Bienvenue sur
TRUCS et ASTUCES WINDOWS
Ce site a pour but de vous donner quelques petites astuces pour optimiser Windows et entretenir votre PC.
Si vous avez des problèmes, posez vos questions sur le FORUM. N'hésitez pas non plus à mettre votre site dans le Top Sites, dans l'annuaire et inscrivez-vous aussi à la NewsLetter de Trucs et Astuces Windows. Restez informé en lisant les dernières News trouvées sur le Net.

Trucs et Astuces
Windows XP
Windows Vista
Windows ME et 98
Accéder au FORUM

Technique PC
Technique PC & Histoire
Maintenance PC
Gravures
Les NEWS

Téléchargement & MS-Office
Logiciels & Utilitaires
Disquettes de boot
Scripts Javascript
MS-Office

Divers
Moteurs de recherche
Générateur de Meta-tags
Liens utiles
Le CHAT

Procédure détaillée d’éradication du ver Sasser

Symptôme

Redémarrage intempestif de la machine. Une boîte de dialogue informe qu’une erreur de LSASS s’est produite et que le système va redémarrer.



Ou plus aléatoirement :



Systèmes concernés

Windows 2000

Windows XP


Nettoyage

Deux procédures sont possibles :

L’une automatisée via un accès à Internet

L’autre manuelle

1 : Procédure automatisée de vérification et d’éradication

Étape A : Activer un pare-feu

Avant toute autre action, vérifiez qu’un pare-feu est opérationnel sur votre ordinateur pour le protéger d'une infection. Si votre ordinateur est déjà infecté, l'activation d'un pare-feu limitera les effets du ver sur votre ordinateur.

Activer le pare-feu de Windows XP ou tout autre pare-feu installé.

Pour configurer le Pare-feu de Windows XP manuellement :

Dans le Panneau de configuration, double-cliquer sur Connexions réseau et Internet, puis cliquer sur Connexions réseau.

Cliquer avec le bouton droit sur la connexion sur laquelle vous voulez activer le Pare-feu de connexion Internet, puis cliquer sur Propriétés.

Sous l'onglet Paramètres Avancés, cocher la case pour sélectionner l'option Protéger mon ordinateur ou mon réseau.

Si vous voulez activer l'utilisation de certaines applications et de certains services via le Pare-feu, vous devez les activer en cliquant sur le bouton Paramètres, puis en sélectionnant les programmes, protocoles et services à activer pour la configuration du Pare-feu de connexion Internet.


Note : Si vous utilisez un kit de connexion de votre fournisseur d’accès à Internet (comme celui de Wanadoo) et que l'onglet Paramètres Avancés n'est pas disponible, veuillez suivre la procédure de Wanadoo pour activer votre pare-feu disponible.

Sinon activer un pare-feu du marché.

Étape B : Eradication automatisée

Cliquez-ici pour suivre les étapes suivantes de la procédure d’éradication automatisée.

ATTENTION : il est important d’avoir d’abord activé le pare-feu avant de vous connecter sur Internet.

Remarque : la procédure automatisée utilise un composant ActiveX pour détecter le ver et l’éliminer. Si la configuration de sécurité de votre navigateur ne permet pas l’exécution de ce composant, vous pouvez soit suivre la procédure manuelle ci-dessous, soit modifier votre configuration de sécurité.

2 : Procédure manuelle d’éradiction

Étape 1 : isoler l’ordinateur d’Internet

Pour ce faire, vous pouvez par exemple débrancher le modem ou le câble réseau afin de déconnecter l'ordinateur d'Internet

Étape 2 : arrêter les processus utilisés par le ver

Cliquez sur Démarrer, Exécuter

Tapez taskmgr.exe, puis validez

Sélectionnez l’onglet Processus

Terminez les processus suivants :

*_up.exe

avserv*.exe

hkey.exe

msiwin84.exe

wmiprvsw.exe


Note : Si l'ordinateur n'arrive pas à démarrer correctement, démarrer en mode sans échec. Pour cela il faut :

Redémarrez votre ordinateur et commencez à appuyer sur la touche F8 de votre clavier. Sur un ordinateur configuré pour démarrer sous plusieurs systèmes d'exploitation, vous pouvez appuyer sur la touche F8 lorsque le menu de démarrage s'affiche.

Lorsque le menu Options avancées de Windows s'affiche, sélectionnez une option, puis appuyez sur ENTRÉE.

Lorsque le menu de démarrage s'affiche à nouveau, avec les mots " Mode sans échec " inscrits en bleu en bas de l'écran, sélectionnez l'installation que vous souhaitez démarrer, puis appuyez sur ENTRÉE.


Pour plus d'informations sur le démarrage en mode sans échec, vous pouvez vous référer aux fiches techniques suivantes:

Description du mode de démarrage sans échec sous Windows 2000

Description des options du mode de démarrage sans échec dans Windows XP


Étape 3 : Éliminer le démarrage automatique des processus du ver

Cliquez sur Démarrer, Exécuter

Tapez regedit.exe

Positionnez vous sur la clé HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\

AVERTISSEMENT : une utilisation incorrecte de l'éditeur du Registre peut générer des problèmes graves, pouvant vous obliger à réinstaller votre système d'exploitation. Microsoft ne peut garantir que les problèmes résultant d'une utilisation incorrecte de l'éditeur du Registre puissent être résolus. Vous assumez l'ensemble des risques liés à l'utilisation de cet outil. Pour plus d'informations sur la procédure de modification du Registre, consultez la rubrique d'aide "Modifier les clés et les valeurs" dans l'éditeur du Registre (Regedit.exe) ou les rubriques d'aide "Ajouter et supprimer des informations dans le Registre" et "Modifier les données du Registre" dans Regedit.exe. Pensez à sauvegarder le Registre avant de le modifier. Si vous travaillez sous Windows NT, Windows 2000, Windows XP et Windows Server 2003, nous vous conseillons de mettre à jour votre disquette de réparation d'urgence.


Supprimez les entrées suivantes:

"windows"="hkey.exe"

"Microsoft Update"="msiwin84.exe"

"System Updater Service"="wmiprvsw.exe"

"avserve.exe"="C:\WINDOWS\avserve.exe"

"avserve2.exe = %WINDIR%\avserve2.exe"


Étape 4 : Supprimer les fichiers du ver

Rechercher et supprimer les fichiers suivants du disque dur en incluant les fichiers cachés et système.

Pour afficher les fichiers cachés :

lancer la fenêtre Rechercher

aller dans le menu Outils -> Options des dossiers -> onglet Affichage puis,

cliquer sur Afficher les fichiers et dossiers cachés du répertoire Fichiers et dossiers


Pour lancer la recherche :

Sous Windows XP :

Cliquer sur Démarrer et puis Rechercher

Sélectionner l’option " Tous les Fichiers et tous les dossiers " et ensuite cliquer sur " Options Avancées "

Cocher les 3 cases si elles ne sont pas cochées : " Rechercher dans les dossiers systèmes "

"Rechercher dans les fichiers et les dossiers cachés"

"Rechercher dans les sous-dossiers"

Taper le nom du fichier à rechercher.

Appuyer sur le bouton Rechercher


Sous Windows 2000

Cliquer sur Démarrer et puis Rechercher

Sélectionner l’option " Des fichiers ou des dossiers "

Taper le nom du fichier à rechercher

Appuyer sur le bouton Rechercher

La liste des fichiers à supprimer est la suivante:

*_up.exebr />
hkey.exe

msiwin84.exe

wmiprvsw.exe


Étape 5 : Activer un pare-feu sur votre machine

Activer le pare-feu de Windows XP ou tout autre pare-feu installé.

Pour configurer le Pare-feu de connexion Internet manuellement pour une connexion:

Dans le Panneau de configuration, double-cliquer sur Connexions réseau et Internet, puis cliquer sur Connexions réseau.

Cliquer avec le bouton droit sur la connexion sur laquelle vous voulez activer le Pare-feu de connexion Internet, puis cliquer sur Propriétés.

Sous l'onglet Paramètres Avancés, cocher la case pour sélectionner l'option Protéger mon ordinateur ou mon réseau.

Si vous voulez activer l'utilisation de certaines applications et de certains services via le Pare-feu, vous devez les activer en cliquant sur le bouton Paramètres, puis en sélectionnant les programmes, protocoles et services à activer pour la configuration du Pare-feu de connexion Internet.


Note : Si vous utilisez un kit de connexion de votre fournisseur d’accès à Internet (comme celui de Wanadoo) et que l'onglet Paramètres Avancés n'est pas disponible, veuillez suivre la procédure de Wanadoo pour activer votre pare-feu disponible.

Étape 6 : Installer la mise à jour éliminant la vulnérabilité exploitée par le ver

Appliquer le correctif de sécurité MS04-011 en utilisant Windows Update, la mise à jour de sécurité est aussi disponible (en version française) :

Pour Windows XP (toutes versions)

Pour Windows 2000 (Service Pack 2, Service Pack 3 et Service Pack 4)


Étape 7 : Mettre à jour votre antivirus avec la dernière signature et scanner la machine

Compléments suite à procédure manuelle :

Attention le pare-feu doit être activé.

Afin de savoir si l'ordinateur est toujours contaminé ou non par le ver Sasser, il est possible d’effectuer une vérification.

Afin de mieux protéger son ordinateur, il est fortement conseillé de suivre les recommandations décrites sur l'espace protéger votre PC de l'espace sécurité de Microsoft France, dont en particulier l’activation des Mises à jour automatiques afin de maintenir le niveau de sécurité de votre machine en appliquant automatiquement les dernières mises à jour visant à vous protéger contre l’exploitation malveillante de vulnérabilités.