Verktyg för borttagning av varianter av masken Sasser

Artikelöversättning Artikelöversättning
Artikel-id: 841720 - Visa produkter som artikeln gäller.
Meddelande
Detta verktyg är inte längre tillgängligt. Det har ersatts av Windows-verktyget för borttagning av skadliga program. Om du vill veta mer om Windows-verktyget för borttagning av skadliga program klickar du på följande artikelnummer och läser artikeln i Microsoft Knowledge Base:
890830 Microsoft Windows-verktyget för borttagning av skadliga program hjälper till att ta bort vissa vanliga skadliga program från datorer med Windows Vista, Windows Server 2003, Windows XP eller Windows 2000
Visa alla | Dölj alla

På den här sidan

Sammanfattning

Microsoft har släppt ett verktyg som används för att ta bort varianter av masken Sasser. Om du använder Microsoft Windows 2000 Service Pack 2 (SP2) eller senare eller en 32-bitarsversion av Microsoft Windows XP, kan du få version 2.0 av Microsoft Sasser Worm Removal Tool för borttagning av Sasser A, B, C och D på webbplatsen Windows Update eller genom Automatiska uppdateringar.

Version 4.0 av Sasser Worm Removal Tool kan användas för att ta bort Sasser.A, Sasser.B, Sasser.C, Sasser.D, Sasser.E och Sasser.F. Version 4.0 kan hämtas från Microsoft Download Center.
Tekniska uppdateringar
  • 8 februari 2005: Microsoft har ersatt det här verktyget med Windows-verktyget för borttagning av skadliga program. Om du vill veta mer om Windows-verktyget för borttagning av skadliga program klickar du på följande artikelnummer och läser artikeln i Microsoft Knowledge Base:
    890830 Microsoft Windows-verktyget för borttagning av skadliga program hjälper till att ta bort vissa vanliga skadliga program från datorer med Windows Vista, Windows Server 2003, Windows XP eller Windows 2000
  • 11 maj 2004: Microsoft släppte version 4.0 av Sasser Worm Removal Tool på Microsoft Download Center. Version 4.0 kan också användas för att identifiera och ta bort Sasser.F.
  • 9 maj 2004: Microsoft släppte version 3.0 av Sasser Worm Removal Tool på Microsoft Download Center. Version 3.0 kan också identifiera och ta bort Sasser.E.
  • 4 maj 2004: Microsoft släppte version 2.0 av Sasser Worm Removal Tool på Microsoft Download Center och webbplatsen Windows Update. Version 2.0 kan också identifiera och ta bort Sasser C och D.
  • 1 maj 2004: Microsoft släppte version 1.0 av Sasser Worm Removal Tool på Microsoft Download Center. Version 1.0 används för att identifiera och ta bort Sasser A och B.

Symptom

När du har installerat säkerhetsuppdateringen 835732 (MS04-011) på en dator som redan har angripits av Sasser, kan datorn fortfarande ge upphov till nätverkstrafik på berörda TCP-portar (Transmission Control Protocol) och sprida masken till andra datorer. Om datorn har angripits av Sasser kan ett eller flera av följande problem uppstå:
  • Datorns prestanda försämras eller nätverksanslutningen blir långsam.
  • En dialogruta med en text om LSA Shell visas.
  • Datorn startar om gång på gång med några minuters mellanrum utan att användaren gör något.
Det kan också hända att det inte märks någonting alls. Det andra och tredje problemet uppstår till exempel kanske inte på angripna datorer med säkerhetsuppdateringen 835732, fastän datorn sprider masken till andra datorer.

Mer information om säkerhetsuppdateringen 835732 finns på följande Microsoft-webbplats:
http://www.microsoft.com/technet/security/bulletin/ms04-011.mspx
Obs! LSASS (Local Security Authority Subsystem Service) är ett gränssnitt för hantering av lokal säkerhet, domänautentisering och Active Directory-processer. Genom LSASS hanteras autentisering för klienten och servern. LSASS innehåller också funktioner för stöd av Active Directory-verktyg.

Orsak

De här problemen beror på att datorn har angripits av masken Sasser. Förutom att använda en brandvägg och installera säkerhetsuppdateringen 835732 måste du också ta bort Sasser från alla angripna datorer. En brandvägg och säkerhetsuppdateringen 835732 förhindrar att datorn angrips av Sasser. Du måste emellertid också ta bort all skadlig kod som fanns innan du vidtog de här förebyggande åtgärderna.

Mer information om hur du tar reda på om datorn har angripits av Sasser finns på följande Microsoft-webbplatser:

Lösning

Microsoft har släppt ett verktyg för borttagning av varianter av masken Sasser från datorer med någon av produkterna i "Gäller".

Viktigt! Microsoft rekommenderar också att du använder en Internet-brandvägg och ett uppdaterat antivirusprogram samt håller både Windows och program uppdaterade.

Om du vill veta mer om skydd mot virus och återställning efter virusangrepp klickar du på artikelnumret nedan och läser artikeln i Microsoft Knowledge Base:
129972 Datavirus: beskrivning, förebyggande åtgärder och återställning

Information om hämtning och installation

Om datorn har angripits av Sasser A, B, C eller D använder du Automatiska uppdateringar för att hämta och installera Sasser Worm Removal Tool. Du kan också besöka Microsoft-webbplatsen Windows Update och installera den viktiga uppdateringen KB841720.
http://update.microsoft.com/windowsupdate/v6/default.aspx?ln=sv-se
Utgivningsdatum: 4 maj 2004

Om du vill veta mer om Automatiska uppdateringar klickar du på artikelnumret nedan och läser artikeln i Microsoft Knowledge Base:
294871 Beskrivning av funktionen Automatiska uppdateringar i Windows
IT-administratörer kan distribuera den här uppdateringen med hjälp av Microsoft Software Update Services (SUS). Mer information om SUS finns på följande Microsoft-webbplats:
http://www.microsoft.com/windowsserversystem/updateservices/evaluation/previous/susoverview.mspx
Obs!
  • Sasser Worm Removal Tool fungerar inte på datorer med Microsoft Windows NT 4.0, Windows 95, Windows 98, Windows 98, andra utgåvan, Windows Millennium Edition eller 64-bitarsversioner av Windows.
  • Sasser Worm Removal Tool finns bara för engelska (USA) versioner av Windows. Du kan emellertid använda det engelska (USA) verktyget i alla Windows-versioner.
  • Många antivirusföretag har skapat egna verktyg för borttagning av Sasser, och masken tas bort av de flesta uppdaterade antivirusprogram.

Information om utgåvor

Sasser Worm Removal Tool

Dölj tabellenVisa tabellen
VerktygsversionSasscln.exe-versionMaskar som tas bortOperativsystem som stödsInstaller-filnamnDistributionsplatser (datum)
1.01.0.150.0Sasser.A, Sasser.BWindows XP, Windows 2000Windows-KB841720-ENU.exeMicrosoft Download Center (1 maj 2004)
2.01.0.152.0Sasser.A, Sasser.B, Sasser.C, Sasser.DWindows XP, Windows 2000Windows-KB841720-ENU-V2.exeMicrosoft Download Center (4 maj 2004), Windows Update
3.01.0.156.0Sasser.A, Sasser.B, Sasser.C, Sasser.D, Sasser.EWindows XP, Windows 2000Windows-KB841720-ENU-V3.exeMicrosoft Download Center (9 maj 2004)
4.01.0.159.0Sasser.A, Sasser.B, Sasser.C, Sasser.D, Sasser.E, Sasser.FWindows XP, Windows 2000Windows-KB841720-ENU-V4.exeMicrosoft Download Center (11 maj 2004)

Sasser-varianter

Dölj tabellenVisa tabellen
Mask (datum för upptäckt)Versioner av verktyget som tar bort masken
Sasser.A (30 april 2004)1.0, 2.0, 3.0, 4.0
Sasser.B (1 maj 2004)1.0, 2.0, 3.0, 4.0
Sasser.C (1 maj 2004)2.0, 3.0, 4.0
Sasser.D (2 maj 2004)2.0, 3.0, 4.0
Sasser.E (8 maj 2004)3.0, 4.0
Sasser.F (11 maj 2004)4.0

Förutsättningar

Sasser Worm Removal Tool kräver följande:
  • Microsoft Windows 2000 SP2 eller senare eller en 32-bitarsversion av Windows XP.
  • Inloggning som administratör eller medlem av gruppen administratörer.
Om du vill veta mer om hur du tar reda på om du har en 32- eller 64-bitarsversion av Windows XP klickar du på artikelnumret nedan och läser artikeln i Microsoft Knowledge Base:
827218 Ta reda på om du har en 32- eller 64-bitarsversion av Windows XP
Om någon av dessa förutsättningar inte uppfylls fungerar inte installationen, och ett felmeddelande visas. Mer information om felmeddelandet finns i följande loggfil:
%Windir%\debug\sasscln.log
Dessutom bör du installera säkerhetsuppdatering 835732 (MS04-011) innan du använder Sasser Worm Removal Tool. Även om masken tas bort från angripna datorer med version 4.0 av borttagningsverktyget, hindrar det inte datorn från att angripas på nytt om den fortfarande är sårbar. Genom att installera säkerhetsuppdatering 835732 innan du använder borttagningsverktyget kan du undvika att angripas av masken igen.

Krav på omstart

Du behöver inte starta om datorn när du har installerat det här verktyget.

Information om användning

Obs! Innan du följer nedanstående anvisningar bör du säkerhetskopiera alla viktiga data.

När du installerar Sasser Worm Removal Tool version 4.0 och accepterar licensavtalet (EULA) extraheras filen Sasscln.exe till en tillfällig katalog, och sedan körs borttagningsverktyget. Förutsättningarna som nämns i "Förutsättningar" kontrolleras. Om de är uppfyllda gör borttagningsverktyget följande:
  1. Söker efter spår av Sasser.A (Avserve.exe), Sasser.B, Sasser.C (Avserve2.exe), Sasser.D (Skynetave.exe), Sasser.E (Lsasss.exe) och Sasser.F (Napatch.exe) i minnet. Om datorn är angripen avbryts maskprocessen.
  2. Sökning efter kända körbara Sasser A?F-filer på hårddisken och Sasser-relaterade poster i Run-nycklarna i registret. Om körbara filer hittas på hårddisken tas filerna och registerposterna bort. Andra verktyg kan ta bort maskfilerna från hårddisken utan att ta bort registervärdena.

    Om ett Sasser-registervärde inte längre pekar på en fil på hårddisken tas inte det "övergivna" registervärdet bort, eftersom det inte ställer till någon skada.
  3. Visar en Windows-meddelanderuta, där resultatet av identifierings- och borttagningsprocessen beskrivs. Följande meddelanden kan förekomma:
    • "No infection detected" ? Sasser hittades inte på datorn.
    • "Successfully removed Masknamn" ? Masknamn togs bort. Inga ytterligare åtgärder krävs.

      Obs! Masknamn står för en Sasser-variant (A, B, C, D, E eller F).
    • "This tool must be run by an administrator" ? Verktyget måste användas av en administratör.
    • "Fatal error, please review log file" ? Ett allvarligt fel har inträffat och beskrivs i loggfilen.
    • "Masknamn was detected, but could not be removed" ? Kör verktyget igen och se efter om det finns några felmeddelanden i loggfilen.
    • ?This tool requires Windows 2000 or Windows XP? ? Det här verktyget stöds inte i andra Windows-versioner än Windows 2000 och Windows XP.
    • "Incorrect Windows version (Win32s)" ? Det här verktyget stöds inte i Windows 3.1 med Win32s.
    Dessutom visas följande meddelande om säkerhetsuppdateringen 835732 (MS04-011) inte är installerad:
    • "To prevent infection, please visit Windows Update (www.windowsupdate.com) and install KB835732" ? Du måste installera den här uppdateringen för att inte angripas av Sasser igen.
    När du stänger meddelanderutan avslutas verktyget, och filen Sasscln.exe tas bort från den tillfälliga mappen. Du kan nu ta bort filen Windows-KB841720-ENU-V4.exe manuellt.
  4. En loggfil med beteckningen Sasscln.log skapas i mappen %Windir%\Debug. Du kan se i loggfilen om Sasser har hittats och tagits bort.

Kommandoradsväxlar

Installationsprogrammet för borttagningsverktyget stöder följande kommandoradsväxlar:
  • /Q ? Använd tyst läge eller förhindra att meddelanden visas när filerna extraheras.
  • /Q:U - Använd tyst läge för användare. Detta innebär att vissa dialogrutor visas för användaren.
  • /Q:A - Använd tyst läge för administratör. Detta innebär att inga dialogrutor visas för användaren.
  • /T: sökväg - Ange platsen för den tillfälliga mappen som används i installationsprocessen, eller ange målmappen för extrahering av filer (vid användning tillsammans med växeln /C).
  • /C - Extrahera filerna utan att installera dem. Om /T: sökväg inte är angiven ombeds du ange en målmapp.
  • /C: cmd - Ange sökväg och namn för en annan Setup.inf- eller EXE-fil som ska användas för installation av verktyget.
  • /R:N - Starta aldrig om datorn efter installationen.
  • /R:I - Uppmana användaren att starta om datorn när en omstart krävs, utom när den här växeln används tillsammans med växeln /Q:A.
  • /R:A - Starta alltid om datorn efter installationen.
  • /R:S - Starta om datorn efter installationen, utan att användaren tillfrågas.
Om du vill veta mer om kommandoradsväxlar som stöds klickar du på följande artikelnummer och läser artikeln i Microsoft Knowledge Base:
197147 Kommandoradsväxlar för uppdateringspaket för IExpress-program (Länken kan leda till en webbplats som är helt eller delvis på engelska)
Borttagningsverktyget stöder följande kommandoradsväxel:
  • /S - Aktiverar tyst läge för verktyget. Den här växeln förhindrar visning av dialogrutan efter körning av verktyget.

Information om borttagning

Filen Sasscln.exe tas automatiskt bort från dess tillfälliga plats efter körning av borttagningsverktyget. Du kan ta bort installationspaketet för verktyget när du har installerat borttagningsverktyget.

Obs! När du har installerat Sasser Worm Removal Tool (KB841720) visas det inte i listan över Installerade program i Lägg till/ta bort program på Kontrollpanelen.

Mer Information

Vanliga frågor

  • F1: Skyddar det här verktyget datorn mot Sasser?

    S1: Nej. Verktyget tar bort Sasser från en angripen dator. För att förhindra att datorn angrips måste du installera säkerhetsuppdatering 835732.
  • F2: Vilka varianter av Sasser tas bort med verktyget?

    S2: Det här verktyget tar bort Sasser.A, Sasser.B, Sasser.C, Sasser.D, Sasser.E och Sasser.F.
  • F3: Hur fungerar verktyget?

    S3: Verktyget tillhandahålls i ett IExpress-installationspaket (Windows-KB841720-ENU-V4.exe). När installationsprogrammet körs extraheras filen Sasscln.exe till en tillfällig katalog, och sedan körs borttagningsverktyget. Sasscln.exe 3.0 tar bort alla förekomster av Sasser A, Sasser.B, Sasser.C, Sasser.D, Sasser.E och Sasser.F. Sedan visas en dialogruta och borttagningsverktyget avslutas. Filen Sasscln.exe tas automatiskt bort från den tillfälliga mappen, och installationspaketet kan tas bort manuellt. Mer information om IExpress-installationspaketet finns på följande Microsoft-webbplats:
    http://www.microsoft.com/technet/prodtechnol/ie/ieak/techinfo/deploy/60/en/iexpress.mspx?mfr=true
  • F4: Får jag själv distribuera Sasser Worm Removal Tool?

    S4: Nej. Alla kunder måste själva hämta Sasser Worm Removal Tool (Windows-KB841720-ENU-V4.exe) från Microsoft-webbplatsen.
  • F5: Får jag själv distribuera Sasscln.exe?

    S5: Nej. Sasscln.exe får inte distribueras vidare.
  • F6: Är verktyget digitalt signerat av Microsoft?

    S6: Ja. Både installationspaketet och Sasscln.exe är digitalt signerade av Microsoft.
  • F7: Hur kör jag verktyget?

    S7: Se "Information om hämtning och installation".
  • F8: Hur vet jag att Sasser har tagits bort?

    S8: När du har kört borttagningsverktyget visas en dialogruta med resultatet. Dessutom kan du se efter om loggfilen Sasscln.log innehåller någon av följande poster:
    • "No Masknamn infection found" anger att ingen mask har hittats.
    • "Masknamn found and removed" anger att Masknamn hittades och togs bort.
    • "Masknamn found and will be removed at next reboot" anger att masken Masknamn hittades och kommer att tas bort när datorn startas om.
  • F9: Finns det ett MSI-paket (Microsoft Windows Installer) för det här verktyget?

    S9: Nej. För körning av det här verktyget används ett IExpress-paket.
  • F10: Kan det här verktyget tas bort (avinstalleras?)

    S10: Ja. Se "Information om borttagning".
  • F11: Kommer det här verktyget att finnas på andra språk?

    S11: För närvarande finns den här utgåvan bara på engelska (USA).
  • F12: Jag använder en 64-bitarsversion av Windows XP. Kan jag installera det här verktyget?

    S12: Nej. Verktyget stöder för närvarande endast 32-bitars operativsystem.
  • F13: Behöver jag installera det här verktyget om jag har kört ett borttagningsverktyg för Sasser från leverantören av antivirusprogrammet, eller om jag har ett uppdaterat antivirusprogram?

    S13: I regel inte. Borttagningsprogram från leverantörer av antivirusprogram bör ta bort all Sasser-kod. Om du installerar Sasser Worm Removal Tool på en dator som inte är angripen bör det emellertid inte ha några negativa följder.
  • F14: Samlas någon information in från datorn och skickas till Microsoft?

    S14: Ingen information skickas tillbaka till Microsoft när du installerar eller kör det här verktyget.
  • F15: Vad gör jag om verktyget inte tar bort Sasser från datorn?

    S15: Kör ett uppdaterat antivirusprogram.
  • F16: Skapas en loggfil så att jag vet om skadlig kod har hittats eller tagits bort? Vad heter i så fall loggfilen, och var finns den?

    S16: Se "Information om användning".
  • F17: Hur vet jag att verktyget har körts färdigt?

    S17: När du klickar på OK för att bekräfta resultatet av körningen är körningen klar. Du kan granska resultatet i loggfilen Sasscln.log. Mer information finns i "Information om användning".
  • F18: Kan jag köra det här verktyget på en fjärrdator i nätverket?

    S18: Nej.
  • F19: Vilka kommandoradsväxlar kan användas till installationspaketet?

    S19: Se "Kommandoradsväxlar".
  • F20: Ersätter verktyget ett antivirusprogram?
  • S20: Nej. Installera och använd ett uppdaterat antivirusprogram.
  • F21: Störs det här verktyget av antivirusprogram?

    S21: Om ett antivirusprogram körs på en angripen dator samtidigt med borttagningsverktyget, kan antivirusprogrammet identifiera Sasser och förhindra att borttagningsprogrammet tar bort Sasser. I sådana fall kan du använda antivirusprogrammet för att ta bort Sasser.

    Obs! Sasscln.exe innehåller inget virus och ingen mask. Därför bör borttagningsverktyget ensamt inte utlösa några åtgärder från antivirusprogrammet. Om datorn angreps av Sasser innan ett uppdaterat antivirusprogram installerades, och om schemalagd virussökning (eller sökning i bakgrunden) har inaktiverats, blir antivirusprogrammet kanske inte "medvetet" om masken förrän ett försök görs att ta bort den med Sasser Worm Removal Tool.

    I övriga fall bör Sasser Worm Removal Tool inte störa antivirusprogrammet. Du behöver inte inaktivera eller ta bort antivirusprogrammet när du installerar det här verktyget.
  • F22: Hur fungerar det här verktyget tillsammans med Systemåterställning i Windows XP?

    S22: Verktyget skapar inte någon systemåterställningspunkt.
  • F23: Kan jag använda MBSA (Microsoft Baseline Security Analyzer) för att identifiera datorer som behöver det här verktyget?

    S23: Nej. Du kan använda MBSA för att ta reda på vilka datorer som har säkerhetsuppdateringen 835732. Det är emellertid inte möjligt att använda MBSA för att avgöra vilka datorer som har angripits av Sasser.
  • F24: Vilka användarrättigheter och andra förutsättningar krävs för att köra det här verktyget?

    S24: Se "Förutsättningar".
  • F25: Kommer det här verktyget att ingå i Windows XP Service Pack 2?

    S25: Nej.
  • F26: Kan den här uppdateringen distribueras via Microsoft Systems Management Server och andra program för systemhantering?

    S26: Ja. Som vid alla stora distributioner är det lämpligt att först testa installation och borttagning av verktyget på flera datorer innan alla datorer på företaget uppdateras. Med följande kommando kan installationspaketet och verktyget köras i tyst läge:
    Windows-KB841720-ENU-V4.exe /Q /C:"sasscln.exe /S"
  • F27: Den viktiga uppdateringen KB841720 installerades inte på datorn av Automatiska uppdateringar. När jag besöker Windows Update och söker efter uppdateringar är KB841720 dessutom inte tillgänglig för installation. Varför?

    S27: För att KB841720 ska vara tillgänglig i Windows Update och genom Automatiska uppdateringar måste datorn uppfylla kraven i "Förutsättningar" i den här artikeln.

    Dessutom är KB841720 inte tillgänglig för installation från Windows Update eller Automatiska uppdateringar om datorn inte verkar vara angripen av Sasser.

Egenskaper

Artikel-id: 841720 - Senaste granskning: den 21 februari 2007 - Revision: 11.1
Informationen i denna artikel gäller:
  • Microsoft Windows XP Home Edition
  • Microsoft Windows XP Professional Edition
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Service Pack 2
  • Microsoft Windows 2000 Service Pack 3
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Windows 2000 Service Pack 2
  • Microsoft Windows 2000 Service Pack 3
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Service Pack 2
  • Microsoft Windows 2000 Service Pack 3
  • Microsoft Windows 2000 Service Pack 4
Nyckelord: 
kbvirus atdownload KB841720

Ge feedback

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com