Trojan virtumod (xxwvw.dll)
Fermé
utilsateur150
Messages postés
6
Date d'inscription
lundi 24 juillet 2006
Statut
Membre
Dernière intervention
26 juillet 2006
-
24 juil. 2006 à 23:54
analord Messages postés 12 Date d'inscription lundi 18 février 2008 Statut Membre Dernière intervention 26 avril 2008 - 21 févr. 2008 à 12:16
analord Messages postés 12 Date d'inscription lundi 18 février 2008 Statut Membre Dernière intervention 26 avril 2008 - 21 févr. 2008 à 12:16
A voir également:
- Trojan virtumod (xxwvw.dll)
- Trojan remover - Télécharger - Antivirus & Antimalwares
- Trojan win32 - Forum Virus
- Csrss.exe trojan - Forum Virus
- Csrss.exe : processus suspect/virus ? - Forum Virus
- Trojan agent ✓ - Forum Virus
12 réponses
^^Marie^^
Messages postés
113901
Date d'inscription
mardi 6 septembre 2005
Statut
Membre
Dernière intervention
28 août 2020
3 275
25 juil. 2006 à 08:29
25 juil. 2006 à 08:29
Salut,
je peu vous poster un raport hijack.
Très bonne idée.
A++
je peu vous poster un raport hijack.
Très bonne idée.
A++
utilsateur150
Messages postés
6
Date d'inscription
lundi 24 juillet 2006
Statut
Membre
Dernière intervention
26 juillet 2006
25 juil. 2006 à 20:54
25 juil. 2006 à 20:54
ps : j'ai déja beaucoup cherché et avec de l'aide d'autre personne sur internet, et nous avons esseyé toute les méthodes pour fixé cette dll xxwvw.dll, mais meme en fesant un nétoyage de tout, un reboot en mode sans echec etc, il s'affiche toujours que cette dll est occupé par un autre procesus.
On a meme esseyé de la virer dans le dos, et meme dans le dos sa me dit que c'est occupé par un autre processus!!!!
j'vous avance un peu dans le probleme, pour qu'on évite de refaire tout ce qu'on a déja fait.
C'est un probleme conplex j'ai l'impression, cette dll est utilisé par un processus. On avait pensé a winlogon comme c'est le cas pour ce qui on le meme virus que moi, et alors la on pouvez l'ocalisé les dll dans processxp mais chez moi on ne les voi pas. uniquement dans explorer.
Voila.
Que faire!!
voila 4 jours que je suis dessu!!
Merci beaucoup
On a meme esseyé de la virer dans le dos, et meme dans le dos sa me dit que c'est occupé par un autre processus!!!!
j'vous avance un peu dans le probleme, pour qu'on évite de refaire tout ce qu'on a déja fait.
C'est un probleme conplex j'ai l'impression, cette dll est utilisé par un processus. On avait pensé a winlogon comme c'est le cas pour ce qui on le meme virus que moi, et alors la on pouvez l'ocalisé les dll dans processxp mais chez moi on ne les voi pas. uniquement dans explorer.
Voila.
Que faire!!
voila 4 jours que je suis dessu!!
Merci beaucoup
Regis59
Messages postés
21143
Date d'inscription
mardi 27 juin 2006
Statut
Contributeur sécurité
Dernière intervention
22 juin 2016
1 321
25 juil. 2006 à 22:59
25 juil. 2006 à 22:59
Salut,
Desactive les protections de registre d ewido et de spyware doctor.
1/
télécharge : process xp ici:
https://www.freeware-download.com/
Télécharge: Pocket Killbox ici
http://www.downloads.subratam.org/KillBox.exe
:: Démo d utilisation (merci a Balltrap34 pour cette réalisation) ::
http://pageperso.aol.fr/balltrap34/killbox.htm
2/
Déconnecte toi du net.
Ferme tous les programmes en cours (média player, internet explorer, ...etc)
Dézippe (clic droit > extraire) process xp et double clic sur processxp.exe
* Dans la fenêtre principale de processxp double clic sur winlogon.exe
Dans la nouvelle fenêtre qui s'ouvre clique sur threads
sélectionne seulement les lignes qui contiennent xxwvw.dll
puis clique sur kill pour chacune des lignes trouvées.
une fois fait, valide avec ok
* Dans la fenêtre principale de processxp double clic sur explorer.exe
Dans la nouvelle fenêtre qui s'ouvre clique sur threads
sélectionner seulement les lignes qui contiennent xxwvw.dll
puis clique sur kill pour chacune des lignes trouvées.
une fois fait, valide avec ok
3/
puis lancer HijackThis:
clique sur "do a system scan only"
* Cocher la case au début de ces lignes:
O20 - Winlogon Notify: xxwvw - C:\WINDOWS\system32\xxwvw.dll
* Valider avec fix checked
5/
Double clic sur killbox.exe (Pocket Killbox)
- coche: delete on reboot
- Dans "Full Path of File to Delete"
- copie et colle:
C:\WINDOWS\system32\xxwvw.dll
-Sélectionne "single File"
- clique sur la croix rouge
- une fenêtre va apparaître pour confirmation clique sur YES
- une seconde fenêtre te demande si tu veux redémarrer clique sur YES
Si ce message s’affiche ignore le :
http://tinypic.com/images/goodbye.jpg
Laisse le pc redémarrer.
Et après reposte un log HijackThis.
A+
Desactive les protections de registre d ewido et de spyware doctor.
1/
télécharge : process xp ici:
https://www.freeware-download.com/
Télécharge: Pocket Killbox ici
http://www.downloads.subratam.org/KillBox.exe
:: Démo d utilisation (merci a Balltrap34 pour cette réalisation) ::
http://pageperso.aol.fr/balltrap34/killbox.htm
2/
Déconnecte toi du net.
Ferme tous les programmes en cours (média player, internet explorer, ...etc)
Dézippe (clic droit > extraire) process xp et double clic sur processxp.exe
* Dans la fenêtre principale de processxp double clic sur winlogon.exe
Dans la nouvelle fenêtre qui s'ouvre clique sur threads
sélectionne seulement les lignes qui contiennent xxwvw.dll
puis clique sur kill pour chacune des lignes trouvées.
une fois fait, valide avec ok
* Dans la fenêtre principale de processxp double clic sur explorer.exe
Dans la nouvelle fenêtre qui s'ouvre clique sur threads
sélectionner seulement les lignes qui contiennent xxwvw.dll
puis clique sur kill pour chacune des lignes trouvées.
une fois fait, valide avec ok
3/
puis lancer HijackThis:
clique sur "do a system scan only"
* Cocher la case au début de ces lignes:
O20 - Winlogon Notify: xxwvw - C:\WINDOWS\system32\xxwvw.dll
* Valider avec fix checked
5/
Double clic sur killbox.exe (Pocket Killbox)
- coche: delete on reboot
- Dans "Full Path of File to Delete"
- copie et colle:
C:\WINDOWS\system32\xxwvw.dll
-Sélectionne "single File"
- clique sur la croix rouge
- une fenêtre va apparaître pour confirmation clique sur YES
- une seconde fenêtre te demande si tu veux redémarrer clique sur YES
Si ce message s’affiche ignore le :
http://tinypic.com/images/goodbye.jpg
Laisse le pc redémarrer.
Et après reposte un log HijackThis.
A+
utilsateur150
Messages postés
6
Date d'inscription
lundi 24 juillet 2006
Statut
Membre
Dernière intervention
26 juillet 2006
25 juil. 2006 à 23:15
25 juil. 2006 à 23:15
"Desactive les protections de registre d ewido et de spyware doctor."
parfis, justement je me demande si elle n'ai pas bloqué par l'un de c'est programme.
Comment fait on stp?
j'esseye juste aprés ton aide
merci beaucoup
parfis, justement je me demande si elle n'ai pas bloqué par l'un de c'est programme.
Comment fait on stp?
j'esseye juste aprés ton aide
merci beaucoup
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Regis59
Messages postés
21143
Date d'inscription
mardi 27 juin 2006
Statut
Contributeur sécurité
Dernière intervention
22 juin 2016
1 321
25 juil. 2006 à 23:28
25 juil. 2006 à 23:28
Salut
Clik droit sur leur icone pres de l horloge et ferme les tout simplement.
Si tu n y arrive pas, essaie quand meme la suite
a+
Clik droit sur leur icone pres de l horloge et ferme les tout simplement.
Si tu n y arrive pas, essaie quand meme la suite
a+
utilsateur150
Messages postés
6
Date d'inscription
lundi 24 juillet 2006
Statut
Membre
Dernière intervention
26 juillet 2006
25 juil. 2006 à 23:39
25 juil. 2006 à 23:39
ok
j'aivais déja esséyé cette méthode (comme ke dit dans mon premier message) et justement dans threads sur winlogon ya pas de dll
je les voi et peu les kill dans explorer par contre.
J'avais esseyé cette méthode et sa ma dit que c'était occupé par un autre processus.
Tout le probleme c'est de savoir pourquoi je voi pas c'est dll et sinon où sont elle etc
j'aivais déja esséyé cette méthode (comme ke dit dans mon premier message) et justement dans threads sur winlogon ya pas de dll
je les voi et peu les kill dans explorer par contre.
J'avais esseyé cette méthode et sa ma dit que c'était occupé par un autre processus.
Tout le probleme c'est de savoir pourquoi je voi pas c'est dll et sinon où sont elle etc
Regis59
Messages postés
21143
Date d'inscription
mardi 27 juin 2006
Statut
Contributeur sécurité
Dernière intervention
22 juin 2016
1 321
25 juil. 2006 à 23:48
25 juil. 2006 à 23:48
Salut
Si tu ne la voit que sous explorer, kill la quand meme
Ensuite supprime le avec kill box, comme indiqué
a+
Si tu ne la voit que sous explorer, kill la quand meme
Ensuite supprime le avec kill box, comme indiqué
a+
utilsateur150
Messages postés
6
Date d'inscription
lundi 24 juillet 2006
Statut
Membre
Dernière intervention
26 juillet 2006
26 juil. 2006 à 00:23
26 juil. 2006 à 00:23
j'avais déja fait, a parement ça ne suffit pas
toujours "déja utilisé par un autre processus" mais lequel?
peu etre que ya que dans explorer mais alors il manque quelque chose a faire dans toute cette manip, ou alors on ne les voi pas de cette maniere dans winlogon.
Je sais pas si tu a vu, dans l'hijack il dise "winlogon notify ..." quand meme. sa veux pas dire qu'il utilise winlogon?
toujours "déja utilisé par un autre processus" mais lequel?
peu etre que ya que dans explorer mais alors il manque quelque chose a faire dans toute cette manip, ou alors on ne les voi pas de cette maniere dans winlogon.
Je sais pas si tu a vu, dans l'hijack il dise "winlogon notify ..." quand meme. sa veux pas dire qu'il utilise winlogon?
Regis59
Messages postés
21143
Date d'inscription
mardi 27 juin 2006
Statut
Contributeur sécurité
Dernière intervention
22 juin 2016
1 321
26 juil. 2006 à 10:12
26 juil. 2006 à 10:12
Salut
Utiliser par un autre processus mais tu le supprime avec kill box au moins et non a la main?????
Télécharge VirtumundoBegone sur le bureau:
http://secured2k.home.comcast.net/tools/VirtumundoBeGone.exe
Double clique ensuite sur VirtumundoBeGone.exe et suis les instructions.
Une fois terminé, redémarre et poste le rapport VBG.TXT créé sur le bureau dans ta prochaine réponse avec un nouveau rapport HijackThis.
Ne t'inquiète pas si tu vois un message Ecran bleu "Erreur fatale", c'est normal et attendu.
Utiliser par un autre processus mais tu le supprime avec kill box au moins et non a la main?????
Télécharge VirtumundoBegone sur le bureau:
http://secured2k.home.comcast.net/tools/VirtumundoBeGone.exe
Double clique ensuite sur VirtumundoBeGone.exe et suis les instructions.
Une fois terminé, redémarre et poste le rapport VBG.TXT créé sur le bureau dans ta prochaine réponse avec un nouveau rapport HijackThis.
Ne t'inquiète pas si tu vois un message Ecran bleu "Erreur fatale", c'est normal et attendu.
Regis59
Messages postés
21143
Date d'inscription
mardi 27 juin 2006
Statut
Contributeur sécurité
Dernière intervention
22 juin 2016
1 321
10 juin 2007 à 09:11
10 juin 2007 à 09:11
Bonjour,
Il serait préférable que tu fasses ton message personnel, cela rendra les postes plus compréhensibles et la réponse à ton problème sera plus efficace
Procèdes comme ceci :
http://pageperso.aol.fr/balltrap34/demofairesontmessage.htm
A bientôt
Il serait préférable que tu fasses ton message personnel, cela rendra les postes plus compréhensibles et la réponse à ton problème sera plus efficace
Procèdes comme ceci :
http://pageperso.aol.fr/balltrap34/demofairesontmessage.htm
A bientôt
analord
Messages postés
12
Date d'inscription
lundi 18 février 2008
Statut
Membre
Dernière intervention
26 avril 2008
21 févr. 2008 à 12:16
21 févr. 2008 à 12:16
Bonjour,
Pour éffacer un ou des fichiers DLL vous refusant l'accès suivez ces étapes.
Téléchargez le fichier "http://mail.ustc.edu.cn/~jfpan/download/IceSword122en.zip"
Utilisation de IceSword
Première étape ; En mode normal, après téléchargement et extraction du logiciel, aller vers le dossier extrait et lancer l'application par double clique sur l 'icone vous aurait une image d'un glaive c'est le logicile recherchée, cliquez sur l'image pour l'activer et accepter les messages popus au cas où y en a puis fermer le logiciel sans rien faire.
Deuxième étape ; allez en mode sans échec, activer icesword et cliquez sur File en bas à gauche de la fenêtre et aller vers le fichier pour supprimer c:/Windows/system32 puis selectioner le fichier dll infecté et choisir "force delete" avec le bouton droit.
Rédemarrer votre machine.
Je remerci "Cert-TCC - Computer Emergency Response Team - Tunisian Coordination Center, Agence Nationale de la Sécurité Informatique en Tunisie" qui m'ont donné cette solution.
Pour éffacer un ou des fichiers DLL vous refusant l'accès suivez ces étapes.
Téléchargez le fichier "http://mail.ustc.edu.cn/~jfpan/download/IceSword122en.zip"
Utilisation de IceSword
Première étape ; En mode normal, après téléchargement et extraction du logiciel, aller vers le dossier extrait et lancer l'application par double clique sur l 'icone vous aurait une image d'un glaive c'est le logicile recherchée, cliquez sur l'image pour l'activer et accepter les messages popus au cas où y en a puis fermer le logiciel sans rien faire.
Deuxième étape ; allez en mode sans échec, activer icesword et cliquez sur File en bas à gauche de la fenêtre et aller vers le fichier pour supprimer c:/Windows/system32 puis selectioner le fichier dll infecté et choisir "force delete" avec le bouton droit.
Rédemarrer votre machine.
Je remerci "Cert-TCC - Computer Emergency Response Team - Tunisian Coordination Center, Agence Nationale de la Sécurité Informatique en Tunisie" qui m'ont donné cette solution.
25 juil. 2006 à 20:48
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\ewido anti-spyware 4.0\guard.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\ewido anti-spyware 4.0\ewido.exe
D:\Program Files\Creative\SBAudigy\RemoteCenter\Rc\RcMan.EXE
C:\PROGRA~1\Panicware\Pop-Up Stopper Free Edition\PSFree.exe
D:\Program Files\Creative\SBAudigy\RemoteCenter\Rc\OSDMenu.EXE
D:\Program Files\Creative\SBAudigy\RemoteCenter\Rc\EAX.exe
D:\Program Files\Creative\SBAudigy\RemoteCenter\Center\RCenter.exe
C:\Program Files\Spyware Doctor\swdoctor.exe
C:\PROGRA~1\MOZILLA FIREFOX\FIREFOX.EXE
C:\hijack\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.orange.fr/portail
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = @ Internet @
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\Updreg.exe
O4 - HKLM\..\Run: [Jet Detection] D:\Program Files\Creative\SBAudigy\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [!ewido] "C:\Program Files\ewido anti-spyware 4.0\ewido.exe" /minimized
O4 - HKCU\..\Run: [RemoteCenter] D:\Program Files\Creative\SBAudigy\RemoteCenter\Rc\RcMan.EXE
O4 - HKCU\..\Run: [PopUpStopperFreeEdition] "C:\PROGRA~1\Panicware\Pop-Up Stopper Free Edition\PSFree.exe"
O4 - HKCU\..\Run: [HijackThis startup scan] C:\hijack\HijackThis.exe /startupscan
O4 - HKCU\..\Run: [Spyware Doctor] "C:\Program Files\Spyware Doctor\swdoctor.exe" /Q
O17 - HKLM\System\CCS\Services\Tcpip\..\{53424172-783F-479F-90C3-6C27A5A6F8C5}: NameServer = 80.10.246.1 80.10.246.132
O20 - Winlogon Notify: xxwvw - C:\WINDOWS\system32\xxwvw.dll
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: Digidesign MME Refresh Service (DigiRefresh) - Unknown owner - D:\Program Files\Digidesign\Drivers\MMERefresh.exe (file missing)
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Program Files\ewido anti-spyware 4.0\guard.exe
O23 - Service: Norton AntiVirus Auto-Protect Service (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\Symantec Shared\Script Blocking\SBServ.exe
O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - C:\Program Files\Spyware Doctor\sdhelp.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe