référence : http://listes.cru.fr/arc/medievale/2000-03/msg00081.html
     Chronologie       
     Conversation       

[MEDIEVALE:2398] virus ! Florence Brémond



mille excuses à tous

j'avais effectivement vu un fichier kak sur le dd, sans penser du tout qu'il
pouvait s'agir d'un virus - j'ai cru que c'était un plugin de dreamweaver!
mon antivirus qui pourtant est à jour n'avait rien vu venir non plus (Panda)

apparemment d'après le code c'est un genre de javascript qui
1- s'autocopie et se duplique par mode de signature (ce qui explique
l'insertion par la base de registres)
2- fait apparaître une boîte "driver memory error" au démarrage
3- éteint l'ordinateur le 1er du mois à partir de 17 h.

ceci dit apparemment je l'avais depuis le 6 février (le "coupable" est
identifié et ne s'était aperçu de rien non plus) et à part le malheur de
vous l'avoir communiqué à tous, cela n'a rien causé ni plantage ni erreur de
mémoire.

Panda refusant toujours de reconnaître la chose, je l'ai éliminé "à la main"
:

-faire windows\system\sysedit.exe et supprimer les 2 lignes qui mentionnent
kak.htm dans autoexec.bat

-supprimer le fichier kak.*  qui est dans c:\ et kak.htm dans c:\windows

-supprimer la signature qui appelle kak.* dans  outils\options de outlook
(cela corrigera la base de registres)

supprimer 8457D040.hta dans windows\system (pour vous ce sera un autre
numéro
car c'est suivant les identités, mais toujours*.hta)

j'espère que ça suffit mais ce n'est pas garanti..
j'ai redémarré plusieurs fois, mis la date au 1er après 17 h et rien n'est
réapparu.

 Il faut aussi supprimer les messages douteux sans les réouvrir ! (donc à
priori le mien d'hier..) Si vous pensez avoir pu le communiquer à d'autres,
il faut rechercher les fichiers contaminés.
rechercher dans C:\WINDOWS\Application Data\Microsoft\Outlook Express

ouvrir les fichiers avec le bouton droit de la souris : ouvrir avec...
                                  sélectionner wordpad puis ok

   wordpad ouvre le fichier, faire "édition\rechercher... kak  puis
éventuellement f3 pour passer au suivant. supprimer tout ce qui est entre
les balises <SCRIPT> et<\SCRIPT>.

supprimer tous les messages envoyés ou reçus contenant ce virus car en les
réouvrant dans outlook il reviendrait. Par contre dans wordpad cela ne
craint rien.

encore toutes mes excuses.
Florence






-------------------------------------------------------------medievale-+
_______________________________________________________________________________

>>> Pour être retiré de cette liste d'envois,

écrire à:   listproc@uqam.ca

    avec comme seule ligne de message:

unsubscribe MEDIEVALE


Note: la commande doit apparaître dans le corps du message, 
      NON PAS dans le Sujet.
-------------------------------------------------------------medievale--