fichier récalcitrant et malware

Le
kiki
Bonsoir

J'ai dans c:/winnt/system32 (sous w2kpro) un fichier
sqppno.dll, qui se charge au démarrage (selon hijackthis).
Adaware me trouve 3 mlware (BHO), les élimine, mais au
prochain scan, ils sont de retour

Impossible de supprimer ce fichier, qui n'apparaissait pas
il t a qques jours dans un scan hijackthis.

Même en sans échec

si vous avez des idées


merci d'avance.

kiki
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses Page 1 / 2
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Mathieu CHATEAU
Le #774080
Bonjour,

avez-vous changé les options dans explorer pour qu'il vous montre les
fichiers cachés et protégés ?

--
Cordialement,
Mathieu CHATEAU
http://lordoftheping.blogspot.com


"kiki" news:OeJ6ogi$
Bonsoir

J'ai dans c:/winnt/system32 (sous w2kpro) un fichier sqppno.dll, qui se
charge au démarrage (selon hijackthis). Adaware me trouve 3 mlware (BHO),
les élimine, mais au prochain scan, ils sont de retour...

Impossible de supprimer ce fichier, qui n'apparaissait pas il t a qques
jours dans un scan hijackthis.

Même en sans échec...

si vous avez des idées...


merci d'avance.

kiki


kiki
Le #774079
Bonjour,

avez-vous changé les options dans explorer pour qu'il vous montre les
fichiers cachés et protégés ?

oui tout à fait.


Mathieu CHATEAU
Le #774078
Pouvez-vous essayer spybot ?


--
Cordialement,
Mathieu CHATEAU
http://lordoftheping.blogspot.com


"kiki" news:O26Ersi$
Bonjour,

avez-vous changé les options dans explorer pour qu'il vous montre les
fichiers cachés et protégés ?

oui tout à fait.




jyl2803
Le #774077
On 24 sep, 08:06, "Mathieu CHATEAU"
Pouvez-vous essayer spybot ?

--
Cordialement,
Mathieu CHATEAUhttp://lordoftheping.blogspot.com

"kiki"
news:O26Ersi$

Bonjour,

avez-vous changé les options dans explorer pour qu'il vous montre les
fichiers cachés et protégés ?


oui tout à fait.



voici hijackthis:
========================= ======

Running processes:
I:WINNTSystem32smss.exe
I:WINNTsystem32winlogon.exe
I:WINNTsystem32services.exe
I:WINNTsystem32lsass.exe
I:WINNTsystem32svchost.exe
I:WINNTsystem32spoolsv.exe
I:Program FilesLavasoftAd-Aware 2007aawservice.exe
I:Program FilesFichiers communsAcronisSchedule2schedul2.exe
I:WINNTSystem32svchost.exe
I:WINNTsystem32hidserv.exe
I:Program FilesKerioPersonal Firewall 4kpf4ss.exe
I:WINNTsystem32MGERunSC.exe
I:WINNTsystem32MGEPCtl.exe
I:WINNTsystem32regsvc.exe
I:WINNTsystem32MSTask.exe
I:WINNTsystem32stisvc.exe
I:WINNTSystem32WBEMWinMgmt.exe
I:WINNTsystem32MGEBIL.EXE
I:WINNTsystem32svchost.exe
I:WINNTSystem32dmadmin.exe
I:WINNTSystem32locator.exe
I:Program FilesKerioPersonal Firewall 4kpf4gui.exe
I:WINNTsystem32MGECILUSB.EXE
I:WINNTExplorer.EXE
I:Program FilesKerioPersonal Firewall 4kpf4gui.exe
I:Program FilesCAeTrust PestPatrolPPActiveDetection.exe
I:Program FilesMagicRotationMagicPvt.exe
I:Program FilesSpybot - Search & DestroyTeaTimer.exe
I:Program FilesCpuIdlecpuidle.exe
I:Program FilesLogitechSetPointSetPoint.exe
I:Program FilesMozilla Thunderbirdthunderbird.exe
I:PROGRA~1Webshotswebshots.scr
I:Program FilesMozilla Firefoxfirefox.exe
I:Program FilesOpenOffice.org 2.2programsoffice.exe
I:Program FilesOpenOffice.org 2.2programsoffice.BIN
I:Program FilesFichiers communsLogitechkhalsharedKHALMNPR.EXE
D:boîte à outilssécuritéHijackThis.exe

R1 - HKCUSoftwareMicrosoftWindowsCurrentVersionInternet
Settings,ProxyOverride = 127.0.0.1;<local>
R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName
= Liens
O2 - BHO: Spybot-S&D IE Protection -
{53707962-6F74-2D53-2644-206D7942484F} - I:
PROGRA~1SPYBOT~1SDHelper.dll
O2 - BHO: (no name) - {F4002052-AB29-4B33-8C8D-0E99084564EC} - I:WINNT
system32ssqppno.dll
O4 - HKLM..Run: [KAVPersonal50] "I:Program FilesKaspersky Lab
Kaspersky Anti-Virus Personalkav.exe" /minimize
O4 - HKLM..Run: [eTrustPPAP] "I:Program FilesCAeTrust PestPatrol
PPActiveDetection.exe"
O4 - HKLM..Run: [MagicRotation] I:Program FilesMagicRotation
MagicPvt.exe
O4 - HKLM..Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM..Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM..Run: [Logitech Hardware Abstraction Layer] "I:Program
FilesFichiers communsLogitechkhalsharedKHALMNPR.EXE"
O4 - HKLM..Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKCU..Run: [SpybotSD TeaTimer] I:Program FilesSpybot - Search
& DestroyTeaTimer.exe
O4 - HKUS.DEFAULT..Run: [internat.exe] internat.exe (User 'Default
user')
O4 - Startup: OpenOffice.org 2.2.lnk = I:Program FilesOpenOffice.org
2.2programquickstart.exe
O4 - Startup: Webshots.lnk = I:Program FilesWebshotsLauncher.exe
O4 - Global Startup: CpuIdle.lnk = I:Program FilesCpuIdle
cpuidle.exe
O4 - Global Startup: Logitech SetPoint.lnk = I:Program FilesLogitech
SetPointSetPoint.exe
O6 - HKCUSoftwarePoliciesMicrosoftInternet ExplorerRestrictions
present
O6 - HKCUSoftwarePoliciesMicrosoftInternet ExplorerControl Panel
present
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2}
- I:PROGRA~1SPYBOT~1SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration -
{DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - I:
PROGRA~1SPYBOT~1SDHelper.dll
O20 - Winlogon Notify: ssqppno - I:WINNTSYSTEM32ssqppno.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - I:
Program FilesLavasoftAd-Aware 2007aawservice.exe
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - I:
Program FilesFichiers communsAcronisSchedule2schedul2.exe
O23 - Service: Service d'administration du Gestionnaire de disque
logique (dmadmin) - VERITAS Software Corp. - I:WINNT
System32dmadmin.exe
O23 - Service: kavsvc - Kaspersky Lab - I:Program FilesKaspersky Lab
Kaspersky Anti-Virus Personalkavsvc.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies -
I:Program FilesKerioPersonal Firewall 4kpf4ss.exe
O23 - Service: MGE Service module - Unknown owner - I:WINNT
system32MGERunSC.exe
O23 - Service: VundoFix Service (VundoFixSvc) - Atribune.org - I:WINNT
SYSTEM32VundoFixSVC.exe
=========================

mais je précise que si je fixe les lignes contenant le nom du fichier,
celles ci se "reconstituent" au prochain démarrage, sans doute parce
que la dll coupable est encore là...; On m'a parlé de killbox ? que
pensez vous de cet utilitaire ?



oéoé re
Le #773841

On 24 sep, 08:06, "Mathieu CHATEAU"
Pouvez-vous essayer spybot ?

--
Cordialement,
Mathieu CHATEAUhttp://lordoftheping.blogspot.com

"kiki"
news:O26Ersi$

Bonjour,

avez-vous changé les options dans explorer pour qu'il vous montre
les
fichiers cachés et protégés ?


oui tout à fait.



voici hijackthis:
==============================
essaie ça:

http://www.clubic.com/telecharger-fiche25107-vundofix.html



oéoé re
Le #773840

On 24 sep, 08:06, "Mathieu CHATEAU"



mais je précise que si je fixe les lignes contenant le nom du fichier,
celles ci se "reconstituent" au prochain démarrage, sans doute parce
que la dll coupable est encore là...

Tout à fait ! essayez de la virer en "mode sans échec"

jyl2803
Le #773839
On 25 sep, 06:03, "oéoé re"

On 24 sep, 08:06, "Mathieu CHATEAU"


mais je précise que si je fixe les lignes contenant le nom du fichier,
celles ci se "reconstituent" au prochain démarrage, sans doute parce
que la dll coupable est encore là...

Tout à fait ! essayez de la virer en "mode sans échec"


idem !! elle est chargée même en sans échec et donc 'invirable".
vundofix plante et n'y parvient pas. Il me reste le mode console avec
le CD w2000 et une commande del, qu'en pensez vous ?

Laurent Jumet
Le #773838
Hello UUCP !

wrote:

mais je précise que si je fixe les lignes contenant le nom du fichier,
celles ci se "reconstituent" au prochain démarrage, sans doute parce
que la dll coupable est encore là...

Tout à fait ! essayez de la virer en "mode sans échec"


idem !! elle est chargée même en sans échec et donc 'invirable".
vundofix plante et n'y parvient pas. Il me reste le mode console avec
le CD w2000 et une commande del, qu'en pensez vous ?


Je ne comprends pas bien, mais il y a deux possibilités:
-repérer la commande avec Autoruns et la disabler;
-renommer le fichier au BOOT avec movefile.exe

--
Laurent Jumet - Point de Chat, Liège, BELGIUM
KeyID: 0xCFAF704C
[Restore address to laurent.jumet for e-mail reply.]


jyl2803
Le #773837
On 25 sep, 09:28, "Laurent Jumet"
Hello UUCP !

wrote:
mais je précise que si je fixe les lignes contenant le nom du fichie r,
celles ci se "reconstituent" au prochain démarrage, sans doute parce
que la dll coupable est encore là...

Tout à fait ! essayez de la virer en "mode sans échec"
idem !! elle est chargée même en sans échec et donc 'invirable".

vundofix plante et n'y parvient pas. Il me reste le mode console avec
le CD w2000 et une commande del, qu'en pensez vous ?


Je ne comprends pas bien, mais il y a deux possibilités:
-repérer la commande avec Autoruns et la disabler;
-renommer le fichier au BOOT avec movefile.exe

--
je voulais dire: démarrage en mode console avec le CD.


puis commande (le fichier ne caus est ssqppno.dll):
- cd winnt
- cd system32
- attrib ssqppno.dll -r -h -a
- del ssqppno.dll

Est ce correct ?



oéoé re
Le #773836



idem !! elle est chargée même en sans échec et donc 'invirable".
vundofix plante et n'y parvient pas. Il me reste le mode console avec
le CD w2000 et une commande del, qu'en pensez vous ?

http://mickael.barroux.free.fr/securite/vundo.php
je viens de trouver ça
Publicité
Poster une réponse
Anonyme