01/05-2004 à 02:31C:\WINDOWS\system32\wincrt32.exe est infecté par W32.HLLW.Gaobot.BF
Le ver W32.HLLW.Gaobot.BF est une variante du ver Blaster.
Il se manifeste par un arrêt du système après affichage d'une boîte de dialogue signalant un problème avec le service RPC avec un compte à rebours de quelques secondes. Il est impossible d'éditer la base de registres pour supprimer son activation au moment du boot tant que le programme est en cours d'exécution.
Le ver s'exécute sur le système sous le nom : wincrt32.exe (on le voit apparaître dans la liste des processus actifs lorsque l'on appuie simultanément sur les touches Ctrl+Alt+Sup). Si l'on essaie de l'effacer il se duplique instantanément.
Pour supprimer le ver :
- Ouvrir l'invite de commande et aller dans le répertoire C:\WINDOWS\SYSTEM32
- Faire apparaître la liste des programmes en cours d'exécution en appuyant simultanément sur les
touches Ctrl+Alt+Sup
- Dans cette liste, terminer le processus wincrt32.exe
- Editer les registres Windows en exécutant la commande regedit
1) Se placer sur la clé :
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current Version\Run
- puis détruire la clé "Configuration Loader" qui contient la valeur wincrt32.exe
2) Se placer sur la clé :
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current Version\RunServices
- puis détruire la clé "Configuration Loader" qui contient aussi la valeur wincrt32.exe
- Redémarrer le système.
Mettez à jour vos systèmes en conservant le firewall activé si vous étiez sous Windows XP (Service Pack et correctif en ligne ci-dessous).
Télécharger les signatures antivirus
http://web.ccr.jussieu.fr/ccr/telecharge/signatures/f-secure/FSUpdate031104_1641.exe
Sous Windows XP vous pourrez ensuite si vous le souhaitez réactiver l'option restauration automatique du système.
Voici les liens directs pour le téléchargement du correctif (823980):
Windows 2000 http://microsoft.com/downloads/details.aspx?displaylang=fr&FamilyID=C8B8A846-F541-4C15-8C9F-220354449117 en français, 901 ko,
Windows XP http://microsoft.com/downloads/details.aspx?displaylang=fr&FamilyID=2354406C-C5B6-44AC-9532-3DE40F69C074 en français, 1263 ko.
----------
VIVE LES DECIBELS! news site:http://norzic.fr.st 
![[:D]](/medias/forum/images/smileys/4.gif)
 
![[;(]](/medias/forum/images/smileys/18.gif)
