1. /
  2. Security Response/
  3. W32.Blaster.Worm Removal Tool
  4. W32.Blaster.Worm Removal Tool
  • Ajouter

W32.Blaster.Worm Removal Tool

Découvert :
11 Août 2003
Mis à jour :
13 Février 2007 11:35:04 AM
Type :
Removal Information


La version 1.0.6.1 de l'outil de suppression de W32.Blaster.Worm supprimera les menaces suivantes ainsi que leurs effets secondaires :


Remarques importantes :
  • W32.Blaster.Worm exploite la vulnérabilité DCOM RPC. Celle-ci est décrite dans le bulletin de sécurité de Microsoft MS03-026, qui propose également un correctif. Vous devez télécharger et installer ce correctif. Dans la plupart des cas, vous devrez procéder ainsi avant de pouvoir poursuivre les instructions de suppression. Si vous ne pouvez pas supprimer l'infection ou empêcher une nouvelle infection en suivant les instructions suivantes, téléchargez et installez ce correctif en premier lieu.
  • Des informations complémentaires, ainsi que l'adresse d'un site sur lequel vous pouvez télécharger le correctif Microsoft, sont disponibles dans l'article de Microsoft intitulé Ce que vous devez savoir sur le ver Blaster.
  • Le fonctionnement du ver peut rendre difficile la connexion à Internet pour obtenir le correctif, les définitions, ou l'outil de suppression avant que le ver n'arrête l'ordinateur. Il a été signalé que pour les utilisateurs de Windows XP, l'activation du pare-feu de Windows XP peut permettre de télécharger et d'installer le correctif, d'obtenir les définitions de virus, et d'exécuter l'outil de suppression. L'activation d'autres pare-feu pourrait également fonctionner mais ceci n'a pas été confirmé.


Fonctions de l'outil


L'outil de suppression de W32.Blaster.Worm effectue les actions suivantes :
  1. Il termine les processus viraux de W32.Blaster.Worm.
  2. Il supprime les fichiers de W32.Blaster.Worm.
  3. Il supprime les fichiers déposés.
  4. Il supprime les entrées de la base de registre ajoutées par le ver.

Options de ligne de commande disponibles pour cet outil


Option

Description

/HELP, /H, /?

Affiche le message d'aide.

/NOFIXREG

Désactive la réparation du registre. (L'utilisation de cette option n'est pas recommandée.)

/SILENT, /S

Active le mode silencieux.

/LOG=[NOM DU CHEMIN D'ACCÈS]

Crée un fichier journal dans lequel le [NOM DU CHEMIN D'ACCÈS] désigne l'emplacement sous lequel sont conservés les résultats de l'outil. Par défaut, cette option crée le fichier journal FixBlast.log dans le même dossier à partir duquel l'outil de suppression s'est exécuté.

/MAPPED

Analyse les lecteurs réseau mappés. (L'utilisation de cette option n'est pas recommandée. Reportez-vous aux remarques ci-dessous.)

/START

Force le lancement immédiat de l'analyse.

/EXCLUDE=[CHEMIN D'ACCÈS]

Exclut de l'analyse le [CHEMIN D'ACCÈS] spécifié. (L'utilisation de cette option n'est pas recommandée.)


Remarque : L'utilisation de l'option /MAPPED n'assure pas la suppression totale du virus sur l'ordinateur distant, pour les raisons suivantes :
    • L'analyse de lecteurs mappés s'applique aux dossiers mappés uniquement. Ce qui n'inclut pas nécessairement tous les dossiers de l'ordinateur distant et peut entraîner l'oubli de certaines détections.
    • Si un fichier infecté est détecté sur le lecteur mappé, la suppression échoue si ce fichier est utilisé par un programme de l'ordinateur distant.

      Pour ces raisons, vous devez exécuter l'outil sur chacun des ordinateurs.


Pour restaurer la connectivité Internet et empêcher l'arrêt de l'ordinateur
Dans de nombreux cas, sous Windows 2000 et XP, la modification des paramètres du service d'appel de procédure distante (RPC) peut vous permettre de vous connecter à Internet afin d'obtenir les téléchargements et d'éviter l'arrêt de l'ordinateur.
  1. Cliquez sur Démarrer > Exécuter. (La boîte de dialogue Exécuter apparaît.)
  2. Saisissez :

    SERVICES.MSC /S

    dans le champ Ouvrir puis cliquez sur OK. (La fenêtre Services apparaît.)

  3. Dans le volet de droite, localisez le service Appel de procédure distante (RPC).


    ATTENTION : Il existe également un service nommé Localisateur d’appels de procédure distante (RPC). Ne confondez pas ces deux services.

  4. Cliquez avec le bouton droit de la souris sur le service Appel de procédure distante (RPC) puis cliquez sur Propriétés.
  5. Cliquez sur l'onglet Récupération.
  6. Dans les listes déroulantes des champs "Première défaillance", "Deuxième défaillance" et "Défaillances suivantes", sélectionnez "Redémarrer le service".
  7. Cliquez sur Appliquer puis sur OK.


    ATTENTION : Assurez-vous de rétablir les paramètres initiaux une fois que vous avez supprimé le ver.

Pour obtenir l'outil et l'exécuter


Remarque : Vous devez disposer de droits d’administrateur pour exécuter cet outil sous Windows 2000 ou Windows XP.



ATTENTION : Note à l'attention des administrateurs réseau - Si vous exécutez MS Exchange 2000 Server, il est préférable d'exclure le lecteur M de l'analyse en exécutant l'outil à partir d'une ligne de commande avec l'option Exclude. Pour en savoir plus, consultez l'article de la base de connaissances de Microsoft XADM: Do Not Back Up or Scan Exchange 2000 Drive M - Numéro d'article 298924.

  1. Téléchargez le fichier FixBlast.exe à partir de :

    http://securityresponse.symantec.com/avcenter/FixBlast.exe
  2. Enregistrez le fichier dans un emplacement approprié, tel que le dossier de téléchargement ou le bureau de Windows (ou tout support amovible non infecté).
  3. Pour vérifier l'authenticité de la signature numérique, reportez-vous à la section intitulée Signature numérique.
  4. Fermez tous les programmes en cours d’exécution avant d'exécuter l'outil.
  5. Si vous exécutez Windows XP, désactivez l'option Restauration du système. Reportez-vous à la section de cet article intitulée "Option Restauration du système sous Windows Me/XP" pour plus d'informations.


    ATTENTION : Si vous exécutez Windows XP, nous vous conseillons vivement de ne pas sauter cette étape. La procédure de suppression peut échouer si la fonction Restauration du système de Windows XP n'a pas été désactivée car Windows empêche tout programme tiers de modifier la Restauration du système.

  6. Cliquez deux fois sur le fichier FixBlast.exe pour lancer l'outil de suppression.
  7. Cliquez sur Démarrer pour commencer puis laissez l'outil s'exécuter.


    Remarque : Si lorsque vous exécutez l'outil, un message d'erreur vous informe que l'outil n'a pas pu supprimer un ou plusieurs fichiers, vous devez redémarrer l'ordinateur en mode sans échec puis exécuter de nouveau l'outil. Arrêtez l'ordinateur, éteignez-le et patientez 30 secondes. Redémarrez alors l’ordinateur en mode sans échec puis exécutez de nouveau l'outil. Tous les systèmes d'exploitation 32 bits Windows, sauf Windows NT, peuvent être redémarrés en mode sans échec. Pour des instructions détaillées, consultez le document Comment démarrer l'ordinateur en mode sans échec.
  8. Redémarrez l’ordinateur.
  9. Exécutez de nouveau l'outil de suppression pour vous assurer que le système est complètement nettoyé.
  10. Si vous êtes sous Windows XP, réactivez l'option Restauration du système.
  11. Exécutez LiveUpdate pour vous assurer que vous disposez des définitions de virus les plus récentes.

Lorsque l'outil a fini, un message apparaît vous indiquant si l'ordinateur est infecté par W32.Blaster.Worm. S'il s'agit de la suppression d'un ver, le programme affiche les résultats suivants :
  • Nombre total de fichiers analysés
  • Nombre de fichiers supprimés
  • Nombre de processus viraux terminés
  • Nombre d'entrées de la base de registre réparées

Signature numérique
FixBlast.exe porte une signature numérique. Symantec conseille de n'utiliser que des copies de FixBlast.exe téléchargées directement depuis le site Symantec Security Response. Pour vérifier l'authenticité de la signature numérique, suivez les étapes suivantes :
  1. Rendez-vous à l’adresse http://www.wmsoftware.com/free.htm.
  2. Téléchargez et enregistrez le fichier Chktrust.exe sous le même dossier dans lequel vous avez enregistré FixBlast.exe (C:\Downloads par exemple).
  3. En fonction de votre système d'exploitation, effectuez l'une des opérations suivantes :
      • Cliquez sur Démarrer, pointez sur Programmes et cliquez sur Commandes MS-DOS.
      • Cliquez sur Démarrer, pointez sur Programmes, cliquez sur Accessoires puis cliquez sur Invite de commande.
  4. Allez dans le dossier contenant FixBlast.exe et Chktrust.exe puis tapez :

    chktrust -i FixBlast.exe

    Par exemple, si vous avez enregistré le fichier dans le dossier C:\Downloads, exécutez les commandes suivantes :

    cd\
    cd downloads
    chktrust -i FixBlast.exe

    Appuyez sur Entrée après avoir tapé chaque commande. Si la signature numérique est valide, le message suivant s'affichera :

    Voulez-vous installer et exécuter "l'outil de suppression de W32.Blaster.Worm" signé le 8/11/2003 7:14 PM et distribué par Symantec Corporation ?


    Remarques :
      • La date et l'heure affichées dans cette boîte de dialogue seront ajustées à votre fuseau horaire si votre ordinateur n'est pas configuré sur le fuseau horaire Pacifique.
      • Si vous utilisez l'option "Ajuster l'horloge pour l'observation automatique de l'heure d'été", le système indiquera une heure plus tôt.
      • Si cette boîte de dialogue ne s'affiche pas, il y a deux raisons possibles :
        • L'outil ne provient pas de Symantec. A moins d'être certain que l'outil est légitime et que vous l'avez téléchargé depuis le site Web légitime de Symantec, vous ne devriez pas l'exécuter.
        • L'outil provient de Symantec et il est légitime, cependant votre système d'exploitation n'a pas été configuré pour faire systématiquement confiance aux contenus de Symantec. Pour plus d'informations, et pour savoir comment visualiser à nouveau la boîte de dialogue de confirmation, consultez le document (en anglais) How to restore the Publisher Authenticity confirmation dialog box.

  5. Cliquez sur Oui pour fermer la boîte de dialogue.
  6. Tapez exit puis appuyez sur Entrée. Ceci terminera la session MS-DOS.

Option Restauration du système sous Windows XP
Les utilisateurs de Windows XP devraient désactiver temporairement la Restauration du système. Windows XP utilise cette fonctionnalité, qui est activée par défaut afin de restaurer des fichiers sur votre ordinateur, s'ils venaient à être endommagés. Si un ordinateur a été infecté par un virus, un ver ou un cheval de Troie, il est possible que ce virus, ver ou cheval de Troie soit sauvegardé par la Restauration du système.

Windows empêche des programmes tiers, y compris les programmes anti-virus, de modifier la Restauration du système. Les programmes ou outils anti-virus ne peuvent donc pas supprimer les menaces dans le dossier de Restauration du système. Par conséquent, la Restauration du système peut restaurer un fichier infecté sur votre ordinateur même après que vous ayez nettoyé les fichiers infectés sur tous les autres emplacements.

Par ailleurs, dans certains cas, les analyseurs en ligne peuvent détecter une menace dans le dossier Restauration du système même si vous avez lancé une analyse de votre ordinateur avec un programme anti-virus et qu'aucun fichier infecté n'a été trouvé.

Pour des instructions sur la manière de désactiver la Restauration du système, consultez la documentation de Windows ou l'article intitulé Comment désactiver ou activer la restauration automatique de Windows XP.

Comment exécuter l'outil à partir d'une disquette
  1. Insérez la disquette contenant le fichier FixBlast.exe dans le lecteur de disquettes.
  2. Cliquez sur Démarrer, puis sur Exécuter.
  3. Tapez le texte suivant :

    a:\FixBlast.exe

    puis cliquez sur OK.


    Remarque : Il n'y a pas d'espaces dans la commande a:\FixBlast.exe.
  4. Cliquez sur Démarrer pour commencer puis laissez l'outil s'exécuter.
  5. Si vous êtes sous Windows Me, réactivez l'option Restauration du système.


Résumé