Une procédure manuelle de secours pour I Love You

Si vous avez exécuté le fichier attaché au mail intitulé I Love You, vous avez été infecté. Le virus a modifié tous vos fichiers d'extensions vbs, vbe, js, jse, css, wsh, sct, hta, jpg, jpeg, mp3 et mp2. L'extension .vbs est désormais attachée à ces fichiers. Il vous faut rechercher et effacer tous les .vbs qui datent du 4/05/2000 sur tous les disques locaux. Les fichiers originaux sont perdus. Pensez à effacer en particulier le fichier LOVE-LETTER-FOR-YOU.TXT.vbs.

Effacez aussi les fichiers LOVE-LETTER-FOR-YOU.HTM (ils contiennent un activeX qui fait la même chose que le vbs) si jamais vous arrivez sur cette page, refusez impérativement l'installation de l'activeX.

Pour les autres fichiers : si vous aviez le programme mirc32 (un logiciel de chat sur Internet) sur votre poste (fichiers : mirc32.exe, mlink32.exe, mirc.ini, mirc.hlp), le fichier script.ini a été modifié. Il faut le supprimer.

En ce qui concerne la base de registres de Windows, quelques modifications sont nécessaires.
Vous pouvez utilisé ce script de désinfection lover-killer.vbs ou

Lancez REGEDIT à partir de Windows :

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows
\CurrentVersion\Run\
retirez ce qui pointe sur MSKernel32.vbs
ou
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows
\CurrentVersion\Run\
retirez ce qui pointe sur WIN-BUGSFIX.exe
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows
\CurrentVersion\RunServices\
retirez ce qui pointe sur Win32DLL.vbs"
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer
\Main\Start Page
retirez la page en "http://www.skyinet.net..."
Vérifiez dans HKEY_CURRENT_USER\Software
\Microsoft\WAB\ qu'il n'y a pas d'entrée inutiles (ça doit pointer sur votre fichier nomdevotreprofil.wab)

En savoir plus
Un virus qui dit « I Love You »
 (actualité du 05/05/2000)