Détecté: February 24, 2004
Mis à jour : February 13, 2007 12:21:02 PM
Egalement appelé : W32/Netsky.c@MM [McAfee], Win32.Netsky.C [Computer Assoc, W32/Netsky-C [Sophos], WORM_NETSKY.C [Trend], I-Worm.Moodown.c [Kaspersky], I-Worm.NetSky.c [Kaspersky], W32/Netsky.C.worm [Panda]
Type : Worm
Etendue de l'infection : 25 352 octets
Systèmes affectés : Windows


W32.Netsky.C@mm est un ver d’envoi en masse de courrier électronique qui utilise son propre moteur SMTP pour s'expédier à toutes les adresses électroniques trouvées lors de l'analyse des disques durs et des disques mappés. Le ver recherche également sur les disques C à Z les noms de dossiers contenant le mot "Shar" puis se copie dans ces dossiers.

L'objet, le corps du message et la pièce jointe varient.


Remarques :
  • Les produits pour particuliers/PME-PMI comprenant l'option Worm Blocking (protection contre les vers) détectent automatiquement cette menace si elle se présente.
  • Les définitions de virus "Rapid Release" (bêta) du 24 février 2004 rev 32 (60224af ou 20040224.032) et postérieures détectent cette menace.
  • Symantec Security Response a développé un outil de suppression pour nettoyer les infections des variantes de W32.Netsky@mm.






Symantec Security Response a reçu un nouvel échantillon de W32.Netsky.C@mm qui est ASPacked. A l'heure actuelle, aucun client n'a soumis cette variante mineure. Les définitions de virus version du 25.02.04 rev 19 (60225s) (20040225.019) ou supérieures, sont requises pour détecter cette variation.

Dates de la protection antivirus

  • Version initiale des définitions Rapid Release February 25, 2004
  • Dernière version des définitions Rapid Release November 02, 2016 révision 024
  • Version initiale des définitions Daily Certified February 25, 2004
  • Dernière version des définitions Daily Certified November 03, 2016 révision 001
  • Date de la version initiale des définitions Weekly Certified February 25, 2004

Click here for a more detailed description of Rapid Release and Daily Certified virus definitions.

Rédigé par : Tony Lee

Détecté: February 24, 2004
Mis à jour : February 13, 2007 12:21:02 PM
Egalement appelé : W32/Netsky.c@MM [McAfee], Win32.Netsky.C [Computer Assoc, W32/Netsky-C [Sophos], WORM_NETSKY.C [Trend], I-Worm.Moodown.c [Kaspersky], I-Worm.NetSky.c [Kaspersky], W32/Netsky.C.worm [Panda]
Type : Worm
Etendue de l'infection : 25 352 octets
Systèmes affectés : Windows


Lorsque W32.Netsky.C@mm s'exécute, il agit de la façon suivante :

  1. Il crée un mutex appelé "[SkyNet.cz]SystemsMutex." Ce mutex ne permet que l'exécution d'une seule instance du ver.

  2. Il se copie comme %Windir%\Winlogon.exe.


    Remarque : %Windir% est une variable. Le ver détermine l'emplacement du dossier d'installation de Windows (C:\Windows ou C:\Winnt par défaut) et se copie à cet emplacement.

  3. Il ajoute la valeur :

    "ICQ Net" = "%Windir%\winlogon.exe -stealth"

    à la clé de registre :

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

    de façon à ce que le ver s'exécute lorsque vous démarrez Windows.

  4. Il supprime les valeurs :
    • Taskmon
    • Explorer
    • Windows Services Host
    • KasperskyAV

      des clés de registre :
    • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    • HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run


      Remarques :
  5. Il supprime les valeurs :
    • System.
    • msgsvr32
    • DELETE ME
    • service
    • Sentry

      de la clé de registre :

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

  6. Il supprime les valeurs
    • d3dupdate.exe
    • au.exe
    • OLE

      de la clé de registre :

      HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

  7. Il supprime la valeur :

    System.

    de la clé de registre :

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
    RunServices

  8. Il supprime les clés de registre :
    • HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\
      InProcServer32
    • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
      Explorer\PINF
    • HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\WksPatch


      Remarque : Les vers W32.Mydoom.A@mm et W32.Mydoom.B@mm ajoutent une valeur à la première clé, de façon à ce qu'explorer.exe télécharge leurs composants.
  9. Il récupère les adresses électroniques des fichiers de l'ordinateur contenant les extensions suivantes :
    • .eml
    • .txt
    • .php
    • .pl
    • .htm
    • .html
    • .vbs
    • .rtf
    • .uin
    • .asp
    • .wab
    • .doc
    • .adb
    • .tbb
    • .dbx
    • .sht
    • .oft
    • .msg
    • .shtm
    • .cgi
    • .dhtm


      Remarque : En raison d'un bogue dans son code, le ver recherchera des adresses électroniques dans un fichier si son extension est une sous-chaîne de l'une des extensions précisées ci-dessus.
      Par exemple, le ver analysera les fichiers aux extensions .txt, .tx et .t.
  10. Il recherche sur les disques C à Y les noms de dossiers contenant le mot "Shar". Si le disque n'est pas un CD-ROM, le ver se copie dans les dossiers correspondants ainsi que dans tous ses sous-dossiers comme :
    • Microsoft WinXP Crack.exe
    • Teen Porn 16.jpg.pif
    • Adobe Premiere 9.exe
    • Adobe Photoshop 9 full.exe
    • Best Matrix Screensaver.scr
    • Porno Screensaver.scr
    • Dark Angels.pif
    • XXX hardcore pic.jpg.exe
    • Microsoft Office 2003 Crack.exe
    • Serials.txt.exe
    • Screensaver.scr
    • Full album.mp3.pif
    • Ahead Nero 7.exe
    • Virii Sourcecode.scr
    • E-Book Archive.rtf.exe
    • Doom 3 Beta.exe
    • How to hack.doc.exe
    • Learn Programming.doc.exe
    • WinXP eBook.doc.exe
    • Win Longhorn Beta.exe
    • Dictionary English - France.doc.exe
    • RFC Basics Full Edition.doc.exe
    • 1000 Sex and more.rtf.exe
    • 3D Studio Max 3dsmax.exe
    • Keygen 4 all appz.exe
    • Windows Sourcecode.doc.exe
    • Norton Antivirus 2004.exe
    • Gimp 1.5 Full with Key.exe
    • Partitionsmagic 9.0.exe
    • Star Office 8.exe
    • Magix Video Deluxe 4.exe
    • Clone DVD 5.exe
    • MS Service Pack 5.exe
    • ACDSee 9.exe
    • Visual Studio Net Crack.exe
    • Cracks & Warez Archive.exe
    • WinAmp 12 full.exe
    • DivX 7.0 final.exe
    • Opera.exe
    • IE58.1 full setup.exe
    • Smashing the stack.rtf.exe
    • Ulead Keygen.exe
    • Lightwave SE Update.exe
    • The Sims 3 crack.exe


      Remarque : Ceci pourrait permettre à des copies de W32.Netsky.C@mm de se propager à travers des réseaux de partage de fichiers, des clients de messagerie instantanée, des dossiers partagés de Windows, ou tout programme utilisant des dossiers partagés contenant le mot "Shar".

  11. Il utilise son propre moteur SMTP pour s'expédier lui-même un fois aux adresses électroniques trouvées précédemment.
    Le ver utilise le serveur DNS local (trouvé par le biais d'un API), s'il est disponible, afin d'exécuter une recherche MX et trouver l'adresse du destinataire. Si le DNS échoue, il effectuera la recherche à partir de la liste suivante de serveurs encodés :
    • 145.253.2.171
    • 151.189.13.35
    • 193.141.40.42
    • 193.189.244.205
    • 193.193.144.12
    • 193.193.158.10
    • 194.25.2.129
    • 194.25.2.129
    • 194.25.2.130
    • 194.25.2.131
    • 194.25.2.132
    • 194.25.2.133
    • 194.25.2.134
    • 195.185.185.195
    • 195.20.224.234
    • 212.185.252.136
    • 212.185.252.73
    • 212.185.253.70
    • 212.44.160.8
    • 212.7.128.162
    • 212.7.128.165
    • 213.191.74.19
    • 217.5.97.137
    • 62.155.255.16
  12. Le courrier électronique présente les caractéristiques suivantes :

    De : (adresse usurpée)

    Remarque : ThiCette adresse électronique peut être l'une des adresses récupérées par le ver, comme indiqué à l'étape 9.

    Objet : (Il y a 67 % de chances que l'objet soit pris dans la list suivante. Sinon, l'objet sera pris de la liste de messages ci-dessous. L'objet peut aussi être vide.)
    • Delivery Failed
    • Status
    • report
    • question
    • trust me
    • hey
    • Re: excuse me
    • read it immediatelly
    • hi
    • Re: does it?
    • Yep
    • important
    • hello
    • dear
    • Re: unknown
    • fake?
    • warning
    • moin
    • what's up?
    • info
    •  Re: information
    • Here is it
    • stolen
    • private?
    • good morning
    • illegal...
    • error
    • take it
    • re:
    • Re: Re: Re: Re:
    • you?
    • something for you
    • exception
    • Re: hey
    • excuse me
    • Re: hi
    • Re: does it?
    • Re: important
    • Re: hello
    • believe me
    • Question
    • denied!
    • notification
    • Re: <5664ddff?$??º2>
    • lol
    • last chance!
    • I'm back!
    • its me
    • notice!

      Message : (L'un des éléments suivants, mais peut aussi être vide)
    • <Deliver Error>
    • <Message Error>
    • <Server Error>
    • what means that?
    • help attached
    • <...>
    • ok...
    • <Attachment from Poland>
    • that is interesting...
    • i wait for your comment about it.
    • such as yours?
    • read the details.
    • gonna?
    • here is the document.
    • *lol*
    • read it immediately!
    • i found that about you!
    • your hero in the picture?
    • yours?
    • here is it.
    • illegal st. of you?
    • is that true?
    • account?
    • is that your name?
    • picture?
    • message?
    • is that your account?
    • pwd?
    • I wait for an answer!
    • abuse?
    • is that yours?
    • you are a bad writer
    • I don't know your document!
    • <Mail failed>
    • I have your password!
    • you won the rk!
    • something about you!
    • classroom test of you?
    • kill the writer of this document!
    • old photos about you?
    • i hope thats not true!
    • your name is wrong!
    • does it match?
    • i found this document about you.
    • time to fear?
    • really?
    • do you know this????
    • i know your document!
    • did you sent it to me?
    • this file is bad!
    • why should I?
    • pages?
    • her.
    • another pic, have fun! ... :->
    • test it
    • child porn?
    • greetings
    • xxx ?
    • stuff about you?
    • your document is not good
    • something is going wrong!
    • your photo is poor
    • information about you?
    • the information is wrong!
    • doc about me?
    • kill him on the picture!
    • from the chatter (my photo!)
    • from your lover ;-)
    • love letter?
    • here, the serials
    • are you a teacherin the picture?
    • here, the introduction
    • is that criminal?
    • here, the cheats
    • i like your doc!
    • what do you think about it?
    • that's a funny text.
    • that's not the truth?
    • do you have?
    • instruct me about this!
    • i lost that
    • i am speachless about your document!
    • is that the reality?
    • reply
    • msg
    • your design is not good!
    • important?
    • your TAN number?
    • take it easy!
    • why?
    • you are naked in this document!
    • thats wrong!
    • your icq number?
    • i am desperate
    • modifications?
    • your personal record?
    • yes.
    • misc. and so on. see you!
    • your attachment? verify it.
    • you earn money, see the attachment!
    • is that your attachment?
    • is that your website?
    • you feel the same.
    • meaning of that?
    • possible?
    • you have tried to steal!
    • did you ask me for that?
    • you are bad
    • your job? (I found that!)
    • is that possible?
    • something is going ...
    • something is not ok
    • did you know from this document?
    • wrong calculation! (see the attachment!...
    • never!
    • poor quality!
    • good work!
    • excellent!
    • great!
    • i don't think so.
    • pretty pic about you?
    • docs?
    • schoolfriend?
    • <Warning from the Government>
    • <09580985869gj>
    • <?}
    • i want more...
    • here is the next one!
    • attachi#
    • did you see her already?
    • is that your wife?
    • is that your creditcard?
    • is that your photo?
    • do you think so?
    • do you have the bug also?
    • already?
    • forgotten?
    • drugs? ...
    • does it matter?
    • i have received this.
    • best?
    • the truth?
    • your body?
    • your eyes?
    • your face?
    • File is self-decryting.
    • File is damaged.
    • File is bad.
    • i saw you last week!
    • xxx service
    • your account is expired!
    • you cannot hide yourself! (see photo)
    • copyright?
    • what still?
    • who?
    • how?
    • <bad gateway>
    • only encrypted!
    • personal message!
    • my advice....
    • i've found it about you
    • <<<Failure>>>
    • <Attached Msg>
    • <scanned by norton antivirus>
    • great xxx!
    • man or women?
    • child or adult?
    • here is yours!
    • a crazy doc about you
    • xxx about you?
    • i don't want your xxx pics!
    • <Failed message available>
    • <Automailer>
    • doc?
    • trial?
    • what?
    • ;-)
    • i need you!
    • correct it!
    • see this!
    • it's a secret!
    • this is nothing for kids!
    • it's so similar as yours!
    • is that your car?
    • do not give up!
    • great job!
    • here is the $%%454$
    • you are sexy in this doc!
    • incest?
    • let it!
    • you look like an ape!
    • you look like an rat?
    • be mad?
    • are you cranky?
    • bob the builder
    • did you know that?
    • money?
    • is that your car?
    • is this information about you?
    • is that your privacy?
    • is that your TAN?
    • is that your message?
    • is that your cd?
    • is that your finger?
    • your are naked?
    • is that your porn pic?
    • is that your work?
    • is that your family?
    • is that your beast?
    • is that your account?
    • is that your slip?
    • is that your domain?
    • are you the naked one?
    • are you the naked person!
    • are you the one?
    • does it belong to you?
    • do you have sex in the picture?
    • you have a sexy body in the pic!
    • your lie is going around the world!
    • <Transfer complete>
    • <Antispam complete>
    • lets talk about it!
    • do you know the thief?
    • are you a photographer?
    • you have done a mistake in the document...
    • its private from me
    • do not show this anyone!
    • new patch is available!
    • this is an attachment message!
    • in your mind?
    • Microsoft
    • fast food...
    • Your bill.
    • try this patch!
    • do you have an orgasm in the picture?
    • <Click the attachment to decrypt>
    • <Attachment Signature 34933920>
    • Transaction failed. Show the doc!
    • I 've found your bill!
    • see your name!
    • You are infected. Read the details!
    • here is my advice.
    • here is my photo!
    • here is the <censored>
    • feel free to use it.
    • does it belong to you?
    • Login required! Read the attachment!
    • your document is silly!
    • is the pic a fake?
    • Antispam is turned off. See file!
    • Authentification required. Read the att...
    • solve the problem!
    • <null>
    • do not use my document!
    • do not open the attachment!
    • do not visit the pages on the list I se...
    • explain!
    • tell me more about your document!
    • Your provider will be disabled!
    • Instant patches.


      Pièce jointe :
      W32.Netsky.C@mm créera un fichier .zip comme pièce jointe dans 51,5 % des cas, en choisissant de façon aléatoire l'un des noms de pièce jointe précisés ci-dessous. Le fichier d'archive contient une copie exécutable du ver, qui choisit également de façon aléatoire l'un des noms de pièce jointe précisés ci-dessous. Il y a 25 % de chances que le nom de la pièce jointe soit construit de la façon suivante : pièce jointe_pièce jointe (ex. : document_message).

      Dans les autres cas, le ver utilisera une copie de lui-même comme pièce jointe, en choisissant de façon aléatoire l'un des noms de pièce jointe précisés ci-dessous.

      Nom de la pièce jointe : (L'un des suivants)
    • document
    • associal
    • msg
    • yours
    • doc
    • wife
    • talk
    • message
    • response
    • creditcard
    • description
    • details
    • attachment
    • pic
    • me
    • trash
    • card
    • stuff
    • poster
    • posting
    • portmoney
    • textfile
    • moonlight
    • concert
    • sexy
    • information
    • news
    • note
    • number_phone
    • bill
    • mydate
    • swimmingpool
    • class_photos
    • product
    • old_photos
    • topseller
    • ps
    • important
    • shower
    • myaunt
    • aboutyou
    • yours
    • nomoney
    • birth
    • found
    • death
    • story
    • worker
    • mails
    • letter
    • more
    • website
    • regards
    • regid
    • friend
    • unfolds
    • jokes
    • doc_ang
    • your_stuff
    • location
    • 454543403
    • final
    • schock
    • release
    • webcam
    • dinner
    • intimate stuff
    • sexual
    • ranking
    • object
    • secrets
    • mail2
    • attach2
    • part2
    • msg2
    • disco
    • freaky
    • visa
    • party
    • material
    • misc
    • nothing
    • transfer
    • auction
    • warez
    • undefinied
    • violence
    • update
    • masturbation
    • injection
    • naked1
    • naked2
    • tear
    • music
    • paypal
    • id
    • privacy
    • word_doc
    • image
    • incest

      Extensions :
      Si la pièce jointe est un fichier exécutable, le ver créera une double extension dans 46,2 % des cas. Si la pièce jointe est un fichier .zip, l'exécutable dans le fichier .zip aura une double extension dans 67 % des cas. La première extension, variable, sera dans ces cas l'une des suivantes :
    • .txt
    • .rtf
    • .doc
    • .htm

      Tous les exécutables se termineront par l'une des extensions suivantes :
    • .exe
    • .scr
    • .com
    • .pif

13. Le ver va éviter de s'envoyer aux adresses électroniques contenant les chaînes de caractères suivantes :
    • icrosoft
    • antivi
    • ymantec
    • spam
    • avp
    • f-secur
    • itdefender
    • orman
    • cafee
    • aspersky
    • f-pro
    • orton
    • fbi
    • abuse

14. Il crée des fichiers .zip dans le dossier %Windir%, qui contient des copies du ver. Les noms de ces fichiers correspondent aux noms des pièces jointes énumérés plus haut.

15. Si l'heure du système local se situe entre 6h00 et 9h00 le 26 février 2004, le haut-parleur de l'ordinateur produira un bip continu.


Symantec Gateway Security 5400 Series et Symantec Gateway Security version 1.0
  • Composant antivirus : Une mise à jour de l'antivirus de Symantec Gateway Security est maintenant disponible pour une protection contre le ver W32. Netsky.C. Les utilisateurs de Symantec Gateway Security sont invités à exécuter LiveUpdate.
  • Composant IDS/IPS : La mise à jour de ce composant n'est pas prévue pour ce ver.
  • Composant d'inspection de la sémantique des données des pare-feu : Par défaut, la technologie d'inspection de la sémantique des données des pare-feu assure la protection contre la propagation du ver W32.Netsky.C@mm en empêchant les systèmes infectés d'envoyer directement des courriers électroniques par Internet.


Symantec Enterprise Firewall 7.0.x et Symantec VelociRaptor 1.5
Par défaut, la technologie d'inspection de la sémantique des données des pare-feu assure la protection contre la propagation du ver W32.Netsky.C@mm en empêchant les systèmes infectés d'envoyer directement des courriers électroniques par Internet.

Recommandations

Symantec Security Response encourages all users and administrators to adhere to the following basic security "best practices":

  • Use a firewall to block all incoming connections from the Internet to services that should not be publicly available. By default, you should deny all incoming connections and only allow services you explicitly want to offer to the outside world.
  • Enforce a password policy. Complex passwords make it difficult to crack password files on compromised computers. This helps to prevent or limit damage when a computer is compromised.
  • Ensure that programs and users of the computer use the lowest level of privileges necessary to complete a task. When prompted for a root or UAC password, ensure that the program asking for administration-level access is a legitimate application.
  • Disable AutoPlay to prevent the automatic launching of executable files on network and removable drives, and disconnect the drives when not required. If write access is not required, enable read-only mode if the option is available.
  • Turn off file sharing if not needed. If file sharing is required, use ACLs and password protection to limit access. Disable anonymous access to shared folders. Grant access only to user accounts with strong passwords to folders that must be shared.
  • Turn off and remove unnecessary services. By default, many operating systems install auxiliary services that are not critical. These services are avenues of attack. If they are removed, threats have less avenues of attack.
  • If a threat exploits one or more network services, disable, or block access to, those services until a patch is applied.
  • Always keep your patch levels up-to-date, especially on computers that host public services and are accessible through the firewall, such as HTTP, FTP, mail, and DNS services.
  • Configure your email server to block or remove email that contains file attachments that are commonly used to spread threats, such as .vbs, .bat, .exe, .pif and .scr files.
  • Isolate compromised computers quickly to prevent threats from spreading further. Perform a forensic analysis and restore the computers using trusted media.
  • Train employees not to open attachments unless they are expecting them. Also, do not execute software that is downloaded from the Internet unless it has been scanned for viruses. Simply visiting a compromised Web site can cause infection if certain browser vulnerabilities are not patched.
  • If Bluetooth is not required for mobile devices, it should be turned off. If you require its use, ensure that the device's visibility is set to "Hidden" so that it cannot be scanned by other Bluetooth devices. If device pairing must be used, ensure that all devices are set to "Unauthorized", requiring authorization for each connection request. Do not accept applications that are unsigned or sent from unknown sources.
  • For further information on the terms used in this document, please refer to the Security Response glossary.

Rédigé par : Tony Lee

Détecté: February 24, 2004
Mis à jour : February 13, 2007 12:21:02 PM
Egalement appelé : W32/Netsky.c@MM [McAfee], Win32.Netsky.C [Computer Assoc, W32/Netsky-C [Sophos], WORM_NETSKY.C [Trend], I-Worm.Moodown.c [Kaspersky], I-Worm.NetSky.c [Kaspersky], W32/Netsky.C.worm [Panda]
Type : Worm
Etendue de l'infection : 25 352 octets
Systèmes affectés : Windows


Suppression à l'aide de l'outil de suppression de W32.Netsky@mm
Symantec Security Response a créé un outil de suppression pour nettoyer toutes les infections de W32.Netsky.C@mm. Essayez cet outil, il constitue le moyen le plus simple pour éliminer cette menace.

Suppression manuelle
Les instructions suivantes sont valables pour tous les derniers produits anti-virus Symantec, y compris les gammes Symantec AntiVirus et Norton AntiVirus.

  1. Désactivez l'option de restauration du système (Windows Me/XP)
  2. Actualisez les définitions de virus.
  3. Redémarrez l’ordinateur en mode sans échec ou en mode VGA.
  4. Exécutez une analyse complète du système et éliminez tous les fichiers détectés comme W32.Netsky.C@mm.
  5. Supprimez la valeur ajoutée au registre.
Pour plus de détails sur chacune des étapes, lisez les instructions suivantes.

1. Désactiver l'option de restauration du système (Windows Me/XP)
Si vous utilisez Windows Me ou Windows XP, nous vous conseillons de désactiver temporairement la restauration du système. Windows Me et XP utilisent cette fonctionnalité, activée par défaut afin de pouvoir restaurer des fichiers sur votre ordinateur, s'ils venaient à être endommagés. Si un ordinateur a été infecté par un virus, un ver ou un cheval de Troie, il est possible que ce virus, ver ou cheval de Troie soit sauvegardé par la Restauration du système.

Windows empêche des programmes tiers, y compris les programmes anti-virus, de modifier la Restauration du système. Par conséquent, les programmes ou outils anti-virus ne peuvent pas éradiquer les menaces dans le dossier de Restauration du système. Par conséquent, la Restauration du système peut restaurer un fichier infecté sur votre ordinateur même après avoir nettoyé les fichiers infectés sur tous les autres emplacements.

Une analyse des virus peut également détecter une menace dans le dossier de restauration du système même si vous avez supprimé la menace.

Pour savoir comment désactiver la Restauration du système, consultez la documentation de Windows ou l'un des articles suivants :
Remarque : Lorsque vous avez terminé la procédure de suppression, et que vous pensez que la menace est éliminée, vous devriez réactiver System Restore en suivant les instructions détaillées dans les documents cités ci-dessus.

Pour plus d'informations, et une méthode alternative pour désactiver la Restauration du système de Windows Me, consultez le document de la base de connaissances de Microsoft Les outils antivirus ne peuvent pas nettoyer les fichiers infectés dans le dossier _Restore Numéro de l'article : Q263455.

2. Mettre à jour les définitions de virus
Symantec Security Response réalise des tests complets de qualité pour toutes les définitions de virus avant leur publication sur nos serveurs. Il y a deux façons de se procurer les dernières définitions de virus :
  • La méthode la plus simple pour obtenir les dernières définitions de virus est d'exécuter LiveUpdate : Celles-ci sont publiées chaque semaine sur les serveurs LiveUpdate (en principe tous les mercredis) sauf en cas d'attaque virale critique. Pour savoir si des définitions de LiveUpdate sont disponibles pour cette menace, reportez-vous à la ligne Définitions de virus (LiveUpdate) de l'encadré Protection de cet article.
  • Les définitions de virus d'Intelligent Updater sont publiées les jours ouvrés aux Etats-Unis (du lundi au vendredi). Elles doivent être téléchargées sur le site Web de Symantec Security Response puis installées manuellement. Pour savoir si des définitions d'Intelligent Updater sont disponibles pour cette menace, reportez-vous à la ligne Définitions de virus (Intelligent Updater) de l'encadré Protection de cet article.

    Les définitions de virus d'Intelligent Updater sont disponibles : Pour des instructions détaillées, consultez le document intitulé Comment mettre à jour les définitions de virus en utilisant l'Intelligent Updater.

3. Redémarrer l’ordinateur en mode sans échec ou en mode VGA

Arrêtez l'ordinateur puis éteignez-le. Attendez au moins 30 secondes puis redémarrez l'ordinateur en mode sans échec ou en mode VGA.
  • Si vous exécutez Windows 95, 98, Me, 2000 ou XP, redémarrez votre ordinateur en mode sans échec. Pour connaître les instructions, consultez le document Comment démarrer l'ordinateur en mode sans échec.
  • Si vous exécutez Windows NT 4 redémarrez votre ordinateur en mode VGA.

4. Rechercher les fichiers infectés et les supprimer
  1. Démarrez votre programme anti-virus Symantec et assurez-vous que ce dernier a été configuré pour analyser tous les fichiers.
  2. Exécutez une analyse complète du système.
  3. Si un fichier est détecté comme infecté par W32.Netsky.C@mm, cliquez sur Supprimer.

5. Supprimer la valeur du registre


ATTENTION : Nous vous recommandons vivement d’effectuer une sauvegarde du registre avant d’y apporter des modifications. Une modification incorrecte du registre peut provoquer la perte définitive de données ou la corruption de fichiers. Ne modifiez que les clés indiquées. Pour des instructions détaillées, consultez le document Comment faire une copie de sauvegarde du Registre de Windows.
  1. Cliquez sur Démarrer > Exécuter. (La boîte de dialogue Exécuter apparaît.)
  2. Tapez regedit

    Puis cliquez sur OK. (L’Editeur du Registre apparaît.)
  3. Accédez à la clé suivante :

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
  4. Dans le volet de droite, supprimez la valeur :

    "ICQ NET" = "%Windir%\winlogon.exe -stealth"
  5. Quittez l’Editeur du Registre.


Rédigé par : Tony Lee