Bonsoir
J'ai dans c:/winnt/system32 (sous w2kpro) un fichier sqppno.dll, qui se charge au démarrage (selon hijackthis). Adaware me trouve 3 malwares (BHO), les élimine, mais au prochain scan, ils sont de retour...
Impossible de supprimer ce fichier, qui n'apparaissait pas il t a qques jours dans un scan hijackthis.
Même en sans échec...
si vous avez des idées...
merci d'avance.
Il y a actuellement 338 visiteurs
Vendredi 26 Avril 2024
       |
[reglé]malware et imprudence...
le 24 Sep 2007 18:10
Bonsoir, Jyl .
J'ai fait une petite recherche avec ta .dll,
ce serait pas "ssqpo.dll" ? Google dit que ça
n'est pas facile ...
Essaye de voir si tu n'as pas
un point de restauration qui date du moment
ou ça a commencé, parce qu'à tous les coups,
c'est dedans et ça en ressort ...
Bon courage et A+.
PA.
J'ai fait une petite recherche avec ta .dll,
ce serait pas "ssqpo.dll" ? Google dit que ça
n'est pas facile ...
Essaye de voir si tu n'as pas
un point de restauration qui date du moment
ou ça a commencé, parce qu'à tous les coups,
c'est dedans et ça en ressort ...
Bon courage et A+.
PA.
-
Pac428 - PC-Infopraticien
- Messages: 29312
- Inscription: 23 Mai 2006 13:25
- Localisation: Le Goulag du Maine.
le 25 Sep 2007 07:14
merci.
Non, il s'agit bien de ssqppno (7 caractères). Et la bête est coriace, en effet, mais bon, le pare feu a bloqué les 2 processus qu'elle utilise pour sortir, donc, pour le moement, je ne panique pas...
Non, il s'agit bien de ssqppno (7 caractères). Et la bête est coriace, en effet, mais bon, le pare feu a bloqué les 2 processus qu'elle utilise pour sortir, donc, pour le moement, je ne panique pas...
-
jyl2803 - Expert(e)
- Messages: 710
- Inscription: 12 Avr 2007 20:43
- Localisation: Orléans
Reste à trouver où la source se cache.
le 25 Sep 2007 09:26
C'est quand même bien qu'on en ait parlé 
Ta dll. vérifiée fait 7 caractères au lieu des 6 initiaux ...
L'important : je l'ai trouvée détruite par VundoFix 6.5.4
http://forums.techguy.org/windows-nt-20 ... p-ups.html
en Anglais . C'est à peu près au milieu et stabiloté en jaune.
En Français, Malekal donne les liens vers le fix .
http://forum.malekal.com/ftopic2695-0.php
( faut lire en détail pour trouver...)
Bon courage et fais savoir, Jyl.
A+.
PA.
Ta dll. vérifiée fait 7 caractères au lieu des 6 initiaux ...
L'important : je l'ai trouvée détruite par VundoFix 6.5.4
http://forums.techguy.org/windows-nt-20 ... p-ups.html
en Anglais . C'est à peu près au milieu et stabiloté en jaune.
En Français, Malekal donne les liens vers le fix .
http://forum.malekal.com/ftopic2695-0.php
( faut lire en détail pour trouver...)
Bon courage et fais savoir, Jyl.
A+.
PA.
-
Pac428 - PC-Infopraticien
- Messages: 29312
- Inscription: 23 Mai 2006 13:25
- Localisation: Le Goulag du Maine.
le 25 Sep 2007 09:29
j'ai déja essayé ce fix. Il plante, même en mode sans échec, et ne parvient pas à effecer quoi que ce soit.
il ferme le processus lsass.exe, la machine reboote donc, et on se retrouve sur la même situation. C'est pourquoi je pense à effacer cette *£#@ de dll en mode console de récupération (boot avec le cd de w2k)
il ferme le processus lsass.exe, la machine reboote donc, et on se retrouve sur la même situation. C'est pourquoi je pense à effacer cette *£#@ de dll en mode console de récupération (boot avec le cd de w2k)
-
jyl2803 - Expert(e)
- Messages: 710
- Inscription: 12 Avr 2007 20:43
- Localisation: Orléans
le 25 Sep 2007 10:14
cette idée de mode console parait elle recevable ? est ceune manip délicate ou dangereuse ?...
je pensais à ceci:
-démarrage en mode console avec le CD.
puis commandes (le fichier en cause porte le doux nom de ssqppno.dll):
- cd winnt
- cd system32 (pour se trouver dans c:winntsystem32)
- attrib ssqppno.dll -r -h -a (est ce indispensable ???)
- del ssqppno.dll
je pensais à ceci:
-démarrage en mode console avec le CD.
puis commandes (le fichier en cause porte le doux nom de ssqppno.dll):
- cd winnt
- cd system32 (pour se trouver dans c:winntsystem32)
- attrib ssqppno.dll -r -h -a (est ce indispensable ???)
- del ssqppno.dll
-
jyl2803 - Expert(e)
- Messages: 710
- Inscription: 12 Avr 2007 20:43
- Localisation: Orléans
,
le 25 Sep 2007 11:32
mais il me semblait que la console de récup ne permet pas de te ballader sur ton disque, sauf si tu as préalablement modifié des clés de registre ???
sans doute me goures je ?! (ce serait bien...)
sans doute me goures je ?! (ce serait bien...)
-
jyl2803 - Expert(e)
- Messages: 710
- Inscription: 12 Avr 2007 20:43
- Localisation: Orléans
le 25 Sep 2007 11:49
Tu peux sans aucun problème
Ton disque dur est en quoi ? Fat32 ou NTFS ?
Si tu es en Fat32, ne t'embête pas avec la console de récupération et démarre directement sous MS-DOS...
Tu peux utiliser aussi un LiveCD pour effacer ce fichier.
Ton disque dur est en quoi ? Fat32 ou NTFS ?
Si tu es en Fat32, ne t'embête pas avec la console de récupération et démarre directement sous MS-DOS...
Tu peux utiliser aussi un LiveCD pour effacer ce fichier.
-
Skynet - Moderateur
- Messages: 14807
- Inscription: 19 Juil 2007 21:12
SUITE ET FIN
le 25 Sep 2007 13:29
enfin, j'espère...
la problème est reglé, par la console de récup de windows200 (boot sur CD)
(PS: partitions NTFS)
La chose étant intérressante sur le pourquoi (que je connais) et le comment (connu aussi, maintenant...), et pouvant ête utile à d'autres, je posterai dans les jours à venir un message relatant les étapes de cette affaire. Merci en tout cas à ceux qui ont pris le temps de m'aider, vraiment.
jyl
la problème est reglé, par la console de récup de windows200 (boot sur CD)
(PS: partitions NTFS)
La chose étant intérressante sur le pourquoi (que je connais) et le comment (connu aussi, maintenant...), et pouvant ête utile à d'autres, je posterai dans les jours à venir un message relatant les étapes de cette affaire. Merci en tout cas à ceux qui ont pris le temps de m'aider, vraiment.
jyl
-
jyl2803 - Expert(e)
- Messages: 710
- Inscription: 12 Avr 2007 20:43
- Localisation: Orléans
une histoire à méditer...
le 25 Sep 2007 16:28
Chapitre 1: l'imprudent
Je passe mon temps à répéter à mes rejetons qu'on ne clique jamais sur un fichier bizarre, qu'on n'ouvre pas une pièce jointe non demandée sauf confirmation, qu'on ne charge pas, etc..; etc... etc...
Bref, je tente de les immuniser contre pebkac. Ca marche pas trop mal.
Et puis un soir, par jeu, pour le fun, je charge un keygen pour un soft de protection en V limitée. (ce que je n'ai fait qu'une seule fois, voici bien longtemps), via emule (que l'utilise parfois pour charger des mp3 que je possède en vinyl, pour éviter d'avoir à les numériser.)
- vérification de l'archive zip avec kaspersky V5 , (à jour): clean.
extraction du fichier, re vérification: clean
(ceci est d'ailleurs très embêtant....)
Je lance donc le fichier .exe. Et aussitôt, 3 fenêtres de kerio s'ouvrent (merci kerio ++++), m'avertissant d'une tentative de connexion de plusieurs utilitaires n'ayant rien à faire sur le net. (setpoint, gestionnaire de clavier logitech, CPUidle, utilitaire de gestion du processeur, et un autre dont j'ai oublié le nom). Tout se passe comme si ce machin se connectait au net en exploitant les modules de winlogon. (il figure d'ailleurs dans le registre dans les clés winlogon). L'nalayser avec filealyzer est d'ailleurs instructif.
Là, je sens le coup fourré, et je bloque tout ça.
Un scan kijackthis m'apprend que la dll nommée ssqppno.dll, dans c:winntsystem32 est responsable.
J'ai en effet O2 - BHO: (no name) - {F4002052-AB29-4B33-8C8D-0E99084564EC} - I:WINNT
system32ssqppno.dll et O20 - Winlogon Notify: ssqppno - I:WINNTSYSTEM32ssqppno.dll
Recherche sur google: il s'agit du troyen virtumonde, ou encore vundo.
Cette dll mobilise 4 ou 5 processus différents (dont explorer, lssass, winlogon), elle est invirable y compris en sans échec. Les sueurs froides me gagnent. Adaware et spybot trouvent un BHO, le suppriment, mais il revient sans cesse, et pour cause...la dll est toujours là.
Chapitre 2: au boulot
sur différents newsgroups et forums, je trouve de l'aide, et divers utilitaires censés éradiquer la chose. Inopérants, ils plantent, provoquent des BSOD, des reboot, et.... n'éliminent rien. (y compris en sans échec). Pourquoi ? Je ne sais. (combofix, vundofix, killbox, j'en passe et des meilleurs.) En restent4 ou 5 que je n'ose pas essayer, on ne sait pas trop ce que font ces machins là en arrière plan...Et puis vu les processus attachés au fichier en cause, je doute qu'il soit possible de le supprimer sous une session windows.
le PC fonctionne sans problème, TCPview ne signale pas de connexion suspecte a priori, mais ... savoir le mal dans le disque n'est pas confortable.
Chapitre 3: un vent de panique.
Je me trouve donc face à un fichier qui lance des processus même en sans échec, et qu'il me faut pourtant virer. J'essaie et ligne de commande sans échec: impossible bien sur.
Aucune envie de tout réinstaller, malgré mes sauvegardes un peu partout, c'est un constat d'échec, et puis... pas trop de temps. C'est ma 2de infection en 7 années, je vais pas baisser les bras...
Chapitre 4 : le bout du tunnel
En fait, la solution viendra d'un forumiste qui me suggérera d'utiliser soit la console de récup, soit un liveCD linux (les versions récentes permettant d'écrire sur une partition NTFS, semble t il)
N'ayant pas sous la main de live CD à jour, (mon dernier kaella a un an), je tente le coup de la console. Jamais fait, pas bien rassuré, mais bon... On y va...
sous c:winnt, commandes
cd system32
del ssqppno.dll
Pas de message d'erreur. Un dir ss*.dll montre qu'il n'y a rien. Ca a duré 5 mn.
Reboot, un coup d'hijackthis, les lignes " O2 - BHO: (no name) - {F4002052-AB29-4B33-8C8D-0E99084564EC} - I:WINNT system32ssqppno.dll " et " O20 - Winlogon Notify: ssqppno - I:WINNTSYSTEM32ssqppno.dll " sont toujours là mais " file missing ". Je les fixe, et c'est bon.
Adaware et spybot nettoyent le BHO installé, et jusqu'à maintenant, rien n'est revenu. Je croise les doigts, mais il ne semble pas que cette cochonceté n'installe d'autres fichiers, donc je pense être libéré.
Conclusion:
1- Ca m'a servi de leçon, et si ça peut servir à d'autres....
2- une claque dans la g.... ça fait parfois du bien !!
3- un pare feu bien paramétré est VITAL
4- reste à savoir pourquoi kaspersky, pourtant réputé bon antivirus, n'a rien dit... Je poserai la question à l'éditeur.
A votre disposition pour des précision éventuelles, et encore merci à ceux qui m'ont aidé.
Je passe mon temps à répéter à mes rejetons qu'on ne clique jamais sur un fichier bizarre, qu'on n'ouvre pas une pièce jointe non demandée sauf confirmation, qu'on ne charge pas, etc..; etc... etc...
Bref, je tente de les immuniser contre pebkac. Ca marche pas trop mal.
Et puis un soir, par jeu, pour le fun, je charge un keygen pour un soft de protection en V limitée. (ce que je n'ai fait qu'une seule fois, voici bien longtemps), via emule (que l'utilise parfois pour charger des mp3 que je possède en vinyl, pour éviter d'avoir à les numériser.)
- vérification de l'archive zip avec kaspersky V5 , (à jour): clean.
extraction du fichier, re vérification: clean
(ceci est d'ailleurs très embêtant....)
Je lance donc le fichier .exe. Et aussitôt, 3 fenêtres de kerio s'ouvrent (merci kerio ++++), m'avertissant d'une tentative de connexion de plusieurs utilitaires n'ayant rien à faire sur le net. (setpoint, gestionnaire de clavier logitech, CPUidle, utilitaire de gestion du processeur, et un autre dont j'ai oublié le nom). Tout se passe comme si ce machin se connectait au net en exploitant les modules de winlogon. (il figure d'ailleurs dans le registre dans les clés winlogon). L'nalayser avec filealyzer est d'ailleurs instructif.
Là, je sens le coup fourré, et je bloque tout ça.
Un scan kijackthis m'apprend que la dll nommée ssqppno.dll, dans c:winntsystem32 est responsable.
J'ai en effet O2 - BHO: (no name) - {F4002052-AB29-4B33-8C8D-0E99084564EC} - I:WINNT
system32ssqppno.dll et O20 - Winlogon Notify: ssqppno - I:WINNTSYSTEM32ssqppno.dll
Recherche sur google: il s'agit du troyen virtumonde, ou encore vundo.
Cette dll mobilise 4 ou 5 processus différents (dont explorer, lssass, winlogon), elle est invirable y compris en sans échec. Les sueurs froides me gagnent. Adaware et spybot trouvent un BHO, le suppriment, mais il revient sans cesse, et pour cause...la dll est toujours là.
Chapitre 2: au boulot
sur différents newsgroups et forums, je trouve de l'aide, et divers utilitaires censés éradiquer la chose. Inopérants, ils plantent, provoquent des BSOD, des reboot, et.... n'éliminent rien. (y compris en sans échec). Pourquoi ? Je ne sais. (combofix, vundofix, killbox, j'en passe et des meilleurs.) En restent4 ou 5 que je n'ose pas essayer, on ne sait pas trop ce que font ces machins là en arrière plan...Et puis vu les processus attachés au fichier en cause, je doute qu'il soit possible de le supprimer sous une session windows.
le PC fonctionne sans problème, TCPview ne signale pas de connexion suspecte a priori, mais ... savoir le mal dans le disque n'est pas confortable.
Chapitre 3: un vent de panique.
Je me trouve donc face à un fichier qui lance des processus même en sans échec, et qu'il me faut pourtant virer. J'essaie et ligne de commande sans échec: impossible bien sur.
Aucune envie de tout réinstaller, malgré mes sauvegardes un peu partout, c'est un constat d'échec, et puis... pas trop de temps. C'est ma 2de infection en 7 années, je vais pas baisser les bras...
Chapitre 4 : le bout du tunnel
En fait, la solution viendra d'un forumiste qui me suggérera d'utiliser soit la console de récup, soit un liveCD linux (les versions récentes permettant d'écrire sur une partition NTFS, semble t il)
N'ayant pas sous la main de live CD à jour, (mon dernier kaella a un an), je tente le coup de la console. Jamais fait, pas bien rassuré, mais bon... On y va...
sous c:winnt, commandes
cd system32
del ssqppno.dll
Pas de message d'erreur. Un dir ss*.dll montre qu'il n'y a rien. Ca a duré 5 mn.
Reboot, un coup d'hijackthis, les lignes " O2 - BHO: (no name) - {F4002052-AB29-4B33-8C8D-0E99084564EC} - I:WINNT system32ssqppno.dll " et " O20 - Winlogon Notify: ssqppno - I:WINNTSYSTEM32ssqppno.dll " sont toujours là mais " file missing ". Je les fixe, et c'est bon.
Adaware et spybot nettoyent le BHO installé, et jusqu'à maintenant, rien n'est revenu. Je croise les doigts, mais il ne semble pas que cette cochonceté n'installe d'autres fichiers, donc je pense être libéré.
Conclusion:
1- Ca m'a servi de leçon, et si ça peut servir à d'autres....
2- une claque dans la g.... ça fait parfois du bien !!
3- un pare feu bien paramétré est VITAL
4- reste à savoir pourquoi kaspersky, pourtant réputé bon antivirus, n'a rien dit... Je poserai la question à l'éditeur.
A votre disposition pour des précision éventuelles, et encore merci à ceux qui m'ont aidé.
-
jyl2803 - Expert(e)
- Messages: 710
- Inscription: 12 Avr 2007 20:43
- Localisation: Orléans
le 25 Sep 2007 21:05
Bonsoir,
Voila un fil de discussion qui en plus de l'entraide apportée donne un descriptif
précis du problème trouvé ainsi que de la démarche suivie. Merci.
S'il pouvait servir à tous ceux qui ont bien du mal à comprendre qu'il
faut faire acte de réflection au simple clic sur le net.
Suggestion:
En plus de ta communication vers Kasperski, la même vers Patrick Kolla de Spybot S&D
pourrait être utile.
Voila un fil de discussion qui en plus de l'entraide apportée donne un descriptif
précis du problème trouvé ainsi que de la démarche suivie. Merci.
S'il pouvait servir à tous ceux qui ont bien du mal à comprendre qu'il
faut faire acte de réflection au simple clic sur le net.
Suggestion:
En plus de ta communication vers Kasperski, la même vers Patrick Kolla de Spybot S&D
pourrait être utile.
-
Ask to Old Man - Moderateur
- Messages: 19970
- Inscription: 14 Mar 2004 10:06
- Localisation: Argenteuil,Val d'Oise
Sujets similaires
[Réglé] bloc note sous windows 11Bonjour, avec Windows 11 le bloc note a changé de comportement. J'aimerai savoir s'il est possible de revenir à l'ancienne méthode, à savoir que lorsqu?on l'ouvre il n'affiche pas systématiquement tous les notes qui ont été crées avant et à la fermeture lors d'une modif qu'il propose d?enregistrer. ...
Réponses: 2
[Réglé] casque audioBonjour Je posséde un casque audio JBL en bluetuoth sur mon pc qui fonctionnait très bien . Je viens de le recharger et mon PC ne le trouve plus ?Cela ne doit pas être grave mais je ne trouve pas la solution . Merci pour votre aide .
Réponses: 8
[Réglé] probleme USBBonjour a tous,Je ne sais ou poster mon problème d'USB je le post donc ici . Mon souci vient du fait que lorsque je branche mon intercom SENA SRL 3 sur les USB mon PC sous W10 j'ai l'impression que celui-ci se connecte deux fois car j'entends bien le son de la connexion se faire deux fois et j'ent ...
Réponses: 5
[Réglé] World of Tank Blitz sans Steam ?SalutEst ce que quelqu'un sait comment jouer à World of Tank Blitz sans Steam, sur PC ?Lancer Steam à chaque fois ça consomme des resssources pour rien.J'ai essayé de télécharger le jeu sur Microsoft mais il semblerait que ça soit uniquement pour la Xbox !?Une idée ?
Réponses: 6
[Réglé] Bleu screen en lançant un jeu sur Win 11Re,yevgi a écrit:Sinon, je ne comprends plus rien...En lisant ta réponse, je vois ceci :https://zupimages.net/up/24/15/yqpl.pngEn revu sous ma zone de rédaction de réponse, je vois ceci :https://zupimages.net/up/24/15/g4aw.pngDu coup j'ai 2 process distincts, qui donnent 2 résultats différents :- Se ...
Réponses: 33
[Réglé] Impossible d'ouvrir les droits d'accès...Bonsoir, voila mon soucis actuellement, c'est que je ne peux plus rien faire sur mon pc, j'ai voulu modifier les droits d'accès à un jeu sur mon pc aujourd'hui et sans rien comprendre, ça m'a retiré les droits d'accès au disque C: et E: qui sont respectivement un SSD et un HDD, et je ne sais plus qu ...
Réponses: 25
[Réglé] Fenêtres Powershell intempestivesBonjour,Depuis environ 3 semaines, le ventilateur de mon PC Portable tourne beaucoup plus qu'avant (je sais qu'il fait très chaud, mais quand même !), et surtout, j'ai régulièrement des fenêtres Powershell qui s'ouvrent inopinément.En cherchant des solutions ici et là, j'ai téléchargé FRST, et j'ai ...
Réponses: 15
Qui est en ligne
Utilisateurs parcourant ce forum: Bing [Bot], Google [Bot] et 25 invités
|
.: Nous contacter :: Flux RSS :: Données personnelles :. |