Procédure détaillée d ’ éradication du ver Sasser

Symptôme... Redémarrage intempestif de la machine. Une boîte de dialogue informe qu ’ une erreur de LSASS s ’ est produite et que le systeme va redémarrer.

 

 

 

 

 

Ou plus aléatoirement :

 

 

 

 

 

 

 

Systèmes concernés

Windows 2000
Windows XP

Nettoyage
Deux procédures sont possibles :
L’une automatisée via un accès à Internet
L’autre manuelle

1 : Procédure automatisée de vérification et d’éradication
Étape A : Activer un pare-feu
Avant toute autre action, vérifiez qu’un pare-feu est opérationnel sur votre ordinateur pour le protéger d'une infection. Si votre ordinateur est déjà infecté, l'activation d'un pare-feu limitera les effets du ver sur votre ordinateur.
Activer le pare-feu de Windows XP ou tout autre pare-feu installé.
Pour configurer le Pare-feu de Windows XP manuellement :
Dans le Panneau de configuration, double-cliquer sur Connexions réseau et Internet, puis cliquer sur Connexions réseau.
Cliquer avec le bouton droit sur la connexion sur laquelle vous voulez activer le Pare-feu de connexion Internet, puis cliquer sur Propriétés.
Sous l'onglet Paramètres Avancés, cocher la case pour sélectionner l'option Protéger mon ordinateur ou mon réseau.
Si vous voulez activer l'utilisation de certaines applications et de certains services via le Pare-feu, vous devez les activer en cliquant sur le bouton Paramètres, puis en sélectionnant les programmes, protocoles et services à activer pour la configuration du Pare-feu de connexion Internet.
Note : Si vous utilisez un kit de connexion de votre fournisseur d’accès à Internet (comme celui de Wanadoo) et que l'onglet Paramètres Avancés n'est pas disponible, veuillez suivre la procédure de Wanadoo pour activer votre pare-feu disponible.
Sinon activer un pare-feu du marché.
Étape B : Eradication automatisée
Cliquez-ici pour suivre les étapes suivantes de la procédure d’éradication automatisée.
ATTENTION : il est important d’avoir d’abord activé le pare-feu avant de vous connecter sur Internet.
Remarque : la procédure automatisée utilise un composant ActiveX pour détecter le ver et l’éliminer. Si la configuration de sécurité de votre navigateur ne permet pas l’exécution de ce composant, vous pouvez soit suivre la procédure manuelle ci-dessous, soit modifier votre configuration de sécurité.

2 : Procédure manuelle d’éradiction
Étape 1 : isoler l’ordinateur d’Internet
Pour ce faire, vous pouvez par exemple débrancher le modem ou le câble réseau afin de déconnecter l'ordinateur d'Internet

Étape 2 : arrêter les processus utilisés par le ver

Cliquez sur Démarrer, Exécuter
Tapez taskmgr.exe, puis validez
Sélectionnez l’onglet Processus

Terminez les processus suivants :

*_up.exe
avserv*.exe
hkey.exe
msiwin84.exe
wmiprvsw.exe

Note : Si l'ordinateur n'arrive pas à démarrer correctement, démarrer en mode sans échec. Pour cela il faut :
Redémarrez votre ordinateur et commencez à appuyer sur la touche F8 de votre clavier. Sur un ordinateur configuré pour démarrer sous plusieurs systèmes d'exploitation, vous pouvez appuyer sur la touche F8 lorsque le menu de démarrage s'affiche.
Lorsque le menu Options avancées de Windows s'affiche, sélectionnez une option, puis appuyez sur ENTRÉE.
Lorsque le menu de démarrage s'affiche à nouveau, avec les mots " Mode sans échec " inscrits en bleu en bas de l'écran, sélectionnez l'installation que vous souhaitez démarrer, puis appuyez sur ENTRÉE.
Pour plus d'informations sur le démarrage en mode sans échec, vous pouvez vous référer aux fiches techniques suivantes:
Description du mode de démarrage sans échec sous Windows 2000
Description des options du mode de démarrage sans échec dans Windows XP
Étape 3 : Éliminer le démarrage automatique des processus du ver
Cliquez sur Démarrer, Exécuter
Tapez regedit.exe
Positionnez vous sur la clé HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
AVERTISSEMENT : une utilisation incorrecte de l'éditeur du Registre peut générer des problèmes graves, pouvant vous obliger à réinstaller votre système d'exploitation. Microsoft ne peut garantir que les problèmes résultant d'une utilisation incorrecte de l'éditeur du Registre puissent être résolus. Vous assumez l'ensemble des risques liés à l'utilisation de cet outil. Pour plus d'informations sur la procédure de modification du Registre, consultez la rubrique d'aide "Modifier les clés et les valeurs" dans l'éditeur du Registre (Regedit.exe) ou les rubriques d'aide "Ajouter et supprimer des informations dans le Registre" et "Modifier les données du Registre" dans Regedit.exe. Pensez à sauvegarder le Registre avant de le modifier. Si vous travaillez sous Windows NT, Windows 2000, Windows XP et Windows Server 2003, nous vous conseillons de mettre à jour votre disquette de réparation d'urgence.
Supprimez les entrées suivantes:
"windows"="hkey.exe"
"Microsoft Update"="msiwin84.exe"
"System Updater Service"="wmiprvsw.exe"
"avserve.exe"="C:\WINDOWS\avserve.exe"
"avserve2.exe = %WINDIR%\avserve2.exe"
Étape 4 : Supprimer les fichiers du ver
Rechercher et supprimer les fichiers suivants du disque dur en incluant les fichiers cachés et système.
Pour afficher les fichiers cachés :
lancer la fenêtre Rechercher
aller dans le menu Outils -> Options des dossiers -> onglet Affichage puis,
cliquer sur Afficher les fichiers et dossiers cachés du répertoire Fichiers et dossiers
Pour lancer la recherche :
Sous Windows XP :
Cliquer sur Démarrer et puis Rechercher
Sélectionner l’option " Tous les Fichiers et tous les dossiers " et ensuite cliquer sur " Options Avancées "
Cocher les 3 cases si elles ne sont pas cochées : " Rechercher dans les dossiers systèmes "
"Rechercher dans les fichiers et les dossiers cachés"
"Rechercher dans les sous-dossiers"
Taper le nom du fichier à rechercher.
Appuyer sur le bouton Rechercher
Sous Windows 2000
Cliquer sur Démarrer et puis Rechercher
Sélectionner l’option " Des fichiers ou des dossiers "
Taper le nom du fichier à rechercher
Appuyer sur le bouton Rechercher
La liste des fichiers à supprimer est la suivante:

*_up.exebr />
hkey.exe

msiwin84.exe
wmiprvsw.exe
Étape 5 : Activer un pare-feu sur votre machine
Activer le pare-feu de Windows XP ou tout autre pare-feu installé.
Pour configurer le Pare-feu de connexion Internet manuellement pour une connexion:
Dans le Panneau de configuration, double-cliquer sur Connexions réseau et Internet, puis cliquer sur Connexions réseau.
Cliquer avec le bouton droit sur la connexion sur laquelle vous voulez activer le Pare-feu de connexion Internet, puis cliquer sur Propriétés.
Sous l'onglet Paramètres Avancés, cocher la case pour sélectionner l'option Protéger mon ordinateur ou mon réseau.
Si vous voulez activer l'utilisation de certaines applications et de certains services via le Pare-feu, vous devez les activer en cliquant sur le bouton Paramètres, puis en sélectionnant les programmes, protocoles et services à activer pour la configuration du Pare-feu de connexion Internet.
Note : Si vous utilisez un kit de connexion de votre fournisseur d’accès à Internet (comme celui de Wanadoo) et que l'onglet Paramètres Avancés n'est pas disponible, veuillez suivre la procédure de Wanadoo pour activer votre pare-feu disponible.
Étape 6 : Installer la mise à jour éliminant la vulnérabilité exploitée par le ver
Appliquer le correctif de sécurité MS04-011 en utilisant Windows Update, la mise à jour de sécurité est aussi disponible (en version française) :
Pour Windows XP (toutes versions)
Pour Windows 2000 (Service Pack 2, Service Pack 3 et Service Pack 4)
Étape 7 : Mettre à jour votre antivirus avec la dernière signature et scanner la machine
Compléments suite à procédure manuelle :
Attention le pare-feu doit être activé.
Afin de savoir si l'ordinateur est toujours contaminé ou non par le ver Sasser, il est possible d’effectuer une vérification.
Afin de mieux protéger son ordinateur, il est fortement conseillé de suivre les recommandations décrites sur l'espace protéger votre PC de l'espace sécurité de Microsoft France, dont en particulier l’activation des Mises à jour automatiques afin de maintenir le niveau de sécurité de votre machine en appliquant automatiquement les dernières mises à jour visant à vous protéger contre l’exploitation malveillante de vulnérabilités.