Norton.com > Virus et Risques > Wscript.Kakworm Removal Tool

Wscript.Kakworm Removal Tool

Mis à jour :
13 Février 2007 11:33:55 AM
Type :
Removal Information

REMARQUE : Il existe deux versions de ce ver : Wscript.KakWorm et Wscript.KakWorm.B. L'outil mentionné ici s'applique uniquement au ver Wscript.KakWorm.
Pour vous procurer l'outil de suppression de Wscript.KakWorm.B (en anglais), cliquez ici.

Pour obtenir et utiliser l'outil de suppression de Wscript.KakWorm
Pour utiliser cet outil, nous vous conseillons de télécharger le fichier Fixkak.exe (en anglais) sur le bureau Windows ou dans un dossier du disque dur. Une fois le fichier téléchargé, suivez cette procédure :
  1. Fermez tous les programmes.
  2. Cliquez deux fois sur Fixkak.exe pour l'exécuter. La boîte de dialogue de l'outil de suppression apparaît.
  3. Cliquez sur Supprimer. Quand vous avez cliqué sur Supprimer, l'un des trois messages suivants apparaît :
    • "L'ordinateur n'est pas infecté." Votre système est hors de danger et vous n'avez aucune mesure à prendre.
    • "L'ordinateur a été restauré." Le ver a été supprimé et tous les dégâts causés sur votre système ont été réparés.
    • "Une erreur s'est produite lors de l'exécution de ce programme." L'outil de suppression a rencontré un problème qu'il ne peut pas résoudre. Vous devez supprimer le virus manuellement. Reportez-vous à cette page (anglais) pour obtenir des instructions de suppression manuelle.

Fonctions de l'outil
L'outil de suppression de Wscript.KakWorm apporte les modifications suivantes au système :
  • Il recherche le fichier Kak.hta que le ver a placé dans le dossier Démarrage. S'il trouve ce fichier et si la valeur CRC (Cyclic Redundancy Check - vérification redondante cyclique) correspond, il supprime le fichier. (La valeur CRC découle d'un bloc de données qui détermine si les données ont été endommagées lors de leur transfert.)
  • Il recherche la valeur cAgOu dans la clé de registre suivante :

    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

    Si cette valeur est présente, elle est supprimée.
  • L'outil effectue la recherche dans toutes les sous-clés de :

    HKEY_CURRENT_USER\Identities\<sous-clés>\Software\Microsoft\Outlook Express\5.0\Signatures

    <sous-clés>
    représente toutes les sous-clés possibles de HKEY_CURRENT_USER\Identities
  • Il recherche la valeur de signature par défaut dans la clé Signatures d'Outlook Express 5.0. Si cette valeur est présente, elle est supprimée.
  • Il recherche Kak.htm dans le dossier Windows et le supprime.
  • Il restaure le fichier Autoexec.bat d'origine.
  • S'il la trouve, l'outil supprime la sous-clé \00000000 créée par le virus dans :

    HKEY_CURRENT_USER\Identities\???\Software\Microsoft\Outlook Express\5.0\Signatures\00000000

    REMARQUE : Le ver n'enregistrant pas ces informations, l'outil ne peut pas restaurer la signature par défaut d'Outlook Express s'il en existait une avant qu'Outlook Express soit infecté.

Informations sur Chktrust
Pour vérifier la signature numérique de Fixkak.exe à l'aide de chktrust.exe:
  1. Accédez au site http://www.wmsoftware.com/free.htm
  2. Téléchargez le fichier Chktrust.exe et enregistrez-le dans le dossier où vous avez enregistré Fixkak.exe.
  3. Cliquez sur Démarrer, pointez sur Programmes, puis cliquez sur Commandes MS-DOS.
  4. Accédez à l'emplacement où sont conservés Fixkak.exe et Chktrust.exe. Par exemple, si les fichiers ont été enregistrés sur le bureau Windows, entrez :

    cd \windows\bureau
  5. Entrez la commande suivante pour vérifier la signature numérique de Fixkak.exe :

    chktrust -i fixkak.exe
  6. Si la signature numérique est valide, un message semblable au suivant apparaît :

    Souhaitez-vous installer et exécuter "Fix Kak Utility" signé le 28/07/2000 7:58 PM et distribué par Symantec Corporation ?

    REMARQUES :
    • La date et l'heure affichées dans ce message sont ajustées en fonction de votre fuseau horaire si votre ordinateur n'utilise pas le fuseau Pacifique. Par exemple, si vous vivez dans le fuseau horaire de la côte Est des Etats-Unis, la date et l'heure affichées sont 28/07/2000 et 8:38 PM.
    • Si vous utilisez l'option Ajuster l'horloge pour l'observation automatique de l'heure d'été, le système indique qu'il est exactement une heure plus tôt.
    • Si cette boîte de dialogue n'apparaît pas, il peut y avoir deux explications :
        • L'outil ne provient pas de Symantec. A moins d'être certain de la légitimité de l'outil et de l'avoir téléchargé à partir du site officiel de Symantec, ne l'exécutez pas.
        • L'outil provient de Symantec et est légitime. Toutefois, votre système d'exploitation avait pour instruction de toujours accepter le contenu provenant de Symantec. Pour plus d'informations sur ce point et sur la manière d'afficher de nouveau la boîte de dialogue de confirmation, reportez-vous au document (en anglais) How to restore the Publisher Authenticity confirmation dialog box.
  7. Cliquez sur Oui pour fermer la boîte de dialogue Chktrust.
  8. Entrez exit, puis appuyez sur Entrée.



Version anglaise de ce document
Veuillez noter que, en raison du temps nécessaire à la traduction en français, le contenu du document en anglais peut différer par rapport à cette version. Ce document en anglais ayant été éventuellement mis à jour durant le processus de traduction.