Valutazione 4.87/ 5 (100.00%) 5838 voti

Condividi:        

Cancellare lo spyware SE.DLL e la sua Trusted Zone

Come rimuovere virus e spyware? Le carte di credito sono davvero sicure in rete? È possibile navigare anonimi? Con quali programmi tutelare la propria privacy? Come proteggere i file importanti? Se volete una risposta a queste e altre domande questo è il luogo giusto!

Moderatori: kadosh, Luke57

Postdi Dylan666 » 01/03/05 00:11

CanePazzo ha scritto:(formatto tutto in media ogni 15gg)


Incommentabile! :eeh:
Avatar utente
Dylan666
Moderatore
 
Post: 38040
Iscritto il: 18/11/03 16:46

Sponsor
 

Postdi Kenny » 01/03/05 13:08

Weez ha scritto:... la prima volta che avevo cercato tutto l'avevo trovato ed era file cjbf.dll poi ho cancellato il file etc ed ora non mi trova più il file nè un altro file con le stesse "caratteristiche" e le 4 lettere random.dll... boh!


Prova a scrivere così:
cd c:\windows\system (oppure system32) poi
dir *.dll/o:d

Comunque cambia la grandezza del file, le prime volte erano tutte con quella grandezza, poi mi si sono intsallate altre piu piccole ma si riconoscono soprattuttu dalla data di installazione e da nome assurdo.
Kenny
Utente Senior
 
Post: 233
Iscritto il: 28/01/05 01:44

Re: PER DYLAN !

Postdi ^TaRa^ » 01/03/05 15:58

Ho fatto quanto indicato in questo link postato da Bronzo. Mi ci è voluto un po' ma sono fiduciosa...

http://forums.maddoktor2.com/index.php?showtopic=3112&st=0
Il primo sito italiano sugli Evanescence!! http://amylee.altervista.org
^TaRa^
Utente Junior
 
Post: 42
Iscritto il: 04/07/03 21:30

Postdi Dylan666 » 01/03/05 16:01

Avevi TUTTI questi file sul tuo PC?

C:\WINDOWS\BACKGRRD.GIF
C:\WINDOWS\TEMP\SE.DLL
c:\windows\dllhlp.exe
svcnet.exe
c:\windows\tjsobpt.exe
C:\WINDOWS\SYSTEM\GHPI.DLL
Avatar utente
Dylan666
Moderatore
 
Post: 38040
Iscritto il: 18/11/03 16:46

Postdi ^TaRa^ » 01/03/05 16:13

Dunque... se.dll io non l'ho da un po' perchè ho rinominato una dll con quel nome e l'ho messa in sola lettura nella cartella TEMP.
Da quanto mi è parso di capire su quel sito il problema è dovuto a C:\WINDOWS\BACKGRRD.GIF ... Io non avevo quel file (ho appreso che infatti il nome cambia da infezione a infezione), ma un file *.tmp con la stessa estensione, che faceva le stesse cose e aveva gli stessi problemi di eliminazione... l'ho faticosamente fatto fuori...


c:\windows\dllhlp.exe
svcnet.exe
c:\windows\tjsobpt.exe
C:\WINDOWS\SYSTEM\GHPI.DLL

Questi non li ho
Il primo sito italiano sugli Evanescence!! http://amylee.altervista.org
^TaRa^
Utente Junior
 
Post: 42
Iscritto il: 04/07/03 21:30

Postdi Dylan666 » 01/03/05 16:17

^TaRa^ ha scritto:Da quanto mi è parso di capire su quel sito il problema è dovuto a C:\WINDOWS\BACKGRRD.GIF ... Io non avevo quel file (ho appreso che infatti il nome cambia da infezione a infezione), ma un file *.tmp con la stessa estensione


Hem... hai sbagliato a scrivere qualcosa... se era un TMP come faceva ad avere la stessa estenzione del GIF :eeh:
Il nome invece hai detto che non è uguale perché cambia... :undecided:

Ma allora non ho capito, hai pure tu un file chiamato BACKGRRD ma con estensione TMP oppure hai pure tu una GIF ma con nome diverso?

Spero di non aver creato ancora più confusione :P
Avatar utente
Dylan666
Moderatore
 
Post: 38040
Iscritto il: 18/11/03 16:46

Postdi ^TaRa^ » 01/03/05 16:20

Ops mi sono espressa male ^^ allora... Avevo un file *.tmp (~GLC00N0.tmp ma non credo il nome sia importante anche perchè se l'è cambiato da solo mentre tentavo di cancellarlo :evil: ) della stessa grandezza del file *.gif di cui si parla in quel sito ...
Il primo sito italiano sugli Evanescence!! http://amylee.altervista.org
^TaRa^
Utente Junior
 
Post: 42
Iscritto il: 04/07/03 21:30

Postdi Dylan666 » 01/03/05 16:27

Allora il file da stanare nella cartella WINDOWS deve avere queste caratteristiche:

Nome: BACKGRRD.GIF
Dimensione: 31,232

Il nome può variare: buona caccia ;)
Avatar utente
Dylan666
Moderatore
 
Post: 38040
Iscritto il: 18/11/03 16:46

Postdi ^TaRa^ » 01/03/05 16:32

Ah ... non è esattamente così facile... perchè non lo si trova con la funzione cerca, nè esplorando la cartella di windows... Non mi sarei accorta della sua esistenza se non usando un programma chiamato StartDreck... Ho fatto un'analisi con questo programma e sotto la voce

»RunServicesOnce

c'era

=rundll32 C:\WINDOWS\~GLC00N0.TMP,DllGetClassObject
Il primo sito italiano sugli Evanescence!! http://amylee.altervista.org
^TaRa^
Utente Junior
 
Post: 42
Iscritto il: 04/07/03 21:30

Postdi Dylan666 » 01/03/05 16:34

Non ci dire le cose col contagocce! :P

http://www.niksoft.at/download/startdreck.htm

Anzi, magari scrivi la procedura completa ;)
Avatar utente
Dylan666
Moderatore
 
Post: 38040
Iscritto il: 18/11/03 16:46

Postdi Weez » 01/03/05 16:55

Kenny ha scritto:
Weez ha scritto:... la prima volta che avevo cercato tutto l'avevo trovato ed era file cjbf.dll poi ho cancellato il file etc ed ora non mi trova più il file nè un altro file con le stesse "caratteristiche" e le 4 lettere random.dll... boh!


Prova a scrivere così:
cd c:\windows\system (oppure system32) poi
dir *.dll/o:d

Comunque cambia la grandezza del file, le prime volte erano tutte con quella grandezza, poi mi si sono intsallate altre piu piccole ma si riconoscono soprattuttu dalla data di installazione e da nome assurdo.

Grazie!!! (se aspettavo di impratichirmi con dos si faceva notte!)
a me di recenti file dll vengono fuori 2 file ma con 5 e 6 lettere molto random (adiag.dll per es.) entrambi hanno dimensione 39936
che siano questi?
Weez
Utente Junior
 
Post: 14
Iscritto il: 25/02/05 09:30

Postdi ^TaRa^ » 01/03/05 17:05

Dunque... Spero sia la soluzione definitiva...

Dopo aver fatto un'analisi con hijackthis identificate la ormai famosa *.dll infettiva nella cartella C:/WINDOWS/SYSTEM e appuntatevi il nome... Eliminate le voci sospette... Quelle riguardanti se.dll e quelle riguardanti la *.dll dal nome variabile in C:/WINDOWS/SYSTEM

Aprite poi StartDrek. Andate su config, cliccate unmark all e poi selezionate SOLO sotto la voce Registry -> Run Keys e Browser Helper Objects ... Sotto la voce System/Drivers -> Running processes ... scorrete il log che si crea fino alla voce:

>> RunServicesOnce

e controllate se qua c'è per caso scritto

=rundll32 C:\WINDOWS\~GLC00N0.TMP,DllGetClassObject

ATTENZIONE! Il file che cito qua è solo un esempio, perchè sia il nome del file sia l'estensione può essere variabile... quindi può trattarsi di una gif, come di un file tmp, come di un file ini ecc ... Fate attenzione che ci sia scritto rundll32, che il file si trovi nella cartella di WINDOWS (almeno in WinME e Win98) e che dopo il nome ci sia DllGetClassObject. Segnatevi il nome del file.

A questo punto riavviate in modalità DOS. Non aprite semplicemente il Prompt di MS-DOS perchè se darete i comandi qua saranno assolutamente INUTILI.

Per riavviare in modalità MS-DOS WinME e Win98 hanno bisogno del disco di ripristino che potrete creare andando su IMPOSTAZIONI --> PANNELLO DI CONTROLLO --> INSTALLAZIONE APPLICAZIONI --> DISCO DI RIPRISTINO ... Inserite un floppy e fate crea disco.
Riavviate il computer e riconoscerà la presenza del floppy. Appare una schermata, selezionate AVVIA CON CD-ROM (o qualcosa del genere)... Dopo un po' di lavoro vi porterà al DOS.
Come unità vi mostrerà A: ... Quindi voi digitate C:\

Ora siete in

C:\

digitate cd windows

C:\WINDOWS

cd TEMP

C:\WINDOWS\TEMP

e scrivete del se.dll

poi scrivete cd windows

C:\WINDOWS

cd system

C:\WINDOWS\SYSTEM

e scrivete del e il nome della dll incriminata

quindi cd windows

C:\WINDOWS

e scrivete -s -h -r ~GLC00N0.TMP (sostituite ovviamente a questo il nome del vostro file individuato con StartDreck)

Il computer sembrerà impassibile e vi riporterà a

C:\WINDOWS

scrivete ora del ~GLC00N0.TMP (sostituite ovviamente a questo il nome del vostro file individuato con StartDreck)

Ancora impassibilità...

C:\WINDOWS

a questo punto rifate -s -h -r ~GLC00N0.TMP (sostituite ovviamente a questo il nome del vostro file individuato con StartDreck)
E vi dovrebbe segnalare che il file non è stato trovato o non è esistente.
Per maggiori conferme fate anche
del ~GLC00N0.TMP (sostituite ovviamente a questo il nome del vostro file individuato con StartDreck)
E vi dovrebbe dire che il file non è stato trovato o non è esistente.

Se è così avviate Windows e all'apertura vi apparirà una finestra di errore di RUNDLL32 che segnala un errore nel caricare il file che avete cancellato in quanto questo è stato cancellato! Yeah... Tale finestra compare solo al primo avvio di Windows dopo l'operazione...

Avviate CWSHREDDER e fategli fare la pulizia, aprite StartDreck e controllate che la voce sospetta sia stata effettivamente eliminata, fate una scansione con AD-AWARE SE ed eliminate tutte le voci riferite a CoolWebSearch e usando about:buster ripristinate le impostazioni normali di Internet Explorer ... Fate uno scan con HijackThis e controllate che sia tutto a posto...

A questo punto il problema dovrebbe essere davvero eliminato... Credo... Spero :roll:
Il primo sito italiano sugli Evanescence!! http://amylee.altervista.org
^TaRa^
Utente Junior
 
Post: 42
Iscritto il: 04/07/03 21:30

Postdi ^TaRa^ » 01/03/05 17:06

Grazie!!! (se aspettavo di impratichirmi con dos si faceva notte!)
a me di recenti file dll vengono fuori 2 file ma con 5 e 6 lettere molto random (adiag.dll per es.) entrambi hanno dimensione 39936
che siano questi?


Credo proprio di sì
Il primo sito italiano sugli Evanescence!! http://amylee.altervista.org
^TaRa^
Utente Junior
 
Post: 42
Iscritto il: 04/07/03 21:30

Postdi Weez » 01/03/05 17:23

Dylan666 ha scritto:Allora il file da stanare nella cartella WINDOWS deve avere queste caratteristiche:

Nome: BACKGRRD.GIF
Dimensione: 31,232

Il nome può variare: buona caccia ;)


io di quella dimensione ho questo msdfmtp.ini
nemmeno .gif!
usando startdreck mi viene infatti questa strana riga:
**jhux=rundll32 C:\WINDOWS\MSDFMTP.INI,DllGetClassObject
Weez
Utente Junior
 
Post: 14
Iscritto il: 25/02/05 09:30

Postdi Weez » 01/03/05 17:27

...devo cancellare quel file .INI???
Weez
Utente Junior
 
Post: 14
Iscritto il: 25/02/05 09:30

Postdi Weez » 01/03/05 17:37

^TaRa^ ha scritto:
Per riavviare in modalità MS-DOS WinME e Win98 hanno bisogno del disco di ripristino che potrete creare andando su IMPOSTAZIONI --> PANNELLO DI CONTROLLO --> INSTALLAZIONE APPLICAZIONI --> DISCO DI RIPRISTINO ... Inserite un floppy e fate crea disco.

già qua mi blocca dicendo che devo inserire non so quale cd rom! sigh!
Weez
Utente Junior
 
Post: 14
Iscritto il: 25/02/05 09:30

Postdi ^TaRa^ » 01/03/05 17:47

Prova a cancellarlo senza fare tutto quel giro... Non dovresti riuscirci ma tentar non nuoce! Che Sistema Operativo usi?
Il primo sito italiano sugli Evanescence!! http://amylee.altervista.org
^TaRa^
Utente Junior
 
Post: 42
Iscritto il: 04/07/03 21:30

Postdi Weez » 02/03/05 11:17

fatto!
Della tua procedura ho saltato le storie dei file dll perkè non trovava.
Mo speriamo che sia tutto apposto e che i problemi non si ripresentino! 8)
Weez
Utente Junior
 
Post: 14
Iscritto il: 25/02/05 09:30

Vi prego aiutatemi :(!

Postdi LIF » 02/03/05 13:45

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\ATI2EVXX.EXE
C:\PROGRAMMI\FILE COMUNI\SYMANTEC SHARED\CCEVTMGR.EXE
C:\PROGRAMMI\NORTON INTERNET SECURITY\NISUM.EXE
C:\PROGRAMMI\NORTON INTERNET SECURITY\CCPXYSVC.EXE
C:\PROGRAMMI\SYMANTEC\NORTON GHOST 2003\GHOSTSTARTSERVICE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMMI\ATI TECHNOLOGIES\ATI CONTROL PANEL\ATIPTAXX.EXE
C:\PROGRAMMI\FILE COMUNI\SYMANTEC SHARED\CCAPP.EXE
C:\PROGRAMMI\SYMANTEC\NORTON GHOST 2003\GHOSTSTARTTRAYAPP.EXE
C:\WINDOWS\RUNDLL32.EXE
C:\WINDOWS\LOADQM.EXE
C:\PROGRAMMI\FILE COMUNI\REAL\UPDATE_OB\REALSCHED.EXE
C:\PROGRAMMI\MSN MESSENGER\MSNMSGR.EXE
C:\WINDOWS\SYSTEM\2DKH3CLWZ49MYM.EXE
C:\PROGRAMMI\WIDCOMM\BLUETOOTH SOFTWARE\BTTRAY.EXE
C:\PROGRAMMI\WINZIP\WZQKPICK.EXE
C:\PROGRAMMI\HP DESKJET 710C SERIES\EREG\REMIND32.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMMI\WIDCOMM\BLUETOOTH SOFTWARE\BTSTACKSERVER.EXE
C:\PROGRAMMI\INTERNET EXPLORER\IEXPLORE.EXE
C:\PROGRAMMI\SYMANTEC\LIVEUPDATE\AUPDATE.EXE
C:\WINDOWS\DESKTOP\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://letgohome.com/hp.htm?id=31130
F1 - win.ini: run=hpfsched
O2 - BHO: (no name) - {467FAEB2-5F5B-4c81-BAE0-2A4752CA7F4E} - C:\WINDOWS\SYSTEM\11XHTV~1.DLL
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar2.dll (file missing)
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programmi\File comuni\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Programmi\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMON.EXE
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\RunServices: [ATIPOLL] ati2evxx.exe
O4 - HKLM\..\RunServices: [ATISmart] C:\WINDOWS\SYSTEM\ati2s9ag.exe
O4 - HKLM\..\RunServices: [ccEvtMgr] "C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe"
O4 - HKLM\..\RunServices: [Nisum] C:\Programmi\Norton Internet Security\NISUM.EXE
O4 - HKLM\..\RunServices: [ccPxySvc] C:\PROGRA~1\NORTON~2\CCPXYSVC.EXE
O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Programmi\File comuni\Symantec Shared\Script Blocking\SBServ.exe" -reg
O4 - HKLM\..\RunServices: [GhostStartService] C:\PROGRAMMI\SYMANTEC\NORTON GHOST 2003\GHOSTSTARTSERVICE.EXE
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] C:\WINDOWS\SYSTEM\mstask.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [romahere3] C:\WINDOWS\SYSTEM\2DKH3CLWZ49MYM.EXE
O4 - Startup: BTTray.lnk = C:\Programmi\WIDCOMM\Bluetooth Software\BTTray.exe
O4 - Startup: WinZip Quick Pick.lnk = C:\PROGRA~1\WINZIP\wzqkpick.exe
O4 - Startup: Reminder-hpc41001.lnk = C:\Programmi\HP DeskJet 710C Series\ereg\Remind32.exe
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnme ... loader.cab
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 151.99.125.2,151.99.125.3


Mi date una mano?Cosa devo togliere, spostare e/o cancellare? Grazie a tutti!
LIF
Utente Junior
 
Post: 16
Iscritto il: 02/03/05 13:43

Postdi LIF » 02/03/05 14:08

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page
E' questo? Come lo cancello? :S
LIF
Utente Junior
 
Post: 16
Iscritto il: 02/03/05 13:43

PrecedenteProssimo

Torna a Sicurezza e Privacy


Topic correlati a "Cancellare lo spyware SE.DLL e la sua Trusted Zone":


Chi c’è in linea

Visitano il forum: Nessuno e 4 ospiti