Средство удаления разновидностей вируса-червя Sasser

Переводы статьи Переводы статьи
Код статьи: 841720 - Vizualiza?i produsele pentru care se aplic? acest articol.
Внимание
Данное средство более не предлагается. Оно было заменено средством удаления вредоносных программ для Microsoft Windows. Дополнительные сведения о средстве удаления вредоносных программ см. в следующей статье базы знаний Майкрософт:
890830 Средство удаления вредоносных программ для Microsoft Windows удаляет наиболее распространенные виды вредоносных программ с компьютеров под управлением Windows Vista, Windows Server 2003, Windows XP и Windows 2000
Развернуть все | Свернуть все

В этой статье

Аннотация

Корпорация Майкрософт выпустила средство удаления разновидностей вируса-червя Sasser. Пользователи компьютеров с 32-разрядной версией Microsoft Windows XP, а также Microsoft Windows 2000 с пакетом обновления 2 (SP2) или более поздним могут загрузить средство удаления вирусов-червей Sasser.A, Sasser.B, Sasser.C и Sasser.D версии 2.0, обратившись на веб-узел Центра обновления Windows или воспользовавшись компонентом "Автоматическое обновление".

Средство удаления вируса-червя Sasser версии 4.0 предназначено для удаления вирусов-червей Sasser.A, Sasser.B, Sasser.C, Sasser.D, Sasser.E и Sasser.F. Версию 4.0 можно загрузить с веб-узла центра загрузки Microsoft.
Обновление технических сведений
  • 8 февраля 2005 г.: Корпорация Майкрософт осуществила замену этого средства на средство удаления вредоносных программ для Microsoft Windows. Дополнительные сведения о средстве удаления вредоносных программ см. в следующей статье базы знаний Майкрософт:
    890830 Средство удаления вредоносных программ для Microsoft Windows удаляет наиболее распространенные виды вредоносных программ с компьютеров под управлением Windows Vista, Windows Server 2003, Windows XP и Windows 2000
  • 11 мая 2004 г.: Корпорация Майкрософт разместила средство удаления вируса-червя Sasser версии 4.0 на веб-узле центра загрузки Microsoft. Версия 4.0 поддерживает обнаружение и удаление версии Sasser.F данного вируса-червя.
  • 09 мая 2004 г.: Корпорация Майкрософт разместила средство удаления вируса-червя Sasser версии 3.0 на веб-узле центра загрузки Microsoft. Версия 3.0 поддерживает обнаружение и удаление версии Sasser.E данного вируса-червя.
  • 04 мая 2004 г.: Корпорация Майкрософт разместила средство удаления вируса-червя Sasser версии 2.0 на веб-узле центра загрузки Microsoft и веб-узле Центра обновления Windows. В версию 2.0 добавлены функции удаления вариантов Sasser.C и Sasser.D данного вируса-червя.
  • 01 мая 2004 г.: Корпорация Майкрософт разместила средство удаления вируса-червя Sasser версии 1.0 на веб-узле центра загрузки Microsoft. Версия 1.0 предназначена для удаления вариантов Sasser.A и Sasser.B данного вируса-червя.

Проблема

Зараженный вирусом-червем Sasser компьютер после установки обновления системы безопасности 835732 (MS04-011) продолжает распространять вирус, отправляя соответствующие пакеты через открытые порты протокола TCP. Обычно о заражении вирусом-червем Sasser свидетельствует наличие следующих признаков:
  • Снижается быстродействие компьютера или скорость подключения к сети.
  • Появляется окно с сообщением, относящимся к компоненту LSA Shell.
  • Компьютер самопроизвольно перезагружается каждые несколько минут.
В некоторых случаях перечисленные признаки заражения полностью отсутствуют. Например, если на компьютере установлено обновление системы безопасности 835732, второй и третий признаки могут не проявляться, даже если компьютер инфицирован и продолжает распространять вирус.

Дополнительные сведения об обновлении системы безопасности 835732 см. на веб-узле корпорации Майкрософт по следующему адресу:
http://www.microsoft.com/technet/security/bulletin/ms04-011.mspx
(эта ссылка может указывать на содержимое полностью или частично на английском языке).Примечание. Служба подсистемы локального администратора безопасности (LSASS) предоставляет интерфейс для управления локальной безопасностью, проверкой подлинности в домене и процессами Active Directory. Служба LSASS выполняет проверку подлинности клиента и сервера, а также содержит компоненты, служащие для поддержки средств Active Directory.

Причина

Такое поведение наблюдается, когда компьютер заражен вирусом-червем Sasser. Помимо использования брандмауэра и установки обновления системы безопасности 835732, необходимо удалить вирус-червь Sasser с зараженных компьютеров. Брандмауэр и обновление системы безопасности 835732 предотвращают заражение компьютера данным вирусом-червем, но для восстановления пораженной системы требуется принять дополнительные меры.

Дополнительные сведения о способах обнаружения вируса-червя Sasser см. на веб-сервере корпорации Майкрософт по указанным ниже адресам.

Решение

Корпорация Майкрософт выпустила средство удаления вируса-червя Sasser с компьютеров с операционными системами, перечисленными в разделе "Информация в данной статье относится к следующим продуктам".

Внимание! Дополнительно корпорация Майкрософт рекомендует использовать брандмауэр подключения к Интернету, современное антивирусное программное обеспечение, а также по мере необходимости устанавливать обновления для Windows и прикладных программ.

Дополнительные сведения о защите от вирусов и их обезвреживании см. в следующей статье базы знаний Майкрософт:
129972 Компьютерные вирусы — описание, меры безопасности и удаление

Сведения о загрузке и установке

Если компьютер заражен разновидностями A-D вируса-червя Sasser, с помощью компонента "Автоматическое обновление" загрузите и установите средство удаления вируса-червя Sasser. Для этого воспользуйтесь службой автоматического обновления или обратитесь на веб-узел Центра обновления Windows по следующему адресу и установите критическое обновление KB841720:
http://update.microsoft.com/windowsupdate/v6/default.aspx?ln=ru-ru
Дата выпуска: 4 мая 2004 г.

Дополнительные сведения о компоненте "Автоматическое обновление" см. в следующей статье базы знаний Майкрософт:
294871 Описание компонента «Автоматическое обновление» из состава операционных систем Windows
Для развертывания данного обновления администраторы могут воспользоваться службой SUS (Microsoft Software Update Services). Дополнительные сведения о службе SUS см. на веб-узле корпорации Майкрософт по следующему адресу:
http://www.microsoft.com/windowsserversystem/updateservices/evaluation/previous/susoverview.mspx
(эта ссылка может указывать на содержимое полностью или частично на английском языке).Примечания.
  • Средство удаления вируса-червя Sasser не работает на компьютерах с Windows NT 4.0, Windows 95, Windows 98, Windows 98 второго издания, Windows Millennium Edition, а также со всеми 64-разрядными версиями Windows.
  • Средство удаления вируса-червя Sasser предлагается только для английских версий Windows, однако может быть запущено на компьютере под управлением любой локализованной версии операционной системы.
  • Средства для удаления вируса-червя Sasser также выпущены многими разработчиками антивирусного программного обеспечения и входят в состав большинства современных антивирусных программ.

Сведения о выпуске

Средство удаления вируса-червя Sasser

Свернуть эту таблицуРазвернуть эту таблицу
Версия средстваВерсия файла Sasscln.exeУдаляемые вирусыПоддерживаемые операционные системыИмя установочного пакетаМесто распространения (дата)
1.01.0.150.0Sasser.A, Sasser.BWindows XP, Windows 2000Windows-KB841720-ENU.exeЦентр загрузки Microsoft (1 мая 2004 г.)
2.01.0.152.0Sasser.A, Sasser.B, Sasser.C, Sasser.DWindows XP, Windows 2000Windows-KB841720-ENU-V2.exeЦентр загрузки Microsoft (4 мая 2004 г.), Центр обновления Windows
3.01.0.156.0Sasser.A, Sasser.B, Sasser.C, Sasser.D, Sasser.EWindows XP, Windows 2000Windows-KB841720-ENU-V3.exeЦентр загрузки Microsoft (9 мая 2004 г.)
4.01.0.159.0Sasser.A, Sasser.B, Sasser.C, Sasser.D, Sasser.E, Sasser.FWindows XP, Windows 2000Windows-KB841720-ENU-V4.exeЦентр загрузки Microsoft (11 мая 2004 г.)

Разновидности вируса-червя Sasser

Свернуть эту таблицуРазвернуть эту таблицу
Вирус (дата обнаружения)Версия средства для удаления данного вируса
Sasser.A (30 апреля 2004 г.)1.0, 2.0, 3.0, 4.0
Sasser.B (1 мая 2004 г.)1.0, 2.0, 3.0, 4.0
Sasser.С (1 мая 2004 г.)2.0, 3.0, 4.0
Sasser.D (2 мая 2004 г.)2.0, 3.0, 4.0
Sasser.Е (8 мая 2004 г.)3.0, 4.0
Sasser.F (11 мая 2004 г.)4.0

Необходимые условия

Для использования средства удаления вируса-червя Sasser должны быть соблюдены перечисленные ниже условия.
  • На компьютере должна быть установлена ОС Windows 2000 с пакетом обновления 2 (SP2) или более поздняя версия либо 32-разрядная версия Windows XP.
  • Необходимо войти в систему с учетной записью администратора или члена группы администраторов.
Дополнительные сведения об определении разрядности используемой версии Windows XP см. в следующей статье базы знаний Майкрософт:
827218 Определение разрядности используемой версии Windows XP
В случае несоблюдения этих условий установить средство не удастся и появится сообщение об ошибке. Дополнительные сведения об ошибке см. в следующем файле журнала:
%Windir%\debug\sasscln.log
Прежде чем использовать средство удаления вируса-червя Sasser, рекомендуется установить на компьютере обновление системы безопасности 835732 (MS04-011), поскольку версия 4.0 данного средства удаляет вирусы с зараженных компьютеров, но не устраняет уязвимость, допускающую заражение. Чтобы предотвратить повторное заражение, установите обновление системы безопасности 835732 до запуска средства удаления вируса.

Необходимость перезагрузки

После установки данного средства перезагружать компьютер не нужно.

Использование

Примечание. Перед выполнением перечисленных ниже действий необходимо создать резервные копии всех важных данных.

После принятия условий лицензионного соглашения в процессе установки средства удаления вируса-червя Sasser версии 4.0 файл Sasscln.exe извлекается во временную папку, запускается и производит проверку требований, описанных в разделе "Необходимые условия" данной статьи. Если требования соблюдены, средство удаления выполняет следующие действия:
  1. Проверяется наличие вирусов-червей Sasser.A (Avserve.exe), Sasser.B и Sasser.C (Avserve2.exe), Sasser.D (Skynetave.exe), Sasser.E (Lsasss.exe) и Sasser.F (Napatch.exe) в памяти компьютера. Обнаружив вирус, программа завершает соответствующий процесс.
  2. Проверяется наличие известных исполняемых файлов вируса-червя Sasser на жестком диске и соответствующих параметров в разделе Run системного реестра. Обнаруженные файлы и параметры реестра удаляются. Некоторые программы могут удалять файлы вируса с жесткого диска, не удаляя сопоставленные им параметры системного реестра.

    Средство удаления вируса-червя Sasser не удаляет добавленные вирусом-червем Sasser параметры системного реестра, которые ссылаются на отсутствующий на жестком диске (и, следовательно, безвредный) файл.
  3. Отображает сообщение о результатах работы. Следующий список содержит сообщения, отображаемые средством удаления вируса-червя Sasser, а также их значение и действия, которые необходимо предпринять при получении того или иного сообщения:
    • "No infection detected" — вирус-червь Sasser на компьютере не обнаружен.
    • "Successfully removed Worm_Name" — вирус имя_вируса удален. Выполнять какие-либо дополнительные действия не нужно.

      Примечание. Параметр имя_вируса обозначает одну из разновидностей (A, B, C, D, E или F) вируса-червя Sasser.
    • "This tool must be run by an administrator" — программа запущена пользователем, который не имеет прав администратора.
    • "Fatal error, please review log file" — неустранимая ошибка, подробности см. в файле журнала.
    • "имя_вируса was detected, but could not be removed" — обнаружена, но не удалена одна из разновидностей вируса-червя Sasser. Запустите программу повторно и проверьте, есть ли в файле журнала сообщения об ошибках.
    • "This tool requires Windows 2000 or Windows XP" — данное средство поддерживается только операционными системами Windows 2000 или Windows XP.
    • "Incorrect Windows version (Win32s)" — данное средство не предназначено для использования на компьютере под управлением Windows 3.1 с расширением Win32s.
    Кроме того, если средство удаления вируса-червя Sasser определит, что на компьютере не установлено обновление системы безопасности 835732 (MS04-011), появится следующее сообщение:
    • "To prevent infection, please visit Windows Update (www.windowsupdate.com) and install KB835732" — чтобы предотвратить заражение вирусом-червем Sasser, необходимо установить обновление KB835732.
    После закрытия окна сообщения программа завершает свою работу и файл Sasscln.exe удаляется из временной папки. После этого можно вручную удалить файл Windows-KB841720-ENU-V4.exe.
  4. В процессе работы средства удаления вируса-червя Sasser в папке %WINDIR%\Debug создается файл журнала Sasscln.log, в который помещается информация о том, были ли обнаружены и удалены экземпляры вируса.

Параметры командной строки

Программа установки данного средства поддерживает следующие параметры командной строки:
  • /Q — Использовать тихий режим или подавлять сообщения об извлечении файлов.
  • /Q:U — Использовать тихий режим пользователя. В этом режиме отображаются некоторые диалоговые окна.
  • /Q:A — Использовать тихий режим администратора. В этом режиме диалоговые окна не отображаются.
  • /T: путь — Задать программе установки папку для хранения временных файлов или для извлечения файлов (при использовании с параметром /C).
  • /C — Извлечь файлы без установки. Если параметр /T: путь не задан, появится приглашение указать папку назначения.
  • /C: cmd — Задать путь и имя альтернативного установочного INF-файла или EXE-файла, используемого при установке средства.
  • /R:N — Не перезагружать компьютер после установки.
  • /R:I — Вывести в случае необходимости запрос на перезагрузку (за исключением случаев, когда этот параметр используется совместно с параметром /Q:A).
  • /R:A — Всегда перезагружать компьютер после установки.
  • /R:S — Перезагрузить компьютер после установки без вывода соответствующего запроса.
Дополнительные сведения о параметрах командной строки см. в следующей статье базы знаний Майкрософт:
197147 Параметры командной строки, которые поддерживаются обновлениями, разработанными с помощью технологии Iexpress
Средство удаления поддерживает следующий параметр командной строки:
  • /S — Включить для средства тихий режим. В этом режиме диалоговое окно с сообщением о результатах работы программы не отображается.

Сведения об удалении

Файл Sasscln.exe удаляется из временной папки автоматически после завершения работы средства удаления вируса-червя Sasser. Установочный файл можно удалить сразу после установки данного средства.

Примечание. Средство удаления вируса-червя Sasser (KB841720) не отображается в списке Установленные программы средства "Установка и удаление программ" панели управления.

Дополнительная информация

Часто задаваемые вопросы

  • Вопрос 1. Обеспечивает ли данное средство защиту от вируса-червя Sasser?

    Ответ 1. Нет. Данное средство удаляет вирус-червь Sasser с зараженного компьютера. Чтобы предотвратить заражение, необходимо установить обновление системы безопасности 835732.
  • Вопрос 2. Какие разновидности вируса-червя Sasser удаляются с помощью данного средства?

    Ответ 2. Sasser.A, Sasser.B, Sasser.C, Sasser.D, Sasser.E и Sasser.F.
  • Вопрос 3. Каков принцип работы средства?

    Ответ 3. Это средство поставляется в виде установочного пакета с поддержкой IExpress (Windows-KB841720-ENU-V4.exe). После запуска программы установки файл Sasscln.exe извлекается во временную папку и запускается. Программа Sasscln.exe версии 3.0 удаляет все имеющиеся на компьютере копии вирусов-червей Sasser A, Sasser.B, Sasser.C Sasser.D, Sasser.E и Sasser.F. После этого появляется сообщение о выполненных действиях, Sasscln.exe завершает работу и автоматически удаляется из временной папки. Установочный пакет можно удалить вручную. Дополнительные сведения об установочных пакетах с поддержкой IExpress см. на веб-узле Майкрософт по следующему адресу:
  • Вопрос 4. Можно ли распространять средство удаления вируса-червя Sasser?

    Ответ 4. Нет, пользователи должны загружать средство удаления вируса-червя Sasser (Windows-KB841720-ENU-V4.exe) с веб-узла корпорации Майкрософт.
  • Вопрос 5. Можно ли распространять файл Sasscln.exe?

    Ответ 5. Нет. Распространение файла Sasscln.exe не поддерживается.
  • Вопрос 6. Содержит ли это средство цифровую подпись корпорации Майкрософт?

    Ответ 6. Да. Как установочный пакет, так и файл Sasscln.exe имеют цифровую подпись корпорации Майкрософт.
  • Вопрос 7. Как запустить программу?

    Ответ 7. Обратитесь к разделу "Сведения о загрузке и установке" данной статьи.
  • Вопрос 8. Как узнать, удалила ли программа вирус-червь Sasser?

    Ответ 8. По окончании работы программы появится окно с сообщением о результатах. Кроме того, можно проверить, присутствуют ли в файле Sasscln.log следующие записи:
    • "No имя_вируса infection found" — означает, что вирусы не обнаружены.
    • "имя_вируса found and removed" — означает, что вирус имя_вируса был обнаружен и удален.
    • "имя_вируса found and will be removed at next reboot" — означает, что вирус имя_вируса был обнаружен и будет удален при перезагрузке компьютера.
  • Вопрос 9. Существует ли для этой программы пакет установщика Windows (MSI)?

    Ответ 9. Нет, для запуска средства используется пакет с поддержкой технологии IExpress.
  • Вопрос 10. Предусмотрена ли возможность удаления средства?

    Ответ 10. Да. Обратитесь к разделу "Сведения об удалении" данной статьи.
  • Вопрос 11. Будут ли выпущены версии этого средства на других языках?

    Ответ 11. На данный момент средство доступно только на английском языке.
  • Вопрос 12. Можно ли установить данную программу на компьютере с 64-разрядной версией Windows XP?

    Ответ 12. Нет. Программа поддерживает только 32-разрядные операционные системы.
  • Вопрос 13. Нужно ли устанавливать это средство, если на компьютере уже используется антивирусное программное обеспечение последней версии или была запущена программа стороннего разработчика для удаления вируса-червя Sasser?

    Ответ 13. Как правило, использование таких программ приводит к удалению вируса. С другой стороны, установка средства удаления вируса-червя Sasser не оказывает негативного влияния на работу компьютера.
  • Вопрос 14. Собирает ли данная программа информацию о компьютере для отправки корпорации Майкрософт?

    Ответ 14. Установка и использование программы не приводит к отправке каких-либо данных корпорации Майкрософт.
  • Вопрос 15. Что делать, если данная программа не удалила вирус-червь Sasser?

    Ответ 15. Воспользуйтесь антивирусной программой последней версии.
  • Вопрос 16. Создает ли программа файл журнала с информацией об обнаружении и удалении вирусов? Как называется этот файл и где он расположен?

    Ответ 16. Обратитесь к разделу "Использование" данной статьи.
  • Вопрос 17. Как узнать, что программа завершила свою работу?

    Ответ 17. Работа программы завершается сразу же после нажатия кнопки ОК в окне сообщения о результатах. Сведения о результатах выполнения программы можно найти в файле Sasscln.log. Дополнительные сведения см. в разделе "Использование" данной статьи.
  • Вопрос 18. Можно ли запускать данную программу на удаленном компьютере в сети?

    Ответ 18. Нет.
  • Вопрос 19. Какие параметры командной строки можно использовать при запуске установочного пакета?

    Ответ 19. Обратитесь к разделу "Параметры командной строки" данной статьи.
  • Вопрос 20. Можно ли использовать данную программу вместо антивирусного программного обеспечения?
  • Ответ 20. Нет. Корпорация Майкрософт рекомендует установить и использовать антивирусную программу одной из последних версий.
  • Вопрос 21. Может ли данная программа конфликтовать с используемым антивирусным программным обеспечением?

    Ответ 21. Если антивирусное программное обеспечение запущено на зараженном компьютере одновременно с программой удаления вируса-червя Sasser, оно может не позволить удалить обнаруженный вирус-червь Sasser. В этом случае удаление вируса-червя Sasser следует выполнить средствами антивирусной программы.

    Примечание. Файл Sasscln.exe не содержит вирусов, поэтому антивирусные программы не должны срабатывать на его присутствие. Однако если компьютер был заражен вирусом-червем Sasser до установки антивирусной программы, а регулярная (или фоновая) проверка отключена, эта антивирусная программа может не знать о наличии данных вирусов на компьютере, пока программа Sasscln.exe не попытается их удалить.

    В остальных случаях средство удаления вируса-червя Sasser не должно конфликтовать с используемым антивирусным программным обеспечением. Следовательно, нет необходимости отключать или удалять антивирусное программное обеспечение при установке средства.
  • Вопрос 22. Как данное средство взаимодействует с компонентом "Восстановление системы" из состава Windows XP?

    Ответ 22. Средство не создает точек восстановления.
  • Вопрос 23. Можно ли для определения компьютеров, на которых необходимо установить это средство, использовать анализатор безопасности Microsoft Baseline Security Analyzer (MBSA)?

    Ответ 23. Нет. C помощью анализатора безопасности MBSA можно определить, установлено ли на компьютере обновление системы безопасности 835732, но не факт заражения вирусом-червем Sasser.
  • Вопрос 24. Какими полномочиями необходимо обладать для запуска этой программы?

    Ответ 24. См. раздел "Необходимые условия" данной статьи.
  • Вопрос 25. Будет ли эта программа включена в состав пакета обновления 2 (SP2) для Windows XP?

    Ответ 25. Нет.
  • Вопрос 26. Можно ли установить это средство с помощью сервера Microsoft Systems Management Server или другого программного обеспечения, предназначенного для управления системой?

    Ответ 26. Да. Однако перед развертыванием средства в рамках всей организации рекомендуется проверить на нескольких тестовых компьютерах возможность его установки и удаления. Следующая команда позволяет запустить установочный пакет и средство удаления вируса-червя Sasser в тихом режиме:
    Windows-KB841720-ENU-V4.exe /Q /C:"sasscln.exe /S"
  • Вопрос 27. Компонент "Автоматическое обновление" не устанавливает критическое обновление KB841720. Кроме того, его не удается установить и при проверке обновлений в Центре обновления Windows. В чем причина?

    Ответ 27. Для установки критического обновления KB841720 с помощью Центра обновления Windows или компонента "Автоматическое обновление" требуется выполнение условий, перечисленных в разделе "Необходимые условия" этой статьи.

    Кроме того, критическое обновление KB841720 будет недоступно для загрузки с помощью Центра обновления Windows или компонента "Автоматическое обновление", если отсутствуют признаки заражения компьютера вирусом-червем Sasser.

Свойства

Код статьи: 841720 - Последний отзыв: 21 февраля 2007 г. - Revision: 11.1
Информация в данной статье относится к следующим продуктам.
  • Microsoft Windows XP Home Edition
  • Microsoft Windows XP Professional
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Service Pack 2
  • Microsoft Windows 2000 Service Pack 3
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Windows 2000 Service Pack 2
  • Microsoft Windows 2000 Service Pack 3
  • Операционная система Microsoft Windows 2000 Professional
  • Microsoft Windows 2000 Service Pack 2
  • Microsoft Windows 2000 Service Pack 3
  • Microsoft Windows 2000 Service Pack 4
Ключевые слова: 
kbvirus atdownload KB841720

Отправить отзыв

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com