1. /
  2. Security Response/
  3. W32.Nimda.A@mm Removal Tool
  • Ajouter

W32.Nimda.A@mm Removal Tool

Découvert :
19 Septembre 2001
Mis à jour :
13 Février 2007 11:33:33 AM
Type :
Removal Information

Symantec a créé un outil de réparation permettant de supprimer les infections provoquées par W32.Nimda.A@mm. Pour lire l'article qui décrit cette menace en détail, cliquez ici.


Attention ! A lire avant de commencer :
Plusieurs variantes de W32.Nimda sont en circulation. Les deux plus courantes sont :
  • W32.Nimda.A@mm
  • W32.Nimda.E@mm
Symantec Security Response a créé des outils de suppression distincts pour ces deux menaces. Ces outils ne sont pas interchangeables. Avant d'utiliser un outil de suppression, vous devez connaître la variante qui a infecté votre ordinateur. L'outil téléchargeable à partir de ce document est conçu pour supprimer les infections W32.Nimda.A@mm (notez bien le ".A"). Il ne supprime pas les infections causées par W32.Nimda.E@mm. Pour supprimer W32.Nimda.E@mm, cliquez ici.

Pour obtenir et exécuter l'outil de suppression de W32.Nimda.A@mm :

REMARQUES :
  • Vous devez disposer de droits d'administrateur afin d'exécuter cet outil sous Windows NT, Windows 2000 ou Windows XP.
  • Si vous exécutez l'outil sur un serveur Microsoft Exchange 2000, vous devez arrêter le service Microsoft Exchange pour que l'outil n'essaye pas d'analyser le disque virtuel M.
  • L'outil de réparation ne fonctionne pas sur un serveur Novell. Les fichiers infectés stockés sur un serveur Novell ne sont pas réparables. Le serveur Novell lui-même ne sera pas infecté mais tout fichier de ce serveur peut stocker le code du virus. Sur les volumes Novell, vous devez supprimer tous les fichiers signalés comme étant infectés et les restaurer à partir d'une sauvegarde saine.

IMPORTANT ! Veuillez lire ces remarques :
Si l'une ou l'autre des situations suivantes (ou les deux) survient :
  • Après l'exécution de l'outil, des programmes comme Microsoft Word ne fonctionnent plus.
  • Lorsque vous exécutez l'outil, vous obtenez un message de type "Le fichier "not" est infecté et *$#&#$*#@ réparé".
Cela signifie que le fichier Riched20.dll de Microsoft Windows a été endommagé par le virus. Vous devez remplacer ce fichier et, dans la plupart des cas, vous devrez réinstaller Word ou Office. Reportez-vous à la section Comment extraire le fichier Riched20.dll, à la fin de ce document.

  1. Cliquez ici pour télécharger le fichier Fixnimda.com à l'adresse http://securityresponse.symantec.com/avcenter/Fixnimda.com. Enregistrez le fichier dans un dossier approprié, tel que le dossier de téléchargement ou le bureau Windows.
  2. Afin de vérifier l'authenticité de la signature numérique, reportez-vous à la section Signature numérique.
  3. Fermez tous les programmes en cours d'exécution avant d'exécuter l'outil.
  4. Si vous utilisez Windows Me ou XP, désactivez la fonction Restauration du système. Pour plus d'informations, reportez-vous à la section Option Restauration du système de Windows Me/XP.

    REMARQUE : Si vous utilisez Windows Me/XP, il est vivement recommandé d'appliquer ces consignes.
  5. Cliquez deux fois sur le fichier Fixnimda.com pour lancer l'outil de suppression.

    ATTENTION : Si vous travaillez en réseau, vous devez appliquer l'outil de suppression à tous les ordinateurs, y compris les serveurs.
  6. Cliquez sur Démarrer pour lancer la procédure, puis laissez l'outil travailler.
  7. Symantec recommande d'exécuter plusieurs fois l'outil, jusqu'à ce que le système soit totalement nettoyé.
  8. Si nécessaire, téléchargez les correctifs Microsoft appropriés pour corriger les systèmes vulnérables. Ces correctifs sont disponibles aux adresses suivantes :
  9. Si vous travaillez en réseau ou si vous possédez une connexion Internet permanente, déconnectez l'ordinateur du réseau et d'Internet. Désactivez (ou protégez par un mot de passe) le partage de fichiers, avant de reconnecter les ordinateurs au réseau ou à Internet. Comme ce ver se répand en utilisant les dossiers partagés des ordinateurs réseau, vous devez vous assurer que le ver ne réinfecte pas l'ordinateur après sa suppression. C'est pourquoi Symantec vous suggère de partager les dossiers en lecture seule ou en les protégeant par un mot de passe. Pour savoir comment procéder, reportez-vous à la documentation Windows ou au document Comment configurer les dossiers Windows partagés pour un réseau parfaitement sécurisé.
  10. Redémarrez l'ordinateur.
  11. Exécutez de nouveau l'outil de réparation pour vous assurer que le système est sain.
  12. Installez les correctifs Microsoft nécessaires pour corriger les vulnérabilités connues.
  13. Reconnectez le système nettoyé au réseau ou réactivez votre connexion Internet permanente.
  14. Si vous utilisez Windows Me ou XP, réactivez Restauration du système.
  15. Exécutez LiveUpdate pour vous assurer que vous possédez les toutes dernières définitions de virus.
      REMARQUE : La procédure de suppression peut échouer sous Windows Me/XP si la fonction Restauration du système n'a pas été désactivée, car Windows empêche la modification de Restauration du système par un programme tiers. Par conséquent, l'outil de suppression risque d'échouer.

    Lorsque l'outil a terminé, un message indiquant si l'ordinateur était infecté par W32.Nimda.A@mm apparaît. Si le ver a été supprimé, le programme affiche les résultats suivants :
    • Nombre total de fichiers analysés
    • Nombre de fichiers supprimés
    • Nombre de fichiers réparés
    • Nombre de processus viraux arrêtés


    Signature numérique
    1. Fixnimda.com porte une signature numérique. Symantec vous recommande de n'utiliser que les copies de Fixnimda.com téléchargées directement depuis le site de téléchargement du SARC. Pour vérifier l'authenticité de la signature numérique, suivez ces étapes :
      1. Accédez au site http://www.wmsoftware.com/free.htm.
      2. Téléchargez le fichier Chktrust.exe et enregistrez-le dans le dossier où vous avez enregistré Fixnimda.com (par exemple, C:\Downloads).
      3. Cliquez sur Démarrer, pointez sur Programmes, puis cliquez sur Commandes MS-DOS.
      4. Accédez au dossier contenant Fixnimda.com et Chktrust.exe, puis saisissez :

        chktrust -i Fixnimda.com

        Par exemple, si vous avez enregistré le fichier dans C:\Downloads :

        cd\
        cd downloads
        chktrust -i Fixnimda.com


        Appuyez sur Entrée après avoir saisi chaque commande.
      5. Si la signature numérique est valide, le message suivant apparaît :

        Souhaitez-vous installer et exécuter "Nimda Fix Tool" signé le 09/10/2001 11:56 AM et distribué par Symantec Corporation ?

        REMARQUES :
        • La date et l'heure affichées dans cette boîte de dialogue sont ajustées en fonction de votre fuseau horaire si votre ordinateur n'utilise pas le fuseau Pacifique.
        • Si vous utilisez l'option Ajuster l'horloge pour l'observation automatique de l'heure d'été, le système indique qu'il est exactement une heure plus tôt.
        • Si cette boîte de dialogue n'apparaît pas, il peut y avoir deux explications :
          • L'outil ne provient pas de Symantec. A moins d'être certain de la légitimité de l'outil et de l'avoir téléchargé à partir du site officiel de Symantec, ne l'exécutez pas.
          • L'outil provient de Symantec et est légitime. Toutefois, votre système d'exploitation avait pour instruction de toujours accepter le contenu provenant de Symantec. Pour plus d'informations sur ce point et sur la manière d'afficher de nouveau la boîte de dialogue de confirmation, reportez-vous au document How to restore the Publisher Authenticity confirmation dialog box.
      6. Cliquez sur Oui pour fermer la boîte de dialogue.
      7. Entrez exit, puis appuyez sur Entrée. Cela ferme la session MS-DOS.


    Fonctions de l'outil
    L'outil de réparation W32.Nimda.A@mm effectue les opérations suivantes :
    1. Il termine tous les processus associés au virus.
    2. Il termine le processus Explorer.exe et le relance. Le virus s'injecte dans Explorer.exe, ce qui rend cette opération indispensable. Cela peut entraîner le clignotement de votre bureau (ce comportement est normal).
    3. Il détecte tous les types d'infection causés par W32.Nimda.A@mm. Il répare les fichiers réparables. Il supprime les fichiers .eml, .nws, .doc et .txt détectés comme étant infectés.

      REMARQUE : L'outil ne supprime pas les fichiers .eml lorsque l'extension n'est pas l'une de celles mentionnées ci-dessus. Par exemple, un fichier portant la double extension .eml.bad ne sera pas supprimé. Vous devez supprimer ces fichiers manuellement.
    4. Il répare le fichier System.ini en supprimant les modifications apportées à la ligne shell=.
    5. Il supprime le compte invité du groupe Administrateur et désactive ce compte dans le groupe Invités.
    6. Il répare les multiples infections des fichiers HTML.
    7. Il restaure les paramètres de sécurité par défaut des lecteurs et dossiers partagés.

      REMARQUES IMPORTANTES :
      • Windows NT/2000/XP. Cet outil restaure les paramètres de sécurité initiaux des partages Windows NT/2000/XP à condition que l'ordinateur n'ait pas été redémarré depuis le lancement du virus. La seule exception concerne les partages pour lesquels les seuls droits définis sont [Contrôle total], attribués à Tout le monde. Ils ne peuvent pas être différenciés des partages modifiés par le virus et sont paramétrés sur Administrateurs [Contrôle total].
      • Windows 95/98/Me. Sur les ordinateurs Windows 95/98/Me, si l'ordinateur n'a pas été redémarré, l'outil restaure les paramètres de sécurité des partages tels qu'ils étaient avant l'infection. Si l'ordinateur a été redémarré, l'outil applique les paramètres suivants :
        • Le "mot de passe d'accès en lecture/écriture du partage Win9x" sera appliqué aux partages dont le type d'accès est Complet.
        • Le "mot de passe d'accès en lecture seule du partage Win9x" sera appliqué aux partages dont le type d'accès est Lecture seule.
        • Les deux mots de passe seront appliqués aux partages dont le type d'accès est Accès selon mot de passe.
    8. Il supprime les valeurs de registre qui avaient été modifiées pour empêcher l'Explorateur Windows d'afficher les fichiers cachés ou les extensions de fichier connues. La suppression de ces valeurs entraîne la restauration des paramètres par défaut. Vous devez reconfigurer ces options selon vos besoins. Pour cela, cliquez sur le menu Affichage (Windows 95/98/NT) ou le menu Outils (Windows Me/2000) dans l'Explorateur Windows, puis choisissez Options ou Options des dossiers. Modifiez les paramètres selon vos besoins.


    Options de ligne de commande disponibles avec cet outil :
    /NOFIXSHARE - Désactive la réparation du partage (l'utilisation de cette option est déconseillée).
    /NOFIXREG - Désactive la réparation du registre (l'utilisation de cette option est déconseillée).
    /SILENT, /S - Active le mode silencieux.
    /LOG=<chemin> - Crée un fichier journal. <chemin> représente l'emplacement où le résultat de l'outil doit être stocké.
    /RWPWD=mot_passe - Applique ce mot de passe aux partages Win9x en lecture/écriture.
    /ROPWD=mot_passe - Applique ce mot de passe aux partages Win9x en lecture seule.
        ATTENTION : Si un ordinateur a été attaqué par W32.Nimda.A@mm, il est possible qu'un utilisateur non autorisé ait accédé à votre système à distance. Il est donc impossible de garantir l'intégrité d'un système ayant subi une infection de ce type. L'utilisateur distant peut avoir modifié votre système, notamment sur les points suivants :
        • Vol ou modification des mots de passe ou des fichiers de mots de passe
        • Installation de logiciels hôtes de prise de contrôle à distance, également appelés « backdoor »
        • Installation d'un logiciel d'enregistrement des frappes effectuées au clavier
        • Configuration de règles de firewall
        • Vol de numéros de carte de crédit, d'informations bancaires, de données personnelles, etc.
        • Suppression ou modification de fichiers
        • Envoi de données inappropriées (voire compromettantes) à partir du compte de messagerie d'un client
        • Modification des droits d'accès aux comptes utilisateur ou aux fichiers
        • Suppression d'informations dans des fichiers journaux pour masquer ces activités

        Pour être certain que votre entreprise est sécurisée, vous devez réinstaller le système d'exploitation et restaurer les fichiers à partir d'une sauvegarde effectuée avant l'infection, puis modifier tous les mots de passe ayant pu se trouver sur les ordinateurs infectés ou qui étaient accessibles depuis ces ordinateurs. C'est le seul moyen de vous assurer que vos systèmes sont à l'abri du danger. Pour en savoir plus sur la sécurité au sein de votre entreprise, contactez l'administrateur système.

    Option Restauration du système de Windows Me/XP
    Les utilisateurs de Windows Me et de Windows XP doivent temporairement désactiver l'option Restauration du système. Cette fonction, activée par défaut, sert à Windows Me/XP à restaurer des fichiers sur l'ordinateur s'ils sont endommagés. Lorsqu'un ordinateur est infecté par un virus, un ver ou un cheval de Troie, les éléments infectieux peuvent être sauvegardés par Restauration du système. Par défaut, Windows empêche tout programme externe de modifier la fonction Restauration du système. Par conséquent, vous risquez de restaurer accidentellement un fichier infecté ou les analyseurs Norton AntiVirus en ligne risquent de détecter le virus à cet emplacement. Pour obtenir des instructions sur la désactivation de Restauration du système, reportez-vous à la documentation Windows ou à l'un des articles suivants :
    Pour en savoir plus sur cette procédure et savoir comment procéder sans désactiver Restauration du système sous Windows Me, reportez-vous à l'article suivant dans la Base de connaissances Microsoft : Anti-Virus Tools Cannot Clean Infected Files in the _Restore Folder, ID d'article : Q263455.

    Comment extraire le fichier Riched20.dll
    Si vous observez des erreurs au démarrage de programmes tels que Microsoft Word ou si le programme ne démarre pas, vous devez extraire le fichier Riched20.dll. (Une autre solution consiste à réinstaller le système d'exploitation, ainsi que les programmes concernés.)

    Suivez les instructions relatives à votre système d'exploitation.

    REMARQUE : Ces instructions sont fournies uniquement pour vous faciliter la tâche et fonctionnent sur la plupart des ordinateurs. Pour en savoir plus sur l'extraction de fichiers, y compris d'autres fichiers Windows ayant pu être endommagés, consultez l'un des articles suivants : Windows 95/98
    Vous devez utiliser la commande Extract sur une ligne de commande DOS. Appliquez les étapes suivantes, en fonction de votre système d'exploitation.

        REMARQUES :
        • Vous avez besoin d'une disquette de démarrage Windows 98/Me. (Sous Windows 95, vous aurez besoin d'une disquette créée sur un système Windows 98/Me.) Pour savoir comment créer une telle disquette, reportez-vous au document Comment créer une disquette de démarrage Windows.
        • Ayez le CD d'installation de Windows à portée de main.
        • En saisissant la commande, remplacez la lettre x par celle identifiant votre lecteur de CD-ROM. Par exemple, sous Windows 98, si le lecteur de CD-ROM est le lecteur D, saisissez :
          extract /a d:\win98\win98_28.cab riched20.dll /L c:\windows\system
        • Si Windows est installé dans un dossier autre que C:\Windows, remplacez la dernière partie de la commande (dossier \Windows) par le chemin d'accès ou le nom de dossier correct.
        • Pour obtenir des instructions détaillées d'utilisation de la commande Extract, reportez-vous au document Microsoft How to Extract Original Compressed Windows Files, ID d'article : Q129605.
        • Sous Windows 98, au lieu de suivre la procédure ci-après, il est parfois plus simple d'utiliser la fonction Vérificateur des fichiers système afin de restaurer le fichier. Pour savoir comment procéder, consultez votre documentation Windows.
      1. Arrêtez l'ordinateur et mettez-le hors tension. Une fois l'ordinateur éteint, insérez la disquette de démarrage Windows 98/Me dans le lecteur et rallumez l'ordinateur. Quand le menu apparaît, choisissez de démarrer avec prise en charge du CD-ROM.
      2. Entrez les commandes correspondant à votre système d'exploitation :
        • Sous Windows 98, saisissez la commande suivante et appuyez sur Entrée :
          extract /a d:\win98\win98_28.cab riched20.dll /L c:\windows\system

        • Sous Windows 95, saisissez la commande suivante et appuyez sur Entrée :
          extract /a win95_10.cab riched20.dll /L c:\windows\system
        REMARQUE : Si un message d'erreur, quel qu'il soit, apparaît, répétez l'étape 2, en vérifiant que vous avez bien entré, à l'identique, la commande adaptée à votre système d'exploitation. Sinon, tapez exit et appuyez sur Entrée.



    Windows NT 4.0
    1. Assurez-vous que Windows est configuré de façon à afficher tous les fichiers.
    2. Recherchez et supprimez tous les fichiers Riched20.dll.
    3. Appliquez de nouveau le Service Pack le plus récent. Le Service Pack remplace le fichier par une nouvelle copie.
    4. Si, après le remplacement du fichier Riched20.dll, des programmes comme Microsoft Word ou Office ne fonctionnent plus, ou si des messages d'erreur apparaissent au démarrage, vous devrez sans doute réinstaller Microsoft Office.


    Windows 2000
    Sous Windows 2000, un programme intégré peut trouver et remplacer les fichiers système manquants ou endommagés. Pour remplacer le fichier Riched20.dll endommagé, procédez comme suit :
    1. Assurez-vous que la fonction Vérificateur des fichiers système est activée.
      1. Cliquez sur Démarrer, puis sur Exécuter.
      2. Tapez cmd et cliquez sur OK.
      3. ntrez ce qui suit, puis appuyez sur Entrée :

        sfc /enable
      4. Tapez exit, puis appuyez sur Entrée.
    2. Assurez-vous que Windows est configuré de façon à afficher tous les fichiers.
      1. Lancez l'Explorateur Windows.
      2. Cliquez sur le menu Outils, puis sur Options des dossiers.
      3. Cliquez sur l'onglet Affichage.
      4. Désélectionnez l'option Cacher les extensions des fichiers dont le type est connu.
      5. Désélectionnez l'option Masquer les fichiers protégés du système d'exploitation, puis, sous le dossier Fichiers et dossiers cachés, cliquez sur Afficher les fichiers et dossiers cachés.
      6. Cliquez sur Appliquer, puis sur OK.
    3. Recherchez Riched20.dll :
      1. Cliquez sur Démarrer, pointez sur Rechercher, puis sur Fichiers ou dossiers.
      2. Assurez-vous que Rechercher dans pointe sur le lecteur C et que l'option Inclure les sous-dossiers est sélectionnée.
      3. Dans le champ Nommé ou Rechercher, entrez (ou copiez-collez) le nom de fichier suivant :

        riched20.dll
      4. Cliquez sur Rechercher maintenant.
      5. Supprimez les fichiers affichés.
    4. Redémarrez l'ordinateur.
    5. La fonction Vérificateur des fichiers système remplace tous les fichiers Riched20.dll manquants. Si, après le remplacement du fichier Riched20.dll, des programmes comme Microsoft Word ou Office ne fonctionnent plus, ou si des messages d'erreur apparaissent au démarrage, vous devrez sans doute réinstaller Microsoft Office.



    Résumé