j'ai trouve ca moi
> Bonjour,
> Vu que ça commence pas mal à se propager, je vais
> diffuser le message ici.
>
> Nous apprenons qu'un nouveau virus nommé Sasser vient de
> faire son apparition depuis le 1er mai. Celui-ci est capable
> d'infecter n'importe quel ordinateur pourvu qu'il soit branché
> sur Internet.
>
> Sasser utilise le même mode de propagation que le ver Blaster.
> Les systèmes exposés sont Windows 2000, Windows Server 2003 et
> Windows XP. Ce nouveau parasite a déjà contaminé des millions
> d'ordinateurs dans le monde, on attend une augmentation massive
> de sa propagation dès lundi.
>
> * Patch Windows XP :
http://minilien.com/?2wkEGomdkF> * Patch Windows 2k à partir du sp2 :
http://minilien.com/?CKj6T76efp>
> Windows 98 et windows Millenium ne sont pas affectés par cette
> faille, mais faites quand même les autres mise à jour pour
> ces systèmes.
>
> Faites aussi toutes les mises à jour critiques diponibles
> sur
http://windowsupdate.microsoft.com/>
> * Pour vérifier si vous êtes déjà infecté :
> Si vous avez dans le gestionnaire de tache un processus
> s'appellant aserve.exe et/ou un processus commencant
> par 4 ou 5 chiffres suivi de _up, alors vous êtes
> infecté
>
> * Pour supprimer le virus :
> - Si l'ordinateur affiche une fenetre indiquant qu'il va redémarrer
> executer rapidement la commande shutdown -a
> - Déconnecter vous d'internet
> - Terminer les 2 processus cités plus haut
> - Désactiver la restauration système
> (Panneau de configuration -> système -> onglet restauration système
> et decocher la case correspondante, puis faites OK)
> - Lancer regedit.exe puis aller dans
> HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
> et supprimer la clé "avserve.exe"="%Windir%\avserve.exe"
> - Appliquer le patch correspondant à votre système (voir plus haut)
>
> * Pour supprimer le virus automatiquement
> - Utiliser
http://securityresponse.symantec.com/avcenter/FxSasser.exe> - Vérifier quand meme que le logiciel a bien supprimer les processus
> et clé incriminés.
>
> * Vérifier que vous n'etes plus infecté par Sasser (ou par d'autres)
>
http://housecall.trendmicro.com/housecall/start_corp.asp>
> * Si vous avez un firewall, bloquer le port 445 pour
> les requetes provenant d'Internet