mode de démarrage sans échec sous Windows 2000 · Description des options du mode de démarrage sans échec dans Windows XP Étape 3 : Éliminer le démarrage automatique des processus du ver· Cliquez sur Démarrer, Exécuter · Tapez regedit.exe · Positionnez vous sur la clé HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersio nRun AVERTISSEMENT : une utilisation incorrecte de l'éditeur du Registre peut générer des problèmes graves, pouvant vous obliger à réinstaller votre système d'exploitation. Microsoft ne peut garantir que les problèmes résultant d'une utilisation incorrecte de l'éditeur du Registre puissent être résolus. Vous assumez l'ensemble des risques liés à l'utilisation de cet outil. Pour plus d'informations sur la procédure de modification du Registre, consultez la rubrique d'aide "Modifier les clés et les valeurs" dans l'éditeur du Registre (Regedit.exe) ou les rubriques d'aide "Ajouter et supprimer des informations dans le Registre" et "Modifier les données du Registre" dans Regedit.exe. Pensez à sauvegarder le Registre avant de le modifier. Si vous travaillez sous Windows NT, Windows 2000, Windows XP et Windows Server 2003, nous vous conseillons de mettre à jour votre disquette de réparation d'urgence. · Supprimez les entrées suivantes: o "windows"="hkey.exe" o "Microsoft Update"="msiwin84.exe" o "System Updater Service"="wmiprvsw.exe" o "avserve.exe"="C:WINDOWSavserve.exe" o "avserve2.exe = %WINDIR%avserve2.exe" Étape 4 : Supprimer les fichiers du verRechercher et supprimer les fichiers suivants du disque dur en incluant les fichiers cachés et système.Pour afficher les fichiers cachés : · lancer la fenêtre Rechercher · aller dans le menu Outils -> Options des dossiers -> onglet Affichage puis, · cliquer sur Afficher les fichiers et dossiers cachés du répertoire Fichiers et dossiers Pour lancer la recherche : Sous Windows XP : · Cliquer sur Démarrer et puis Rechercher · Sélectionner l'option "Tous les Fichiers et tous les dossiers" et ensuite cliquer sur "Options Avancées" · Cocher les 3 cases si elles ne sont pas cochées : o "Rechercher dans les dossiers systèmes" o "Rechercher dans les fichiers et les dossiers cachés" o "Rechercher dans les sous- dossiers" · Taper le nom du fichier à rechercher. · Appuyer sur le bouton Rechercher Sous Windows 2000 · Cliquer sur Démarrer et puis Rechercher · Sélectionner l'option "Des fichiers ou des dossiers" · Taper le nom du fichier à rechercher · Appuyer sur le bouton Rechercher La liste des fichiers à supprimer est la suivante: · *_up.exe · avserve*.exe · hkey.exe · msiwin84.exe · wmiprvsw.exe Étape 5 : Activer un pare-feu sur votre machineActiver le pare-feu de Windows XP ou tout autre pare-feu installé.Pour configurer le Pare-feu de connexion Internet manuellement pour une connexion: · Dans le Panneau de configuration, double-cliquer sur Connexions réseau et Internet, puis cliquer sur Connexions réseau. · Cliquer avec le bouton droit sur la connexion sur laquelle vous voulez activer le Pare-feu de connexion Internet, puis cliquer sur Propriétés. · Sous l'onglet Paramètres Avancés, cocher la case pour sélectionner l'option Protéger mon ordinateur ou mon réseau. · Si vous voulez activer l'utilisation de certaines applications et de certains services via le Pare- feu, vous devez les activer en cliquant sur le bouton Paramètres, puis en sélectionnant les programmes, protocoles et services à activer pour la configuration du Pare-feu de connexion Internet. Note : Si vous utilisez un kit de connexion de votre fournisseur d'accès à Internet (comme celui de Wanadoo) et que l'onglet Paramètres Avancés n'est pas disponible, veuillez suivre la procédure de Wanadoo pour activer votre pare-feu disponible. Étape 6 : Installer la mise à jour éliminant la vulnérabilité exploitée par le verAppliquer le correctif de sécurité MS04-011 en utilisant Windows Update, la mise à jour de sécurité est aussi disponible (en version française) : · Pour Windows XP (toutes versions) · Pour Windows 2000 (Service Pack 2, Service Pack 3 et Service Pack 4) Étape 7 : Mettre à jour votre antivirus avec la dernière signature et scanner la machine Haut de page Compléments suite à procédure manuelle :Attention le pare- feu doit être activé.1. Afin de savoir si l'ordinateur est toujours contaminé ou non par le ver Sasser, il est possible d'effectuer une vérification. 2. Afin de mieux protéger son ordinateur, il est fortement conseillé de suivre les recommandations décrites sur l'espace protéger votre PC de l'espace sécurité de Microsoft France, dont en particulier l'activation des Mises à jour automatiques afin de maintenir le niveau de sécurité de votre machine en appliquant automatiquement les dernières mises à jour visant à vous protéger contre l'exploitation malveillante de vulnérabilités.
-----Message d'origine----- Comment éradiquer le ver Sasser ?
Le ver Sasser exploite la vulnérabilité de sécurité corrigée par la mise à
Pour éliminer ce ver, passez directement à l'étape 1.
Il semble que les variantes de ce ver appelée W32.Sasser.A et W32.Sasser.B
se propagent très rapidement aussi bien chez des particuliers que dans des
entreprises. Leur point commun est de ne pas avoir appliquée la mise à jour
citée ci-dessus. Ce ver est également appelé W32/Sasser.worm [McAfee], Win32.Sasser[Computer
Associates], Sasser [F-Secure], WORM_SASSER.A et WORM_SASSER.B [Trend
Micro], W32/Sasser-A [Sophos], Sasser.A [Panda].
Ces versions du ver ne s'attaquent qu'à Windows 2000 et Windows XP.
Les objectifs de ce ver semblent être : o Saturer le réseau d'entreprise en se propageant o Perturber le fonctionnement des postes (redémarrage, crash.).
Le principal symptôme de ce ver est le redémarrage intempestif de la
machine. Une boîte de dialogue informe qu'une erreur de LSASS s'est produite
et que le système va redémarrer.
Ce document propose une solution en deux étapes : .. Etape 1 : Mode correction permettant d'exécuter toutes les opérations
nécessaires visant la protection définitive. .. Etape 2 : Protections supplémentaires
Pour information, ce document permet aussi d'éradiquer les virus AgoBot,
GaoBot et PhatBot.
Etape I - Eradication dde Sasser et protection de l'ordinateur contre une
nouvelle attaque de ce ver
AVERTISSEMENT: une utilisation incorrecte de l'éditeur du Registre peut
générer des problèmes graves, pouvant vous obliger à réinstaller votre
système d'exploitation. Microsoft ne peut garantir que les problèmes
résultant d'une utilisation incorrecte de l'éditeur du Registre puissent
être résolus. Vous assumez l'ensemble des risques liés à l'utilisation de
cet outil.
Pour plus d'informations sur la procédure de modification du Registre,
consultez la rubrique d'aide "Modifier les clés et les valeurs" dans
l'éditeur du Registre (Regedit.exe) ou les rubriques d'aide "Ajouter et
supprimer des informations dans le Registre" et "Modifier les données du
Registre" dans Regedit.exe. Pensez à sauvegarder le Registre avant de le
modifier. Si vous travaillez sous Windows NT, Windows 2000, Windows XP et
Windows Server 2003, nous vous conseillons de mettre à jour votre disquette
de réparation d'urgence.
1. Débrancher le modem ou le câble réseau afin de déconnecter l'ordinateur
d'Internet
2. Si l'ordinateur n'arrive pas à démarrer correctement, démarrer en mode
sans échec. Pour cela il faut: .. Redémarrez votre ordinateur et commencez à appuyer sur la touche F8 de
votre clavier. Sur un ordinateur configuré pour démarrer sous plusieurs
systèmes d'exploitation, vous pouvez appuyer sur la touche F8 lorsque le
menu de démarrage s'affiche. .. Lorsque le menu Options avancées de Windows s'affiche, sélectionnez une
option, puis appuyez sur ENTRÉE. .. Lorsque le menu de démarrage s'affiche à nouveau, avec les mots "Mode sans
échec" inscrits en bleu en bas de l'écran, sélectionnez l'installation que
vous souhaitez démarrer, puis appuyez sur ENTRÉE.
Plus d'informations sur le démarrage en mode sans échec, vous pouvez vous
référer aux fiches techniques suivantes: .. Description du mode de démarrage sans échec sous Windows 2000 :
http://support.microsoft.com/?id 2485 .. Description des options du mode de démarrage sans échec dans Windows XP :
http://support.microsoft.com/?id15222
3. Activer le pare-feu de Windows XP (http://support.microsoft.com/default.aspx? scid=kb;fr;283673) ou tout autre
pare-feu installé. Pour configurer le Pare-feu de connexion Internet manuellement pour une
connexion: .. Dans le Panneau de configuration, double-cliquer sur Connexions réseau et
Internet, puis cliquer sur Connexions réseau. .. Cliquer avec le bouton droit sur la connexion sur laquelle vous voulez
activer le Pare-feu de connexion Internet, puis cliquer sur Propriétés.
.. Sous l'onglet Paramètres Avancés, cocher la case pour sélectionner
l'option Protéger mon ordinateur ou mon réseau. .. Si vous voulez activer l'utilisation de certaines applications et de
certains services via le Pare-feu, vous devez les activer en cliquant sur le
bouton Paramètres, puis en sélectionnant les programmes, protocoles et
services à activer pour la configuration du Pare-feu de connexion Internet.
Note : Si vous utilisez un kit de connexion de votre fournisseur d'accès à
Internet (comme celui de Wanadoo) et que l'onglet Paramètres Avancés n'est
pas disponible, veuillez suivre la procédure de Wanadoo pour activer votre
pare-feu disponible sur le lien suivant : http://www.wanadoo.fr/bin/frame2.cgi?u=http% 3A//assistance.wanadoo.fr/reponse649.asp
4. Utiliser le gestionnaire de tâche pour terminer les processus suivants
(Pour lancer le gestionnaire de tâches, cliquez sur Démarrer, Exécuter puis
tapes taskmgr.exe puis validez. La liste des processus se trouve dans l'
5. Lancer l'éditeur de base de registre (Regedit.exe) depuis le menu
Exécuter, puis suivre l'arborescence HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersi onRun pour
ensuite supprimer les entrées suivantes: .. "windows"="hkey.exe" .. "Microsoft Update"="msiwin84.exe" .. "System Updater Service"="wmiprvsw.exe" .. "avserve.exe"="C:WINDOWSavserve.exe" .. "avserve2.exe = %WINDIR%avserve2.exe"
6. Rechercher et supprimer les fichiers suivants du disque dur en incluant
les fichiers cachés et système: Pour afficher les fichiers cachés : .. lancer la fenêtre Rechercher .. aller dans le menu Outils -> Options des dossiers -> onglet Affichage
puis, .. cliquer sur Afficher les fichiers et dossiers cachés du répertoire
Fichiers et dossiers
Pour lancer la recherche : Sous Windows XP .. Cliquer sur Démarrer et puis Rechercher. .. Sélectionner l'option "Tous les Fichiers et tous les dossiers" et ensuite
cliquer sur "Options Avancées" .. Cocher les 3 cases si elles ne sont pas cochées : o "Rechercher dans les dossiers systèmes" o "Rechercher dans les fichiers et les dossiers cachés" o "Rechercher dans les sous-dossiers" .. Taper le nom du fichier à rechercher. .. Appuyer sur le bouton Rechercher
Sous Windows 2000 .. Cliquer sur Démarrer et puis Rechercher. .. Sélectionner l'option "Des fichiers ou des dossiers" .. Taper le nom du fichier à rechercher .. Appuyer sur le bouton Rechercher
La liste des fichiers à supprimer est la suivante: .. *_up.exe .. avserve*.exe .. hkey.exe .. msiwin84.exe .. wmiprvsw.exe
7. Si l'ordinateur a été démarré en mode sans échec, le redémarrer en mode
standard
8. Se Connecter à Internet
9. Appliquer le correctif de sécurité MS04-011 en utilisant Windows Update,
la mise à jour de sécurité est aussi disponible à l'adresse (en version
française) :
.. Pour Windows XP (toutes versions) http://www.microsoft.com/downloads/details.aspx? FamilyId549EA9E-DA3F-43B9-A4F1-
AF243B6168F3&displaylang=fr
.. Pour Windows 2000 (Service Pack 2, Service Pack 3 et Service Pack 4)
2. Mettre à jour votre antivirus avec la dernière signature et scanner votre
poste
3. Afin de mieux protéger son ordinateur, il est fortement conseillé de
suivre les recommandations décrites sur le site http://www.microsoft.com/france/securite/protection/defaul t.asp dont en
particulier l'activation des Mises à jour automatiques afin de maintenir le
niveau de sécurité de votre machine en appliquant automatiquement les
dernières mises à jour visant à vous protéger contre l'exploitation
malveillante de vulnérabilités.
-- Eric AMOUSSOU, Sitel pour l'assistance utilisateur Microsoft
Support en Ligne : http://support.microsoft.com Bulletins de sécurité : http://www.microsoft.com/france/securite/
.
j'espere que ca va aller
bonne journée à ton service
et à tout ceux à qui ca peut servir
sarabelle
des infos sur sasser pris sur secuser.com
1/05/04 : une variante mineure Sasser.B (également nommée
W32/Sasser.b@MM, W32.Sasser.B@mm, WORM_SASSER.B,
W32/Sasser-B ou Win32.Sasser.B) a été identifiée. Elle se
distingue de Sasser.A par le nom du fichier exécutable
viral (AVSERVE2.EXE au lieu de AVSERVE.EXE) et le nom du
fichier log (WIN2.LOG au lieu de WIN.LOG). Un utilitaire
de désinfection gratuit est aussi disponible contre
Sasser.B.
voila le lien
http://www.secuser.com/telechargement/desinfection.htm
tu cliques sur sasser
en fait c'est l'outil de symantec il y a qu'a faire start
et il cherche
02/05/04 : une variante mineure Sasser.C (également nommée
W32/Sasser.c@MM, W32.Sasser.C@mm, WORM_SASSER.C,
W32/Sasser-C ou Win32.Sasser.C) a été identifiée. Elle se
distingue de Sasser.B par le fait qu'elle lance 1024
processus simultanés au lieu de 128 pour exécuter la
routine d'infection et favoriser la propagation du virus.
un lien pour faire une recherche en ligne
http://www.secuser.com/antivirus/
un lien pour le fix de symantec
Obtenir des détails techniques complémentaires
Vous pouvez obtenir d'autres informations et des outils
gratuits pour supprimer ce ver en visitant les sites Web
des fournisseurs d'antivirus :
· Computer Associates
· F-secure
· Network Associates
· Norman
· Panda
· Sophos
· Symantec
· Trend Micro
Vous pouvez aussi supprimer (automatiquement ou
manuellement) le ver de votre système (réservé aux
utilisateurs avancés) :
Procédure détaillée d'éradication du ver SasserDate de
première publication : 3 mai 2004 | Dernière mise à jour :
3 mai 2004 à 16h45
SymptômeRedémarrage intempestif de la machine. Une
boîte de dialogue informe qu'une erreur de LSASS s'est
produite et que le système va redémarrer. Ou plus
aléatoirement : Systèmes concernés· Windows 2000 ·
Windows XP NettoyageDeux procédures sont
possibles :· L'une automatisée via un accès à Internet ·
L'autre manuelle 1/Procédure automatisée de
vérification et d'éradicationÉtape A : Activer un pare-feu
Avant toute autre action, vérifiez qu'un pare-feu est
opérationnel sur votre ordinateur pour le protéger d'une
infection. Si votre ordinateur est déjà infecté,
l'activation d'un pare-feu limitera les effets du ver sur
votre ordinateur.Activer le pare-feu de Windows XP ou tout
autre pare-feu installé. Pour configurer le Pare-feu de
Windows XP manuellement : · Dans le Panneau de
configuration, double-cliquer sur Connexions réseau et
Internet, puis cliquer sur Connexions réseau. · Cliquer
avec le bouton droit sur la connexion sur laquelle vous
voulez activer le Pare-feu de connexion Internet, puis
cliquer sur Propriétés. · Sous l'onglet Paramètres
Avancés, cocher la case pour sélectionner l'option
Protéger mon ordinateur ou mon réseau. · Si vous
voulez activer l'utilisation de certaines applications et
de certains services via le Pare-feu, vous devez les
activer en cliquant sur le bouton Paramètres, puis en
sélectionnant les programmes, protocoles et services à
activer pour la configuration du Pare-feu de connexion
Internet. Note : Si vous utilisez un kit de connexion de
votre fournisseur d'accès à Internet (comme celui de
Wanadoo) et que l'onglet Paramètres Avancés n'est pas
disponible, veuillez suivre la procédure de Wanadoo pour
activer votre pare-feu disponible. Sinon activer un pare-
feu du marché. Étape B : Eradication automatiséeCliquez-
ici pour suivre les étapes suivantes de la procédure
d'éradication automatisée.ATTENTION : il est important
d'avoir d'abord activé le pare-feu avant de vous connecter
sur Internet. Remarque : la procédure automatisée utilise
un composant ActiveX pour détecter le ver et l'éliminer.
Si la configuration de sécurité de votre navigateur ne
permet pas l'exécution de ce composant, vous pouvez soit
suivre la procédure manuelle ci-dessous, soit modifier
votre configuration de sécurité. 2/ Procédure manuelle
d'éradictionÉtape 1 : isoler l'ordinateur d'InternetPour
ce faire, vous pouvez par exemple débrancher le modem ou
le câble réseau afin de déconnecter l'ordinateur
d'InternetÉtape 2 : arrêter les processus utilisés par le
ver· Cliquez sur Démarrer, Exécuter · Tapez
taskmgr.exe, puis validez · Sélectionnez l'onglet
Processus · Terminez les processus suivants : o
*_up.exe o avserv*.exe o hkey.exe o
msiwin84.exe o wmiprvsw.exe Note : Si
l'ordinateur n'arrive pas à démarrer correctement,
démarrer en mode sans échec. Pour cela il faut : ·
Redémarrez votre ordinateur et commencez à appuyer
sur la touche F8 de votre clavier. Sur un ordinateur
configuré pour démarrer sous plusieurs systèmes
d'exploitation, vous pouvez appuyer sur la touche F8
lorsque le menu de démarrage s'affiche. · Lorsque le
menu Options avancées de Windows s'affiche, sélectionnez
une option, puis appuyez sur ENTRÉE. · Lorsque le menu de
démarrage s'affiche à nouveau, avec les mots "Mode sans
échec" inscrits en bleu en bas de l'écran, sélectionnez
l'installation que vous souhaitez démarrer, puis appuyez
sur ENTRÉE. Pour plus d'informations sur le démarrage en
mode sans échec, vous pouvez vous référer aux fiches
techniques suivantes: · Description du mode de démarrage
sans échec sous Windows 2000 · Description des options du
mode de démarrage sans échec dans Windows XP Étape 3 :
Éliminer le démarrage automatique des processus du ver·
Cliquez sur Démarrer, Exécuter · Tapez
regedit.exe · Positionnez vous sur la clé
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersio
nRun AVERTISSEMENT : une utilisation incorrecte de
l'éditeur du Registre peut générer des problèmes graves,
pouvant vous obliger à réinstaller votre système
d'exploitation. Microsoft ne peut garantir que les
problèmes résultant d'une utilisation incorrecte de
l'éditeur du Registre puissent être résolus. Vous assumez
l'ensemble des risques liés à l'utilisation de cet outil.
Pour plus d'informations sur la procédure de modification
du Registre, consultez la rubrique d'aide "Modifier les
clés et les valeurs" dans l'éditeur du Registre
(Regedit.exe) ou les rubriques d'aide "Ajouter et
supprimer des informations dans le Registre" et "Modifier
les données du Registre" dans Regedit.exe. Pensez à
sauvegarder le Registre avant de le modifier. Si vous
travaillez sous Windows NT, Windows 2000, Windows XP et
Windows Server 2003, nous vous conseillons de mettre à
jour votre disquette de réparation d'urgence. · Supprimez
les entrées suivantes: o "windows"="hkey.exe" o
"Microsoft Update"="msiwin84.exe" o "System
Updater Service"="wmiprvsw.exe" o
"avserve.exe"="C:WINDOWSavserve.exe" o
"avserve2.exe = %WINDIR%avserve2.exe" Étape 4 :
Supprimer les fichiers du verRechercher et supprimer les
fichiers suivants du disque dur en incluant les fichiers
cachés et système.Pour afficher les fichiers cachés : ·
lancer la fenêtre Rechercher · aller dans le menu
Outils -> Options des dossiers -> onglet Affichage puis, ·
cliquer sur Afficher les fichiers et dossiers
cachés du répertoire Fichiers et dossiers Pour lancer la
recherche : Sous Windows XP : · Cliquer sur Démarrer et
puis Rechercher · Sélectionner l'option "Tous les
Fichiers et tous les dossiers" et ensuite cliquer
sur "Options Avancées" · Cocher les 3 cases si
elles ne sont pas cochées : o "Rechercher dans les
dossiers systèmes" o "Rechercher dans les fichiers et
les dossiers cachés" o "Rechercher dans les sous-
dossiers" · Taper le nom du fichier à rechercher. ·
Appuyer sur le bouton Rechercher Sous Windows 2000
· Cliquer sur Démarrer et puis Rechercher ·
Sélectionner l'option "Des fichiers ou des
dossiers" · Taper le nom du fichier à rechercher ·
Appuyer sur le bouton Rechercher La liste des
fichiers à supprimer est la suivante: · *_up.exe ·
avserve*.exe · hkey.exe · msiwin84.exe ·
wmiprvsw.exe Étape 5 : Activer un pare-feu sur
votre machineActiver le pare-feu de Windows XP ou tout
autre pare-feu installé.Pour configurer le Pare-feu de
connexion Internet manuellement pour une connexion: ·
Dans le Panneau de configuration, double-cliquer
sur Connexions réseau et Internet, puis cliquer sur
Connexions réseau. · Cliquer avec le bouton droit sur
la connexion sur laquelle vous voulez activer le Pare-feu
de connexion Internet, puis cliquer sur Propriétés. ·
Sous l'onglet Paramètres Avancés, cocher la case
pour sélectionner l'option Protéger mon ordinateur ou mon
réseau. · Si vous voulez activer l'utilisation de
certaines applications et de certains services via le Pare-
feu, vous devez les activer en cliquant sur le bouton
Paramètres, puis en sélectionnant les programmes,
protocoles et services à activer pour la configuration du
Pare-feu de connexion Internet. Note : Si vous utilisez un
kit de connexion de votre fournisseur d'accès à Internet
(comme celui de Wanadoo) et que l'onglet Paramètres
Avancés n'est pas disponible, veuillez suivre la procédure
de Wanadoo pour activer votre pare-feu disponible. Étape
6 : Installer la mise à jour éliminant la vulnérabilité
exploitée par le verAppliquer le correctif de sécurité
MS04-011 en utilisant Windows Update, la mise à jour de
sécurité est aussi disponible (en version française) : ·
Pour Windows XP (toutes versions) · Pour
Windows 2000 (Service Pack 2, Service Pack 3 et Service
Pack 4) Étape 7 : Mettre à jour votre antivirus avec la
dernière signature et scanner la machine Haut de page
Compléments suite à procédure manuelle :Attention le pare-
feu doit être activé.1. Afin de savoir si l'ordinateur est
toujours contaminé ou non par le ver Sasser, il est
possible d'effectuer une vérification. 2. Afin de
mieux protéger son ordinateur, il est fortement conseillé
de suivre les recommandations décrites sur l'espace
protéger votre PC de l'espace sécurité de Microsoft
France, dont en particulier l'activation des Mises à jour
automatiques afin de maintenir le niveau de sécurité de
votre machine en appliquant automatiquement les dernières
mises à jour visant à vous protéger contre l'exploitation
malveillante de vulnérabilités.
-----Message d'origine-----
Comment éradiquer le ver Sasser ?
Le ver Sasser exploite la vulnérabilité de sécurité
corrigée par la mise à
Pour éliminer ce ver, passez directement à l'étape 1.
Il semble que les variantes de ce ver appelée
W32.Sasser.A et W32.Sasser.B
se propagent très rapidement aussi bien chez des
particuliers que dans des
entreprises. Leur point commun est de ne pas avoir
appliquée la mise à jour
citée ci-dessus.
Ce ver est également appelé W32/Sasser.worm [McAfee],
Win32.Sasser[Computer
Associates], Sasser [F-Secure], WORM_SASSER.A et
WORM_SASSER.B [Trend
Micro], W32/Sasser-A [Sophos], Sasser.A [Panda].
Ces versions du ver ne s'attaquent qu'à Windows 2000 et
Windows XP.
Les objectifs de ce ver semblent être :
o Saturer le réseau d'entreprise en se propageant
o Perturber le fonctionnement des postes (redémarrage,
crash.).
Le principal symptôme de ce ver est le redémarrage
intempestif de la
machine. Une boîte de dialogue informe qu'une erreur de
LSASS s'est produite
et que le système va redémarrer.
Ce document propose une solution en deux étapes :
.. Etape 1 : Mode correction permettant d'exécuter toutes
les opérations
nécessaires visant la protection définitive.
.. Etape 2 : Protections supplémentaires
Pour information, ce document permet aussi d'éradiquer
les virus AgoBot,
GaoBot et PhatBot.
Etape I - Eradication dde Sasser et protection de
l'ordinateur contre une
nouvelle attaque de ce ver
AVERTISSEMENT: une utilisation incorrecte de l'éditeur du
Registre peut
générer des problèmes graves, pouvant vous obliger à
réinstaller votre
système d'exploitation. Microsoft ne peut garantir que
les problèmes
résultant d'une utilisation incorrecte de l'éditeur du
Registre puissent
être résolus. Vous assumez l'ensemble des risques liés à
l'utilisation de
cet outil.
Pour plus d'informations sur la procédure de modification
du Registre,
consultez la rubrique d'aide "Modifier les clés et les
valeurs" dans
l'éditeur du Registre (Regedit.exe) ou les rubriques
d'aide "Ajouter et
supprimer des informations dans le Registre" et "Modifier
les données du
Registre" dans Regedit.exe. Pensez à sauvegarder le
Registre avant de le
modifier. Si vous travaillez sous Windows NT, Windows
2000, Windows XP et
Windows Server 2003, nous vous conseillons de mettre à
jour votre disquette
de réparation d'urgence.
1. Débrancher le modem ou le câble réseau afin de
déconnecter l'ordinateur
d'Internet
2. Si l'ordinateur n'arrive pas à démarrer correctement,
démarrer en mode
sans échec.
Pour cela il faut:
.. Redémarrez votre ordinateur et commencez à appuyer sur
la touche F8 de
votre clavier. Sur un ordinateur configuré pour démarrer
sous plusieurs
systèmes d'exploitation, vous pouvez appuyer sur la
touche F8 lorsque le
menu de démarrage s'affiche.
.. Lorsque le menu Options avancées de Windows s'affiche,
sélectionnez une
option, puis appuyez sur ENTRÉE.
.. Lorsque le menu de démarrage s'affiche à nouveau, avec
les mots "Mode sans
échec" inscrits en bleu en bas de l'écran, sélectionnez
l'installation que
vous souhaitez démarrer, puis appuyez sur ENTRÉE.
Plus d'informations sur le démarrage en mode sans échec,
vous pouvez vous
référer aux fiches techniques suivantes:
.. Description du mode de démarrage sans échec sous
Windows 2000 :
http://support.microsoft.com/?id=202485
.. Description des options du mode de démarrage sans
échec dans Windows XP :
http://support.microsoft.com/?id=315222
3. Activer le pare-feu de Windows XP
(http://support.microsoft.com/default.aspx?
scid=kb;fr;283673) ou tout autre
pare-feu installé.
Pour configurer le Pare-feu de connexion Internet
manuellement pour une
connexion:
.. Dans le Panneau de configuration, double-cliquer sur
Connexions réseau et
Internet, puis cliquer sur Connexions réseau.
.. Cliquer avec le bouton droit sur la connexion sur
laquelle vous voulez
activer le Pare-feu de connexion Internet, puis cliquer
sur Propriétés.
.. Sous l'onglet Paramètres Avancés, cocher la case pour
sélectionner
l'option Protéger mon ordinateur ou mon réseau.
.. Si vous voulez activer l'utilisation de certaines
applications et de
certains services via le Pare-feu, vous devez les activer
en cliquant sur le
bouton Paramètres, puis en sélectionnant les programmes,
protocoles et
services à activer pour la configuration du Pare-feu de
connexion Internet.
Note : Si vous utilisez un kit de connexion de votre
fournisseur d'accès à
Internet (comme celui de Wanadoo) et que l'onglet
Paramètres Avancés n'est
pas disponible, veuillez suivre la procédure de Wanadoo
pour activer votre
pare-feu disponible sur le lien suivant :
http://www.wanadoo.fr/bin/frame2.cgi?u=http%
3A//assistance.wanadoo.fr/reponse649.asp
4. Utiliser le gestionnaire de tâche pour terminer les
processus suivants
(Pour lancer le gestionnaire de tâches, cliquez sur
Démarrer, Exécuter puis
tapes taskmgr.exe puis validez. La liste des processus se
trouve dans l'
5. Lancer l'éditeur de base de registre (Regedit.exe)
depuis le menu
Exécuter, puis suivre l'arborescence
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersi
onRun pour
ensuite supprimer les entrées suivantes:
.. "windows"="hkey.exe"
.. "Microsoft Update"="msiwin84.exe"
.. "System Updater Service"="wmiprvsw.exe"
.. "avserve.exe"="C:WINDOWSavserve.exe"
.. "avserve2.exe = %WINDIR%avserve2.exe"
6. Rechercher et supprimer les fichiers suivants du
disque dur en incluant
les fichiers cachés et système:
Pour afficher les fichiers cachés :
.. lancer la fenêtre Rechercher
.. aller dans le menu Outils -> Options des dossiers ->
onglet Affichage
puis,
.. cliquer sur Afficher les fichiers et dossiers cachés
du répertoire
Fichiers et dossiers
Pour lancer la recherche :
Sous Windows XP
.. Cliquer sur Démarrer et puis Rechercher.
.. Sélectionner l'option "Tous les Fichiers et tous les
dossiers" et ensuite
cliquer sur "Options Avancées"
.. Cocher les 3 cases si elles ne sont pas cochées :
o "Rechercher dans les dossiers systèmes"
o "Rechercher dans les fichiers et les dossiers cachés"
o "Rechercher dans les sous-dossiers"
.. Taper le nom du fichier à rechercher.
.. Appuyer sur le bouton Rechercher
Sous Windows 2000
.. Cliquer sur Démarrer et puis Rechercher.
.. Sélectionner l'option "Des fichiers ou des dossiers"
.. Taper le nom du fichier à rechercher
.. Appuyer sur le bouton Rechercher
La liste des fichiers à supprimer est la suivante:
.. *_up.exe
.. avserve*.exe
.. hkey.exe
.. msiwin84.exe
.. wmiprvsw.exe
7. Si l'ordinateur a été démarré en mode sans échec, le
redémarrer en mode
standard
8. Se Connecter à Internet
9. Appliquer le correctif de sécurité MS04-011 en
utilisant Windows Update,
la mise à jour de sécurité est aussi disponible à
l'adresse (en version
française) :
.. Pour Windows XP (toutes versions)
http://www.microsoft.com/downloads/details.aspx?
FamilyId=3549EA9E-DA3F-43B9-A4F1-
AF243B6168F3&displaylang=fr
.. Pour Windows 2000 (Service Pack 2, Service Pack 3 et
Service Pack 4)
j'espere que ca va aller bonne journée à ton service et à tout ceux à qui ca peut servir sarabelle
des infos sur sasser pris sur secuser.com 1/05/04 : une variante mineure Sasser.B (également nommée W32/, , WORM_SASSER.B, W32/Sasser-B ou Win32.Sasser.B) a été identifiée. Elle se distingue de Sasser.A par le nom du fichier exécutable viral (AVSERVE2.EXE au lieu de AVSERVE.EXE) et le nom du fichier log (WIN2.LOG au lieu de WIN.LOG). Un utilitaire de désinfection gratuit est aussi disponible contre Sasser.B.
voila le lien http://www.secuser.com/telechargement/desinfection.htm tu cliques sur sasser en fait c'est l'outil de symantec il y a qu'a faire start et il cherche
02/05/04 : une variante mineure Sasser.C (également nommée W32/, , WORM_SASSER.C, W32/Sasser-C ou Win32.Sasser.C) a été identifiée. Elle se distingue de Sasser.B par le fait qu'elle lance 1024 processus simultanés au lieu de 128 pour exécuter la routine d'infection et favoriser la propagation du virus.
un lien pour faire une recherche en ligne
http://www.secuser.com/antivirus/
un lien pour le fix de symantec
Obtenir des détails techniques complémentaires Vous pouvez obtenir d'autres informations et des outils gratuits pour supprimer ce ver en visitant les sites Web des fournisseurs d'antivirus : · Computer Associates · F-secure · Network Associates · Norman · Panda · Sophos · Symantec · Trend Micro Vous pouvez aussi supprimer (automatiquement ou manuellement) le ver de votre système (réservé aux utilisateurs avancés) :
Procédure détaillée d'éradication du ver SasserDate de première publication : 3 mai 2004 | Dernière mise à jour : 3 mai 2004 à 16h45
SymptômeRedémarrage intempestif de la machine. Une boîte de dialogue informe qu'une erreur de LSASS s'est produite et que le système va redémarrer. Ou plus aléatoirement : Systèmes concernés· Windows 2000 · Windows XP NettoyageDeux procédures sont possibles :· L'une automatisée via un accès à Internet · L'autre manuelle 1/Procédure automatisée de vérification et d'éradicationÉtape A : Activer un pare-feu Avant toute autre action, vérifiez qu'un pare-feu est opérationnel sur votre ordinateur pour le protéger d'une infection. Si votre ordinateur est déjà infecté, l'activation d'un pare-feu limitera les effets du ver sur votre ordinateur.Activer le pare-feu de Windows XP ou tout autre pare-feu installé. Pour configurer le Pare-feu de Windows XP manuellement : · Dans le Panneau de configuration, double-cliquer sur Connexions réseau et Internet, puis cliquer sur Connexions réseau. · Cliquer avec le bouton droit sur la connexion sur laquelle vous voulez activer le Pare-feu de connexion Internet, puis cliquer sur Propriétés. · Sous l'onglet Paramètres Avancés, cocher la case pour sélectionner l'option Protéger mon ordinateur ou mon réseau. · Si vous voulez activer l'utilisation de certaines applications et de certains services via le Pare-feu, vous devez les activer en cliquant sur le bouton Paramètres, puis en sélectionnant les programmes, protocoles et services à activer pour la configuration du Pare-feu de connexion Internet. Note : Si vous utilisez un kit de connexion de votre fournisseur d'accès à Internet (comme celui de Wanadoo) et que l'onglet Paramètres Avancés n'est pas disponible, veuillez suivre la procédure de Wanadoo pour activer votre pare-feu disponible. Sinon activer un pare- feu du marché. Étape B : Eradication automatiséeCliquez- ici pour suivre les étapes suivantes de la procédure d'éradication automatisée.ATTENTION : il est important d'avoir d'abord activé le pare-feu avant de vous connecter sur Internet. Remarque : la procédure automatisée utilise un composant ActiveX pour détecter le ver et l'éliminer. Si la configuration de sécurité de votre navigateur ne permet pas l'exécution de ce composant, vous pouvez soit suivre la procédure manuelle ci-dessous, soit modifier votre configuration de sécurité. 2/ Procédure manuelle d'éradictionÉtape 1 : isoler l'ordinateur d'InternetPour ce faire, vous pouvez par exemple débrancher le modem ou le câble réseau afin de déconnecter l'ordinateur d'InternetÉtape 2 : arrêter les processus utilisés par le ver· Cliquez sur Démarrer, Exécuter · Tapez taskmgr.exe, puis validez · Sélectionnez l'onglet Processus · Terminez les processus suivants : o *_up.exe o avserv*.exe o hkey.exe o msiwin84.exe o wmiprvsw.exe Note : Si l'ordinateur n'arrive pas à démarrer correctement, démarrer en mode sans échec. Pour cela il faut : · Redémarrez votre ordinateur et commencez à appuyer sur la touche F8 de votre clavier. Sur un ordinateur configuré pour démarrer sous plusieurs systèmes d'exploitation, vous pouvez appuyer sur la touche F8 lorsque le menu de démarrage s'affiche. · Lorsque le menu Options avancées de Windows s'affiche, sélectionnez une option, puis appuyez sur ENTRÉE. · Lorsque le menu de démarrage s'affiche à nouveau, avec les mots "Mode sans échec" inscrits en bleu en bas de l'écran, sélectionnez l'installation que vous souhaitez démarrer, puis appuyez sur ENTRÉE. Pour plus d'informations sur le démarrage en mode sans échec, vous pouvez vous référer aux fiches techniques suivantes: · Description du mode de démarrage sans échec sous Windows 2000 · Description des options du mode de démarrage sans échec dans Windows XP Étape 3 : Éliminer le démarrage automatique des processus du ver· Cliquez sur Démarrer, Exécuter · Tapez regedit.exe · Positionnez vous sur la clé HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersio nRun AVERTISSEMENT : une utilisation incorrecte de l'éditeur du Registre peut générer des problèmes graves, pouvant vous obliger à réinstaller votre système d'exploitation. Microsoft ne peut garantir que les problèmes résultant d'une utilisation incorrecte de l'éditeur du Registre puissent être résolus. Vous assumez l'ensemble des risques liés à l'utilisation de cet outil. Pour plus d'informations sur la procédure de modification du Registre, consultez la rubrique d'aide "Modifier les clés et les valeurs" dans l'éditeur du Registre (Regedit.exe) ou les rubriques d'aide "Ajouter et supprimer des informations dans le Registre" et "Modifier les données du Registre" dans Regedit.exe. Pensez à sauvegarder le Registre avant de le modifier. Si vous travaillez sous Windows NT, Windows 2000, Windows XP et Windows Server 2003, nous vous conseillons de mettre à jour votre disquette de réparation d'urgence. · Supprimez les entrées suivantes: o "windows"="hkey.exe" o "Microsoft Update"="msiwin84.exe" o "System Updater Service"="wmiprvsw.exe" o "avserve.exe"="C:WINDOWSavserve.exe" o "avserve2.exe = %WINDIR%avserve2.exe" Étape 4 : Supprimer les fichiers du verRechercher et supprimer les fichiers suivants du disque dur en incluant les fichiers cachés et système.Pour afficher les fichiers cachés : · lancer la fenêtre Rechercher · aller dans le menu Outils -> Options des dossiers -> onglet Affichage puis, · cliquer sur Afficher les fichiers et dossiers cachés du répertoire Fichiers et dossiers Pour lancer la recherche : Sous Windows XP : · Cliquer sur Démarrer et puis Rechercher · Sélectionner l'option "Tous les Fichiers et tous les dossiers" et ensuite cliquer sur "Options Avancées" · Cocher les 3 cases si elles ne sont pas cochées : o "Rechercher dans les dossiers systèmes" o "Rechercher dans les fichiers et les dossiers cachés" o "Rechercher dans les sous- dossiers" · Taper le nom du fichier à rechercher. · Appuyer sur le bouton Rechercher Sous Windows 2000 · Cliquer sur Démarrer et puis Rechercher · Sélectionner l'option "Des fichiers ou des dossiers" · Taper le nom du fichier à rechercher · Appuyer sur le bouton Rechercher La liste des fichiers à supprimer est la suivante: · *_up.exe · avserve*.exe · hkey.exe · msiwin84.exe · wmiprvsw.exe Étape 5 : Activer un pare-feu sur votre machineActiver le pare-feu de Windows XP ou tout autre pare-feu installé.Pour configurer le Pare-feu de connexion Internet manuellement pour une connexion: · Dans le Panneau de configuration, double-cliquer sur Connexions réseau et Internet, puis cliquer sur Connexions réseau. · Cliquer avec le bouton droit sur la connexion sur laquelle vous voulez activer le Pare-feu de connexion Internet, puis cliquer sur Propriétés. · Sous l'onglet Paramètres Avancés, cocher la case pour sélectionner l'option Protéger mon ordinateur ou mon réseau. · Si vous voulez activer l'utilisation de certaines applications et de certains services via le Pare- feu, vous devez les activer en cliquant sur le bouton Paramètres, puis en sélectionnant les programmes, protocoles et services à activer pour la configuration du Pare-feu de connexion Internet. Note : Si vous utilisez un kit de connexion de votre fournisseur d'accès à Internet (comme celui de Wanadoo) et que l'onglet Paramètres Avancés n'est pas disponible, veuillez suivre la procédure de Wanadoo pour activer votre pare-feu disponible. Étape 6 : Installer la mise à jour éliminant la vulnérabilité exploitée par le verAppliquer le correctif de sécurité MS04-011 en utilisant Windows Update, la mise à jour de sécurité est aussi disponible (en version française) : · Pour Windows XP (toutes versions) · Pour Windows 2000 (Service Pack 2, Service Pack 3 et Service Pack 4) Étape 7 : Mettre à jour votre antivirus avec la dernière signature et scanner la machine Haut de page Compléments suite à procédure manuelle :Attention le pare- feu doit être activé.1. Afin de savoir si l'ordinateur est toujours contaminé ou non par le ver Sasser, il est possible d'effectuer une vérification. 2. Afin de mieux protéger son ordinateur, il est fortement conseillé de suivre les recommandations décrites sur l'espace protéger votre PC de l'espace sécurité de Microsoft France, dont en particulier l'activation des Mises à jour automatiques afin de maintenir le niveau de sécurité de votre machine en appliquant automatiquement les dernières mises à jour visant à vous protéger contre l'exploitation malveillante de vulnérabilités.
-----Message d'origine----- Comment éradiquer le ver Sasser ?
Le ver Sasser exploite la vulnérabilité de sécurité corrigée par la mise à
Pour éliminer ce ver, passez directement à l'étape 1.
Il semble que les variantes de ce ver appelée W32.Sasser.A et W32.Sasser.B
se propagent très rapidement aussi bien chez des particuliers que dans des
entreprises. Leur point commun est de ne pas avoir appliquée la mise à jour
citée ci-dessus. Ce ver est également appelé W32/Sasser.worm [McAfee], Win32.Sasser[Computer
Associates], Sasser [F-Secure], WORM_SASSER.A et WORM_SASSER.B [Trend
Micro], W32/Sasser-A [Sophos], Sasser.A [Panda].
Ces versions du ver ne s'attaquent qu'à Windows 2000 et Windows XP.
Les objectifs de ce ver semblent être : o Saturer le réseau d'entreprise en se propageant o Perturber le fonctionnement des postes (redémarrage, crash.).
Le principal symptôme de ce ver est le redémarrage intempestif de la
machine. Une boîte de dialogue informe qu'une erreur de LSASS s'est produite
et que le système va redémarrer.
Ce document propose une solution en deux étapes : .. Etape 1 : Mode correction permettant d'exécuter toutes les opérations
nécessaires visant la protection définitive. .. Etape 2 : Protections supplémentaires
Pour information, ce document permet aussi d'éradiquer les virus AgoBot,
GaoBot et PhatBot.
Etape I - Eradication dde Sasser et protection de l'ordinateur contre une
nouvelle attaque de ce ver
AVERTISSEMENT: une utilisation incorrecte de l'éditeur du Registre peut
générer des problèmes graves, pouvant vous obliger à réinstaller votre
système d'exploitation. Microsoft ne peut garantir que les problèmes
résultant d'une utilisation incorrecte de l'éditeur du Registre puissent
être résolus. Vous assumez l'ensemble des risques liés à l'utilisation de
cet outil.
Pour plus d'informations sur la procédure de modification du Registre,
consultez la rubrique d'aide "Modifier les clés et les valeurs" dans
l'éditeur du Registre (Regedit.exe) ou les rubriques d'aide "Ajouter et
supprimer des informations dans le Registre" et "Modifier les données du
Registre" dans Regedit.exe. Pensez à sauvegarder le Registre avant de le
modifier. Si vous travaillez sous Windows NT, Windows 2000, Windows XP et
Windows Server 2003, nous vous conseillons de mettre à jour votre disquette
de réparation d'urgence.
1. Débrancher le modem ou le câble réseau afin de déconnecter l'ordinateur
d'Internet
2. Si l'ordinateur n'arrive pas à démarrer correctement, démarrer en mode
sans échec. Pour cela il faut: .. Redémarrez votre ordinateur et commencez à appuyer sur la touche F8 de
votre clavier. Sur un ordinateur configuré pour démarrer sous plusieurs
systèmes d'exploitation, vous pouvez appuyer sur la touche F8 lorsque le
menu de démarrage s'affiche. .. Lorsque le menu Options avancées de Windows s'affiche, sélectionnez une
option, puis appuyez sur ENTRÉE. .. Lorsque le menu de démarrage s'affiche à nouveau, avec les mots "Mode sans
échec" inscrits en bleu en bas de l'écran, sélectionnez l'installation que
vous souhaitez démarrer, puis appuyez sur ENTRÉE.
Plus d'informations sur le démarrage en mode sans échec, vous pouvez vous
référer aux fiches techniques suivantes: .. Description du mode de démarrage sans échec sous Windows 2000 :
http://support.microsoft.com/?id 2485 .. Description des options du mode de démarrage sans échec dans Windows XP :
http://support.microsoft.com/?id15222
3. Activer le pare-feu de Windows XP (http://support.microsoft.com/default.aspx? scid=kb;fr;283673) ou tout autre
pare-feu installé. Pour configurer le Pare-feu de connexion Internet manuellement pour une
connexion: .. Dans le Panneau de configuration, double-cliquer sur Connexions réseau et
Internet, puis cliquer sur Connexions réseau. .. Cliquer avec le bouton droit sur la connexion sur laquelle vous voulez
activer le Pare-feu de connexion Internet, puis cliquer sur Propriétés.
.. Sous l'onglet Paramètres Avancés, cocher la case pour sélectionner
l'option Protéger mon ordinateur ou mon réseau. .. Si vous voulez activer l'utilisation de certaines applications et de
certains services via le Pare-feu, vous devez les activer en cliquant sur le
bouton Paramètres, puis en sélectionnant les programmes, protocoles et
services à activer pour la configuration du Pare-feu de connexion Internet.
Note : Si vous utilisez un kit de connexion de votre fournisseur d'accès à
Internet (comme celui de Wanadoo) et que l'onglet Paramètres Avancés n'est
pas disponible, veuillez suivre la procédure de Wanadoo pour activer votre
pare-feu disponible sur le lien suivant : http://www.wanadoo.fr/bin/frame2.cgi?u=http% 3A//assistance.wanadoo.fr/reponse649.asp
4. Utiliser le gestionnaire de tâche pour terminer les processus suivants
(Pour lancer le gestionnaire de tâches, cliquez sur Démarrer, Exécuter puis
tapes taskmgr.exe puis validez. La liste des processus se trouve dans l'
5. Lancer l'éditeur de base de registre (Regedit.exe) depuis le menu
Exécuter, puis suivre l'arborescence HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersi onRun pour
ensuite supprimer les entrées suivantes: .. "windows"="hkey.exe" .. "Microsoft Update"="msiwin84.exe" .. "System Updater Service"="wmiprvsw.exe" .. "avserve.exe"="C:WINDOWSavserve.exe" .. "avserve2.exe = %WINDIR%avserve2.exe"
6. Rechercher et supprimer les fichiers suivants du disque dur en incluant
les fichiers cachés et système: Pour afficher les fichiers cachés : .. lancer la fenêtre Rechercher .. aller dans le menu Outils -> Options des dossiers -> onglet Affichage
puis, .. cliquer sur Afficher les fichiers et dossiers cachés du répertoire
Fichiers et dossiers
Pour lancer la recherche : Sous Windows XP .. Cliquer sur Démarrer et puis Rechercher. .. Sélectionner l'option "Tous les Fichiers et tous les dossiers" et ensuite
cliquer sur "Options Avancées" .. Cocher les 3 cases si elles ne sont pas cochées : o "Rechercher dans les dossiers systèmes" o "Rechercher dans les fichiers et les dossiers cachés" o "Rechercher dans les sous-dossiers" .. Taper le nom du fichier à rechercher. .. Appuyer sur le bouton Rechercher
Sous Windows 2000 .. Cliquer sur Démarrer et puis Rechercher. .. Sélectionner l'option "Des fichiers ou des dossiers" .. Taper le nom du fichier à rechercher .. Appuyer sur le bouton Rechercher
La liste des fichiers à supprimer est la suivante: .. *_up.exe .. avserve*.exe .. hkey.exe .. msiwin84.exe .. wmiprvsw.exe
7. Si l'ordinateur a été démarré en mode sans échec, le redémarrer en mode
standard
8. Se Connecter à Internet
9. Appliquer le correctif de sécurité MS04-011 en utilisant Windows Update,
la mise à jour de sécurité est aussi disponible à l'adresse (en version
française) :
.. Pour Windows XP (toutes versions) http://www.microsoft.com/downloads/details.aspx? FamilyId549EA9E-DA3F-43B9-A4F1-
AF243B6168F3&displaylang=fr
.. Pour Windows 2000 (Service Pack 2, Service Pack 3 et Service Pack 4)
2. Mettre à jour votre antivirus avec la dernière signature et scanner votre
poste
3. Afin de mieux protéger son ordinateur, il est fortement conseillé de
suivre les recommandations décrites sur le site http://www.microsoft.com/france/securite/protection/defaul t.asp dont en
particulier l'activation des Mises à jour automatiques afin de maintenir le
niveau de sécurité de votre machine en appliquant automatiquement les
dernières mises à jour visant à vous protéger contre l'exploitation
malveillante de vulnérabilités.
-- Eric AMOUSSOU, Sitel pour l'assistance utilisateur Microsoft
Support en Ligne : http://support.microsoft.com Bulletins de sécurité : http://www.microsoft.com/france/securite/
.
Eric A.
Bonjour Monsieur Michelz
Pour résoudre ce problème, définissez le type de démarrage des services cryptographiques sur Automatique. Si cela ne permet pas de résoudre le problème, arrêtez les services cryptographiques, puis renommez le dossier %Systemroot%System32Catroot2. Pour cela, procédez comme suit : 1.. Démarrez l'utilitaire Outils d'administration dans le Panneau de configuration. 2.. Double-cliquez sur Services. 3.. Cliquez avec le bouton droit sur Services de cryptographie, puis cliquez sur Propriétés. 4.. Pour le paramètre Type de démarrage, cliquez sur Automatique, puis sur Démarrer. 5.. Installez de nouveau la KB835732 de Windows XP. Si le problème persiste, passez à l'étape 6. 6.. Cliquez sur Démarrer, puis sur Exécuter. 7.. Dans la zone Ouvrir, tapez cmd, puis cliquez sur OK. 8.. À l'invite de commande, tapez les commandes suivantes, puis appuyez sur ENTRÉE à la fin de chaque ligne : a.. net stop cryptsvc
b.. ren %systemroot%system32catroot2 oldcatroot2
9.. Tapez exit pour fermer l'invite de commande, puis installez de nouveau la KB835732.
-- Eric AMOUSSOU, Sitel pour l'assistance utilisateur Microsoft Support en Ligne : http://support.microsoft.com Bulletins de sécurité : http://www.microsoft.com/france/securite/
"michelz" a écrit dans le message de news:
bonjour, j'ai un petit soucis avec w xp et sasser : j'ai chargé MS04 -11 et l'anti virus de sasser , mais lorsque j'exécute MS04 , mon pc m'envoie l'info
ERREUR du programme d'installation du KB835732; n'a pas pu vérifier l'intégralité du fichier update.inf. Assurer vous que le service cryptographie est en cours d'éxécution sur cet ordinateur.
Les spécialistes de club internet n'ont pu m'aider .
Que dois je faire ? c'est quoi la cryptographie au niveau PC ? Comment résoudre ce pb pour éxécuter les programmes d'éradication contre ce p.. de
ver ?
merci BEAUCOUP POUR VOTRE AIDE , je ne sais vers qui aller .
AMITIES
MICHEL
Bonjour Monsieur Michelz
Pour résoudre ce problème, définissez le type de démarrage des services
cryptographiques sur Automatique. Si cela ne permet pas de résoudre le
problème, arrêtez les services cryptographiques, puis renommez le dossier
%Systemroot%System32Catroot2. Pour cela, procédez comme suit :
1.. Démarrez l'utilitaire Outils d'administration dans le Panneau de
configuration.
2.. Double-cliquez sur Services.
3.. Cliquez avec le bouton droit sur Services de cryptographie, puis
cliquez sur Propriétés.
4.. Pour le paramètre Type de démarrage, cliquez sur Automatique, puis sur
Démarrer.
5.. Installez de nouveau la KB835732 de Windows XP. Si le problème
persiste, passez à l'étape 6.
6.. Cliquez sur Démarrer, puis sur Exécuter.
7.. Dans la zone Ouvrir, tapez cmd, puis cliquez sur OK.
8.. À l'invite de commande, tapez les commandes suivantes, puis appuyez
sur ENTRÉE à la fin de chaque ligne :
a.. net stop cryptsvc
b.. ren %systemroot%system32catroot2 oldcatroot2
9.. Tapez exit pour fermer l'invite de commande, puis installez de nouveau
la KB835732.
--
Eric AMOUSSOU, Sitel pour l'assistance utilisateur Microsoft
Support en Ligne : http://support.microsoft.com
Bulletins de sécurité : http://www.microsoft.com/france/securite/
"michelz" <anonymous@discussions.microsoft.com> a écrit dans le message de
news: 7141D051-D7BF-4E9B-9120-7664496BB188@microsoft.com...
bonjour,
j'ai un petit soucis avec w xp et sasser : j'ai chargé MS04 -11 et l'anti
virus de sasser , mais lorsque j'exécute MS04 , mon pc m'envoie l'info
ERREUR du programme d'installation du KB835732; n'a pas pu vérifier
l'intégralité du fichier update.inf. Assurer vous que le service
cryptographie est en cours d'éxécution sur cet ordinateur.
Les spécialistes de club internet n'ont pu m'aider .
Que dois je faire ? c'est quoi la cryptographie au niveau PC ? Comment
résoudre ce pb pour éxécuter les programmes d'éradication contre ce p.. de
ver ?
merci BEAUCOUP POUR VOTRE AIDE , je ne sais vers qui aller .
Pour résoudre ce problème, définissez le type de démarrage des services cryptographiques sur Automatique. Si cela ne permet pas de résoudre le problème, arrêtez les services cryptographiques, puis renommez le dossier %Systemroot%System32Catroot2. Pour cela, procédez comme suit : 1.. Démarrez l'utilitaire Outils d'administration dans le Panneau de configuration. 2.. Double-cliquez sur Services. 3.. Cliquez avec le bouton droit sur Services de cryptographie, puis cliquez sur Propriétés. 4.. Pour le paramètre Type de démarrage, cliquez sur Automatique, puis sur Démarrer. 5.. Installez de nouveau la KB835732 de Windows XP. Si le problème persiste, passez à l'étape 6. 6.. Cliquez sur Démarrer, puis sur Exécuter. 7.. Dans la zone Ouvrir, tapez cmd, puis cliquez sur OK. 8.. À l'invite de commande, tapez les commandes suivantes, puis appuyez sur ENTRÉE à la fin de chaque ligne : a.. net stop cryptsvc
b.. ren %systemroot%system32catroot2 oldcatroot2
9.. Tapez exit pour fermer l'invite de commande, puis installez de nouveau la KB835732.
-- Eric AMOUSSOU, Sitel pour l'assistance utilisateur Microsoft Support en Ligne : http://support.microsoft.com Bulletins de sécurité : http://www.microsoft.com/france/securite/
"michelz" a écrit dans le message de news:
bonjour, j'ai un petit soucis avec w xp et sasser : j'ai chargé MS04 -11 et l'anti virus de sasser , mais lorsque j'exécute MS04 , mon pc m'envoie l'info
ERREUR du programme d'installation du KB835732; n'a pas pu vérifier l'intégralité du fichier update.inf. Assurer vous que le service cryptographie est en cours d'éxécution sur cet ordinateur.
Les spécialistes de club internet n'ont pu m'aider .
Que dois je faire ? c'est quoi la cryptographie au niveau PC ? Comment résoudre ce pb pour éxécuter les programmes d'éradication contre ce p.. de
ver ?
merci BEAUCOUP POUR VOTRE AIDE , je ne sais vers qui aller .
