fichier récalcitrant et malware

Bonjour,

avez-vous changé les options dans explorer pour qu'il vous montre les
fichiers cachés et protégés ?

--
Cordialement,
Mathieu CHATEAU
http://lordoftheping.blogspot.com


"kiki" <kiki@koko.ke> wrote in message
news:OeJ6ogi$HHA.3716@TK2MSFTNGP03.phx.gbl...

Bonsoir

J'ai dans c:/winnt/system32 (sous w2kpro) un fichier sqppno.dll, qui se
charge au démarrage (selon hijackthis). Adaware me trouve 3 mlware (BHO),
les élimine, mais au prochain scan, ils sont de retour...

Impossible de supprimer ce fichier, qui n'apparaissait pas il t a qques
jours dans un scan hijackthis.

Même en sans échec...

si vous avez des idées...


merci d'avance.

kiki

Bonjour,

avez-vous changé les options dans explorer pour qu'il vous montre les
fichiers cachés et protégés ?

oui tout à fait.

Pouvez-vous essayer spybot ?


--
Cordialement,
Mathieu CHATEAU
http://lordoftheping.blogspot.com


"kiki" <kiki@koko.ke> wrote in message
news:O26Ersi$HHA.4584@TK2MSFTNGP03.phx.gbl...

Bonjour,

avez-vous changé les options dans explorer pour qu'il vous montre les
fichiers cachés et protégés ?

oui tout à fait.

On 24 sep, 08:06, "Mathieu CHATEAU" <gollum...@free.fr> wrote:

Pouvez-vous essayer spybot ?

--
Cordialement,
Mathieu CHATEAUhttp://lordoftheping.blogspot.com

"kiki" <k...@koko.ke> wrote in message

news:O26Ersi$HHA.4584@TK2MSFTNGP03.phx.gbl...

Bonjour,

avez-vous changé les options dans explorer pour qu'il vous montre les
fichiers cachés et protégés ?

oui tout à fait.

voici hijackthis:
========================= ======

Running processes:
I:WINNTSystem32smss.exe
I:WINNTsystem32winlogon.exe
I:WINNTsystem32services.exe
I:WINNTsystem32lsass.exe
I:WINNTsystem32svchost.exe
I:WINNTsystem32spoolsv.exe
I:Program FilesLavasoftAd-Aware 2007aawservice.exe
I:Program FilesFichiers communsAcronisSchedule2schedul2.exe
I:WINNTSystem32svchost.exe
I:WINNTsystem32hidserv.exe
I:Program FilesKerioPersonal Firewall 4kpf4ss.exe
I:WINNTsystem32MGERunSC.exe
I:WINNTsystem32MGEPCtl.exe
I:WINNTsystem32regsvc.exe
I:WINNTsystem32MSTask.exe
I:WINNTsystem32stisvc.exe
I:WINNTSystem32WBEMWinMgmt.exe
I:WINNTsystem32MGEBIL.EXE
I:WINNTsystem32svchost.exe
I:WINNTSystem32dmadmin.exe
I:WINNTSystem32locator.exe
I:Program FilesKerioPersonal Firewall 4kpf4gui.exe
I:WINNTsystem32MGECILUSB.EXE
I:WINNTExplorer.EXE
I:Program FilesKerioPersonal Firewall 4kpf4gui.exe
I:Program FilesCAeTrust PestPatrolPPActiveDetection.exe
I:Program FilesMagicRotationMagicPvt.exe
I:Program FilesSpybot - Search & DestroyTeaTimer.exe
I:Program FilesCpuIdlecpuidle.exe
I:Program FilesLogitechSetPointSetPoint.exe
I:Program FilesMozilla Thunderbirdthunderbird.exe
I:PROGRA~1Webshotswebshots.scr
I:Program FilesMozilla Firefoxfirefox.exe
I:Program FilesOpenOffice.org 2.2programsoffice.exe
I:Program FilesOpenOffice.org 2.2programsoffice.BIN
I:Program FilesFichiers communsLogitechkhalsharedKHALMNPR.EXE
D:boîte à outilssécuritéHijackThis.exe

R1 - HKCUSoftwareMicrosoftWindowsCurrentVersionInternet
Settings,ProxyOverride = 127.0.0.1;<local>
R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName
= Liens
O2 - BHO: Spybot-S&D IE Protection -
{53707962-6F74-2D53-2644-206D7942484F} - I:
PROGRA~1SPYBOT~1SDHelper.dll
O2 - BHO: (no name) - {F4002052-AB29-4B33-8C8D-0E99084564EC} - I:WINNT
system32ssqppno.dll
O4 - HKLM..Run: [KAVPersonal50] "I:Program FilesKaspersky Lab
Kaspersky Anti-Virus Personalkav.exe" /minimize
O4 - HKLM..Run: [eTrustPPAP] "I:Program FilesCAeTrust PestPatrol
PPActiveDetection.exe"
O4 - HKLM..Run: [MagicRotation] I:Program FilesMagicRotation
MagicPvt.exe
O4 - HKLM..Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM..Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM..Run: [Logitech Hardware Abstraction Layer] "I:Program
FilesFichiers communsLogitechkhalsharedKHALMNPR.EXE"
O4 - HKLM..Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKCU..Run: [SpybotSD TeaTimer] I:Program FilesSpybot - Search
& DestroyTeaTimer.exe
O4 - HKUS.DEFAULT..Run: [internat.exe] internat.exe (User 'Default
user')
O4 - Startup: OpenOffice.org 2.2.lnk = I:Program FilesOpenOffice.org
2.2programquickstart.exe
O4 - Startup: Webshots.lnk = I:Program FilesWebshotsLauncher.exe
O4 - Global Startup: CpuIdle.lnk = I:Program FilesCpuIdle
cpuidle.exe
O4 - Global Startup: Logitech SetPoint.lnk = I:Program FilesLogitech
SetPointSetPoint.exe
O6 - HKCUSoftwarePoliciesMicrosoftInternet ExplorerRestrictions
present
O6 - HKCUSoftwarePoliciesMicrosoftInternet ExplorerControl Panel
present
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2}
- I:PROGRA~1SPYBOT~1SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration -
{DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - I:
PROGRA~1SPYBOT~1SDHelper.dll
O20 - Winlogon Notify: ssqppno - I:WINNTSYSTEM32ssqppno.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - I:
Program FilesLavasoftAd-Aware 2007aawservice.exe
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - I:
Program FilesFichiers communsAcronisSchedule2schedul2.exe
O23 - Service: Service d'administration du Gestionnaire de disque
logique (dmadmin) - VERITAS Software Corp. - I:WINNT
System32dmadmin.exe
O23 - Service: kavsvc - Kaspersky Lab - I:Program FilesKaspersky Lab
Kaspersky Anti-Virus Personalkavsvc.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies -
I:Program FilesKerioPersonal Firewall 4kpf4ss.exe
O23 - Service: MGE Service module - Unknown owner - I:WINNT
system32MGERunSC.exe
O23 - Service: VundoFix Service (VundoFixSvc) - Atribune.org - I:WINNT
SYSTEM32VundoFixSVC.exe
=========================

mais je précise que si je fixe les lignes contenant le nom du fichier,
celles ci se "reconstituent" au prochain démarrage, sans doute parce
que la dll coupable est encore là...; On m'a parlé de killbox ? que
pensez vous de cet utilitaire ?

<jyl2803@gmail.com> a écrit dans le message de news:
1190629039.655116.162950@n39g2000hsh.googlegroups.com...
On 24 sep, 08:06, "Mathieu CHATEAU" <gollum...@free.fr> wrote:

Pouvez-vous essayer spybot ?

--
Cordialement,
Mathieu CHATEAUhttp://lordoftheping.blogspot.com

"kiki" <k...@koko.ke> wrote in message

news:O26Ersi$HHA.4584@TK2MSFTNGP03.phx.gbl...

Bonjour,

avez-vous changé les options dans explorer pour qu'il vous montre
les
fichiers cachés et protégés ?

oui tout à fait.

voici hijackthis:
==============================
essaie ça:

http://www.clubic.com/telecharger-fiche25107-vundofix.html

<jyl2803@gmail.com> a écrit dans le message de news:
1190629039.655116.162950@n39g2000hsh.googlegroups.com...
On 24 sep, 08:06, "Mathieu CHATEAU" <gollum...@free.fr> wrote:

mais je précise que si je fixe les lignes contenant le nom du fichier,
celles ci se "reconstituent" au prochain démarrage, sans doute parce
que la dll coupable est encore là...

Tout à fait ! essayez de la virer en "mode sans échec"

On 25 sep, 06:03, "oéoé re" <s...@invalid.fr> wrote:

<jyl2...@gmail.com> a écrit dans le message de news:
1190629039.655116.162...@n39g2000hsh.googlegroups.com...
On 24 sep, 08:06, "Mathieu CHATEAU" <gollum...@free.fr> wrote:



mais je précise que si je fixe les lignes contenant le nom du fichier,
celles ci se "reconstituent" au prochain démarrage, sans doute parce
que la dll coupable est encore là...

Tout à fait ! essayez de la virer en "mode sans échec"

idem !! elle est chargée même en sans échec et donc 'invirable".
vundofix plante et n'y parvient pas. Il me reste le mode console avec
le CD w2000 et une commande del, qu'en pensez vous ?

Hello UUCP !

jyl2803@gmail.com wrote:

mais je précise que si je fixe les lignes contenant le nom du fichier,
celles ci se "reconstituent" au prochain démarrage, sans doute parce
que la dll coupable est encore là...

Tout à fait ! essayez de la virer en "mode sans échec"

idem !! elle est chargée même en sans échec et donc 'invirable".
vundofix plante et n'y parvient pas. Il me reste le mode console avec
le CD w2000 et une commande del, qu'en pensez vous ?

Je ne comprends pas bien, mais il y a deux possibilités:
-repérer la commande avec Autoruns et la disabler;
-renommer le fichier au BOOT avec movefile.exe

--
Laurent Jumet - Point de Chat, Liège, BELGIUM
KeyID: 0xCFAF704C
[Restore address to laurent.jumet for e-mail reply.]

On 25 sep, 09:28, "Laurent Jumet" <1st_NAME.Lst_N...@skynet.be> wrote:

Hello UUCP !

jyl2...@gmail.com wrote:

mais je précise que si je fixe les lignes contenant le nom du fichie r,
celles ci se "reconstituent" au prochain démarrage, sans doute parce
que la dll coupable est encore là...

Tout à fait ! essayez de la virer en "mode sans échec"
idem !! elle est chargée même en sans échec et donc 'invirable".

vundofix plante et n'y parvient pas. Il me reste le mode console avec
le CD w2000 et une commande del, qu'en pensez vous ?

Je ne comprends pas bien, mais il y a deux possibilités:
-repérer la commande avec Autoruns et la disabler;
-renommer le fichier au BOOT avec movefile.exe

--
je voulais dire: démarrage en mode console avec le CD.

puis commande (le fichier ne caus est ssqppno.dll):
- cd winnt
- cd system32
- attrib ssqppno.dll -r -h -a
- del ssqppno.dll

Est ce correct ?

<jyl2803@gmail.com> a écrit dans le message de news:
1190704416.217111.326180@g4g2000hsf.googlegroups.com...


idem !! elle est chargée même en sans échec et donc 'invirable".
vundofix plante et n'y parvient pas. Il me reste le mode console avec
le CD w2000 et une commande del, qu'en pensez vous ?

http://mickael.barroux.free.fr/securite/vundo.php
je viens de trouver ça