Votre question

Suppression d'un fichier récalcitrant [résolu]

Tags :
  • Internet Explorer
  • Sécurité
Dernière réponse : dans Sécurité et virus
21 Mai 2006 17:01:17

Bonjour,

mon pc a un fichier infecté que je n'arrive pas à supprimer.
Le fichier concerné est le suivant: C:\WINDOWS\System32\ssqpm.dll.

Voici mon rapport Hijackthis:

Logfile of HijackThis v1.99.1
Scan saved at 16:58:16, on 21.05.2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\ewido anti-malware\ewidoctrl.exe
C:\WINDOWS\system32\pavsrv.exe
C:\WINDOWS\System32\AVENGINE.EXE
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\Program Files\Panda Software\Panda Antivirus Titanium\APVXDWIN.EXE
C:\Zone Labs\ZoneAlarm\zlclient.exe
C:\DAEMON Tools\daemon.exe
C:\Program Files\Conexant\AccessRunner ADSL\CnxDslTb.exe
C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\WINDOWS\twain_32\A4CIS\WATCH.exe
C:\Program Files\Panda Software\Panda Antivirus Titanium\pavProxy.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.schachbund.ch/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: (no name) - {F2FA09FB-EE7A-46d8-9145-A1EEF7850052} - C:\WINDOWS\system32\ssqpm.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [PMXInit] C:\WINDOWS\System32\pmxinit.exe
O4 - HKLM\..\Run: [APVXDWIN] "C:\Program Files\Panda Software\Panda Antivirus Titanium\APVXDWIN.EXE" /s
O4 - HKLM\..\Run: [Zone Labs Client] C:\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [DAEMON Tools] "C:\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [CnxDslTaskBar] C:\Program Files\Conexant\AccessRunner ADSL\CnxDslTb.exe
O4 - HKLM\..\Run: [wnxlib] rundll32.exe C:\WINDOWS\System32\wnxlib.dll,start
O4 - Startup: Watch.lnk = C:\WINDOWS\twain_32\A4CIS\WATCH.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: &Traduire à partir de l'anglais - res://C:\Program Files\Google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Pages liées - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Recherche &Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
O12 - Plugin for .pdf: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267....
O16 - DPF: {05D44720-58E3-49E6-BDF6-D00330E511D3} (StagingUI Object) - http://zone.msn.com/binFrameWork/v10/StagingUI.cab40641...
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/english/kavwebscan_unicode...
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPACl...
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab312...
O16 - DPF: {3BB54395-5982-4788-8AF4-B5388FFDD0D8} (ZoneBuddy Class) - http://zone.msn.com/BinFrameWork/v10/ZBuddy.cab32846.ca...
O16 - DPF: {5736C456-EA94-4AAC-BB08-917ABDD035B3} (ZonePAChat Object) - http://zone.msn.com/binframework/v10/ZPAChat.cab32846.c...
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls...
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClie...
O16 - DPF: {9BDF4724-10AA-43D5-BD15-AEA0D2287303} (ZPA_TexasHoldem Object) - http://zone.msn.com/bingame/zpagames/zpa_txhe.cab43895....
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://cdn2.zone.msn.com/binFramework/v10/ZIntro.cab342...
O16 - DPF: {DA2AA6CF-5C7A-4B71-BC3B-C771BB369937} (StadiumProxy Class) - http://zone.msn.com/binframework/v10/StProxy.cab41227.c...
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown....
O17 - HKLM\System\CCS\Services\Tcpip\..\{C5240C8C-6547-4CCB-B6EA-4B9B5EB07BF0}: NameServer = 195.186.1.108 195.186.4.108
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: ssqpm - C:\WINDOWS\SYSTEM32\ssqpm.dll
O23 - Service: ewido security suite control - ewido networks - C:\ewido anti-malware\ewidoctrl.exe
O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software - C:\WINDOWS\SYSTEM32\pavsrv.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZONELABS\vsmon.exe



J'ai coché ces lignes, puis fix checked:
O2 - BHO: (no name) - {F2FA09FB-EE7A-46d8-9145-A1EEF7850052} - C:\WINDOWS\system32\ssqpm.dll
O20 - Winlogon Notify: ssqpm - C:\WINDOWS\SYSTEM32\ssqpm.dll


mais le problème est que ces lignes réapparaissent à chaque nouveau scan de HJT.

J'ai besoin de votre aide afin de supprimer le fichier ssqpm.dll.

Merci d'avance.

Autres pages sur : suppression fichier recalcitrant resolu

21 Mai 2006 17:13:19

deja tu peux supprimer ces lignes:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.schachbund.ch/

Je pense que tu peux faire une suppression avec la killbox mais attend confirmation avant de le faire.

Télécharge: Pocket Killbox ici
http://www.downloads.subratam.org/KillBox.exe

Double clic sur killbox.exe (Pocket Killbox)

- coche: delete on reboot
- Dans "Full Path of File to Delete"
copie et colle:

C:\WINDOWS\System32\ssqpm.dll

- clique sur la croix rouge
- une fenêtre va apparaître pour confirmation clique sur YES
- une seconde fenêtre te demande si tu veux redémarrer clique sur YES

Laisse le pc redémarrer.
Et après reposte un log HijackThis.
Contenus similaires
21 Mai 2006 17:39:45

Bonjour,

Wahouu ca faisait bien longtemps que je n'avais vu une infection de type Vundo.

Pour Rocket_270 une infection Vundo se repere toujours comme sa il y a la ligne 020 qui est associée à la 02

Exemple pour ici :

O20 - Winlogon Notify: ssqpm - C:\WINDOWS\SYSTEM32\ssqpm.dll

O2 - BHO: (no name) - {F2FA09FB-EE7A-46d8-9145-A1EEF7850052} - C:\WINDOWS\system32\ssqpm.dll

Pour XeXe procede comme suis :

1/ Télécharge VundoFix.exe (par Atribune) sur ton Bureau.
>Double-clique VundoFix.exe afin de le lancer.
>Clique sur le bouton Scan for Vundo.
>Lorsque le scan est complété, clique sur le bouton Remove Vundo.
>Une invite te demandera si tu veux supprimer les fichiers, clique YES
>Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers.
>Tu verras une invite qui t'annonce que ton PC va s'éteindre ("shutdown"); clique OK
>Démarre ton PC à nouveau.
>Copie/colle le contenu du rapport situé dans C:\vundofix.txt dans ta prochaine réponse.

2/ Télécharge, installe et mets à jour ewido
Pendant l'installation, sur la page "Additional Options" décoche les deux options "Install background guard" et "Install scan via context menu".

http://www.infos-du-net.com/telecharger/Ewido-Security-...

Redémarre en mode sans échec (Pour cela : démarrer le PC en tapotant sur la touche F8 du clavier jusqu'à ce que le menu des options avancées de Windows apparaisse puis avec les touches fléchées du clavier, sélectionner Mode sans échec puis appuyer sur la touche Entrée...)
Attention tu n'as pas accès à Internet dans ce mode donc note ou imprime les consignes qui suivent.

Lance ewido (Scan complet du système) et supprime tout ce qu'il trouve. Sauvegarde le rapport sur le bureau.

Redémarre normalement et poste le rapport d'ewido ainsi qu’un nouveau Log HijackThis
21 Mai 2006 17:49:36

je te remercie de m expliquer bob
21 Mai 2006 20:14:14

Merci pour vos réponses.

@bob: j'ai lancé VundoFix.exe, et apparemment, ca n'a pas marché:


VundoFix V4.2.74

Checking Java version...

Java version is 1.5.0.3

Java version is 1.5.0.6

Scan started at 19:59:36 21.05.2006

Listing files found while scanning....

C:\WINDOWS\system32\ssqpm.dll

Attempting to delete C:\WINDOWS\system32\ssqpm.dll
C:\WINDOWS\system32\ssqpm.dll Could not be deleted.

Performing Repairs to the registry.
Done!


D'ailleurs, on peut voir 2 versions de java, si vous pouviez me dire comment règler ce problème ce serait vraiment cool :) .

@rocket: http://www.schachbund.ch/ a été volontairement choisi comme page d'accueil, ce n'est pas un site indésirable ;-) .

@darkdevil: J'ai déjà essayé, mais ca n'a pas marché (quand j'essaie de tout débloquer, explorer rencontre un problème et doit fermer).

Le rapport d'ewido va bientôt arriver, mais j'en ai déjà fait un récemment, et nettoyé les infections.

:hello: 

EDIT: Non en fait ssqpm.dll à été effacé avec succès par Ewido. De plus, il n'y a plus les lignes de type Vundo dans le log hijackthis.

Voici le rapport d'ewido:
---------------------------------------------------------
ewido anti-malware - Rapport de scan
---------------------------------------------------------

+ Créé le: 20:43:22, 21.05.2006
+ Somme de contrôle: A32D18B9

+ Résultats du scan:

C:\WINDOWS\system32\ssqpm.dll -> Adware.Virtumonde : Nettoyer et sauvegarder
C:\Documents and Settings\Anh\Cookies\anh@tribalfusion[1].txt -> TrackingCookie.Tribalfusion : Nettoyer et sauvegarder
C:\Documents and Settings\Anh\Cookies\anh@trafficmp[1].txt -> TrackingCookie.Trafficmp : Nettoyer et sauvegarder
C:\Documents and Settings\Anh\Cookies\anh@bluestreak[1].txt -> TrackingCookie.Bluestreak : Nettoyer et sauvegarder
C:\Documents and Settings\Anh\Cookies\anh@ad.yieldmanager[2].txt -> TrackingCookie.Yieldmanager : Nettoyer et sauvegarder
C:\Documents and Settings\Anh\Cookies\anh@msnportal.112.2o7[1].txt -> TrackingCookie.2o7 : Nettoyer et sauvegarder
C:\Documents and Settings\Anh\Cookies\anh@as-eu.falkag[1].txt -> TrackingCookie.Falkag : Nettoyer et sauvegarder
C:\Documents and Settings\Anh\Cookies\anh@www.myaffiliateprogram[2].txt -> TrackingCookie.Myaffiliateprogram : Nettoyer et sauvegarder
C:\Documents and Settings\Anh\Cookies\anh@weborama[2].txt -> TrackingCookie.Weborama : Nettoyer et sauvegarder
C:\Documents and Settings\Anh\Cookies\anh@www.smartadserver[2].txt -> TrackingCookie.Smartadserver : Nettoyer et sauvegarder
C:\Documents and Settings\Anh\Cookies\anh@adtech[2].txt -> TrackingCookie.Adtech : Nettoyer et sauvegarder
C:\Documents and Settings\Anh\Cookies\anh@estat[1].txt -> TrackingCookie.Estat : Nettoyer et sauvegarder
C:\Documents and Settings\Anh\Cookies\anh@casalemedia[2].txt -> TrackingCookie.Casalemedia : Nettoyer et sauvegarder
C:\hijackthis\backups\backup-20060521-153535-175.dll -> Adware.Virtumonde : Nettoyer et sauvegarder
C:\hijackthis\backups\backup-20060521-154419-665.dll -> Adware.Virtumonde : Nettoyer et sauvegarder


::Fin du rapport


Merci beaucoup. Je peux compter sur vous pour mes prochains malheurs :biggrin:.
Tom's guide dans le monde
  • Allemagne
  • Italie
  • Irlande
  • Royaume Uni
  • Etats Unis
Suivre Tom's Guide
Inscrivez-vous à la Newsletter
  • ajouter à twitter
  • ajouter à facebook
  • ajouter un flux RSS