Bonsoir
J'ai dans c:/winnt/system32 (sous w2kpro) un fichier sqppno.dll, qui se charge au démarrage (selon hijackthis). Adaware me trouve 3 malwares (BHO), les élimine, mais au prochain scan, ils sont de retour...
Impossible de supprimer ce fichier, qui n'apparaissait pas il t a qques jours dans un scan hijackthis.
Même en sans échec...
si vous avez des idées...
merci d'avance.
Il y a actuellement 241 visiteurs
Dimanche 24 Novembre 2024
       |
[reglé]malware et imprudence...
le 24 Sep 2007 18:10
Bonsoir, Jyl .
J'ai fait une petite recherche avec ta .dll,
ce serait pas "ssqpo.dll" ? Google dit que ça
n'est pas facile ...
Essaye de voir si tu n'as pas
un point de restauration qui date du moment
ou ça a commencé, parce qu'à tous les coups,
c'est dedans et ça en ressort ...
Bon courage et A+.
PA.
J'ai fait une petite recherche avec ta .dll,
ce serait pas "ssqpo.dll" ? Google dit que ça
n'est pas facile ...
Essaye de voir si tu n'as pas
un point de restauration qui date du moment
ou ça a commencé, parce qu'à tous les coups,
c'est dedans et ça en ressort ...
Bon courage et A+.
PA.
-
Pac428 - PC-Infopraticien
- Messages: 29466
- Inscription: 23 Mai 2006 13:25
- Localisation: Le Goulag du Maine.
le 25 Sep 2007 07:14
merci.
Non, il s'agit bien de ssqppno (7 caractères). Et la bête est coriace, en effet, mais bon, le pare feu a bloqué les 2 processus qu'elle utilise pour sortir, donc, pour le moement, je ne panique pas...
Non, il s'agit bien de ssqppno (7 caractères). Et la bête est coriace, en effet, mais bon, le pare feu a bloqué les 2 processus qu'elle utilise pour sortir, donc, pour le moement, je ne panique pas...
-
jyl2803 - Expert(e)
- Messages: 710
- Inscription: 12 Avr 2007 20:43
- Localisation: Orléans
Reste à trouver où la source se cache.
le 25 Sep 2007 09:26
C'est quand même bien qu'on en ait parlé 
Ta dll. vérifiée fait 7 caractères au lieu des 6 initiaux ...
L'important : je l'ai trouvée détruite par VundoFix 6.5.4
http://forums.techguy.org/windows-nt-20 ... p-ups.html
en Anglais . C'est à peu près au milieu et stabiloté en jaune.
En Français, Malekal donne les liens vers le fix .
http://forum.malekal.com/ftopic2695-0.php
( faut lire en détail pour trouver...)
Bon courage et fais savoir, Jyl.
A+.
PA.
Ta dll. vérifiée fait 7 caractères au lieu des 6 initiaux ...
L'important : je l'ai trouvée détruite par VundoFix 6.5.4
http://forums.techguy.org/windows-nt-20 ... p-ups.html
en Anglais . C'est à peu près au milieu et stabiloté en jaune.
En Français, Malekal donne les liens vers le fix .
http://forum.malekal.com/ftopic2695-0.php
( faut lire en détail pour trouver...)
Bon courage et fais savoir, Jyl.
A+.
PA.
-
Pac428 - PC-Infopraticien
- Messages: 29466
- Inscription: 23 Mai 2006 13:25
- Localisation: Le Goulag du Maine.
le 25 Sep 2007 09:29
j'ai déja essayé ce fix. Il plante, même en mode sans échec, et ne parvient pas à effecer quoi que ce soit.
il ferme le processus lsass.exe, la machine reboote donc, et on se retrouve sur la même situation. C'est pourquoi je pense à effacer cette *£#@ de dll en mode console de récupération (boot avec le cd de w2k)
il ferme le processus lsass.exe, la machine reboote donc, et on se retrouve sur la même situation. C'est pourquoi je pense à effacer cette *£#@ de dll en mode console de récupération (boot avec le cd de w2k)
-
jyl2803 - Expert(e)
- Messages: 710
- Inscription: 12 Avr 2007 20:43
- Localisation: Orléans
le 25 Sep 2007 10:14
cette idée de mode console parait elle recevable ? est ceune manip délicate ou dangereuse ?...
je pensais à ceci:
-démarrage en mode console avec le CD.
puis commandes (le fichier en cause porte le doux nom de ssqppno.dll):
- cd winnt
- cd system32 (pour se trouver dans c:winntsystem32)
- attrib ssqppno.dll -r -h -a (est ce indispensable ???)
- del ssqppno.dll
je pensais à ceci:
-démarrage en mode console avec le CD.
puis commandes (le fichier en cause porte le doux nom de ssqppno.dll):
- cd winnt
- cd system32 (pour se trouver dans c:winntsystem32)
- attrib ssqppno.dll -r -h -a (est ce indispensable ???)
- del ssqppno.dll
-
jyl2803 - Expert(e)
- Messages: 710
- Inscription: 12 Avr 2007 20:43
- Localisation: Orléans
,
le 25 Sep 2007 11:32
mais il me semblait que la console de récup ne permet pas de te ballader sur ton disque, sauf si tu as préalablement modifié des clés de registre ???
sans doute me goures je ?! (ce serait bien...)
sans doute me goures je ?! (ce serait bien...)
-
jyl2803 - Expert(e)
- Messages: 710
- Inscription: 12 Avr 2007 20:43
- Localisation: Orléans
le 25 Sep 2007 11:49
Tu peux sans aucun problème
Ton disque dur est en quoi ? Fat32 ou NTFS ?
Si tu es en Fat32, ne t'embête pas avec la console de récupération et démarre directement sous MS-DOS...
Tu peux utiliser aussi un LiveCD pour effacer ce fichier.
Ton disque dur est en quoi ? Fat32 ou NTFS ?
Si tu es en Fat32, ne t'embête pas avec la console de récupération et démarre directement sous MS-DOS...
Tu peux utiliser aussi un LiveCD pour effacer ce fichier.
-
Skynet - Moderateur
- Messages: 14807
- Inscription: 19 Juil 2007 21:12
SUITE ET FIN
le 25 Sep 2007 13:29
enfin, j'espère...
la problème est reglé, par la console de récup de windows200 (boot sur CD)
(PS: partitions NTFS)
La chose étant intérressante sur le pourquoi (que je connais) et le comment (connu aussi, maintenant...), et pouvant ête utile à d'autres, je posterai dans les jours à venir un message relatant les étapes de cette affaire. Merci en tout cas à ceux qui ont pris le temps de m'aider, vraiment.
jyl
la problème est reglé, par la console de récup de windows200 (boot sur CD)
(PS: partitions NTFS)
La chose étant intérressante sur le pourquoi (que je connais) et le comment (connu aussi, maintenant...), et pouvant ête utile à d'autres, je posterai dans les jours à venir un message relatant les étapes de cette affaire. Merci en tout cas à ceux qui ont pris le temps de m'aider, vraiment.
jyl
-
jyl2803 - Expert(e)
- Messages: 710
- Inscription: 12 Avr 2007 20:43
- Localisation: Orléans
une histoire à méditer...
le 25 Sep 2007 16:28
Chapitre 1: l'imprudent
Je passe mon temps à répéter à mes rejetons qu'on ne clique jamais sur un fichier bizarre, qu'on n'ouvre pas une pièce jointe non demandée sauf confirmation, qu'on ne charge pas, etc..; etc... etc...
Bref, je tente de les immuniser contre pebkac. Ca marche pas trop mal.
Et puis un soir, par jeu, pour le fun, je charge un keygen pour un soft de protection en V limitée. (ce que je n'ai fait qu'une seule fois, voici bien longtemps), via emule (que l'utilise parfois pour charger des mp3 que je possède en vinyl, pour éviter d'avoir à les numériser.)
- vérification de l'archive zip avec kaspersky V5 , (à jour): clean.
extraction du fichier, re vérification: clean
(ceci est d'ailleurs très embêtant....)
Je lance donc le fichier .exe. Et aussitôt, 3 fenêtres de kerio s'ouvrent (merci kerio ++++), m'avertissant d'une tentative de connexion de plusieurs utilitaires n'ayant rien à faire sur le net. (setpoint, gestionnaire de clavier logitech, CPUidle, utilitaire de gestion du processeur, et un autre dont j'ai oublié le nom). Tout se passe comme si ce machin se connectait au net en exploitant les modules de winlogon. (il figure d'ailleurs dans le registre dans les clés winlogon). L'nalayser avec filealyzer est d'ailleurs instructif.
Là, je sens le coup fourré, et je bloque tout ça.
Un scan kijackthis m'apprend que la dll nommée ssqppno.dll, dans c:winntsystem32 est responsable.
J'ai en effet O2 - BHO: (no name) - {F4002052-AB29-4B33-8C8D-0E99084564EC} - I:WINNT
system32ssqppno.dll et O20 - Winlogon Notify: ssqppno - I:WINNTSYSTEM32ssqppno.dll
Recherche sur google: il s'agit du troyen virtumonde, ou encore vundo.
Cette dll mobilise 4 ou 5 processus différents (dont explorer, lssass, winlogon), elle est invirable y compris en sans échec. Les sueurs froides me gagnent. Adaware et spybot trouvent un BHO, le suppriment, mais il revient sans cesse, et pour cause...la dll est toujours là.
Chapitre 2: au boulot
sur différents newsgroups et forums, je trouve de l'aide, et divers utilitaires censés éradiquer la chose. Inopérants, ils plantent, provoquent des BSOD, des reboot, et.... n'éliminent rien. (y compris en sans échec). Pourquoi ? Je ne sais. (combofix, vundofix, killbox, j'en passe et des meilleurs.) En restent4 ou 5 que je n'ose pas essayer, on ne sait pas trop ce que font ces machins là en arrière plan...Et puis vu les processus attachés au fichier en cause, je doute qu'il soit possible de le supprimer sous une session windows.
le PC fonctionne sans problème, TCPview ne signale pas de connexion suspecte a priori, mais ... savoir le mal dans le disque n'est pas confortable.
Chapitre 3: un vent de panique.
Je me trouve donc face à un fichier qui lance des processus même en sans échec, et qu'il me faut pourtant virer. J'essaie et ligne de commande sans échec: impossible bien sur.
Aucune envie de tout réinstaller, malgré mes sauvegardes un peu partout, c'est un constat d'échec, et puis... pas trop de temps. C'est ma 2de infection en 7 années, je vais pas baisser les bras...
Chapitre 4 : le bout du tunnel
En fait, la solution viendra d'un forumiste qui me suggérera d'utiliser soit la console de récup, soit un liveCD linux (les versions récentes permettant d'écrire sur une partition NTFS, semble t il)
N'ayant pas sous la main de live CD à jour, (mon dernier kaella a un an), je tente le coup de la console. Jamais fait, pas bien rassuré, mais bon... On y va...
sous c:winnt, commandes
cd system32
del ssqppno.dll
Pas de message d'erreur. Un dir ss*.dll montre qu'il n'y a rien. Ca a duré 5 mn.
Reboot, un coup d'hijackthis, les lignes " O2 - BHO: (no name) - {F4002052-AB29-4B33-8C8D-0E99084564EC} - I:WINNT system32ssqppno.dll " et " O20 - Winlogon Notify: ssqppno - I:WINNTSYSTEM32ssqppno.dll " sont toujours là mais " file missing ". Je les fixe, et c'est bon.
Adaware et spybot nettoyent le BHO installé, et jusqu'à maintenant, rien n'est revenu. Je croise les doigts, mais il ne semble pas que cette cochonceté n'installe d'autres fichiers, donc je pense être libéré.
Conclusion:
1- Ca m'a servi de leçon, et si ça peut servir à d'autres....
2- une claque dans la g.... ça fait parfois du bien !!
3- un pare feu bien paramétré est VITAL
4- reste à savoir pourquoi kaspersky, pourtant réputé bon antivirus, n'a rien dit... Je poserai la question à l'éditeur.
A votre disposition pour des précision éventuelles, et encore merci à ceux qui m'ont aidé.
Je passe mon temps à répéter à mes rejetons qu'on ne clique jamais sur un fichier bizarre, qu'on n'ouvre pas une pièce jointe non demandée sauf confirmation, qu'on ne charge pas, etc..; etc... etc...
Bref, je tente de les immuniser contre pebkac. Ca marche pas trop mal.
Et puis un soir, par jeu, pour le fun, je charge un keygen pour un soft de protection en V limitée. (ce que je n'ai fait qu'une seule fois, voici bien longtemps), via emule (que l'utilise parfois pour charger des mp3 que je possède en vinyl, pour éviter d'avoir à les numériser.)
- vérification de l'archive zip avec kaspersky V5 , (à jour): clean.
extraction du fichier, re vérification: clean
(ceci est d'ailleurs très embêtant....)
Je lance donc le fichier .exe. Et aussitôt, 3 fenêtres de kerio s'ouvrent (merci kerio ++++), m'avertissant d'une tentative de connexion de plusieurs utilitaires n'ayant rien à faire sur le net. (setpoint, gestionnaire de clavier logitech, CPUidle, utilitaire de gestion du processeur, et un autre dont j'ai oublié le nom). Tout se passe comme si ce machin se connectait au net en exploitant les modules de winlogon. (il figure d'ailleurs dans le registre dans les clés winlogon). L'nalayser avec filealyzer est d'ailleurs instructif.
Là, je sens le coup fourré, et je bloque tout ça.
Un scan kijackthis m'apprend que la dll nommée ssqppno.dll, dans c:winntsystem32 est responsable.
J'ai en effet O2 - BHO: (no name) - {F4002052-AB29-4B33-8C8D-0E99084564EC} - I:WINNT
system32ssqppno.dll et O20 - Winlogon Notify: ssqppno - I:WINNTSYSTEM32ssqppno.dll
Recherche sur google: il s'agit du troyen virtumonde, ou encore vundo.
Cette dll mobilise 4 ou 5 processus différents (dont explorer, lssass, winlogon), elle est invirable y compris en sans échec. Les sueurs froides me gagnent. Adaware et spybot trouvent un BHO, le suppriment, mais il revient sans cesse, et pour cause...la dll est toujours là.
Chapitre 2: au boulot
sur différents newsgroups et forums, je trouve de l'aide, et divers utilitaires censés éradiquer la chose. Inopérants, ils plantent, provoquent des BSOD, des reboot, et.... n'éliminent rien. (y compris en sans échec). Pourquoi ? Je ne sais. (combofix, vundofix, killbox, j'en passe et des meilleurs.) En restent4 ou 5 que je n'ose pas essayer, on ne sait pas trop ce que font ces machins là en arrière plan...Et puis vu les processus attachés au fichier en cause, je doute qu'il soit possible de le supprimer sous une session windows.
le PC fonctionne sans problème, TCPview ne signale pas de connexion suspecte a priori, mais ... savoir le mal dans le disque n'est pas confortable.
Chapitre 3: un vent de panique.
Je me trouve donc face à un fichier qui lance des processus même en sans échec, et qu'il me faut pourtant virer. J'essaie et ligne de commande sans échec: impossible bien sur.
Aucune envie de tout réinstaller, malgré mes sauvegardes un peu partout, c'est un constat d'échec, et puis... pas trop de temps. C'est ma 2de infection en 7 années, je vais pas baisser les bras...
Chapitre 4 : le bout du tunnel
En fait, la solution viendra d'un forumiste qui me suggérera d'utiliser soit la console de récup, soit un liveCD linux (les versions récentes permettant d'écrire sur une partition NTFS, semble t il)
N'ayant pas sous la main de live CD à jour, (mon dernier kaella a un an), je tente le coup de la console. Jamais fait, pas bien rassuré, mais bon... On y va...
sous c:winnt, commandes
cd system32
del ssqppno.dll
Pas de message d'erreur. Un dir ss*.dll montre qu'il n'y a rien. Ca a duré 5 mn.
Reboot, un coup d'hijackthis, les lignes " O2 - BHO: (no name) - {F4002052-AB29-4B33-8C8D-0E99084564EC} - I:WINNT system32ssqppno.dll " et " O20 - Winlogon Notify: ssqppno - I:WINNTSYSTEM32ssqppno.dll " sont toujours là mais " file missing ". Je les fixe, et c'est bon.
Adaware et spybot nettoyent le BHO installé, et jusqu'à maintenant, rien n'est revenu. Je croise les doigts, mais il ne semble pas que cette cochonceté n'installe d'autres fichiers, donc je pense être libéré.
Conclusion:
1- Ca m'a servi de leçon, et si ça peut servir à d'autres....
2- une claque dans la g.... ça fait parfois du bien !!
3- un pare feu bien paramétré est VITAL
4- reste à savoir pourquoi kaspersky, pourtant réputé bon antivirus, n'a rien dit... Je poserai la question à l'éditeur.
A votre disposition pour des précision éventuelles, et encore merci à ceux qui m'ont aidé.
-
jyl2803 - Expert(e)
- Messages: 710
- Inscription: 12 Avr 2007 20:43
- Localisation: Orléans
le 25 Sep 2007 21:05
Bonsoir,
Voila un fil de discussion qui en plus de l'entraide apportée donne un descriptif
précis du problème trouvé ainsi que de la démarche suivie. Merci.
S'il pouvait servir à tous ceux qui ont bien du mal à comprendre qu'il
faut faire acte de réflection au simple clic sur le net.
Suggestion:
En plus de ta communication vers Kasperski, la même vers Patrick Kolla de Spybot S&D
pourrait être utile.
Voila un fil de discussion qui en plus de l'entraide apportée donne un descriptif
précis du problème trouvé ainsi que de la démarche suivie. Merci.
S'il pouvait servir à tous ceux qui ont bien du mal à comprendre qu'il
faut faire acte de réflection au simple clic sur le net.
Suggestion:
En plus de ta communication vers Kasperski, la même vers Patrick Kolla de Spybot S&D
pourrait être utile.
-
Ask to Old Man - Moderateur
- Messages: 19970
- Inscription: 14 Mar 2004 10:06
- Localisation: Argenteuil,Val d'Oise
Sujets similaires
[Réglé] Mauvaise performance SSD NVMEBonjour, j'ai un WDC PC SN530 SDBPNPZ-512G, et quand je fais des benchmark où je ne comprends rien, ils m'indiquent dès résultat pas terrible, y a t'il moyen d'arranger ça ?https://www.userbenchmark.com/UserRun/68904129Merci de votre aide.
Réponses: 9
[Réglé] Mini PC pour la 4k HDRBonjour (et bonne année a tous ),Actuellement, j'ai mon bon vieux mini PC (I5-4210U) , fonctionnel mais hélas devenu trop limité en performance pour la 4K (j'arrive à lire des fichiers en H264 avec très peu voir pas de lags tout dépend le lecteur) et on parle même pas avec du H265 (saccadé à mort) ...
Réponses: 6
[Réglé] android autoBonjour Je possede un tel. samsung S7 . Je viens d'intaller android auto et chaque fois que je branche mon tel. sur mon vehicule , mon telephone me dit de mettre android à jour. En fouillant un peu sur le net j'ai cru voir que samsung avait arreté les mises à jour sur les S7 . Est ce vrai , sinon co ...
Réponses: 3
[Réglè] HELPBonjour a tous,j'ai voulu désinstaller les pilotes AMD high définition audio device dans le gestionnaire croyant que les pilotes realtek prendraient la place j'ai redémarré mon PC et depuis je n'ai plus de son l?icône est affublée d'une belle croix rouge (aucun haut parleur ou casque n'est branché) ...
Réponses: 7
Son 5.1 [Réglé]Bonjour,J'ouvre un autre post concernant mon souci de sortie son qui est désespérément figé sur "Stéréo". Mon PC Assemblé par mes soins possède une Carte Mère Gigabyte B550M DS3H "affublée" d'une carte Graphique AMD RX6600 Pulse. Mon PC est relié de ma carte graphique à mon TV à ...
Réponses: 3
[Réglé] Fenêtre intempestive Powershell au démarrageBonjour,Je m'ajoute à la longue liste des victimes de la fenêtre pop-up bleue qui s'ouvre et qui se ferme à chaque connexion de session, et quelques fois après.J'ai passé les antimalware et ESET... mais rien à faire.Je possède un Lenovo TrigKey AZW S3 en AMD Ryzen 7 qui tourne sur W11 64bits.je vous ...
Réponses: 11
[Réglé] Suite de mon sujet Démarrage PC parfois difficileBonjour,j'avais ouvert un sujet suite au démarrage très lent de mon PC. Votre aide m'a permis d'améliorer la situation mais ce n'est pas parfait (plus de 2 minutes avant la fenêtre de saisie du code d'accès Windows).On m'a conseillé de demander une désinfection. J'ai suivi la procédure et je joins l ...
Réponses: 12
Qui est en ligne
Utilisateurs parcourant ce forum: Google [Bot] et 20 invités
|
.: Nous contacter :: Flux RSS :: Données personnelles :. |