L'objets des mails est un des suivants : Error Status - Server Report Mail Transaction Failed - Mail Delivery System - hello - hi - test. Le corps du message contient une de ces expressions : The message contains Unicode characters and has been sent as a binary attachment. The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment. Mail transaction failed. Partial message is available. Test.
Il y a une pièce jointe sous forme de fichiers possédant une de ces extensions : .bat, .cmd, .exe, .pif, .scr, or .zip.

- Editez ou supprimez le fichier LmHost présent dans ..windowssystem32driversetchosts ou ..windowshosts (Win 9X). Si vous l'ouvrez avec le Bloc-notes Windows, supprimez toutes les entrées commençant par 0.0.0.0

- Sous Windows XP/2000, réinitialisez le cache DNS par la commande ipconfig /flushdns

- Redémarrez votre ordinateur en mode sans échec.

- Dans le Registre, ouvrez :
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run puis
HKEY_CURRENT_USER/SOFTWARE/Microsoft/Windows/CurrentVersion/Run
Supprimez cette entrée : "Taskmon"="%System%taskmon.exe" ou "Explorer"="%System%explorer.exe" (dans le cas de la version B). Supprimez également ces deux entrées :
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Explorer/ComDlg32/Version
HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Explorer/ComDlg32/Version
Ouvrez cette clé :
HKEY_CLASSES_ROOT/CLSID/{E6FB5E20-DE35-11CF-9C87-00AA005127ED}/InProcServer32
Dans le volet de droite, modifiez la valeur (par défaut) en inscrivant comme Données de la valeur ceci : %SystemRoot%System32\webcheck.dll (ou par exemple : c:\windows\system32\webcheck.dll)
- Désactivez la fonctionnalité de Restauration système
- Dans ..windowssystem, supprimez ces deux fichiers : shimgapi.dll et taskmon.exe

- Procédez à une mise à jour de votre anti-virus et à un scan complet du système.
- A cet emplacement, une suggestion de règle de message permettant de supprimer automatiquement les mails infectés par ce ver.