Valutazione 4.87/ 5 (100.00%) 5838 voti

Condividi:        

Cancellare lo spyware SE.DLL e la sua Trusted Zone

Come rimuovere virus e spyware? Le carte di credito sono davvero sicure in rete? È possibile navigare anonimi? Con quali programmi tutelare la propria privacy? Come proteggere i file importanti? Se volete una risposta a queste e altre domande questo è il luogo giusto!

Moderatori: kadosh, Luke57

Postdi Kenny » 14/02/05 20:42

Ok grazie adesso provo... :undecided:

Se mi vedete tornare significa che non ho fatto danni! :D
Incrociate le dita please! 8)
Kenny
Utente Senior
 
Post: 233
Iscritto il: 28/01/05 01:44

Sponsor
 

Postdi Dylan666 » 14/02/05 20:49

1) Quindi a un certo punti riesci a non avere chiavi che avviino il file e ad eliminarlo?

2) Cioè si ricreano sia chiave sia file cancellati?

3) Ma che altra DLL c'è oltre SE.DLL da cancellare?

4) sai cosa sia C:\PROGRAMMI\ARCHIVE\ARCHIVE.EXE ?
Avatar utente
Dylan666
Moderatore
 
Post: 38040
Iscritto il: 18/11/03 16:46

Postdi ^TaRa^ » 14/02/05 20:58

1) Quindi a un certo punti riesci a non avere chiavi che avviino il file e ad eliminarlo?



2) Cioè si ricreano sia chiave sia file cancellati?

Si ricreano le chiavi e se.dll più un'altra dll che ogni volta ha un nome diverso (vedi domanda successiva)

3) Ma che altra DLL c'è oltre SE.DLL da cancellare?

C'è un'altra DLL in Windows/System che si installa contemporaneamente a SE.DLL e ogni volta ha un nome diverso

4) sai cosa sia C:\PROGRAMMI\ARCHIVE\ARCHIVE.EXE?

mmm no


[/quote]
Il primo sito italiano sugli Evanescence!! http://amylee.altervista.org
^TaRa^
Utente Junior
 
Post: 42
Iscritto il: 04/07/03 21:30

Postdi Dylan666 » 14/02/05 21:02

^TaRa^ ha scritto:
4) sai cosa sia C:\PROGRAMMI\ARCHIVE\ARCHIVE.EXE?

mmm no


Mi sa che ci siamo:
http://forum.misec.net/board/Malware/1102938445
Avatar utente
Dylan666
Moderatore
 
Post: 38040
Iscritto il: 18/11/03 16:46

Postdi ^TaRa^ » 14/02/05 21:07

mmm ma io non ho C:\PROGRAMMI\ARCHIVE\ARCHIVE.EXE
nè questa cartella nè questo file :°
Il primo sito italiano sugli Evanescence!! http://amylee.altervista.org
^TaRa^
Utente Junior
 
Post: 42
Iscritto il: 04/07/03 21:30

Postdi Dylan666 » 14/02/05 21:11

Occhio, io mi riferivo a LOG di Kenny ;)
Avatar utente
Dylan666
Moderatore
 
Post: 38040
Iscritto il: 18/11/03 16:46

Postdi ^TaRa^ » 14/02/05 21:18

O2 - BHO: (no name) - {6119CB68-B2E8-499D-8929-EDA2B6D6784D} - C:\WINDOWS\SYSTEM\IIECJC.DLL

O16 - DPF: {11260943-421B-11D0-8EAC-0000C07D88CF} (iPIX ActiveX Control) - http://www.ipix.com/download/ipixx.cab

O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/2833bce8d76b30e343 ... 601_it.cab

Meno sospetti, ma da controllare, sono pure questi:

O4 - HKLM\..\Run: [Vstop] C:\PROGRA~3\PROTEC~1\Vstop.exe

O4 - HKLM\..\Run: [VIRIT LITE MONITOR] C:\VEXPLITE\MONLITE.EXE

O4 - HKLM\..\Run: [Symantec Core LC] C:\Programmi\File comuni\Symantec Shared\CCPD-LC\symlcsvc.exe start

O4 - Startup: EPSON Status Monitor 3 Environment Check.lnk = C:\WINDOWS\SYSTEM\E_SRCV03.EXE



C:\WINDOWS\SYSTEM\IIECJC.DLL
questa è l'altra DLL che si installa (ogni volta con un nome diverso) e che io ogni volta elimino

O16 - DPF: {11260943-421B-11D0-8EAC-0000C07D88CF} (iPIX ActiveX Control) - http://www.ipix.com/download/ipixx.cab mi riindirizza a un sito che non conosco quindi eliminerò

O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/2833bce8d76b30e343 ... 601_it.cab
mi rindirizza al sito di realplayer quindi non so se vada cancellato

Gli altri sono due antivirus e il file della stampante spero O.o
Il primo sito italiano sugli Evanescence!! http://amylee.altervista.org
^TaRa^
Utente Junior
 
Post: 42
Iscritto il: 04/07/03 21:30

Postdi Dylan666 » 14/02/05 21:24

Leva il cab e il resto per capire se li ricreava lui.

Io però questo zig-zag non lo capisco: la parte che riporti del mio discorso è presa da un'altro topic, non ti avevo detto che avremmo discusso qui solo la parte in comunue con questa discussione, riguardante SE.DLL?

A questo punto chiudo il thread dove avevamo iniziato specificando che dal tuo log (che trascrivo) erano emerse similitudini con questo caso per la presenza della DLL sopra citata:

Scan saved at 19.53.42, on 14/02/2005
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\SSDPSRV.EXE
C:\WINDOWS\SYSTEM\ATI2EVXX.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\PROGRAMMI\FILE COMUNI\SYMANTEC SHARED\CCSETMGR.EXE
C:\PROGRAMMI\FILE COMUNI\SYMANTEC SHARED\CCEVTMGR.EXE
C:\PROGRAMMI\NORTON ANTIVIRUS\IWP\NPFMNTOR.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\WINDOWS\EXPLORER.EXE
C:\OPLIMIT\OCRAWARE.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\ATIPTAXX.EXE
C:\WINDOWS\LOADQM.EXE
C:\PROGRAMMI\FILE COMUNI\REAL\UPDATE_OB\REALSCHED.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMMI\FILE COMUNI\SYMANTEC SHARED\CCPD-LC\SYMLCSVC.EXE
C:\PROGRAMMI\FILE COMUNI\SYMANTEC SHARED\CCAPP.EXE
C:\PROGRAMMI\MICROSOFT OFFICE\OFFICE\OSA.EXE
C:\PROGRAMMI\FILE COMUNI\SYMANTEC SHARED\SNDSRVC.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\RUNDLL32.EXE
C:\PROGRAMMI\WINZIP\WINZIP32.EXE
C:\WINDOWS\TEMP\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\se.dll/sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\se.dll/sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
F1 - win.ini: load=C:\OPLIMIT\ocraware.exe
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMMI\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar1.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O2 - BHO: (no name) - {6119CB68-B2E8-499D-8929-EDA2B6D6784D} - C:\WINDOWS\SYSTEM\IIECJC.DLL
O3 - Toolbar: @msdxmLC.dll,-1@1040,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar1.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [AtiCwd32] Aticwd32.exe
O4 - HKLM\..\Run: [AtiQiPcl] AtiQiPcl.exe
O4 - HKLM\..\Run: [AtiPTA] Atiptaxx.exe
O4 - HKLM\..\Run: [Creative WebCam Tray] C:\Programmi\Creative\WebCam Go Control\CAMTRAY.EXE
O4 - HKLM\..\Run: [Register MediaRing Talk] C:\Programmi\MediaRing Talk\register.exe
O4 - HKLM\..\Run: [Vstop] C:\PROGRA~3\PROTEC~1\Vstop.exe
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [MCAgentExe] C:\program files\mcafee.com\Agent\mcagent.exe
O4 - HKLM\..\Run: [MCUpdateExe] C:\program files\mcafee.com\Agent\mcupdate.exe /embedding
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [WinampAgent] "C:\Programmi\Winamp3\winampa.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime
O4 - HKLM\..\Run: [VIRIT LITE MONITOR] C:\VEXPLITE\MONLITE.EXE
O4 - HKLM\..\Run: [Symantec Core LC] C:\Programmi\File comuni\Symantec Shared\CCPD-LC\symlcsvc.exe start
O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMON.EXE
O4 - HKLM\..\Run: [MSConfigReminder] C:\WINDOWS\SYSTEM\msconfig.exe /reminder
O4 - HKLM\..\Run: [sp] rundll32 C:\WINDOWS\TEMP\SE.DLL,DllInstall
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKLM\..\RunServices: [ATIPOLAB] ati2evxx.exe
O4 - HKLM\..\RunServices: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\RunServices: [nisserv] C:\Programmi\Norton Personal Firewall\NISSERV.EXE
O4 - HKLM\..\RunServices: [ccSetMgr] "C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe"
O4 - HKLM\..\RunServices: [ccEvtMgr] "C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe"
O4 - HKLM\..\RunServices: [NPFMonitor] C:\Programmi\Norton AntiVirus\IWP\NPFMntor.exe
O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Programmi\File comuni\Symantec Shared\Script Blocking\SBServ.exe" -reg
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\MSN Messenger\MsnMsgr.Exe" /background
O4 - Startup: Avvio Office.lnk = C:\Programmi\Microsoft Office\Office\OSA.EXE
O4 - Startup: EPSON Status Monitor 3 Environment Check.lnk = C:\WINDOWS\SYSTEM\E_SRCV03.EXE
O8 - Extra context menu item: &Google Search - res://C:\PROGRAMMI\GOOGLE\GOOGLETOOLBAR1.DLL/cmsearch.html
O8 - Extra context menu item: Versione cache della pagina - res://C:\PROGRAMMI\GOOGLE\GOOGLETOOLBAR1.DLL/cmcache.html
O8 - Extra context menu item: Pagine simili - res://C:\PROGRAMMI\GOOGLE\GOOGLETOOLBAR1.DLL/cmsimilar.html
O8 - Extra context menu item: Collegamenti a ritroso - res://C:\PROGRAMMI\GOOGLE\GOOGLETOOLBAR1.DLL/cmbacklinks.html
O9 - Extra button: Real.com (HKLM)
O9 - Extra button: Yahoo! Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Yahoo! Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/pub/sh ... wflash.cab
O16 - DPF: {11260943-421B-11D0-8EAC-0000C07D88CF} (iPIX ActiveX Control) - http://www.ipix.com/download/ipixx.cab
O16 - DPF: {C3DFA998-A486-11D4-AA25-00C04F72DAEB} (MSN Photo Upload Tool) - http://sc.groups.msn.com/controls/PhotoUC/MsnPUpld.cab
O16 - DPF: {597C45C2-2D39-11D5-8D53-0050048383FE} (OPUCatalog Class) - http://office.microsoft.com/ProductUpda ... t/opuc.cab
O16 - DPF: {0C568603-D79D-11D2-87A7-00C04FF158BB} (BrowseFolderPopup Class) - http://download.mcafee.com/molbin/Shared/MGBrwFld.cab
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {1A4DA620-6217-11CF-BE62-0080C72EDD2D} (MarqueeCtl Object) - http://activex.microsoft.com/activex/co ... arquee.cab
O16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} (Yahoo! Audio Conferencing) - http://us.chat1.yimg.com/us.yimg.com/i/ ... acscom.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shoc ... tor/sw.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Me ... Client.cab
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/2833bce8d76b30e343 ... 601_it.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/So ... owdown.cab
O16 - DPF: {560F0128-CF3D-4368-BEE9-326FBC3270E1} (PhotosCtrlIT Class) - http://it.photos.groups.yahoo.com/ocx/i ... r1_9it.cab
O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://download.yahoo.com/dl/installs/yinst0401.cab
O16 - DPF: {F04A8AE2-A59D-11D2-8792-00C04F8EF29D} (Hotmail Attachments Control) - http://by13fd.bay13.hotmail.msn.com/act ... Atchmt.ocx
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/ ... mv9VCM.CAB
O16 - DPF: Yahoo! Chat - http://us.chat1.yimg.com/us.yimg.com/i/ ... 1/chat.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMe ... loader.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/C ... 3750115741
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 192.168.0.1


Quindi continuiamo solo qui per evitare altra confusioni tra cose dette in un topic o in un'altro
Ultima modifica di Dylan666 su 14/02/05 21:31, modificato 3 volte in totale.
Avatar utente
Dylan666
Moderatore
 
Post: 38040
Iscritto il: 18/11/03 16:46

Postdi ^TaRa^ » 14/02/05 21:30

Mha bho non so più che fare... il mio computer è rallentatissimo... Riavvio in modalità provvisoria e faccio come al solito, sennò qua esplode tutto O.o

Magari ho fortuna O.o

Grazie comunque ^^
Il primo sito italiano sugli Evanescence!! http://amylee.altervista.org
^TaRa^
Utente Junior
 
Post: 42
Iscritto il: 04/07/03 21:30

Postdi Dylan666 » 14/02/05 21:34

In che senso non sai che fare? :eeh:
Elimina SE.DLL, IIECJC.DLL e il file cab e vedi se riappaiono
Avatar utente
Dylan666
Moderatore
 
Post: 38040
Iscritto il: 18/11/03 16:46

Postdi Kenny » 14/02/05 23:30

SALVE :D


Allora ho fatto tutto più o meno come ha fatto ^TaRa^.
Sono riuscito ad eliminare tutto...poi ho fatto ripartire spybot quando ancora ero in modalità provvisoria e mi dava tre cose infette. Cose che avevo lencato all'inizio, un webdialer ecc ecc.
Sono andato in regedit e li ho leiminati. Ho riavviato spybot sempre in modalità provvisoria e senza aver fatto riavvioare il pc. Mi ha dato l'ok tutto il pc era a posto.
Spengo, acceendo in modalità normale faccio ripartire spybot e mi ridà un'altra volta quel webdialer che sarebe trust zone credo. Lo elimino nuovamente dalla cartella in HKU (mi sembra) ma questa volta credo che fosse su una cartella diversa, prima si chiamava zone dopo zone (con un altro nome che non ricordo). il file segnalato da spybot in realtà non c'era o meglio era 1004(con qualche lettera attaccata) ma il file che vedevo io era solo 1004 senza lettere. Io comunque ho eliminato sempre tutte le cartelle contenute in zone :D .
Adesso ho fatto ripartire spybot all'avvio si windows e mi ha dato l'ok. Stiamo a vedere quando rifarò l'avvia...
Comunque grazie a tutti in particolare a Dylan.

P.S. Quando avvio windows mi appare questo messaggio: Attualmente viene utilizzata la funzione avvio selettivo
per la risoluzione dei problemi.

Devo ritornare in esegui e digitare msconfig per riselezionare qualcosa che avevo deselezionato? Mi sembra sp... :roll:
Kenny
Utente Senior
 
Post: 233
Iscritto il: 28/01/05 01:44

Postdi Kenny » 15/02/05 02:09

Ancora non ho spento il poc da quando ho scritto l'ultimo topic e proprio adesso mentre aprivo un email che mi è arrivata si è dinuovo apetra quella pagina e si è messa al posto di quella dell'email...cioè adesso appena apro per leggere l'email cè sempre lei...quindi mi sa che non ho tolto un bel niente! :evil: :cry:
Kenny
Utente Senior
 
Post: 233
Iscritto il: 28/01/05 01:44

avvio selettivo di MSCONFI che crea l'avviso

Postdi Dylan666 » 15/02/05 03:13

3 cose:

1) posta sempre il log: bisogna vedere cosa si è rigenerato e cosa potrebbe ricrearlo

2) ma perché usi spybot se poi le chiavi le levi a mano? Quel programma è HijachThis servono proprio per evitare di mettere mano al registro, e creano gli opportuni backup per annullare le modifiche

3) spiegazione dell'avviso avvio selettivo
Avatar utente
Dylan666
Moderatore
 
Post: 38040
Iscritto il: 18/11/03 16:46

Re: avvio selettivo di MSCONFI che crea l'avviso

Postdi Kenny » 15/02/05 03:29

Dylan666 ha scritto:3 cose:

1) posta sempre il log: bisogna vedere cosa si è rigenerato e cosa potrebbe ricrearlo

2) ma perché usi spybot se poi le chiavi le levi a mano? Quel programma è HijachThis servono proprio per evitare di mettere mano al registro, e creano gli opportuni backup per annullare le modifiche

3) spiegazione dell'avviso avvio selettivo


Anche te nottambulo?! :D
Ok ho capito per l'avvio selettivo...basta rimettere tutto com'er!

Allora uso spybot e poi faccio tutto manualmete perchè spybot non mi leva niente! Se cerco di corregere il file con spybot e subito dopo averlo corretto scanziono il pc con spybot, mi ritrovo il file infettato ancora presente...me lo risegnala. allora vedo dove si trova e lo elimino...cos'ì ho fatto e mi ha dato l'ok...cioè non c'era più...ora ti posto un log fatto in modalità provvisoria ma sinceramnet non ricordo più se lho fatto qundo spybot aveva dato l'ok!

Logfile of HijackThis v1.99.0
Scan saved at 21.20.42, on 14/02/2005
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v5.50 (5.50.4134.0100)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\WINDOWS\NOTEPAD.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\HIJACKTHIS\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.it
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [NAV DefAlert] C:\PROGRA~1\NORTON~1\DEFALERT.EXE
O4 - HKLM\..\Run: [Norton Auto-Protect] C:\PROGRA~1\NORTON~1\NAVAPW32.EXE /LOADQUIET
O4 - HKLM\..\Run: [CnxTrApp] rundll32.exe C:\WINDOWS\Pirelli.USB\CnxTrApp.dll,AppEntryA -REG "Pirelli\Access Gateway USB"
O4 - HKLM\..\Run: [WinampAgent] "C:\PROGRAMMI\WINAMP\WINAMPa.exe"
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [Archive] C:\Programmi\Archive\archive.exe
O4 - HKLM\..\Run: [CamMonitor] C:\Programmi\Hewlett-Packard\Digital Imaging\\Unload\hpqcmon.exe
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programmi\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime
O4 - HKLM\..\Run: [MSConfigReminder] C:\WINDOWS\SYSTEM\msconfig.exe /reminder
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKLM\..\RunServices: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKCU\..\Run: [msnmsgr] "C:\PROGRAMMI\MSN MESSENGER\MSNMSGR.EXE" /background
O4 - Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O15 - Trusted Zone: *.windupdates.com
O15 - Trusted Zone: *.searchmiracle.com
O15 - Trusted Zone: *.searchbarcash.com
O15 - Trusted Zone: *.skoobidoo.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.flingstone.com
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.clickspring.net
O15 - Trusted Zone: *.ysbweb.com
O15 - Trusted Zone: *.slotchbar.com
O15 - Trusted Zone: *.windupdates.com (HKLM)
O15 - Trusted Zone: *.searchbarcash.com (HKLM)
O15 - Trusted Zone: *.searchmiracle.com (HKLM)
O15 - Trusted Zone: *.skoobidoo.com (HKLM)
O15 - Trusted Zone: *.my-internet.info (HKLM)
O15 - Trusted Zone: *.flingstone.com (HKLM)
O15 - Trusted Zone: *.mt-download.com (HKLM)
O15 - Trusted Zone: *.clickspring.net (HKLM)
O15 - Trusted Zone: *.ysbweb.com (HKLM)
O15 - Trusted Zone: *.slotchbar.com (HKLM)
O15 - Trusted IP range: 67.19.185.246
O15 - Trusted IP range: 67.19.185.246 (HKLM)
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnme ... loader.cab
Kenny
Utente Senior
 
Post: 233
Iscritto il: 28/01/05 01:44

Postdi Kenny » 15/02/05 03:38

Guarda cosa ho trovato rigurado al Archive.exe
in fondo alla pagina dice che è un trojan ecc ecc
http://securityresponse.symantec.com/av ... uie.a.html

Dovrei quindi eliminarlo...cosa che non ho fatto prima!
Domani ci rirpovo! 8)
Kenny
Utente Senior
 
Post: 233
Iscritto il: 28/01/05 01:44

Postdi Dylan666 » 15/02/05 03:42

Io te lo avevo già segnalato, te ne eri accorto?


Dylan666 ha scritto:1) Quindi a un certo punti riesci a non avere chiavi che avviino il file e ad eliminarlo?

2) Cioè si ricreano sia chiave sia file cancellati?

3) Ma che altra DLL c'è oltre SE.DLL da cancellare?

4) sai cosa sia C:\PROGRAMMI\ARCHIVE\ARCHIVE.EXE ?



Dylan666 ha scritto:
^TaRa^ ha scritto:
4) sai cosa sia C:\PROGRAMMI\ARCHIVE\ARCHIVE.EXE?

mmm no


Mi sa che ci siamo:
http://forum.misec.net/board/Malware/1102938445
Avatar utente
Dylan666
Moderatore
 
Post: 38040
Iscritto il: 18/11/03 16:46

Postdi Kenny » 15/02/05 11:56

Dylan666 ha scritto:Io te lo avevo già segnalato, te ne eri accorto?


Dylan666 ha scritto:1) Quindi a un certo punti riesci a non avere chiavi che avviino il file e ad eliminarlo?

2) Cioè si ricreano sia chiave sia file cancellati?

3) Ma che altra DLL c'è oltre SE.DLL da cancellare?

4) sai cosa sia C:\PROGRAMMI\ARCHIVE\ARCHIVE.EXE ?



Dylan666 ha scritto:
^TaRa^ ha scritto:
4) sai cosa sia C:\PROGRAMMI\ARCHIVE\ARCHIVE.EXE?

mmm no


Mi sa che ci siamo:
http://forum.misec.net/board/Malware/1102938445


Si è per questo che lho cercata ma non mi ero accorto del link! ora leggo!
grazie!
Kenny
Utente Senior
 
Post: 233
Iscritto il: 28/01/05 01:44

Postdi Kenny » 15/02/05 13:59

Bene...la cosa sembra peggiorata!
Ho cercato di eliminare se.dll e archive.exe con HT.
Archive l'ho eliminato ma se.dll non ci riesco più...ritorna sempre.
Se lho faccio manualmente mi dice che è usata e non posso eliminarla.
Allora sono riandato su esegui e noto che sp era selezionato ma io non l'avevo selezionato l'avevo lasciato deselezionato da ieri tanto che mi appare ancora quel messaggio appena apro il pc.
lo deseleziono riavvio il pc in modalita provvisoria sempre, provo ad elimninare se.dll con HT ma exxo xhe riappare appena scanziono dopo l'eliminazione.
Guardo di nuovo su esegui e c'è un altro sp selezionato, ce ne sono due adesso, uno deselezionato uno selezionato e se lo deseleziono riappare sempre selezionato e quindi se.dll rimane sempre in uso e non posso toglierla!

devo mettere qualche log? ho quello fatto prima di eliminare archive.exe e quello fatto dopo!
Kenny
Utente Senior
 
Post: 233
Iscritto il: 28/01/05 01:44

Postdi Dylan666 » 15/02/05 14:07

Devi eliminare la voce del registro con HijackThis e poi il file sempre con il doppio riavvio in modalità provvisoria!
Avatar utente
Dylan666
Moderatore
 
Post: 38040
Iscritto il: 18/11/03 16:46

Postdi Kenny » 15/02/05 14:27

Dylan666 ha scritto:Devi eliminare la voce del registro con HijackThis e poi il file sempre con il doppio riavvio in modalità provvisoria!


Ma io con HT li elimino!!!
Kenny
Utente Senior
 
Post: 233
Iscritto il: 28/01/05 01:44

PrecedenteProssimo

Torna a Sicurezza e Privacy


Topic correlati a "Cancellare lo spyware SE.DLL e la sua Trusted Zone":


Chi c’è in linea

Visitano il forum: Nessuno e 3 ospiti