1. /
  2. Security Response/
  3. W32.Opaserv.Worm Removal Tool
  4. W32.Opaserv.Worm Removal Tool
  • Ajouter

W32.Opaserv.Worm Removal Tool

Découvert :
30 Septembre 2002
Mis à jour :
13 Février 2007 11:34:05 AM
Type :
Removal Information

IMPORTANT - A LIRE AVANT DE COMMENCER :
  • Ce ver utilise une faille de sécurité de Microsoft Windows 95/98/Me. Il envoie aux partages réseau des mots de passe contenant un seul caractère pour accéder aux partages de fichiers Windows 95/98/Me sans connaître la totalité du mot de passe qui leur est affecté. Les systèmes affectés sont les suivants : Windows 95, 98 et Me.

    Un correctif pour les ordinateurs exécutant ces systèmes d'exploitation est disponible à l'adresse suivante : http://www.microsoft.com/technet/security/bulletin/MS00-072.asp. Si ce n'est déjà fait, vous devez vous procurer ce correctif et l'installer afin d'éviter de futures infections.
  • Si vous travaillez en réseau ou disposez d'une connexion permanente à Internet (ADSL ou Câble modem), déconnectez l'ordinateur du réseau et d'Internet. Désactivez (ou protégez par un mot de passe) le partage des fichiers, avant de reconnecter les ordinateurs au réseau ou à Internet. Comme ce ver se répand en utilisant les dossiers partagés des ordinateurs réseau, vous devez vous assurer que le ver ne réinfecte pas l'ordinateur après sa suppression. Pour cela, désactivez tous les partages, nettoyez tous les ordinateurs du réseau, appliquez le correctif à tous les systèmes et actualisez les définitions sur tous les ordinateurs avant de vous reconnecter au réseau ou de rétablir les partages.

    IMPORTANT : Ne sautez pas cette étape. Déconnectez-vous du réseau avant de tenter d'éliminer ce ver.
  • Pour plus d'informations sur le partage de fichiers, reportez-vous à la documentation Windows ou au document Comment configurer les dossiers Windows partagés pour un réseau parfaitement sécurisé.
  • Lorsque vous avez réalisé la suppression du ver, si vous décidez de rétablir le partage des fichiers, Symantec vous suggère de ne pas partager la racine du lecteur C. Ne partagez que des dossiers spécifiques. Ces dossiers doivent être protégés par mot de passe avec un mot de passe sûr. N'utilisez pas un mot de passe vide.

    De plus, avant de procéder au partage, si vous utilisez Windows 95/98/Me, téléchargez et installez le correctif de Microsoft à l'adresse suivante :http://www.microsoft.com/technet/security/bulletin/MS00-072.asp.


Fonctions de l'outil

L'outil de suppression de W32.Opaserv.Worm effectue les opérations suivantes :
  1. Il arrête tous les processus connus de W32.Opaserv.Worm pour les variantes de W32.Opaserv.Worm jusqu'à W32.Opaserv.K.Worm (inclus).
  2. Il supprime tous les fichiers exécutables de W32.Opaserv.Worm.
  3. Il supprime les entrées de registre infectées.
  4. Il restaure le fichier Win.ini.
  5. Il affiche un message vous invitant à vérifier que le correctif de Microsoft est installé avant de continuer. Ce correctif est téléchargeable à l'adresse :http://www.microsoft.com/technet/security/bulletin/MS00-072.asp.

Options de ligne de commande disponibles avec cet outil


Switch

Description

/HELP, /H, /?

Affiche le message d'aide.

/NOFIXREG

Désactive la réparation du registre (l'utilisation de ce switch n'est pas recommandée).

/SILENT, /S

Active le mode silencieux.

/LOG=<chemin>

Crée un fichier journal. <chemin> représente l'emplacement où le résultat de l'outil doit être stocké. Par défaut, ce switch crée le fichier FixOpsrv.log dans le dossier depuis lequel l'outil de suppression a été exécuté.

/MAPPED

Analyse les lecteurs réseau mappés (l'utilisation de ce switch n'est pas recommandée – reportez-vous à la remarque ci-dessous).

/START

Force le démarrage immédiat de l'analyse.

/EXCLUDE=<chemin>

Exclut de l'analyse le <chemin> spécifié (l'utilisation de ce switch n'est pas recommandée).

REMARQUE : L'utilisation de l'option /MAPPED n'assure pas la suppression totale du virus sur l'ordinateur distant, pour les raisons suivantes :
  • L'analyse de lecteurs mappés n'examine que les dossiers mappés. Cela n'inclut pas nécessairement tous les dossiers de l'ordinateur distant et peut entraîner la non-détection de certains éléments infectés.
  • Si un fichier infecté est détecté sur le lecteur mappé, la suppression échoue si ce fichier est utilisé par un programme de l'ordinateur distant.

Par conséquent, vous devez exécuter l'outil sur chacun des ordinateurs.

Obtention et exécution de l'outil

REMARQUE : Vous devez disposer de droits d'administration pour exécuter cet outil sous Windows NT4/2000/XP.
  1. Téléchargez le fichier FixOpsrv.exe à partir de :
    http://securityresponse.symantec.com/avcenter/FixOpsrv.exe (anglais).
  2. Enregistrez le fichier dans un dossier approprié, tel que le dossier de téléchargement ou le bureau Windows (ou sur un support amovible non infecté, si possible).
  3. Pour vérifier l'authenticité de la signature numérique, reportez-vous à la section Signature numérique.
  4. Fermez tous les programmes avant d'exécuter l'outil.
  5. Si vous travaillez en réseau ou disposez d'une connexion permanente à Internet, déconnectez l'ordinateur du réseau et d'Internet.
  6. Si vous utilisez Windows Me ou XP, désactivez la fonction Restauration du système. Pour plus d'informations, reportez-vous à la section Option Restauration du système de Windows Me/XP.

    REMARQUE : Si vous utilisez Windows Me/XP, il est vivement recommandé d'appliquer ces consignes.
  7. Cliquez deux fois sur le fichier FixOpsrv.exe pour lancer l'outil de suppression.
  8. Cliquez sur Démarrer pour lancer la procédure, puis laissez l'outil travailler.
  9. Redémarrez l'ordinateur.
  10. Exécutez de nouveau l'outil de suppression pour vous assurer que le système est totalement nettoyé.
  11. Si vous utilisez Windows Me ou XP, réactivez la fonction Restauration du système.
  12. Exécutez LiveUpdate pour vous assurer que vous possédez les toutes dernières définitions de virus.
      REMARQUE : La procédure de suppression peut échouer sous Windows Me/XP si la fonction Restauration du système n'a pas été désactivée, car Windows empêche la modification de Restauration du système par un programme tiers. Par conséquent, l'outil de suppression risque d'échouer.

    Lorsque l'outil a terminé, un message indiquant si l'ordinateur était infecté par W32.Opaserv.Worm apparaît. Si le ver a été supprimé, le programme affiche les résultats suivants :
      • Nombre total de fichiers analysés
      • Nombre de fichiers supprimés
      • Nombre de processus viraux arrêtés
      • Nombre d'entrées de registre supprimées

    Signature numérique

    FixOpsrv.exe porte une signature numérique. Symantec vous recommande de n'utiliser que les copies de FixOpsrv.exe téléchargées directement depuis le site de Symantec Security Response. Pour vérifier l'authenticité de la signature numérique, suivez ces étapes :
    1. Accédez au site http://www.wmsoftware.com/free.htm (anglais).
    2. Téléchargez le fichier Chktrust.exe et enregistrez-le dans le dossier où vous avez enregistré FixOpsrv.exe (par exemple, C:\Downloads).
    3. En fonction de votre système d'exploitation, effectuez l'une des opérations suivantes :
      • Cliquez sur Démarrer, pointez sur Programmes, puis cliquez sur Commandes MS-DOS.
      • Cliquez sur Démarrer, pointez sur Programmes, cliquez sur Accessoires, puis sur Invite de commandes.
      • Accédez au dossier contenant FixOpsrv.exe et Chktrust.exe, puis saisissez :

        chktrust -i FixOpsrv.exe

        Par exemple, si vous avez enregistré le fichier dans C:\Downloads, vous devrez saisir les commandes suivantes (appuyez sur Entrée après chaque saisie) :

        cd\
        cd downloads
        chktrust -i FixOpsrv.exe

        Si la signature numérique est valide, le message suivant apparaît :

        Souhaitez-vous installer et exécuter "W32.Opaserv.Worm Removal Tool" signé le 24/10/2002 8:24 PM et distribué par Symantec Corporation.

        REMARQUES :
        • La date et l'heure affichées dans cette boîte de dialogue sont ajustées en fonction de votre fuseau horaire si votre ordinateur n'utilise pas le fuseau Pacifique.
        • Si vous utilisez l'option Ajuster l'horloge pour l'observation automatique de l'heure d'été, le système indique qu'il est exactement une heure plus tôt.
        • Si cette boîte de dialogue n'apparaît pas, il peut y avoir deux explications :
          • L'outil ne provient pas de Symantec. A moins d'être certain de la légitimité de l'outil et de l'avoir téléchargé à partir du site officiel de Symantec, ne l'exécutez pas.
          • L'outil provient de Symantec et est légitime. Toutefois, votre système d'exploitation avait pour instruction de toujours accepter le contenu provenant de Symantec. Pour plus d'informations sur ce point et sur la manière d'afficher de nouveau la boîte de dialogue de confirmation, reportez-vous au document How to restore the Publisher Authenticity confirmation dialog box (anglais).
    4. Cliquez sur Oui pour fermer la boîte de dialogue.
    5. Entrez exit, puis appuyez sur Entrée. Cela ferme la session MS-DOS.

    Option Restauration du système de Windows Me/XP
    Les utilisateurs de Windows Me et de Windows XP doivent temporairement désactiver l'option Restauration du système. Cette fonction, activée par défaut, sert à Windows Me/XP à restaurer des fichiers sur l'ordinateur s'ils sont endommagés. Lorsqu'un ordinateur est infecté par un virus, un ver ou un cheval de Troie, les éléments infectieux peuvent être sauvegardés par Restauration du système. Par défaut, Windows empêche tout programme externe de modifier la fonction Restauration du système. Par conséquent, vous risquez de restaurer accidentellement un fichier infecté ou les analyseurs Norton AntiVirus en ligne risquent de détecter le virus à cet emplacement. Pour obtenir des instructions sur la désactivation de Restauration du système, reportez-vous à la documentation Windows ou à l'un des articles suivants :
    Pour plus d'informations sur cette procédure et savoir comment procéder sans désactiver Restauration du système, reportez-vous au document de la Base de connaissances Microsoft Anti-Virus Tools Cannot Clean Infected Files in the _Restore Folder (anglais), ID d'article : Q263455.

    Exécution de l'outil depuis une disquette
    1. Insérez la disquette contenant le fichier FixOpsrv.exe dans le lecteur.
    2. Cliquez sur Démarrer, puis sur Exécuter.
    3. Entrez ce qui suit, puis cliquez sur OK :

      a:\fixopsrv.exe

      REMARQUES :
      • La commande a:\fixopsrv.exe ne contient pas d'espace.
      • Si vous utilisez Windows Me et que l'option Restauration du système reste activée, un message d'avertissement apparaît. Vous pouvez choisir d'exécuter l'outil de suppression avec l'option Restauration du système activée ou de quitter l'outil de suppression.
    4. Cliquez sur Démarrer pour lancer la procédure, puis laissez l'outil travailler.
    5. Si vous utilisez Windows Me, réactivez la fonction Restauration du système.

    REMARQUE : Plusieurs cas d'infection par ce ver nous ont été signalés, qui précisaient que le ver lui-même était infecté par un virus, lequel s'était également propagé sur l'ordinateur infecté. C'est pourquoi nous vous recommandons, une fois que vous avez éliminé W32.Opaserv.Worm, d'effectuer une analyse complète du système. Si des fichiers sont détectés comme étant infectés par un autre virus, accédez au site http://securityresponse.symantec.com/avcenter/vinfodb.html (anglais), saisissez le nom du virus détecté, puis cliquez sur l'option de recherche. Ouvrez le document correspondant au virus et suivez les instructions de suppression.


    Informations complémentaires
    • Si vous travaillez en réseau ou disposez d'une connexion permanente à Internet (ADSL ou câble), ou si vous laissez souvent une connexion à distance ouverte pendant de longues périodes, nous vous recommandons vivement d'installer un firewall pour une meilleure protection. Pour plus d'informations sur les firewalls Symantec, visitez le site suivant :
    • Si vous utilisez un produit Norton AntiVirus grand public, consultez également le document How to prevent reinfections of W32.Opaserv.Worm(anglais).
    • Si vous avez exécuté l'outil avec succès mais que lorsque vous lancez une analyse complète du système, celui-ci détecte mais ne supprime pas W32.Opaserv.Worm dans le dossier C:Windows\Sysbckup ou la corbeille protégée par Norton, suivez ces instructions :
      • Dossier sysbckup: Si une analyse détecte W32.Opaserv.Worm dans le dossier C:\Windows\Sysbckup\<File name>.cab (dans lequel <File name> est formaté Rb### ou Prb###) :
        1. Lorsque l'analyse détecte le fichier, notez le nom du fichier.
        2. Redémarrez l'ordinateur en Mode sans échec. En utilisant Windows Explorer, localisez le dossier C:\Windows\Sysbckup, sélectionnez le fichier détecté puis supprimez-le.
      • Corbeille protégée par Norton. Videz la corbeille protégée par Norton.
    Résumé