Norton.com > Virus et Risques > CodeRed Removal Tool

CodeRed Removal Tool

Mis à jour :
13 Février 2007 11:33:26 AM
Type :
Removal Information

L'outil de suppression de CodeRed assure l’élimination de CodeRed I et II et effectue l'évaluation de vulnérabilité de votre ordinateur. Symantec offre un utilitaire estimé sécurisé et fiable pour supprimer les effets d'une infection par CodeRed.

Pour obtenir et exécuter l'outil :
  1. Télécharger l’outil http://www.sarc.com/avcenter/FixCRed.exe.
  2. Téléchargez le fichier FixCRed.exe à un emplacement commode, par exemple votre dossier des téléchargements ou le bureau Windows.
  3. Pour contrôler l'authenticité de la signature numérique, consultez la section Signature numérique.
  4. Fermez tous les programmes avant d'exécuter l'outil, y compris tous les analyseurs antivirus comme la protection automatique de NAV.
  5. Cliquez deux fois sur le fichier FixCRed.exe pour lancer l'outil de suppression.

    REMARQUE : si vous avez téléchargé l'outil sur une disquette et que vous souhaitez l'utiliser depuis la disquette, consultez la section Exécution de l'outil depuis une disquette à la fin de ce document pour des instructions spécifiques.
  6. Cliquez sur Démarrer pour lancer la procédure et attendez qu’elle soit terminée.
  7. Réactivez la protection automatique.


    REMARQUES :
  • L'outil de suppression recherche CodeRed I et II sous Windows 2000 seulement. Toutefois, il détectera et supprimera Trojan.VirtualRoot avec toutes les versions de Windows.
  • Lorsque la procédure est terminée, l'outil de suppression peut détecter les partages ouverts. L'outil supprimera automatiquement tous les partages ouverts.

Après l’exécution de l'outil, un message vous indique si l'ordinateur était infecté par le ver CodeRed ou le cheval de Troie Trojan.VirtualRoot. Un message apparaît également si votre ordinateur est vulnérable à une réinfection. Si CodeRed a été détecté en mémoire ou si l'ordinateur est vulnérable, l'outil ouvrira le navigateur Web par défaut et chargera la page Microsoft contenant le correctif. L'outil ne recherchera pas le cheval de Troie Trojan.VirtualRoot avant que le correctif ne soit appliqué.

Dans le cas d'une suppression du cheval de Troie Trojan.VirtualRoot, le programme affiche les résultats suivants :
  • Nombre total de fichiers analysés.
  • Nombre de fichiers supprimés.
  • Nombre de procédures virales arrêtées.

Ce que fait l'outil
L'outil effectue les opérations suivantes :
  1. Il analyse la mémoire pour rechercher toutes les variantes de CodeRed.
  2. Il effectue une évaluation de vulnérabilité de l'ordinateur. Si l'ordinateur est vulnérable, l'outil ouvre le navigateur Web et charge la page Microsoft contenant le correctif.
  3. Il tente d’arrêter les procédures de CodeRed et de Trojan.VirtualRoot.
  4. Il recherche et supprime les fichiers Trojan.VirtualRoot déposés par CodeRed II.
  5. Il supprime les mappages IIS vers /Scripts ou /MSADC et restaure le Contrôleur de fichiers système.
  6. Il supprime les quatre fichiers suivants, s'ils existent :
    • C:\inetpub\Scripts\Root.exe
    • D:\inetpub\Scripts\Root.exe
    • C:\progra~1\Common~1\System\MSADC\Root.exe
    • D:\Progra~1\Common~1\System\MSADC\Root.exe
  7. Il détecte et supprime automatiquement les partages ouverts créés par Trojan.VirtualRoot.
  8. Il supprime les valeurs /MSADC et /Scripts de la base de registre afin d'empêcher qu'elles ne soient placées dans la Metabase IIS si elles n'existaient pas déjà. Si ces valeurs existaient déjà, la suppression ne les affecte alors en rien car IIS restaurera les valeurs par défaut.
  9. Il enregistre son activité dans le fichier FixCRed.log. Ce fichier se trouve dans le même dossier que l'outil.
REMARQUE : Vous devez disposer de droits administrateur pour laisser l'outil démapper les racines virtuelles créées par le ver à partir de la métabase IIS.

Signature numérique

FixCRed.exe possède une signature numérique. Symantec recommande d'utiliser exclusivement des copies de FixCRed.exe téléchargées directement depuis le site de Symantec Security Response. Pour vérifier l'authenticité de la signature numérique, procédez comme suit :
  1. Téléchargez l’outil par http://www.wmsoftware.com/pub/chktrust.exe.
  2. Enregistrez le fichier Chktrust.exe dans le dossier où vous avez téléchargé FixCRed.exe, par exemple, C:\Downloads.
  3. Cliquez sur Démarrer, pointez sur Programmes et cliquez sur Commandes MS-DOS.
  4. Passez au dossier où FixCRed.exe et Chktrust.exe sont stockés, puis saisissez :

    chktrust -i FixCRed.exe

    Par exemple, si vous avez enregistré le fichier dans le dossier C:\Downloads, voici comment atteindre ce dossier et saisir la commande :
    cd\
    cd downloads
    chktrust -i FixCRed.exe

    Appuyez sur Entrée après avoir saisi chaque commande.
  5. Si la signature numérique est valide, l'invite suivante apparaît :
    Voulez-vous installer et exécuter "FixCRed.exe" signé le 8/9/2001 à 22:58 et diffusé par Symantec Corporation

    REMARQUES :
    • La date et l'heure affichées dans cette boîte de dialogue seront ajustées à votre fuseau horaire si l'heure de votre ordinateur n'est pas celle du Pacifique.
    • Si vous utilisez l’horaire DST (été/hiver), l'heure affichée aura exactement une heure de moins.
    • Si cette boîte de dialogue n'apparaît pas, il y a deux raisons possibles :
        • L'outil ne provient pas de Symantec. A moins d'être certain que l'outil est légitime et que vous l'avez téléchargé depuis le site Web légitime de Symantec, vous ne devriez pas l'exécuter.
        • L'outil provient de Symantec et il est légitime. Cependant, votre système d'exploitation n'a pas été configuré pour faire systématiquement confiance aux contenus de Symantec. Pour plus d'informations, et pour savoir comment visualiser à nouveau la boîte de dialogue de confirmation, consultez le document en anglais How to restore the Publisher Authenticity confirmation dialog box.
  6. Cliquez sur Oui pour fermer la boîte de dialogue.
  7. Saisissez exit puis appuyez sur Entrée. Cela fermera la session MS-DOS.

Exécution de l'outil depuis une disquette
  1. Insérez la disquette contenant le fichier FixCRed.exe dans le lecteur de disquette.
  2. Cliquez sur Démarrer et cliquez sur Exécuter.
  3. Saisissez la ligne suivante, puis cliquez sur OK.

    a:FixCRed.exe
  4. Cliquez sur Démarrer pour lancer la procédure et attendez qu’elle soit terminée.