impossible de dégager une dll

Le
promer
bonjour

sous xp, depuis plusieurs jours j'ai une dll reconnue comme un malware par
mon antivirus :
windowssystem32winuhy32.dll

impossible de la supprimer et l'antivirus ne peut rien y faire

j'ai désactivé la restauration du système, rebooté en sans échec, impossible
toujours "accès refusé"

dans la base de registres, il y a :
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows
NTCurrentVersionWinlogonNotifywinuhy32

avec plusieurs entrées dans cette clé :
(par défaut):reg_sz:(valeur non définie)
asynchronous:reg_dword:0x00000001(1)
dllname:reg_sz:winuhy32.dll
impersonate:reg_dword:0x00000000(0)
shutdown:reg_sz:NmtUtRH
startup:reg_sz:oclNLK

en virant cette clé et toutes ces composantes de la base de registres en
mode sans échec, celle-ci se reconstitue au prochain reboot même en sans
échec

d'autre part, toujours impossible de supprimer en commande en ligne en mode
sans échec le fichier winuhy32.dll, accès refusé

je ne sais pas quoi faire pour éradiquer ce malware

d'autre part se situant sur un disque formaté NTFS, je ne vois pas comment
avec une disquette de boot, ou un système linux je pourrais supprimer ce
satané fichier, et si ça se trouve même si j'y arrivais il est possible
qu'il s'y remette, à l'instar des entrées dans la base de registres qui se
refont toutes seules, même en mode sans échec ??

bizarrement il n'y a pas grand chose sur le web à propos de ce virus

merci de votre aide
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Lempel
Le #22462561
L'anti malware "MalewareBytes" dispose d'un outil qui permet de supprimer
les fichiers verrouillés.
Ca s'appelle "FileASSASSIN"
http://www.malwarebytes.org/
Mais attention ne tue un fichier que si tu es sur de ce que tu fais.

--
Amicalement,
Bernard Lempel
http://pagesperso-orange.fr/lempel/


"promer" 4c62e66b$0$17256$
bonjour

sous xp, depuis plusieurs jours j'ai une dll reconnue comme un malware par
mon antivirus :
windowssystem32winuhy32.dll

impossible de la supprimer et l'antivirus ne peut rien y faire

j'ai désactivé la restauration du système, rebooté en sans échec,
impossible toujours "accès refusé"

dans la base de registres, il y a :
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows
NTCurrentVersionWinlogonNotifywinuhy32

avec plusieurs entrées dans cette clé :
(par défaut):reg_sz:(valeur non définie)
asynchronous:reg_dword:0x00000001(1)
dllname:reg_sz:winuhy32.dll
impersonate:reg_dword:0x00000000(0)
shutdown:reg_sz:NmtUtRH
startup:reg_sz:oclNLK

en virant cette clé et toutes ces composantes de la base de registres en
mode sans échec, celle-ci se reconstitue au prochain reboot même en sans
échec

d'autre part, toujours impossible de supprimer en commande en ligne en
mode sans échec le fichier winuhy32.dll, accès refusé

je ne sais pas quoi faire pour éradiquer ce malware

d'autre part se situant sur un disque formaté NTFS, je ne vois pas comment
avec une disquette de boot, ou un système linux je pourrais supprimer ce
satané fichier, et si ça se trouve même si j'y arrivais il est possible
qu'il s'y remette, à l'instar des entrées dans la base de registres qui se
refont toutes seules, même en mode sans échec ??

bizarrement il n'y a pas grand chose sur le web à propos de ce virus

merci de votre aide

Gloops
Le #22462661
Bonjour,

Accès refusé en mode sans échec ? Hum, pas bon, ça.

Ah au fait, si cette DLL est lancée par un service, il faut arrêter l e
service avant d'effacer le fichier. Alors les services ... panneau de
configuration, outils d'administration. Mais si la bestiole a pris soin
de se réinstaller quand on la retire du registre, ça ne serait pas pl us
étonnant que ça qu'elle ait pris ses précautions pour qu'on ne puis se
pas arrêter le service.

J'imagine que tu as cherché le nom du malware sur des moteurs de
recherche, et rien trouvé de convaincant pour l'éradiquer, et que les
antivirus en ligne n'y sont pas arrivés non plus ?

Si personne n'a de piste, la solution radicale, c'est de démarrer depui s
un CD/DVD, et réinstaller Windows. C'est pour ça qu'on ne se lance
*jamais* dans l'utilisation d'une machine sans CD de démarrage, et que
si il n'est pas fourni par le fabricant on le télécharge sur Internet
pendant que la machine est saine (par exemple, UBCD4Win). Si ça n'a pas
été fait il reste à s'en procurer un auprès d'une personne de con fiance,
c'est tout de suite plus délicat.

Si les installations sont bien faites, on conserve ses données en
sauvegardant Documents and Settings avant la réinstallation, pour le
restaurer après (et c'est un administrateur qui fait ça).
Et là il y a gaffe à faire dans le cas d'une contamination qui s'est
faite par les données (par exemple dans un modèle Word), cas où il est
peut-être généralement moins utile de réinstaller le système. M ais ce
n'est pas de ça qu'on parle, pas vrai ?
_____________________________________
promer a écrit, le 11/08/2010 20:05 :
bonjour

sous xp, depuis plusieurs jours j'ai une dll reconnue comme un malware par
mon antivirus :
windowssystem32winuhy32.dll

impossible de la supprimer et l'antivirus ne peut rien y faire

j'ai désactivé la restauration du système, rebooté en sans éc hec, impossible
toujours "accès refusé"

dans la base de registres, il y a :
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows
NTCurrentVersionWinlogonNotifywinuhy32

avec plusieurs entrées dans cette clé :
(par défaut):reg_sz:(valeur non définie)
asynchronous:reg_dword:0x00000001(1)
dllname:reg_sz:winuhy32.dll
impersonate:reg_dword:0x00000000(0)
shutdown:reg_sz:NmtUtRH
startup:reg_sz:oclNLK

en virant cette clé et toutes ces composantes de la base de registres en
mode sans échec, celle-ci se reconstitue au prochain reboot même en sans
échec

d'autre part, toujours impossible de supprimer en commande en ligne en mode
sans échec le fichier winuhy32.dll, accès refusé

je ne sais pas quoi faire pour éradiquer ce malware

d'autre part se situant sur un disque formaté NTFS, je ne vois pas co mment
avec une disquette de boot, ou un système linux je pourrais supprimer ce
satané fichier, et si ça se trouve même si j'y arrivais il est po ssible
qu'il s'y remette, à l'instar des entrées dans la base de registres qui se
refont toutes seules, même en mode sans échec ??

bizarrement il n'y a pas grand chose sur le web à propos de ce virus

merci de votre aide


Gloops
Le #22462651
Lempel a écrit, le 11/08/2010 21:22 :
L'anti malware "MalewareBytes" dispose d'un outil qui permet de supprim er
les fichiers verrouillés.
Ca s'appelle "FileASSASSIN"
http://www.malwarebytes.org/
Mais attention ne tue un fichier que si tu es sur de ce que tu fais.




Ah tiens sur le moment j'ai fait tilt, car ça m'a rappelé SpamAssassi n,
mais ça, c'est un antispam qui s'installe sur un serveur de mails.
Il faut dire, si on passe un peu vite et pas très réveillé, on peut
télescoper les deux dans sa tête.
promer
Le #22462851
In news:4c62f88f$0$5425$,
Lempel
L'anti malware "MalewareBytes" dispose d'un outil qui permet de
supprimer les fichiers verrouillés.
Ca s'appelle "FileASSASSIN"
http://www.malwarebytes.org/
Mais attention ne tue un fichier que si tu es sur de ce que tu fais.



il se lance avec winlogon et je ne sais pas comment le dégager de winlogon
c'est sûr, c'est un virus puisque peu de références à celui-ci sur le net,
détecté comme tel et il revient constamment
je vais essayer fileassassin mais à mon avis il ne parviendra pas à
l'inhiber, c'est perdu d'avance
promer
Le #22463001
In news:4c6301c0$0$12668$,
promer
In news:4c62f88f$0$5425$,
Lempel > L'anti malware "MalewareBytes" dispose d'un outil qui permet de
> supprimer les fichiers verrouillés.
> Ca s'appelle "FileASSASSIN"
> http://www.malwarebytes.org/
> Mais attention ne tue un fichier que si tu es sur de ce que tu
> fais.

il se lance avec winlogon et je ne sais pas comment le dégager de
winlogon c'est sûr, c'est un virus puisque peu de références à
celui-ci sur le net, détecté comme tel et il revient constamment
je vais essayer fileassassin mais à mon avis il ne parviendra pas à
l'inhiber, c'est perdu d'avance



bon ça y est, il est finalement dégagé ce morbak
je ne sais pas trop comment, car j'ai lancé plusieurs trucs à la fois et
aussi viré deux fois en mode recovery les inscriptions dans la bdr après
ouvertures et fermetures consécutives
j'avais aussi une barre dans internet explorer vnn jsais pas quoi et
visiblement qui a de l'espionnite aigue, ça a été l'occasion de la dégager,
si ça se trouve c'était lié
winhuy32.dll a bien disparu du rapport de hijackthis (il apparaissait dans
les lignes 20), mais malgré les fix sous hijackthis ils réapparaissait, un
peu d'insistance malgré tout, et c'est peut-être le spam assassin après
reboot qui a donné l'estocade

en fait j'ai plus ou moins suivi ce tuto :
http://www.commentcamarche.net/faq/6862-supprimer-le-trojan-vundo-virtumonde
puisque les caractéristiques du trojan étaient ressemblantes, et c'est ce
qui m'a donné une petite lueur d'espoir sur le fait que il pourrait dégager

bon ça fait du bien, après environ 3 ou 4 heures de se battre contre cette
merde
bon débarras

merci à vous pour votre aide
Lempel
Le #22464151
Merci pour le retour.

--
Amicalement,
Bernard Lempel
http://pagesperso-orange.fr/lempel/


"promer" 4c6306dd$0$24168$
In news:4c6301c0$0$12668$,
promer
In news:4c62f88f$0$5425$,
Lempel > L'anti malware "MalewareBytes" dispose d'un outil qui permet de
> supprimer les fichiers verrouillés.
> Ca s'appelle "FileASSASSIN"
> http://www.malwarebytes.org/
> Mais attention ne tue un fichier que si tu es sur de ce que tu
> fais.

il se lance avec winlogon et je ne sais pas comment le dégager de
winlogon c'est sûr, c'est un virus puisque peu de références à
celui-ci sur le net, détecté comme tel et il revient constamment
je vais essayer fileassassin mais à mon avis il ne parviendra pas à
l'inhiber, c'est perdu d'avance



bon ça y est, il est finalement dégagé ce morbak
je ne sais pas trop comment, car j'ai lancé plusieurs trucs à la fois et
aussi viré deux fois en mode recovery les inscriptions dans la bdr après
ouvertures et fermetures consécutives
j'avais aussi une barre dans internet explorer vnn jsais pas quoi et
visiblement qui a de l'espionnite aigue, ça a été l'occasion de la
dégager, si ça se trouve c'était lié
winhuy32.dll a bien disparu du rapport de hijackthis (il apparaissait dans
les lignes 20), mais malgré les fix sous hijackthis ils réapparaissait, un
peu d'insistance malgré tout, et c'est peut-être le spam assassin après
reboot qui a donné l'estocade

en fait j'ai plus ou moins suivi ce tuto :
http://www.commentcamarche.net/faq/6862-supprimer-le-trojan-vundo-virtumonde
puisque les caractéristiques du trojan étaient ressemblantes, et c'est ce
qui m'a donné une petite lueur d'espoir sur le fait que il pourrait
dégager

bon ça fait du bien, après environ 3 ou 4 heures de se battre contre cette
merde
bon débarras

merci à vous pour votre aide

Herser
Le #22465561
promer wrote:
In news:4c6301c0$0$12668$,
promer


Bonjour

J'arrive après la bataille ;-)
Mais Vundo a quelques versions méchantes
Je ferais un diag complet avec ZHPDiag :
http://www.premiumorange.com/zeb-help-process/zhpdiag.html
En envoyant le rapport de diagnostic sur Cijoint avec le lien ici pour le
récupérer :
http://www.cijoint.fr/index.php

A+
Herser
Publicité
Poster une réponse
Anonyme