Il y a actuellement 124 visiteurs
Samedi 11 Juillet 2020
accueilactualitésdossierscomparer les prixtélécharger gratuitement vos logicielsoffres d'emploiforum informatique
Connexion
Créer un compte

[reglé]malware et imprudence...

Encore un écran bleu sur votre PC ? Vous avez besoin d'aide pour installer correctement le driver de votre nouveau matériel informatique sur un système Microsoft ? Alors posez nous vos questions sur ce forum d'entraide.

[reglé]malware et imprudence...

Message le 23 Sep 2007 22:26

Bonsoir

J'ai dans c:/winnt/system32 (sous w2kpro) un fichier sqppno.dll, qui se charge au démarrage (selon hijackthis). Adaware me trouve 3 malwares (BHO), les élimine, mais au prochain scan, ils sont de retour...

Impossible de supprimer ce fichier, qui n'apparaissait pas il t a qques jours dans un scan hijackthis.

Même en sans échec...

si vous avez des idées...


merci d'avance.
Avatar de l'utilisateur
jyl2803
Expert(e)
Expert(e)
 
Messages: 709
Inscription: 12 Avr 2007 20:43
Localisation: Orléans
 


Message le 24 Sep 2007 18:10

Bonsoir, Jyl .
J'ai fait une petite recherche avec ta .dll,
ce serait pas "ssqpo.dll" ? Google dit que ça
n'est pas facile ...:roll: Essaye de voir si tu n'as pas
un point de restauration qui date du moment
ou ça a commencé, parce qu'à tous les coups,
c'est dedans et ça en ressort ...
Bon courage et A+.
PA. :wink:
Image
En cas de problème constaté sur un sujet, contactez un modérateur par MP svp. N'intervenez pas vous-même. Merci bien.
Avatar de l'utilisateur
Pac428
Moderateur
Moderateur
 
Messages: 27132
Inscription: 23 Mai 2006 13:25
Localisation: Le Goulag du Maine.
 

Message le 25 Sep 2007 07:14

merci.

Non, il s'agit bien de ssqppno (7 caractères). Et la bête est coriace, en effet, mais bon, le pare feu a bloqué les 2 processus qu'elle utilise pour sortir, donc, pour le moement, je ne panique pas...
Avatar de l'utilisateur
jyl2803
Expert(e)
Expert(e)
 
Messages: 709
Inscription: 12 Avr 2007 20:43
Localisation: Orléans
 

Message le 25 Sep 2007 09:07

Jyl a écrit: le pare feu a bloqué les 2 processus qu'elle utilise pour sortir

Super 8) Reste à trouver où la source se cache.
A une nouvelle idée et A+
PA. :wink:
Image
En cas de problème constaté sur un sujet, contactez un modérateur par MP svp. N'intervenez pas vous-même. Merci bien.
Avatar de l'utilisateur
Pac428
Moderateur
Moderateur
 
Messages: 27132
Inscription: 23 Mai 2006 13:25
Localisation: Le Goulag du Maine.
 

Message le 25 Sep 2007 09:26

C'est quand même bien qu'on en ait parlé :P
Ta dll. vérifiée fait 7 caractères au lieu des 6 initiaux ...
L'important : je l'ai trouvée détruite par VundoFix 6.5.4
http://forums.techguy.org/windows-nt-20 ... p-ups.html
en Anglais . C'est à peu près au milieu et stabiloté en jaune.
En Français, Malekal donne les liens vers le fix .
http://forum.malekal.com/ftopic2695-0.php
( faut lire en détail pour trouver...)
Bon courage et fais savoir, Jyl.
A+.
PA. :wink:
Image
En cas de problème constaté sur un sujet, contactez un modérateur par MP svp. N'intervenez pas vous-même. Merci bien.
Avatar de l'utilisateur
Pac428
Moderateur
Moderateur
 
Messages: 27132
Inscription: 23 Mai 2006 13:25
Localisation: Le Goulag du Maine.
 

Message le 25 Sep 2007 09:29

j'ai déja essayé ce fix. Il plante, même en mode sans échec, et ne parvient pas à effecer quoi que ce soit.

il ferme le processus lsass.exe, la machine reboote donc, et on se retrouve sur la même situation. C'est pourquoi je pense à effacer cette *£#@ de dll en mode console de récupération (boot avec le cd de w2k)
Avatar de l'utilisateur
jyl2803
Expert(e)
Expert(e)
 
Messages: 709
Inscription: 12 Avr 2007 20:43
Localisation: Orléans
 

Message le 25 Sep 2007 09:36

... logique.
A+ Jyl
PA. :wink:
Image
En cas de problème constaté sur un sujet, contactez un modérateur par MP svp. N'intervenez pas vous-même. Merci bien.
Avatar de l'utilisateur
Pac428
Moderateur
Moderateur
 
Messages: 27132
Inscription: 23 Mai 2006 13:25
Localisation: Le Goulag du Maine.
 

Message le 25 Sep 2007 10:14

cette idée de mode console parait elle recevable ? est ceune manip délicate ou dangereuse ?...

je pensais à ceci:
-démarrage en mode console avec le CD.
puis commandes (le fichier en cause porte le doux nom de ssqppno.dll):
- cd winnt
- cd system32 (pour se trouver dans c:winntsystem32)
- attrib ssqppno.dll -r -h -a (est ce indispensable ???)
- del ssqppno.dll
Avatar de l'utilisateur
jyl2803
Expert(e)
Expert(e)
 
Messages: 709
Inscription: 12 Avr 2007 20:43
Localisation: Orléans
 

Message le 25 Sep 2007 11:00

Je ne suis pas assez calé en lignes de commande
pour t'envoyer au charbon comme ça épi je n'utilise pas XP ... :roll:
Attends un peu, il y a la Cavalerie qui arrive.
A+
PA. :wink:
Image
En cas de problème constaté sur un sujet, contactez un modérateur par MP svp. N'intervenez pas vous-même. Merci bien.
Avatar de l'utilisateur
Pac428
Moderateur
Moderateur
 
Messages: 27132
Inscription: 23 Mai 2006 13:25
Localisation: Le Goulag du Maine.
 

Message le 25 Sep 2007 11:27

Salut :),

Ta commande est bonne :wink:.

jyl2803 a écrit: - attrib ssqppno.dll -r -h -a (est ce indispensable ???)


Tu peux passer cette étape :wink:
Avatar de l'utilisateur
Skynet
Moderateur
Moderateur
 
Messages: 14807
Inscription: 19 Juil 2007 21:12
 

Message le 25 Sep 2007 11:32

mais il me semblait que la console de récup ne permet pas de te ballader sur ton disque, sauf si tu as préalablement modifié des clés de registre ???

sans doute me goures je ?! (ce serait bien...)
Avatar de l'utilisateur
jyl2803
Expert(e)
Expert(e)
 
Messages: 709
Inscription: 12 Avr 2007 20:43
Localisation: Orléans
 

Message le 25 Sep 2007 11:49

Tu peux sans aucun problème :wink:

Ton disque dur est en quoi ? Fat32 ou NTFS ?

Si tu es en Fat32, ne t'embête pas avec la console de récupération et démarre directement sous MS-DOS...

Tu peux utiliser aussi un LiveCD pour effacer ce fichier.
Avatar de l'utilisateur
Skynet
Moderateur
Moderateur
 
Messages: 14807
Inscription: 19 Juil 2007 21:12
 

SUITE ET FIN

Message le 25 Sep 2007 13:29

enfin, j'espère...

la problème est reglé, par la console de récup de windows200 (boot sur CD)
(PS: partitions NTFS)

La chose étant intérressante sur le pourquoi (que je connais) et le comment (connu aussi, maintenant...), et pouvant ête utile à d'autres, je posterai dans les jours à venir un message relatant les étapes de cette affaire. Merci en tout cas à ceux qui ont pris le temps de m'aider, vraiment.

jyl
Avatar de l'utilisateur
jyl2803
Expert(e)
Expert(e)
 
Messages: 709
Inscription: 12 Avr 2007 20:43
Localisation: Orléans
 

une histoire à méditer...

Message le 25 Sep 2007 16:28

Chapitre 1: l'imprudent

Je passe mon temps à répéter à mes rejetons qu'on ne clique jamais sur un fichier bizarre, qu'on n'ouvre pas une pièce jointe non demandée sauf confirmation, qu'on ne charge pas, etc..; etc... etc...
Bref, je tente de les immuniser contre pebkac. Ca marche pas trop mal.

Et puis un soir, par jeu, pour le fun, je charge un keygen pour un soft de protection en V limitée. (ce que je n'ai fait qu'une seule fois, voici bien longtemps), via emule (que l'utilise parfois pour charger des mp3 que je possède en vinyl, pour éviter d'avoir à les numériser.)

- vérification de l'archive zip avec kaspersky V5 , (à jour): clean.
extraction du fichier, re vérification: clean

(ceci est d'ailleurs très embêtant....)

Je lance donc le fichier .exe. Et aussitôt, 3 fenêtres de kerio s'ouvrent (merci kerio ++++), m'avertissant d'une tentative de connexion de plusieurs utilitaires n'ayant rien à faire sur le net. (setpoint, gestionnaire de clavier logitech, CPUidle, utilitaire de gestion du processeur, et un autre dont j'ai oublié le nom). Tout se passe comme si ce machin se connectait au net en exploitant les modules de winlogon. (il figure d'ailleurs dans le registre dans les clés winlogon). L'nalayser avec filealyzer est d'ailleurs instructif.

Là, je sens le coup fourré, et je bloque tout ça.

Un scan kijackthis m'apprend que la dll nommée ssqppno.dll, dans c:winntsystem32 est responsable.
J'ai en effet O2 - BHO: (no name) - {F4002052-AB29-4B33-8C8D-0E99084564EC} - I:WINNT
system32ssqppno.dll
et O20 - Winlogon Notify: ssqppno - I:WINNTSYSTEM32ssqppno.dll

Recherche sur google: il s'agit du troyen virtumonde, ou encore vundo.

Cette dll mobilise 4 ou 5 processus différents (dont explorer, lssass, winlogon), elle est invirable y compris en sans échec. Les sueurs froides me gagnent. Adaware et spybot trouvent un BHO, le suppriment, mais il revient sans cesse, et pour cause...la dll est toujours là.

Chapitre 2: au boulot

sur différents newsgroups et forums, je trouve de l'aide, et divers utilitaires censés éradiquer la chose. Inopérants, ils plantent, provoquent des BSOD, des reboot, et.... n'éliminent rien. (y compris en sans échec). Pourquoi ? Je ne sais. (combofix, vundofix, killbox, j'en passe et des meilleurs.) En restent4 ou 5 que je n'ose pas essayer, on ne sait pas trop ce que font ces machins là en arrière plan...Et puis vu les processus attachés au fichier en cause, je doute qu'il soit possible de le supprimer sous une session windows.

le PC fonctionne sans problème, TCPview ne signale pas de connexion suspecte a priori, mais ... savoir le mal dans le disque n'est pas confortable.

Chapitre 3: un vent de panique.

Je me trouve donc face à un fichier qui lance des processus même en sans échec, et qu'il me faut pourtant virer. J'essaie et ligne de commande sans échec: impossible bien sur.

Aucune envie de tout réinstaller, malgré mes sauvegardes un peu partout, c'est un constat d'échec, et puis... pas trop de temps. C'est ma 2de infection en 7 années, je vais pas baisser les bras...


Chapitre 4 : le bout du tunnel

En fait, la solution viendra d'un forumiste qui me suggérera d'utiliser soit la console de récup, soit un liveCD linux (les versions récentes permettant d'écrire sur une partition NTFS, semble t il)

N'ayant pas sous la main de live CD à jour, (mon dernier kaella a un an), je tente le coup de la console. Jamais fait, pas bien rassuré, mais bon... On y va...

sous c:winnt, commandes
cd system32
del ssqppno.dll

Pas de message d'erreur. Un dir ss*.dll montre qu'il n'y a rien. Ca a duré 5 mn.

Reboot, un coup d'hijackthis, les lignes " O2 - BHO: (no name) - {F4002052-AB29-4B33-8C8D-0E99084564EC} - I:WINNT system32ssqppno.dll " et " O20 - Winlogon Notify: ssqppno - I:WINNTSYSTEM32ssqppno.dll " sont toujours là mais " file missing ". Je les fixe, et c'est bon. :lol:

Adaware et spybot nettoyent le BHO installé, et jusqu'à maintenant, rien n'est revenu. Je croise les doigts, mais il ne semble pas que cette cochonceté n'installe d'autres fichiers, donc je pense être libéré.

Conclusion:

1- Ca m'a servi de leçon, et si ça peut servir à d'autres....
2- une claque dans la g.... ça fait parfois du bien !!
3- un pare feu bien paramétré est VITAL
4- reste à savoir pourquoi kaspersky, pourtant réputé bon antivirus, n'a rien dit... Je poserai la question à l'éditeur.

A votre disposition pour des précision éventuelles, et encore merci à ceux qui m'ont aidé.
Avatar de l'utilisateur
jyl2803
Expert(e)
Expert(e)
 
Messages: 709
Inscription: 12 Avr 2007 20:43
Localisation: Orléans
 

Message le 25 Sep 2007 21:05

Bonsoir,

Voila un fil de discussion qui en plus de l'entraide apportée donne un descriptif
précis du problème trouvé ainsi que de la démarche suivie. Merci.

S'il pouvait servir à tous ceux qui ont bien du mal à comprendre qu'il
faut faire acte de réflection au simple clic sur le net.

Suggestion:
En plus de ta communication vers Kasperski, la même vers Patrick Kolla de Spybot S&D
pourrait être utile.
A+,
AtOM.
Le PC c'est comme la lune,il y a une face cachée.Eclairons-la!!!!
__________________
Avatar de l'utilisateur
Ask to Old Man
Moderateur
Moderateur
 
Messages: 19970
Inscription: 14 Mar 2004 10:06
Localisation: Argenteuil,Val d'Oise
 

Suivante


Sujets similaires

Message [Réglé] Gateway MA7 : pas de carte son
Alloj'ai remis à neuf pour un ami pour qu'il joue à ses jeux xp un gateway MA7tout est ok, mais même si le driver audio est installé, pas de sonen utilisant speecy, je vois qu'aucune carte son est installéequel est le problème selon vousdois je le démontre et si oui, à quoi ressemble une carte son s ...
Réponses: 3

Message [Réglé] Logiciel capture d'écran gratuit ?
Bonjour à tous,Par avance, merci de vous montrer indulgents avec moi, je n'ai pas réussi à trouver si un sujet semblable a déjà été ouvert ici, je n'en ai trouvé qu'un seul sur les Captures Vidéos qui ne me concerne pas.Voici mon petit problème : de temps en temps, en fait assez rarement, j'utilise ...
Réponses: 14

Message [Réglé] DEMARRAGE PC APRES MONTAGE
Bonjour à tous! je vous expose mon problème.J'ai monté un nouveau pc avec une jolie config:Seasonic S12III 500 - Alimentation PC Non modulaire - Bronze 80 Plus - 500 WattHyperX Fury 8 Go DDR4 3200 MHz CL16ASUSMBA 90MB0YR0 ASUS Prime B450M-A (AM4)YD1600BBAFBOX AMD AM4 Ryzen 5 1600, 6x 3.20GHzBoîtier ...
Réponses: 8

Message [Réglé] l'application par defaut bloc-notes à disparue
Salut les gens ,depuis quelques jours je ne sait pas pourquoi l'application par défaut de Windows : bloc-notes à disparue totalement de mon ordinateur celle ci j ai trouver l'image en recherchant sur mon navigateur avec Google : https://www.casimages.com/i/20051906003285543.png.htmlj'ai eu beau ...
Réponses: 11

Message [réglé] THE DIVISION 2
Bonjour,J'ai voulu joué à The Division 2 est y'a beaucoup de beug regarder la vidéo c'est injouable beacoups de rollback voir la vidédo-ci-dessous :https://youtu.be/zMFaST9sVaUPS : Il est optimisé graphiquement avec GeForce Experience
Réponses: 5

Message [Réglé] Mot de passe à la sortie de veille
Bonjour à tous, Tout est dans le titre depuis une mise à jour de mes drivers sur touslesdrivers.com (processeur, carte graphique...) lorsque je mets mon PC en veille manuellement, W10 me demande à chaque fois un mot de passe pour sortir de cet état, chose qu'il ne me demandait pas avant puisque je ...
Réponses: 2


Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 17 invités


.: Nous contacter :: Flux RSS :: Données personnelles :.