Virus

Plus que jamais nous vous recommandons de ne pas faire appel aux messageries instantanées du type "Msn Messenger". Cette dernière a récemment été infectée par le ver "Jitux". Il s'agit d'un programme d'encombrement du réseau, il demande à l'internaute de télécharger le fichier "jituxramon.exe" qui, une fois installé, lance un message vers les autres contacts identifiés dans le logiciel de messagerie instantanée et crée donc artificiellement du trafic réduisant ainsi la bande passante...

Votre PC vous renvoie aléatoirement une erreur "Windows doit maintenant redémarrer car le service appel de procédure distante (RPC) s'est terminée de façon inattendue" ... puis la machine reboote... Vous faites désormais partie du club des victimes du virus W32.Blaster.Worm (parfois dénommé Lovesan) qui progresse de façon inquiétante ces jours derniers, en exploitant une faille critique "Windows RPC" ... Les systèmes vulnérables sont : Microsoft Windows NT 4.0, 2000, XP, Server 2003.

Heureusement, la parade existe : tout d'abord utiliser l'outil d'éradication gratuit proposé par Symantec à l'adresse suivante : http://securityresponse.symantec.com/avcenter/FixBlast.exe. On peut ensuite éviter que ça ne recommence en appliquant le correctif proposé par Microsoft à l'adresse suivante : http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS03-026.asp. Attention, de faux outils d'éradications commencent à circuler par Email, ces programmes installent en fait d'autres virus, vérifiez donc toujours l'origine exacte de ce genre d'envois !

Le mieux est de vous doter enfin d'un anti-virus à jour et d'un firewall efficace, ainsi qu'un outil de détection de SpyWares. On ne le répètera jamais assez, il est conseillé de régulièrement se connecter sur "Windows Update" afin de faire les "mises à jour de sécurité". Plus d'infos à l'adresse suivante : http://www.microsoft.com/france/securite/alertes/blaster.asp

Plus récemment le virus Sasser a eu les honneurs de la presse, ce genre de bestioles utilise une faille connue depuis mi-avril 2004, une simple connexion à l'Internet suffit. Dans ce cas le message devient : "LSA Shell has encountered a problem and needs to close. We are sorry for the inconvenience".

Comment protéger mon pc ? - simplement en vérifiant que le Pare-feu est bien activé sur votre PC (voir notre didacticiel http://www.alpi40.org/Maintena/Wiz/Fire/FireWall.htm)
- en téléchargeant toutes les mises à jour critiques depuis "Windows update" (http://windowsupdate.microsoft.com).

Comment désinfecter ma machine le cas échéant ? - Microsoft propose un outil (http://www.microsoft.com/security/incident/sasser.asp) Symantec également (http://securityresponse.symantec.com/avcenter/venc/data/w32.sasser.worm.html).

Opaserv se fait de plus en plus remarquer chez nos adhérents. Il agit comme une sangsue dont on arriverait pas à se défaire. Dès que vous pensez en être débarrassé, il revient à la première connexion ...

Symantec a édité un outil gratuit d'éradication nommé "FixOpsrv.exe". 

Mais cette manipulation ne suffit pas ! Pour être totalement efficace, lisez le fil de la conversation OPASERV Help Me Please sur notre forum consacré aux virus ...

Vos imprimantes se sont mises brusquement à avoir un comportement délirant et vous vous demandez quelle mauvaise manipulation vous avez bien pu commettre. Vous n'êtes peut être pas en cause, mais il s'agit peut être des agissement d'un nouveau virus nommé BugBear qui séjourne dans la région en ce moment ... BugBear utilise des techniques bien éprouvées maintenant : il utilise vos contacts Outlook, Il poste des messages récupérant des documents au hasard sur votre disque, documents qu'il est d'ailleurs capable de supprimer à l'occasion. Il utilise également une fonctionnalité inaugurée par Klez à savoir la désactivation de votre anti - virus ce qui a un double avantage pour lui, se répandre sans difficultés et préparer le terrain pour la prise de contrôle de votre machine par des personnes mal attentionnées ... D'autant qu'il installe à l'occasion un "mouchard" capable d'auditer les caractères que vous frappez sur votre clavier (tels vos mots de passe par exemple) afin de les transmettre.

Symantec a édité un outil gratuit d'éradication nommé "FxBgbear.exe". Il est préférable de passer par cet outil car la bestiole est difficile à repérer car elle prend la forme d'un exécutable résident dont le nom est pioché au hasard dans une liste assez impressionnante et se glisse dans la registre à la clé :

 HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\ CURRENTVERSION\RUNONCE.  

Il commence à rôder dans notre coin, c'est w32.Yaha. Rien de bien original dans le mode de diffusion de ce ver: il utilise vos contacts Outlook, Msn, Yahoo ou ICQ, et existe en plusieurs versions. Il poste des messages récupérant un document au hasard sur votre disque ou bien en y inscrivant des bouts de textes pré-formatés en langue anglaise, l'accompagnant d'un fichier qui peut être tantôt un économiseur d'écran, tantôt une image ... Bien sûr, il s'agit d'une pièce jointe à double extension, et à ce sujet, nous vous rappelons qu'il est prudent de faire la manipulation décrite en haut de cette page sur votre machine. Il semblerait qu'il soit capable comme Klez de désactiver votre anti - virus, il lance aussi parfois un économiseur d'écran que vous n'avez pas programmé vous - même et qui contient des messages du type "You'r my best friend" ou bien "I like you very much".

On trouve des outils d'éradication gratuits sur Internet répondant au doux nom de "FixYaha.com". Vous pouvez aussi vérifier si vous êtes infecté et même vous débarrasser de l'animal en procédant de la même manière que pour le virus Sircam (exécutez alors les points de 1 à 8). Bien sûr il sera prioritaire de mettre à jour votre anti - virus le plus rapidement possible. Plus tard, vous pourrez vider votre corbeille et éliminer les fichiers .bat .pif et .scr suspects (attention envoyez - les d'abord à la corbeille, surtout les .bat et .pif)...

C'est la nouvelle crainte en matière de virus : Klez. Cette vilaine bestiole est en train de provoquer un joli désordre parmi les internautes. Plusieurs versions existent (A, E, G, H E ...) elles n'ont pas toutes le même comportement. Nous l'avons parfois vu venir sous la forme d'un fichier du nom de "Onload.exe". Vous devez vous alarmer si des personnes reçoivent des messages de votre part alors que vous ne leur avez jamais rien envoyé ! Le pire est que ce n'est peut être pas vous qui êtes infectés, mais certains de vos destinataires, ces derniers redirigent à leur insu vers des tiers les mails qu'on leur a envoyé, en se faisant passer pour vous via le carnet d'adresse ...

Cela veut dire que les nouveaux virus "cachent" le nom de l'expéditeur réel (cette technique est également utilisée par certains "spammeurs" indélicats). Pour connaître réellement l'endroit d'où vient un message, regardez dans ses propriétés (par exemple si vous utilisez Outlook express, sélectionnez le message, puis cliquez à l'aide du bouton droit de la souris et choisissez "Propriétés" puis "Détails" )  l'adresse Email réelle figure alors dans le champ "Return-Path".

Il convient de prendre cette nouvelle génération de virus très au sérieux car selon Symantec, la version "H" de Klez est capable de désactiver et rendre inutilisable les antivirus et autres outils de sécurité (comme les firewall) installés sur le PC. Dans ce cas, il est possible d'utiliser un outil gratuit de substitution nommé "Fixklez" disponible en téléchargement.

Plus que jamais, mettre à jour vos antivirus et télécharger les dernières définitions de virus est le meilleur moyen de protection. Si vous utilisez Internet Explorer, assurez - vous de posséder au minimum la version 5.50 SP2.

 il y a de fortes chances pour que vous soyez victime de Magistr qui se contracte par le biais d'une pièce jointe (dans votre messagerie). Tournez vous alors vers un anti - virus mis à jour récemment ou vers les quelques utilitaires gratuits de décontamination que l'on peut trouver sur Internet ... Attention ce virus s'il n'est pas pris à temps provoque de graves

BadTrans se diffuse via des Emails dont l'objet est emprunté au hasard sur la machine qui va transmettre le virus, ce dernier lui rajoute la mention « Re : » pour simuler une réponse. 

Attention contrairement aux autres virus utilisant la pièce jointe pour infecter votre machine, il semblerait que pour la version B de BadTrans, il ne soit même pas nécessaire d'ouvrir le message, mais que sa simple apparition dans le volet de prévisualisation d'Outlook puisse déclencher le processus d'infection. Pour éviter ce problème il est nécessaire de posséder au moins la version 5.5 SP2 ou postérieure d'Internet Explorer. Vous pouvez utiliser Windows Update pour obtenir cette mise à jour (voir plus haut dans cette page).

Ces Emails ne contiennent aucun texte, mais un fichier joint dont le nom possède une double extension (qui ne sera visible que si vous avez activé cette option*) et varie d'une machine à l'autre; en voici une liste :


Sorry_about_yesterday.MP3.pif
Humor.MP3.scr
info.DOC.scr
S3MSONG.DOC.scr
SEARCHURL.MP3.pif
YOU_are_FAT!.MP3.scr
HAMSTER.DOC.pif
Me_nude.MP3.scr
fun.MP3.pif
stuff.MP3.pif
Card.DOC.pif
news_doc.DOC.scr
images.DOC.pif
New_Napster_Site.MP3.pif
docs.DOC.pif
Pics.DOC.scr
SETUP.DOC.scr
README.MP3.scr

Si vous enregistrez la pièce jointe, vous déclenchez un fichier .PIF qui va mettre en place un cheval de Troie « voleur de mots de passe » (KDLL.DLL) capable d'envoyer par Email des informations confidentielles aux auteurs du virus et de prendre ainsi contrôle des machines infectées.

Pour tester si une machine est infectée, il vous faut rechercher si les fichiers INETD.EXE, KERN32.EXE ou KERNEL32.EXE sont présents sur le disque.

Voici une méthode pour se débarrasser de la bestiole ...

WINDOWS 95/98/ME (attention pour Windows Me lisez plus bas)

1 - Redémarrez Windows en mode "Sans Echec" (au moment du démarrage de Windows, tapez sur la touche F8 et choisir "Mode sans Echec" dans le menu) .

2 - Cliquez sur "Démarrer -> Rechercher ->Fichiers ou dossiers" et taper la ligne suivante INETD.EXE (dans la case "nommé") puis dans la case "Rechercher dans" inscrivez C:\. Lancer la recherche puis supprimez définitivement les fichiers trouvés. faites de même pour les fichiers suivants :

KERN32.EXE 
KERNEL32.EXE 
KDLL.DLL 
HKSDLL.DLL 

3 - Lancer la base de registres. Attention ! procédez avec précaution. Cliquez sur "Démarrer -> Exécuter" puis tapez "Regedit" puis la touche "Entrée". Cliquez sur la fenêtre suivante (à chaque fois utilisez le petit signe +) HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\ CURRENTVERSION\RUNONCE.

Supprimez la clef "KERNEL32" à droite de l'écran à l'aide de la touche "Suppr".

4 - Redémarrer la machine.

WINDOWS NT/2000/XP

1 - Tapez CTRL-ALT-Suppr, choisissez le "Gestionnaire de tâche" puis l'onglet "Processus", localisez KERNEL32.EXE, cliquez dessus, et choisissez le bouton "Terminer processus". Appliquez ensuite le point numéro 2 évoqué ci-dessus (certaines commandes peuvent légèrement varier).

2 - Lancer l'éditeur de registre. Cliquez sur la fenêtre suivante (à chaque fois utilisez le petit signe +) HKEY_CURRENT_USER\ SOFTWARE\ MICROSOFT\WINDOWS NT\WINDOWS\

Si INETD.EXE est présent à droite, Faites un double-clic sur la clef RUN et effacez la valeur INETD.EXE.


Pour tous les systèmes, comme toujours ayez un anti-virus remis à jour régulièrement.

Passez, si ce n'est déjà fait, à  Internet Explorer 5.5 SP2, ou 6 en utilisant par exemple l'option "Windows Update" contenue dans le menu "Outils" de votre navigateur (attention les mises à jour font parfois plus de 10 mo). 

*Nous vous recommandons de configurer votre machine de façon à ce qu'elle montre toujours les doubles extensions, de cette façon, vous pourrez déceler à l'avance les pièces jointes suspectes. Pour cela, ouvrez le "Poste de Travail", allez dans le menu "Affichage" et choisissez "Option des dossiers" et l'onglet "Affichage", décochez alors la case de l'option "Masquer les extensions des fichiers dont le type est connu".

Informations complémentaires pour Windows ME
Vous devez faire ces manipulations en plus :

1. Avant d'appliquez les instructions ci dessus : clic droit sur "Poste de Travail"
2. Choisissez l'onglet "Performances"
3. Cliquez sur le bouton "Système"
4. Choisissez l'onglet "Dépannage" 
5. Cochez la case "désactiver le système de restauration des fichiers".
6. Cliquez sur "Appliquer" et fermez toutes les fenêtres
7. Redémarrez la machine
8. à l'issue de la procédure remettez en route ce système de restauration en décochant la case ... 

Une évolution de NIMDA pourrait bien envahir vos écrans ces prochains jours .... 

Voici les principales différences par rapport à la version précédente (voir + loin sur cette page). La pièce jointe s’appelle sample.exe (et non readme.exe), les fichiers dangereux se trouvent dans le répertoire \Windows\System sous le nom de Csrss.exe, et Httpodbc.dll. Pour le reste reportez - vous à notre article sur Nimda 1ère version ...

Par ailleurs un Email intitulé « Possible Nimda Worm infection » soi-disant envoyé par Trend Micro et SecurityFocus circule actuellement sur le Net. Il contient une pièce jointe dénommée FIX_NIMDA.exe, supposée être un remède, et qui est en fait un cheval de troie. Rappelez - vous que les éditeurs n'envoient généralement pas de programmes correctifs sans vous prévenir.

Nimda est un virus qui se déclenche à partir du 18 septembre. Il est assez sérieux.

Il s'agit d'un virus de messagerie transmis par une pièce jointe du nom de "Readme.exe" qui, semble t-il, reste invisible. , il infecte les machines à travers les partages réseau y compris les serveurs.

On s'aperçoit que l'on est infecté car le ver crée des fichiers .EML dans à peu près tous les répertoires. Ces fichiers portent tous la date de l'infection (18 ou 19 septembre selon nos observations). Bien sûr si vous possédez vous même des fichiers de ce type en petit nombre à d'autres dates, il ne faut pas s'alarmer. Le fait que vous ayez ces fichiers ne veut pas dire que vous êtes infecté(e), mais que quelqu'un dans votre réseau l'est sans doute. Dans tous les cas n'en ouvrez aucun !

Pour être certain de savoir si vous êtes infecté(e), débranchez votre câble réseau et cessez tous les partages de vos disques. 

Désactivez le partage des fichiers tant que tous les ordinateurs ne sont pas traités. Pour cela cliquez avec le bouton droit de la souris sur l'icône "Voisinage Réseau" et choisissez "Propriétés", cliquez sur le bouton "Partage fichiers ..." et décochez la case de partage des fichiers. Confirmez toutes les fenêtres.

Un utilitaire d'éradication est disponible à l'adresse suivante : http://www.sophos.com.

Vous pouvez également faire les manipulations suivantes sur tous les ordinateurs de votre réseau si vous ne disposez d'aucun utilitaire d'éradication.

Redémarrez la machine en ligne de commande (au moment du démarrage de Windows, tapez sur la touche F8 et choisir "Invite MS/DOS" dans le menu).  Le virus modifie une ligne du fichier System.ini.  Pour la contrôler, tapez les commandes suivantes :

cd windows [puis la touche entrée]
edit system.ini [puis la touche entrée]

Recherchez la ligne suivante :

shell=explorer.exe

ceci est la version normale, vous n'avez donc pas le virus, mais lisez tout de même la suite ... 

Si cette ligne est : 

shell= explorer.exe load.exe -donotloadold

C'est que vous avez contracté le virus. Remettez la ligne comme elle devrait être, puis tapez ALT-F4 et choisissez d'enregistrer le fichier.

Tapez ensuite :

cd system [puis la touche entrée]
attrib -s -h riched20.dll  [puis la touche entrée]
dir riched20.dll  [puis la touche entrée]

Si le fichier est de septembre 2001, il est infecté. Ce fichier sert à importer des polices True Type, il est aussi utilisé par des applications comme Word. L'idéal est de se procurer un fichier sain pour le réimplanter, car sinon vous pourriez avoir des difficultés à créer de nouveau document Office ou récupérer des "erreurs 2894" lors de l'installation d'Office; mais en attendant il vaut mieux l'effacer ... Pour cela tapez : 

del  riched20.dll  [puis la touche entrée]
attrib -s -h load.exe [puis la touche entrée]
del load.exe [puis la touche entrée]

Relancez ensuite votre système sans vous connecter au réseau.

Cliquez sur Démarrer -> rechercher fichiers et dans la case "Nommé" tapez :

*.EML

Puis lancez la recherche. Effacez tous les fichiers .EML qui sont datés de septembre et dont vous n'êtes pas l'auteur. Attention de bien faire la recherche sur l'intégralité de vos disques durs si vous en avez plusieurs !

Effacez vos fichiers temporaires. Si vous avez Windows 98, ouvrez le poste de travail, et sur chaque disque faites la manœuvre suivante : Cliquez avec le bouton droit de la souris sur le disque et choisissez "propriétés". Dans la fenêtre qui s'affiche choisissez "Nettoyage du disque", cochez les cases "Fichiers Internet Temporaires", "Corbeille" et "Fichiers temporaires". 

Si vous avez Windows 95, lancez Internet Explorer et videz votre cache (choisissez "Outils - Options Internet" et cliquez sur "Supprimer les fichiers". Videz ensuite le contenu du répertoire "temp" que vous trouvez généralement dans le répertoire Windows, puis videz la corbeille.

Connectez vous ensuite sur Internet et lancez "Windows Update" grâce au menu "Outils" d'Internet Explorer et choisissez de télécharger les mises à jour recommandées.

Mettez à jour votre anti- virus et scannez tous vos disques.

Si vous utilisez Windows NT, contrôlez les points suivants :

Si vos disques sont envahis de fichiers . EML, il convient de les supprimer. Effacez tous les fichiers .EML qui sont datés de septembre et dont vous n'êtes pas l'auteur. Mettez à l'abri les fichiers . EML sains. Attention de bien faire la recherche sur l'intégralité de vos disques durs si vous en avez plusieurs ! Pour cela cliquez sur "Démarrer -  Programmes - invite de commande" et tapez cette commande sur la racine de chacun de vos disques durs :

del *.eml /s [puis la touche entrée]

Tapez ensuite 

Exit [puis la touche entrée]

Contrôlez ensuite les points suivants : lancez le gestionnaire des utilisateurs et contrôlez que le compte "Invité" ne fasse pas partie du groupe "Admins du domaine" ou "Administrateurs" et si c'est le cas, corrigez la situation. 

Si vous utilisez IIS 4 ou 5, téléchargez les correctifs suivants :

http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS01-044.asp
http://www.microsoft.com/ntserver/nts/downloads/critical/q269862/xdownload.asp

Attention il faut être au moins en SP5 pour que cela marche...

Mettez à jour votre anti-virus.

Tout d'abord en voici les symptômes : Vous recevez un mail (y compris d'une personne que vous connaissez) ayant cet aspect :

Hi! How are you?
I send you this file in order to have your advice
ou bien I hope you can help me with this file that I send
ou bien I hope you like the file that I sendo you
ou bien This is the file with the information that you ask for See you later. Thanks

Hola como estas ?
Te mando este archivo para que me des tu punto de vista
ou bien Espero me puedas ayudar con el archivo que te mando
ou bien Espero te guste este archivo que te mando
ou bien  Este es el archivo con la informacion que me pediste Nos vemos pronto, gracias.

Le virus se propage à tous les membres de votre carnet d'adresse de messagerie et peut être même selon certains aux adresses contenues dans les pages Web visitées, aussi si vous êtes contaminés, prévenez (à l'aide l'un ordinateur sain) vos correspondants.

Ce message comporte une pièce jointe avec deux extensions. Cette pièce jointe provient d'un fichier de l'ordinateur de la personne qui vous a infecté (à son insu, bien sûr). Ce fichier est pris au hasard, et si vous êtes victime du virus, ce dernier prendra à nouveau un fichier sur votre disque pour s'en servir de pièce jointe, la contaminer et la transmettre à vos correspondants.

Bien sûr si vous possédez un anti-virus à jour ou que vous supprimez immédiatement le message sans l'ouvrir, le virus n'est pas transmis.

Ce virus recherche tous les fichiers portant les extensions GIF, .JPG, .JPEG, .MPEG, .MOV, .MPG, .PDF, .PNG, .PS, et .ZIP sur votre disque et en fait un seul fichier du nom de SCD.DLL dans le sous répertoire SYSTEM de Windows... Il peut également "saturer" artificiellement votre disque en créant un fichier de grande taille nommé "syrcam.sys" placé dans votre corbeille (\recycled). Mais il semblerait que certains utilisateurs aient vu leur disque dur entier effacé (il semblerait que la date du 16 octobre soit "propice")...

Si vous n'avez pas d'anti-virus et si vous suspectez avoir été infecté, voici la méthode pour supprimer la bestiole. Attention! pour effectuer cette manipulation vous devez bien connaître le système Windows. Dans le cas contraire, utilisez l'outil fourni à l'adresse suivante :

ftp://ftp1.avp.ch/utils/clrav.com

1. Avant tout, isolez - vous de votre réseau  local et de l'Internet
2. Comme le virus infecte tous les fichiers EXE et que nous devons modifier le registre avec l'outil Regedit.exe, il est important de copier ce dernier sous une autre extension depuis l'invite de commande de cette façon :

3. copy regedit.exe regedit.com

   Tapez ensuite :

   start regedit.com

4. Ouvrez le registre et trouvez la clef 

5. HKEY_CLASSES_ROOT\exefile\shell\open\command

6. modifiez - la en supprimant ce qu'i s'y trouve et rentrez à la place la chaîne suivante : 

7. "%1" %*

8. normalement le registre ajoute des " de sorte que quand vous validez la clef, celle - ci se
   présente sous la forme : ""%1" %*"

9. Trouvez la clef HKEY_LOCAL_MACHINE\Software\SirCam et supprimez - la
   
10. Trouvez la clef HKEY_LOCAL_MACHINE\Software\
    Microsoft\Windows\CurrentVersion\RunServices
    Si vous trouvez une valeur  Driver32 dans la partie droite, supprimez cette valeur. Quittez le Registre, fermez éventuellement. votre session Dos
11. Recherchez le fichier C:\Recycled\Sircam.sys et supprimez - le s'il est présent. Pour cela le mieux est d'interrompre le chargement de Windows avec la touche F8 et de choisir "Invite MS/DOS" dans le menu. Vous pouvez alors carrément supprimer le répertoire \recycled (Windows le recréera au démarrage) avec la commande suivante :
    Deltree c:\recycled 
    Bien sûr tout ce qui se trouvait dans la corbeille sera perdu.
12. Repérer le fichier "Autoexec.bat", cliquez dessus avec le bouton droit de la souris choisissez "Edition", supprimer la ligne suivante,
    
    @win \recycled\sirc32.exe
    
    puis choisissez "Fichier -Enregister".
13. Cliquez sur "Démarrer -> Rechercher ->Fichiers ou dossiers" et taper la ligne suivante run32.exe (dans la case "nommé") puis dans la case "Rechercher dans" inscrivez C:\. Lancer la recherche puis renommez éventuellement les fichiers trouvés en rundll32.exe.
14. Redémarrer la machine...
15. Lancer Outlook Express, supprimez les messages ayant causés le problème.
16. Dotez vous d'un anti - virus récent, ou si vous en possédez déjà un, mettez - le à jour et scannez tous les fichiers du disque dur, une fois toute suspicion  levée, vous pouvez vous reconnecter à votre réseau et à Internet...

Tout d'abord en voici les symptômes : Le premier de chaque mois, une fenêtre apparaît dont le titre est "driver memory error".

Si on clique sur Ok, l'ordinateur plante.

Si on ne clique pas,  on peut continuer à travailler mais on ne peut plus accéder aux sites internet.

1. Pour s'en débarrasser, supprimer définitivement le fichier "Ae.kak" dans la racine (C:\) en faisant la combinaison de touches Maj-Suppr.
2. Effacez le fichier "C:\Windows\kak.htm", par la même méthode.
3. Supprimez le fichier "Kak.hta" situé dans le chemin suivant :C:\Windows\Menu démarrer\Programmes\Démarrage.
4. Repérer le fichier "Autoexec.bat", cliquez dessus avec le bouton droit de la souris choisissez "Edition", supprimer les lignes suivantes,
   
   @echo off>C:\Windows\MENUDé~1\PROGRA~1\DéMARR~1\kak.hta
   del C:\Windows\MENUDé~1\PROGRA~1\DéMARR~1\kak.hta
   
   puis choisissez "Fichier -Enregister".
5. Cliquez sur "Démarrer -> Rechercher ->Fichiers ou dossiers" et taper la ligne suivante *.hta (dans la case "nommé") puis dans la case "Rechercher dans" inscrivez C:\Windows\System. Lancer la recherche puis supprimez définitivement les fichiers trouvés.
6. Lancer la base de registres. Attention ! procédez avec précaution. Cliquez sur "Démarrer -> Exécuter" puis tapez "Regedit" puis la touche "Entrée". Cliquez sur la fenêtre suivante :HKEY_LOCAL_MACHINE. Choisissez ensuite le dossier "Software\Microsoft\Windows\CurrentVersion\Run". Effacez la clef "cAgOu".
7. Redémarrer la machine...
8. Lancer Outlook Express, supprimez votre ancienne signature et recréez - la (Outils - options).
9. Mettez à jour votre Outlook (voir notre rubrique Patches) et dotez vous d'un anti - virus récent...

débutant  confirmé  expert