J'ai dans c:/winnt/system32 (sous w2kpro) un fichier
sqppno.dll, qui se charge au démarrage (selon hijackthis).
Adaware me trouve 3 mlware (BHO), les élimine, mais au
prochain scan, ils sont de retour...
Impossible de supprimer ce fichier, qui n'apparaissait pas
il t a qques jours dans un scan hijackthis.
idem !! elle est chargée même en sans échec et donc 'invirable". vundofix plante et n'y parvient pas. Il me reste le mode console avec le CD w2000 et une commande del, qu'en pensez vous ?
http://mickael.barroux.free.fr/securite/vundo.php je viens de trouver ça
merci.
J'essaye dans 2 - 3 jours, lorsque je serai de retour.
reste tout de même que cette histoire de console est peut être le plus simple, non ? qu'en pensez vous ?
On 25 sep, 10:34, "oéoé re" <s...@invalid.fr> wrote:
<jyl2...@gmail.com> a écrit dans le message de news:
1190704416.217111.326...@g4g2000hsf.googlegroups.com...
idem !! elle est chargée même en sans échec et donc 'invirable".
vundofix plante et n'y parvient pas. Il me reste le mode console avec
le CD w2000 et une commande del, qu'en pensez vous ?
http://mickael.barroux.free.fr/securite/vundo.php
je viens de trouver ça
merci.
J'essaye dans 2 - 3 jours, lorsque je serai de retour.
reste tout de même que cette histoire de console est peut être le plus
simple, non ? qu'en pensez vous ?
idem !! elle est chargée même en sans échec et donc 'invirable". vundofix plante et n'y parvient pas. Il me reste le mode console avec le CD w2000 et une commande del, qu'en pensez vous ?
http://mickael.barroux.free.fr/securite/vundo.php je viens de trouver ça
merci.
J'essaye dans 2 - 3 jours, lorsque je serai de retour.
reste tout de même que cette histoire de console est peut être le plus simple, non ? qu'en pensez vous ?
oéoé re
a écrit dans le message de news:
J'essaye dans 2 - 3 jours, lorsque je serai de retour.
http://www.malekal.com/Trojan.vundo.php ça aussi
reste tout de même que cette histoire de console est peut être le plus simple, non ? qu'en pensez vous ?
En mode console je ne sais pas !
<jyl2803@gmail.com> a écrit dans le message de news:
1190711981.284704.52010@d55g2000hsg.googlegroups.com...
J'essaye dans 2 - 3 jours, lorsque je serai de retour.
http://www.malekal.com/Trojan.vundo.php ça aussi
reste tout de même que cette histoire de console est peut être le plus
simple, non ? qu'en pensez vous ?
J'essaye dans 2 - 3 jours, lorsque je serai de retour.
http://www.malekal.com/Trojan.vundo.php ça aussi
reste tout de même que cette histoire de console est peut être le plus simple, non ? qu'en pensez vous ?
En mode console je ne sais pas !
Laurent Jumet
Hello UUCP !
wrote:
reste tout de même que cette histoire de console est peut être le plus simple, non ? qu'en pensez vous ?
La console de récup ne te permet pas de te ballader sur ton disque, sauf si tu as préalablement modifié des clés de registre qui te permettront alors dans la console, de modifier les variables d'environnement.
Si tu as un fichier que tu veux effacer ou renommer, et que tu n'y arrives pas, alors emploie movefile.exe qui réalisera l'opération au prochain boot.
-- Laurent Jumet - Point de Chat, Liège, BELGIUM KeyID: 0xCFAF704C [Restore address to laurent.jumet for e-mail reply.]
Hello UUCP !
jyl2803@gmail.com wrote:
reste tout de même que cette histoire de console est peut être le plus
simple, non ? qu'en pensez vous ?
La console de récup ne te permet pas de te ballader sur ton disque, sauf si tu as préalablement modifié des clés de registre qui te permettront alors dans la console, de modifier les variables d'environnement.
Si tu as un fichier que tu veux effacer ou renommer, et que tu n'y arrives pas, alors emploie movefile.exe qui réalisera l'opération au prochain boot.
--
Laurent Jumet - Point de Chat, Liège, BELGIUM
KeyID: 0xCFAF704C
[Restore address to laurent.jumet for e-mail reply.]
reste tout de même que cette histoire de console est peut être le plus simple, non ? qu'en pensez vous ?
La console de récup ne te permet pas de te ballader sur ton disque, sauf si tu as préalablement modifié des clés de registre qui te permettront alors dans la console, de modifier les variables d'environnement.
Si tu as un fichier que tu veux effacer ou renommer, et que tu n'y arrives pas, alors emploie movefile.exe qui réalisera l'opération au prochain boot.
-- Laurent Jumet - Point de Chat, Liège, BELGIUM KeyID: 0xCFAF704C [Restore address to laurent.jumet for e-mail reply.]
jyl2803
On 25 sep, 11:31, "Laurent Jumet" wrote:
Hello UUCP !
wrote:
reste tout de même que cette histoire de console est peut être le p lus simple, non ? qu'en pensez vous ?
La console de récup ne te permet pas de te ballader sur ton disque, sauf si tu as préalablement modifié des clés de registre qui te perm ettront alors dans la console, de modifier les variables d'environnement.
Si tu as un fichier que tu veux effacer ou renommer, et que tu n'y ar rives pas, alors emploie movefile.exe qui réalisera l'opération au proc hain boot.
-- comment fait on ? où trouve t on ce movefile.exe ?
Si je comprends bien, en mode console, je ne peux pas saisir la commande "cd system32" par ex, si j'arrive sous c:winnt ??
Reste peut être un live CD linux avec support NTFS (on en trouve maintenant je crois)
En tout cas merci.
On 25 sep, 11:31, "Laurent Jumet" <1st_NAME.Lst_N...@skynet.be> wrote:
Hello UUCP !
jyl2...@gmail.com wrote:
reste tout de même que cette histoire de console est peut être le p lus
simple, non ? qu'en pensez vous ?
La console de récup ne te permet pas de te ballader sur ton disque, sauf si tu as préalablement modifié des clés de registre qui te perm ettront alors dans la console, de modifier les variables d'environnement.
Si tu as un fichier que tu veux effacer ou renommer, et que tu n'y ar rives pas, alors emploie movefile.exe qui réalisera l'opération au proc hain boot.
--
comment fait on ? où trouve t on ce movefile.exe ?
Si je comprends bien, en mode console, je ne peux pas saisir la
commande "cd system32" par ex, si j'arrive sous c:winnt ??
Reste peut être un live CD linux avec support NTFS (on en trouve
maintenant je crois)
reste tout de même que cette histoire de console est peut être le p lus simple, non ? qu'en pensez vous ?
La console de récup ne te permet pas de te ballader sur ton disque, sauf si tu as préalablement modifié des clés de registre qui te perm ettront alors dans la console, de modifier les variables d'environnement.
Si tu as un fichier que tu veux effacer ou renommer, et que tu n'y ar rives pas, alors emploie movefile.exe qui réalisera l'opération au proc hain boot.
-- comment fait on ? où trouve t on ce movefile.exe ?
Si je comprends bien, en mode console, je ne peux pas saisir la commande "cd system32" par ex, si j'arrive sous c:winnt ??
Reste peut être un live CD linux avec support NTFS (on en trouve maintenant je crois)
En tout cas merci.
Laurent Jumet
Hello UUCP !
wrote:
reste tout de même que cette histoire de console est peut être le plus simple, non ? qu'en pensez vous ?
La console de récup ne te permet pas de te ballader sur ton disque, sauf si tu as préalablement modifié des clés de registre qui te permettront alors dans la console, de modifier les variables d'environnement.
Si tu as un fichier que tu veux effacer ou renommer, et que tu n'y arrives pas, alors emploie movefile.exe qui réalisera l'opération au prochain boot.
-- comment fait on ? où trouve t on ce movefile.exe ?
Fais une recherche sur google, et en même temps prends pendmoves.exe qui permet d'afficher la liste des fichiers qui vont être traités au prochain BOOT.
Si je comprends bien, en mode console, je ne peux pas saisir la commande "cd system32" par ex, si j'arrive sous c:winnt ??
Pour pouvoir sous console de récup, te ballader sur ton disque, il faut que tu affiches les variables d'environnement avec la commande SET, et ensuite que tu remplaces le No par Yes dans quatre d'entre elles. Mais..... tu n'as pas accès à ces variables si préalablement donc sous XP, tu n'as pas modifié quatre clés de registre. Je l'ai fait et JC Bellamy a indiqué comment on faisait.
-- Laurent Jumet - Point de Chat, Liège, BELGIUM KeyID: 0xCFAF704C [Restore address to laurent.jumet for e-mail reply.]
Hello UUCP !
jyl2803@gmail.com wrote:
reste tout de même que cette histoire de console est peut être le plus
simple, non ? qu'en pensez vous ?
La console de récup ne te permet pas de te ballader sur ton disque,
sauf si tu as préalablement modifié des clés de registre qui te
permettront alors dans la console, de modifier les variables
d'environnement.
Si tu as un fichier que tu veux effacer ou renommer, et que tu n'y
arrives pas, alors emploie movefile.exe qui réalisera l'opération au
prochain boot.
--
comment fait on ? où trouve t on ce movefile.exe ?
Fais une recherche sur google, et en même temps prends pendmoves.exe qui permet d'afficher la liste des fichiers qui vont être traités au prochain BOOT.
Si je comprends bien, en mode console, je ne peux pas saisir la
commande "cd system32" par ex, si j'arrive sous c:winnt ??
Pour pouvoir sous console de récup, te ballader sur ton disque, il faut que tu affiches les variables d'environnement avec la commande SET, et ensuite que tu remplaces le No par Yes dans quatre d'entre elles.
Mais..... tu n'as pas accès à ces variables si préalablement donc sous XP, tu n'as pas modifié quatre clés de registre.
Je l'ai fait et JC Bellamy a indiqué comment on faisait.
--
Laurent Jumet - Point de Chat, Liège, BELGIUM
KeyID: 0xCFAF704C
[Restore address to laurent.jumet for e-mail reply.]
reste tout de même que cette histoire de console est peut être le plus simple, non ? qu'en pensez vous ?
La console de récup ne te permet pas de te ballader sur ton disque, sauf si tu as préalablement modifié des clés de registre qui te permettront alors dans la console, de modifier les variables d'environnement.
Si tu as un fichier que tu veux effacer ou renommer, et que tu n'y arrives pas, alors emploie movefile.exe qui réalisera l'opération au prochain boot.
-- comment fait on ? où trouve t on ce movefile.exe ?
Fais une recherche sur google, et en même temps prends pendmoves.exe qui permet d'afficher la liste des fichiers qui vont être traités au prochain BOOT.
Si je comprends bien, en mode console, je ne peux pas saisir la commande "cd system32" par ex, si j'arrive sous c:winnt ??
Pour pouvoir sous console de récup, te ballader sur ton disque, il faut que tu affiches les variables d'environnement avec la commande SET, et ensuite que tu remplaces le No par Yes dans quatre d'entre elles. Mais..... tu n'as pas accès à ces variables si préalablement donc sous XP, tu n'as pas modifié quatre clés de registre. Je l'ai fait et JC Bellamy a indiqué comment on faisait.
-- Laurent Jumet - Point de Chat, Liège, BELGIUM KeyID: 0xCFAF704C [Restore address to laurent.jumet for e-mail reply.]
jyl2803
On 25 sep, 12:22, "Laurent Jumet" wrote:
Hello UUCP !
wrote:
reste tout de même que cette histoire de console est peut être l e plus simple, non ? qu'en pensez vous ?
La console de récup ne te permet pas de te ballader sur ton disq ue, sauf si tu as préalablement modifié des clés de registre qui te permettront alors dans la console, de modifier les variables d'environnement.
Si tu as un fichier que tu veux effacer ou renommer, et que tu n'y arrives pas, alors emploie movefile.exe qui réalisera l'opération au prochain boot.
-- comment fait on ? où trouve t on ce movefile.exe ?
Fais une recherche sur google, et en même temps prends pendmoves.ex e qui permet d'afficher la liste des fichiers qui vont être traités au prochain BOOT.
Si je comprends bien, en mode console, je ne peux pas saisir la commande "cd system32" par ex, si j'arrive sous c:winnt ??
Pour pouvoir sous console de récup, te ballader sur ton disque, il faut que tu affiches les variables d'environnement avec la commande SET, et ensuite que tu remplaces le No par Yes dans quatre d'entre elles. Mais..... tu n'as pas accès à ces variables si préalablement do nc sous XP, tu n'as pas modifié quatre clés de registre. Je l'ai fait et JC Bellamy a indiqué comment on faisait.
-- Laurent Jumet - Point de Chat, Liège, BELGIUM KeyID: 0xCFAF704C [Restore address to laurent.jumet for e-mail reply.]
SUITE ET FIN
la problème est reglé, par la console de récup.
La chos étant intérressante sur le pouruqoi et le comment, et pouvant ête utile à d'autres, je posterai dans les jours à venir un message relatant les étapes de cette affaire. Meric en tout cas à ceux qui ont pris le temps de m'aider.
On 25 sep, 12:22, "Laurent Jumet" <1st_NAME.Lst_N...@skynet.be> wrote:
Hello UUCP !
jyl2...@gmail.com wrote:
reste tout de même que cette histoire de console est peut être l e plus
simple, non ? qu'en pensez vous ?
La console de récup ne te permet pas de te ballader sur ton disq ue,
sauf si tu as préalablement modifié des clés de registre qui te
permettront alors dans la console, de modifier les variables
d'environnement.
Si tu as un fichier que tu veux effacer ou renommer, et que tu n'y
arrives pas, alors emploie movefile.exe qui réalisera l'opération au
prochain boot.
--
comment fait on ? où trouve t on ce movefile.exe ?
Fais une recherche sur google, et en même temps prends pendmoves.ex e qui permet d'afficher la liste des fichiers qui vont être traités au prochain BOOT.
Si je comprends bien, en mode console, je ne peux pas saisir la
commande "cd system32" par ex, si j'arrive sous c:winnt ??
Pour pouvoir sous console de récup, te ballader sur ton disque, il faut que tu affiches les variables d'environnement avec la commande SET, et ensuite que tu remplaces le No par Yes dans quatre d'entre elles.
Mais..... tu n'as pas accès à ces variables si préalablement do nc sous XP, tu n'as pas modifié quatre clés de registre.
Je l'ai fait et JC Bellamy a indiqué comment on faisait.
--
Laurent Jumet - Point de Chat, Liège, BELGIUM
KeyID: 0xCFAF704C
[Restore address to laurent.jumet for e-mail reply.]
SUITE ET FIN
la problème est reglé, par la console de récup.
La chos étant intérressante sur le pouruqoi et le comment, et pouvant
ête utile à d'autres, je posterai dans les jours à venir un message
relatant les étapes de cette affaire. Meric en tout cas à ceux qui ont
pris le temps de m'aider.
reste tout de même que cette histoire de console est peut être l e plus simple, non ? qu'en pensez vous ?
La console de récup ne te permet pas de te ballader sur ton disq ue, sauf si tu as préalablement modifié des clés de registre qui te permettront alors dans la console, de modifier les variables d'environnement.
Si tu as un fichier que tu veux effacer ou renommer, et que tu n'y arrives pas, alors emploie movefile.exe qui réalisera l'opération au prochain boot.
-- comment fait on ? où trouve t on ce movefile.exe ?
Fais une recherche sur google, et en même temps prends pendmoves.ex e qui permet d'afficher la liste des fichiers qui vont être traités au prochain BOOT.
Si je comprends bien, en mode console, je ne peux pas saisir la commande "cd system32" par ex, si j'arrive sous c:winnt ??
Pour pouvoir sous console de récup, te ballader sur ton disque, il faut que tu affiches les variables d'environnement avec la commande SET, et ensuite que tu remplaces le No par Yes dans quatre d'entre elles. Mais..... tu n'as pas accès à ces variables si préalablement do nc sous XP, tu n'as pas modifié quatre clés de registre. Je l'ai fait et JC Bellamy a indiqué comment on faisait.
-- Laurent Jumet - Point de Chat, Liège, BELGIUM KeyID: 0xCFAF704C [Restore address to laurent.jumet for e-mail reply.]
SUITE ET FIN
la problème est reglé, par la console de récup.
La chos étant intérressante sur le pouruqoi et le comment, et pouvant ête utile à d'autres, je posterai dans les jours à venir un message relatant les étapes de cette affaire. Meric en tout cas à ceux qui ont pris le temps de m'aider.
Jacquouille la Fripouille
*Bonjour * Tu as pianoté sur ton clavier dans <news: pour écrire ceci :
idem !! elle est chargée même en sans échec et donc 'invirable". vundofix plante et n'y parvient pas. Il me reste le mode console avec le CD w2000 et une commande del, qu'en pensez vous ?
As-tu essayé de désactiver la restauration de système, faire ton fix en mode sans échec, redémarrer en mode normal et réactiver la restauration de système ? -- Jacquouille la Fripouille
*Bonjour jyl2803@gmail.com*
Tu as pianoté sur ton clavier dans
<news:1190704416.217111.326180@g4g2000hsf.googlegroups.com> pour écrire
ceci :
idem !! elle est chargée même en sans échec et donc 'invirable".
vundofix plante et n'y parvient pas. Il me reste le mode console avec
le CD w2000 et une commande del, qu'en pensez vous ?
As-tu essayé de désactiver la restauration de système, faire ton fix en
mode sans échec, redémarrer en mode normal et réactiver la restauration
de système ?
--
Jacquouille la Fripouille
*Bonjour * Tu as pianoté sur ton clavier dans <news: pour écrire ceci :
idem !! elle est chargée même en sans échec et donc 'invirable". vundofix plante et n'y parvient pas. Il me reste le mode console avec le CD w2000 et une commande del, qu'en pensez vous ?
As-tu essayé de désactiver la restauration de système, faire ton fix en mode sans échec, redémarrer en mode normal et réactiver la restauration de système ? -- Jacquouille la Fripouille
jyl2803
L'Hsitoire....
Chapitre 1: l'imprudent
Je passe mon temps à répéter à mes rejetons qu'on ne clique jamais sur un fichier bizarre, qu'on n'ouvre pas une pièce jointe non demandée sauf confirmation, qu'on ne charge pas, etc..; etc... etc... Bref, je tente de les immuniser contre pebkac. Ca marche pas trop mal.
Et puis un soir, par jeu, pour le fun, je charge un keygen pour un soft de protection en V limitée. (ce que je n'ai fait qu'une seule fois, voici bien longtemps), via emule (que l'utilise parfois pour charger des mp3 que je possède en vinyl, pour éviter d'avoir à les numériser.)
- vérification de l'archive zip avec kaspersky V5 , (à jour): clean. extraction du fichier, re vérification: clean
(ceci est d'ailleurs très embêtant....)
Je lance donc le fichier .exe. Et aussitôt, 3 fenêtres de kerio s'ouvrent (merci kerio ++++), m'avertissant d'une tentative de connexion de plusieurs utilitaires n'ayant rien à faire sur le net. (setpoint, gestionnaire de clavier logitech, CPUidle, utilitaire de gestion du processeur, et un autre dont j'ai oublié le nom). Tout se passe comme si ce machin se connectait au net en exploitant les modules de winlogon. (il figure d'ailleurs dans le registre dans les clés winlogon)
Là, je sens le coup fourré, et je bloque tout ça.
Un scan kijackthis m'apprend que la dll nommée ssqppno.dll, dans c: winntsystem32 est responsable. Recherche sur google: il s'agit du troyen virtumonde, ou encore vundo.
Cette dll mobilise 4 ou 5 processus différents (dont explorer, lssass), elle est invirable y compris en sans échec. Les sueurs froides me gagnent. Adaware et spybot trouvent un BHO, le supprime, mais il revient sans cesse, et pour cause...la dll est toujours là.
Chapitre 2: au boulot
sur différents newsgroups et forums, je trouve de l'aide, et divers utilitaires censés éradiquer la chose. Inopérants, ils plantent, provoquent des BSOD, des reboot, et.... n'éliminent rien. (y compris en sans échec). Pourquoi ? Je ne sais. (combofix, vundofix, killbox, j'en passe et des meilleurs.) En restent4 ou 5 que je n'ose pas essayer, on ne sait pas trop ce que font ces machins là en arrière plan...Et puis vu les processus attachés au fichier en cause, je doute qu'il soit possible de le supprimer sous une session windows.
le PC fonctionne sans problème, TCPview ne signale pas de connexion suspecte a priori, mais ... savoir le mal dans le disque n'est pas confortable.
Chapitre 3: un vent de panique.
Je me trouve donc face à un fichier qui lance des processus même en sans échec, et qu'il me faut pourtant virer. J'essaie et ligne de commande sans échec: impossible bien sur.
Aucune envie de tout réinstaller, malgré mes sauvegardes un peu partout, c'est un constat d'échec, et puis... pas trop de temps. C'est ma 2de infection en 7 années, je vais pas baisser les bras...
Chapitre 4 : le bout du tunnel
En fait, la solution viendra d'un forumiste qui me suggérera d'utiliser soit la console de récup, soit un liveCD linux (les versions récentes permettant d'écrire sur une partition NTFS, semble t il)
N'ayant pas sous la main de live CD à jour, (mon dernier kaella a un an), je tente le coup de la console. Jamais fait, pas bien rassuré, mais bon... On y va...
sous c:winnt, commandes cd system32 del ssqppno.dll
Pas de message d'erreur. Un dir ss*.dll montre qu'il n'y a rien. Ca a duré 5 mn.
Reboot, un coup d'hijackthis, les lignes " O2 - BHO: (no name) - {F4002052-AB29-4B33-8C8D-0E99084564EC} - I:WINNT system32ssqppno.dll " et " O20 - Winlogon Notify: ssqppno - I:WINNT SYSTEM32ssqppno.dll " sont toujours là mais " file missing ". Je les fixe, et c'est bon. Adaware et spybot nettoyent le BHO installé, et jusqu'à maintenant, rien n'est revenu. Je croise les doigts, mais il ne semble pas que cette cochonceté n'installe d'autres fichiers, donc je pense être libéré.
Conclusion: 1- Ca m'a servi de leçon, et si ça peut servir à d'autres.... 2- une claque dans la g.... ça fait parfois du bien !! 3- un pare feu bien paramétré est VITAL 4- reste à savoir pourquoi kaspersky, pourtant réputé bon antivirus, n'a rien dit... Je poserai la question à l'éditeur.
A votre disposition pour des précision éventuelles, et encore merci à ceux qui m'ont aidé.
L'Hsitoire....
Chapitre 1: l'imprudent
Je passe mon temps à répéter à mes rejetons qu'on ne clique jamais sur
un fichier bizarre, qu'on n'ouvre pas une pièce jointe non demandée
sauf confirmation, qu'on ne charge pas, etc..; etc... etc...
Bref, je tente de les immuniser contre pebkac. Ca marche pas trop mal.
Et puis un soir, par jeu, pour le fun, je charge un keygen pour un
soft de protection en V limitée. (ce que je n'ai fait qu'une seule
fois, voici bien longtemps), via emule (que l'utilise parfois pour
charger des mp3 que je possède en vinyl, pour éviter d'avoir à les
numériser.)
- vérification de l'archive zip avec kaspersky V5 , (à jour): clean.
extraction du fichier, re vérification: clean
(ceci est d'ailleurs très embêtant....)
Je lance donc le fichier .exe. Et aussitôt, 3 fenêtres de kerio
s'ouvrent (merci kerio ++++), m'avertissant d'une tentative de
connexion de plusieurs utilitaires n'ayant rien à faire sur le net.
(setpoint, gestionnaire de clavier logitech, CPUidle, utilitaire de
gestion du processeur, et un autre dont j'ai oublié le nom). Tout se
passe comme si ce machin se connectait au net en exploitant les
modules de winlogon. (il figure d'ailleurs dans le registre dans les
clés winlogon)
Là, je sens le coup fourré, et je bloque tout ça.
Un scan kijackthis m'apprend que la dll nommée ssqppno.dll, dans c:
winntsystem32 est responsable. Recherche sur google: il s'agit du
troyen virtumonde, ou encore vundo.
Cette dll mobilise 4 ou 5 processus différents (dont explorer,
lssass), elle est invirable y compris en sans échec. Les sueurs
froides me gagnent. Adaware et spybot trouvent un BHO, le supprime,
mais il revient sans cesse, et pour cause...la dll est toujours là.
Chapitre 2: au boulot
sur différents newsgroups et forums, je trouve de l'aide, et divers
utilitaires censés éradiquer la chose. Inopérants, ils plantent,
provoquent des BSOD, des reboot, et.... n'éliminent rien. (y compris
en sans échec). Pourquoi ? Je ne sais. (combofix, vundofix, killbox,
j'en passe et des meilleurs.) En restent4 ou 5 que je n'ose pas
essayer, on ne sait pas trop ce que font ces machins là en arrière
plan...Et puis vu les processus attachés au fichier en cause, je
doute qu'il soit possible de le supprimer sous une session windows.
le PC fonctionne sans problème, TCPview ne signale pas de connexion
suspecte a priori, mais ... savoir le mal dans le disque n'est pas
confortable.
Chapitre 3: un vent de panique.
Je me trouve donc face à un fichier qui lance des processus même en
sans échec, et qu'il me faut pourtant virer. J'essaie et ligne de
commande sans échec: impossible bien sur.
Aucune envie de tout réinstaller, malgré mes sauvegardes un peu
partout, c'est un constat d'échec, et puis... pas trop de temps. C'est
ma 2de infection en 7 années, je vais pas baisser les bras...
Chapitre 4 : le bout du tunnel
En fait, la solution viendra d'un forumiste qui me suggérera
d'utiliser soit la console de récup, soit un liveCD linux (les
versions récentes permettant d'écrire sur une partition NTFS, semble t
il)
N'ayant pas sous la main de live CD à jour, (mon dernier kaella a un
an), je tente le coup de la console. Jamais fait, pas bien rassuré,
mais bon... On y va...
sous c:winnt, commandes
cd system32
del ssqppno.dll
Pas de message d'erreur. Un dir ss*.dll montre qu'il n'y a rien. Ca a
duré 5 mn.
Reboot, un coup d'hijackthis, les lignes " O2 - BHO: (no name) -
{F4002052-AB29-4B33-8C8D-0E99084564EC} - I:WINNT
system32ssqppno.dll " et " O20 - Winlogon Notify: ssqppno - I:WINNT
SYSTEM32ssqppno.dll " sont toujours là mais " file missing ". Je
les fixe, et c'est bon.
Adaware et spybot nettoyent le BHO installé, et jusqu'à maintenant,
rien n'est revenu. Je croise les doigts, mais il ne semble pas que
cette cochonceté n'installe d'autres fichiers, donc je pense être
libéré.
Conclusion:
1- Ca m'a servi de leçon, et si ça peut servir à d'autres....
2- une claque dans la g.... ça fait parfois du bien !!
3- un pare feu bien paramétré est VITAL
4- reste à savoir pourquoi kaspersky, pourtant réputé bon antivirus,
n'a rien dit... Je poserai la question à l'éditeur.
A votre disposition pour des précision éventuelles, et encore merci à
ceux qui m'ont aidé.
Je passe mon temps à répéter à mes rejetons qu'on ne clique jamais sur un fichier bizarre, qu'on n'ouvre pas une pièce jointe non demandée sauf confirmation, qu'on ne charge pas, etc..; etc... etc... Bref, je tente de les immuniser contre pebkac. Ca marche pas trop mal.
Et puis un soir, par jeu, pour le fun, je charge un keygen pour un soft de protection en V limitée. (ce que je n'ai fait qu'une seule fois, voici bien longtemps), via emule (que l'utilise parfois pour charger des mp3 que je possède en vinyl, pour éviter d'avoir à les numériser.)
- vérification de l'archive zip avec kaspersky V5 , (à jour): clean. extraction du fichier, re vérification: clean
(ceci est d'ailleurs très embêtant....)
Je lance donc le fichier .exe. Et aussitôt, 3 fenêtres de kerio s'ouvrent (merci kerio ++++), m'avertissant d'une tentative de connexion de plusieurs utilitaires n'ayant rien à faire sur le net. (setpoint, gestionnaire de clavier logitech, CPUidle, utilitaire de gestion du processeur, et un autre dont j'ai oublié le nom). Tout se passe comme si ce machin se connectait au net en exploitant les modules de winlogon. (il figure d'ailleurs dans le registre dans les clés winlogon)
Là, je sens le coup fourré, et je bloque tout ça.
Un scan kijackthis m'apprend que la dll nommée ssqppno.dll, dans c: winntsystem32 est responsable. Recherche sur google: il s'agit du troyen virtumonde, ou encore vundo.
Cette dll mobilise 4 ou 5 processus différents (dont explorer, lssass), elle est invirable y compris en sans échec. Les sueurs froides me gagnent. Adaware et spybot trouvent un BHO, le supprime, mais il revient sans cesse, et pour cause...la dll est toujours là.
Chapitre 2: au boulot
sur différents newsgroups et forums, je trouve de l'aide, et divers utilitaires censés éradiquer la chose. Inopérants, ils plantent, provoquent des BSOD, des reboot, et.... n'éliminent rien. (y compris en sans échec). Pourquoi ? Je ne sais. (combofix, vundofix, killbox, j'en passe et des meilleurs.) En restent4 ou 5 que je n'ose pas essayer, on ne sait pas trop ce que font ces machins là en arrière plan...Et puis vu les processus attachés au fichier en cause, je doute qu'il soit possible de le supprimer sous une session windows.
le PC fonctionne sans problème, TCPview ne signale pas de connexion suspecte a priori, mais ... savoir le mal dans le disque n'est pas confortable.
Chapitre 3: un vent de panique.
Je me trouve donc face à un fichier qui lance des processus même en sans échec, et qu'il me faut pourtant virer. J'essaie et ligne de commande sans échec: impossible bien sur.
Aucune envie de tout réinstaller, malgré mes sauvegardes un peu partout, c'est un constat d'échec, et puis... pas trop de temps. C'est ma 2de infection en 7 années, je vais pas baisser les bras...
Chapitre 4 : le bout du tunnel
En fait, la solution viendra d'un forumiste qui me suggérera d'utiliser soit la console de récup, soit un liveCD linux (les versions récentes permettant d'écrire sur une partition NTFS, semble t il)
N'ayant pas sous la main de live CD à jour, (mon dernier kaella a un an), je tente le coup de la console. Jamais fait, pas bien rassuré, mais bon... On y va...
sous c:winnt, commandes cd system32 del ssqppno.dll
Pas de message d'erreur. Un dir ss*.dll montre qu'il n'y a rien. Ca a duré 5 mn.
Reboot, un coup d'hijackthis, les lignes " O2 - BHO: (no name) - {F4002052-AB29-4B33-8C8D-0E99084564EC} - I:WINNT system32ssqppno.dll " et " O20 - Winlogon Notify: ssqppno - I:WINNT SYSTEM32ssqppno.dll " sont toujours là mais " file missing ". Je les fixe, et c'est bon. Adaware et spybot nettoyent le BHO installé, et jusqu'à maintenant, rien n'est revenu. Je croise les doigts, mais il ne semble pas que cette cochonceté n'installe d'autres fichiers, donc je pense être libéré.
Conclusion: 1- Ca m'a servi de leçon, et si ça peut servir à d'autres.... 2- une claque dans la g.... ça fait parfois du bien !! 3- un pare feu bien paramétré est VITAL 4- reste à savoir pourquoi kaspersky, pourtant réputé bon antivirus, n'a rien dit... Je poserai la question à l'éditeur.
A votre disposition pour des précision éventuelles, et encore merci à ceux qui m'ont aidé.
