[Résolu] Suppression du virus "iloveyou"

[M@TH]

j'ai eu sur mon bureau un fichier appelé iloveyou.exe. je n'ai pas l'impression qu'il affecte mon pc (performances, fichiers,...) mais je problème c'est que je ne peux pas l'enlever de mon bureau car un processus l'utilise ou quelque chose du même genre.

Connaissez vous une manip pour pouvoir l'enlever?

merci de vos réponses.

[Léon9]

tu a analysé "iloveyou.exe" avec un antivirus à jour?

[ipl_001]

Bonsoir M@TH, Léon 9, bonsoir à tous,

 

"I Love You" est certes un dur, mais il est ancien maintenant !!!

 

As-tu essayé de supprimer ton fichier en mode sans échec ?

 

Fais tout de même attention qu'il a sans doute laissé des petits !

[ipl_001]

Rebonsoir M@TH, Léon 9, rebonsoir à tous,

 

Voici quelques liens utiles :

 

-> http://yves.marsal.free.fr/myovily.htm

 

-> http://www.yatoula.com/infos/pages/virus.html

et son patch contre les VBS :

(création du fichier .reg)

- ouvrir le bloc-notes et copier-coller les 5 lignes ci-dessous -sans les tirets-

-----

REGEDIT4

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\vbsfile\shell]

@="edit"

 

----- (5 lignes y compris une dernière ligne vierge)

- Fichier / Enregistrer sous

--- Enregistrer dans : Bureau

--- Nom du fichier : RegFix-gM.reg

--- Type : tous les fichiers

--- cliquer sur Enregistrer

- quitter Notepad

(utilisation du fichier)

- double cliquer sur le fichier (Bureau) / Accepter l'avertissement concernant la fusion / ne pas s'étonner de ne rien voir / valider le message disant que la fusion est terminée

[ipl_001]

Bonsoir sloshy, bonsoir à tous,

excuser moi, mais à la base, le virus, c'est bien par mail qu'il se transmet non?

un script malicieux laisse un .exe derriere lui?

520674[/snapback]

Oui, mais pas de script automatique (affichage), il faut cliquer sur la pièce jointe !

 

Source : http://www.arobase.org/virus/iloveyou.htm

I love you  No 1 au hit-parade des virus

   

Si vous êtes sous Windows et que vous utilisez Outlook, vous êtes la proie idéale du virus le plus médiatique et le plus rapide de tous les temps : I love you.

 

Comment se propage I love you ?

I love you se transmet par mail en pièce attachée. Il suffit de double-cliquer sur la pièce jointe (nommée en général LOVE-LETTER-FOR-YOU.TXT.VBS), pour que le logiciel commence ses méfaits. Il envoie le message infectant à toutes les personnes référencées dans le carnet d'adresses d'Outllok (si ce logiciel est installé sur votre machine).

 

C'est quoi exactement I love you ?

C'est un petit programme en Visual Basic Script, qui exploite certaines fonctionnalités avancées de Windows, présentant des brêches de sécurité.

Qui vise-t-il donc ?

 

    * Logiciel de messagerie : Outlook

    * Système d'exploitation : Windows

 

Ca fait mal docteur ?

Le virus fait quelques modifications dans la base de registres de Windows. Il détruit aussi les images JPEG, les fichiers MP3 et attaque les fichiers IRC MIRC32.

 

Comment ne pas se faire infecter ?

Il est fortement déconseillé de cliquer sur une pièce joint baptisée LOVE-LETTER-FOR-YOU.TXT.VBS, ou sur tout autre pièce jointe d'extension .VBS .

 

Et si je suis infecté ?

Le virus a normalement modifié tous vos fichiers d'extensions vbs, vbe, js, jse, css, wsh, sct, hta, jpg, jpeg, mp3 et mp2. L'extension .vbs est désormais attachée à ces fichiers. Il vous faut effacer tous les .vbs qui datent du jour de l'infection. Les fichiers originaux sont perdus. N'oubliez pas d'effacer le fichier LOVE-LETTER-FOR-YOU.TXT.vbs. Effacez aussi les fichiers du type LOVE-LETTER-FOR-YOU.HTM (ils contiennent un contrôle ActiveX qui produit les mêmes effets).

Si vous avez le logiciel de Chat mirc32, le fichier script.ini a été modifié. Il faut le supprimer.

 

Pour la base de registres de Windows enfin, quelques modifications sont nécessaires. Lancez d'abord REGEDIT à partir de Windows.

 

    * Dans lHKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\, retirez ce qui pointe sur MSKernel32.vbs.

    * Dans HKEY_LOCAL_MACHINE\Software\Microsoft\Windows \CurrentVersion\Run\ retirez ce qui pointe sur WIN-BUGSFIX.exe

    * Dans HKEY_LOCAL_MACHINE\Software\Microsoft\Windows \CurrentVersion\RunServices\ retirez ce qui pointe sur Win32DLL.vbs"

    * Dans HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer \Main\Start Page retirez la page en "http://www.skyinet.net..."

    * Dans HKEY_CURRENT_USER\Software \Microsoft\WAB\, vérifiez qu'il n'y a pas d'entrée inutiles (ça doit pointer sur votre fichier nomdevotreprofil.wab).

[papatte]

Bonsoir tout le monde, bonsoir ipl,

comment se virus peut-il encore se propager ?

Comment (ou pourquoi) les AV d'aujoud'hui le laissent-ils passer ?

Je suis très perplexe !

[ipl_001]

Re,

 

"I Love You" alias "Love Letter" est un des virus récents les plus redoutés car il démolit les fichiers .JPG et d'autres !

 

Attention, il est réapparu récemment (Février 2005) sous le nom de "Assiral" alias "Lov Ya" ("Je vous aime" à la mode Australienne) -> http://www.zdnet.fr/actualites/internet/0,...39208250,00.htm

Voici la page de Sophos -> http://www.sophos.com/virusinfo/analyses/w32assirala.html

Très intéressante... regardez, entre autres, les restrictions :

The worm will attempt to autostart itself with the following registry entries:

...

And set the following registry entries:

 

HKCR\software\microsoft\windows\currentversion\policies\system\

noadminpage = 1

 

HKCR\software\microsoft\windows\currentversion\policies\explorer\

dword:03ffffff

 

HKCR\software\microsoft\windows\currentversion\policies\system\

disableregistrytools = 1

 

HKCR\software\microsoft\windows\currentversion\policies\explorer\

norun = 1

 

HKCR\software\microsoft\windows\currentversion\policies\winoldapp\

disabled = 1

 

HKCU\Software\Microsoft\WAB\

Contacts = <number of contact in outlook address book>

 

which will disable various administration functions in Windows.

[ipl_001]

Bonsoir papatte,

Bonsoir tout le monde, bonsoir ipl,

comment se virus peut-il encore se propager ?

Comment (ou pourquoi)  les AV d'aujoud'hui le laissent-ils passer ?

Je suis très perplexe !

520703[/snapback]

Comment résister à un message aussi attrayant aux alentours de la Saint Valentin ?... même pour un(e) Français(e)... même écrit en Anglais !

LOL

Ce virus est révisé chaque année !

 

Je n'arrive pas à trouver le nombre d'infections mais c'est énoume !

(Lancé dans sa première version en 2000 et revient chaque année en février)

 

--- édition :

L'auteur du virus I Love You relaché

Onel de Guzman, auteur présumé du virus "I Love You", ayant fait près de 7 milliards de dollars de dégat en se propagant dans le monde entier via les "mails", a été relaché et les poursuites engagées par l'état philippin contre ce dernier ont été abandonnées.

 

La justice philippine étant dépourvue de legislation concernant le piratage informatique jusqu'en juin dernier n'a pas pu incriminer directement le jeune philippin agé de 24 ans.

(source -21 août 2000- : http://www.clubic.com/actualite-987-l-aute...ou-relache.html )

[Rafiot]

on revient au point de départ : M@TH n'a pas répondu au fait qu'il ait testé avec un AV, il se peut que cela soit simplement un vrai faux-virus

 

il a "l'impression que etc etc ", suffit de voir si il a encore des MP3 sur son ordinateur

Modifié le 19 juin 2005 par Rafiot

[papatte]

ipl,

je sais bien que tu as raison.

Je résiste à tout ce qui est écrit en Anglais....ou autre n'étant de tout e façon pas capable de le lire...

Mais ce qui est inquiétant tout de même c'est que les éditeurs d'AV ne sont pas capables de l'empêcher de rentrer et lorsqu'il est dans une machine sont de nouveau incapables de l'erradiquer. C'est ça qui me dépasse le plus.

Les "majors" anti-virus savent pourtant qu'il va revenir et revenir et ... ne font rien ? Si ce n'est en éditant un patch tous les ans !

Et la crédulité des gens fait le reste....