UC100%/FiRWalDésaktV/PcBloKé/sCvhost/Solution
Bubb'
-
Bubb' -
Bubb' -
Bonjour, j'ai une solution - quasi manuelle - à vos problemes.
(je l'ai eu, il semble résolu (sur Xp l'édition des familles - merci O rage mega-nike ;-))
1 ) Vous devez d'une maniere ou d'une autre reprendre la main sur votre systeme - par ex. en enlevant votre carte Modem (j'ai trouvé cela par hasard pensant que le modem était défectueux) j'ai aussi trouvé (trjs par hasard) qu'en rajoutant une Ram de 256 Ko on disposait de qq minutes supplementaires pour agir.
2) Ouvir la base de registre avec si possible RegCleaner.exe (un super utilitaire ...) ou regedit.exe (*) (livré avec windows) et trouver les clés suivantes (avec RegCleaner dans le volet "Liste de démarrage") :
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"Config Loader"="sCvhost.exe"
et
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]
"Config Loader"="sCvhost.exe"
Reperez bien ce qui est ecrit dans "Donnée de la valeur"
Ici sCvhost.exe (cela peut-etre autre chose)
Supprimez ces Valeurs "config loader"
[Ne supprimer PAS les CLES Run et RunServices mais les valeurs délictueuses.]
Fermer RegCleaner ou Regedit et rebooter sans autre forme de procès (avec la pointe du stylo bile...) pour éviter que le sCvhost.exe qui est en mémoire ne réinscrive ses clés.
La machine a redemarré ? (non ? dommage... oui ? ouf !)
Ouvrez le repertoire C:\Windows\System32
Trouvez le fichier "sCvhost.exe", reperer bien sa taille (ici 202 Ko) ET sa date ET heure de creation (à la minute près).
Supprimer (ou renommer) ce fichier.
Effectuez une recherche dans ce repertoire de tous les .exe qui ont la meme taille et la même date (dd:hh:mm) de création.
Isolez ces fichiers dans un répertoire temporaire, ce sont des duplicatas.
Normalement tous ces fichiers sont - à une lettre ou une inversion de lettre près - équivalents à des fichiers Systemes de WindowsXp.
J'ai ainsi trouvé un winhlpP32.exe (pareil 202 Ko etc.)
Apparement il y en a une tripotée (voir quantité de post sur le sujet)
Supprimez les (dans le doute, renommez l'extension)
(*) Si regedit.exe est fermé par ce virus (j'ai lu cela dans un post ici même) essayez simplement de renommer Regedit.exe en Ragedit.exe... pourquoi je pense que cela pourrait marcher ?
Car j'ai édité le virus et si il est crypté il n'empeche qu'a certain endroit on repere bien des morceaux de noms connus ex : zone alarm$ ou nav~ etc... donc je pense (cela n'engage que moi) qu'il se repere simplement aux noms de programmes.
On repere aussi très bien que c'est un programme qui tourne sous Windows [MZ etc. "This program cannot be run in dos mode" ...]
A cette occasion on s'apercoit aussi quelles DLL de WinXp il utilise,
i.e. ADAVAPI32.DLL qui contient les fonctions necessaires à l'écriture dans la base de registre.
D'ailleurs il contient aussi des dates, comme le 4 nov ...
Notes : - Vous trouverez sur le Site de Trendsmicro.com un anti-virus en ligne (aie) qui est à jour pour ce virus, Sophos.com aussi est à jour mais pas en ligne ... et il est trop tard pour charger les correctifs de Micro$oft (qui existent) si vous étes deja infecté.
- Je propose qu'a ce post ne soit ajoutés soit que des correctifs ou des extensions et que si il y a trop de Correctifs que ce post soit supprimé ... inutile d'encombrer un forum deja bien chargé sur ce sujet.
(je l'ai eu, il semble résolu (sur Xp l'édition des familles - merci O rage mega-nike ;-))
1 ) Vous devez d'une maniere ou d'une autre reprendre la main sur votre systeme - par ex. en enlevant votre carte Modem (j'ai trouvé cela par hasard pensant que le modem était défectueux) j'ai aussi trouvé (trjs par hasard) qu'en rajoutant une Ram de 256 Ko on disposait de qq minutes supplementaires pour agir.
2) Ouvir la base de registre avec si possible RegCleaner.exe (un super utilitaire ...) ou regedit.exe (*) (livré avec windows) et trouver les clés suivantes (avec RegCleaner dans le volet "Liste de démarrage") :
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"Config Loader"="sCvhost.exe"
et
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]
"Config Loader"="sCvhost.exe"
Reperez bien ce qui est ecrit dans "Donnée de la valeur"
Ici sCvhost.exe (cela peut-etre autre chose)
Supprimez ces Valeurs "config loader"
[Ne supprimer PAS les CLES Run et RunServices mais les valeurs délictueuses.]
Fermer RegCleaner ou Regedit et rebooter sans autre forme de procès (avec la pointe du stylo bile...) pour éviter que le sCvhost.exe qui est en mémoire ne réinscrive ses clés.
La machine a redemarré ? (non ? dommage... oui ? ouf !)
Ouvrez le repertoire C:\Windows\System32
Trouvez le fichier "sCvhost.exe", reperer bien sa taille (ici 202 Ko) ET sa date ET heure de creation (à la minute près).
Supprimer (ou renommer) ce fichier.
Effectuez une recherche dans ce repertoire de tous les .exe qui ont la meme taille et la même date (dd:hh:mm) de création.
Isolez ces fichiers dans un répertoire temporaire, ce sont des duplicatas.
Normalement tous ces fichiers sont - à une lettre ou une inversion de lettre près - équivalents à des fichiers Systemes de WindowsXp.
J'ai ainsi trouvé un winhlpP32.exe (pareil 202 Ko etc.)
Apparement il y en a une tripotée (voir quantité de post sur le sujet)
Supprimez les (dans le doute, renommez l'extension)
(*) Si regedit.exe est fermé par ce virus (j'ai lu cela dans un post ici même) essayez simplement de renommer Regedit.exe en Ragedit.exe... pourquoi je pense que cela pourrait marcher ?
Car j'ai édité le virus et si il est crypté il n'empeche qu'a certain endroit on repere bien des morceaux de noms connus ex : zone alarm$ ou nav~ etc... donc je pense (cela n'engage que moi) qu'il se repere simplement aux noms de programmes.
On repere aussi très bien que c'est un programme qui tourne sous Windows [MZ etc. "This program cannot be run in dos mode" ...]
A cette occasion on s'apercoit aussi quelles DLL de WinXp il utilise,
i.e. ADAVAPI32.DLL qui contient les fonctions necessaires à l'écriture dans la base de registre.
D'ailleurs il contient aussi des dates, comme le 4 nov ...
Notes : - Vous trouverez sur le Site de Trendsmicro.com un anti-virus en ligne (aie) qui est à jour pour ce virus, Sophos.com aussi est à jour mais pas en ligne ... et il est trop tard pour charger les correctifs de Micro$oft (qui existent) si vous étes deja infecté.
- Je propose qu'a ce post ne soit ajoutés soit que des correctifs ou des extensions et que si il y a trop de Correctifs que ce post soit supprimé ... inutile d'encombrer un forum deja bien chargé sur ce sujet.
A voir également:
- UC100%/FiRWalDésaktV/PcBloKé/sCvhost/Solution
- Driverpack solution - Télécharger - Divers Utilitaires
- Ou est charlie le livre magique solution - Forum Loisirs / Divertissements
- Solution prs chronopost - Forum Mobile
- Solution de sauvegarde - Guide
- Ou est charlie solution tome 1 - Forum Loisirs / Divertissements
