Cancellare lo spyware SE.DLL e la sua Trusted Zone

di **marcoitalia** » 22/03/05 14:54

Bronzo ha scritto:Pare che con l'ultimo aggiornamento (di questa settimana) Norton riesca a debellare definitivamente questo "Problema". Dopo un mese e mezzo si sono attivati.

effettivamente parrebbe che Norton si dia da fare,
qui trovate tutta la rave e la fava di sto benedetto se.dll

cosa e', che fa? e come si elimina con Norton e manualmente

http://securityresponse.symantec.com/av ... age.m.html

di **Dylan666** » 30/03/05 11:52

so che la soluzione pare essere stata trovata, ma segnalo uno dei pochi link nella nostra lingua che riporta varie soluzioni specifiche per questo spyware, spiegate passo passo:

http://www.pcprimipassi.it/servizifree/ ... p?TID=1004

di **marcoitalia** » 02/04/05 11:59

volevo riprorre un problema, se interessa ancora a qualcuno, visto che il se.dll si ripresenta con regolarita che vulnerabilita' sfrutta?

di **bob20** » 02/04/05 19:07

ho scoperto che il mio problema è questo. ho letto le varie soluzioni, mi potete dire che cosa è la "modalità provvisoria" e come ci si entra? cmq,
ecco il risultato dello scan di hijackthis:

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\AVPersonal\AVGUARD.EXE
C:\Programmi\AVPersonal\AVWUPSRV.EXE
C:\Programmi\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\Programmi\Apoint2K\Apoint.exe
C:\PROGRA~1\LAUNCH~1\CPLBCL53.EXE
C:\Programmi\File comuni\Symantec Shared\ccApp.exe
C:\Programmi\QuickTime\qttask.exe
C:\Programmi\Winamp3\winampa.exe
C:\Programmi\File comuni\Real\Update_OB\realsched.exe
C:\Programmi\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\Apoint2K\Apntex.exe
C:\Programmi\WinZip\WZQKPICK.EXE
C:\WINDOWS\explorer.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Documents and Settings\Roberto\Impostazioni locali\Temp\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\Roberto\IMPOST~1\Temp\se.dll/spage.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\Roberto\IMPOST~1\Temp\se.dll/spage.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O2 - BHO: (no name) - {C72248B3-9028-435A-AC50-0CF2C650E30D} - C:\WINDOWS\System32\bcml.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [Apoint] C:\Programmi\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\CPLBCL53.EXE
O4 - HKLM\..\Run: [ccApp] C:\Programmi\File comuni\Symantec Shared\ccApp.exe
O4 - HKLM\..\Run: [ccRegVfy] C:\Programmi\File comuni\Symantec Shared\ccRegVfy.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [WinampAgent] "C:\Programmi\Winamp3\winampa.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programmi\AVPersonal\AVGNT.EXE" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programmi\WinZip\WZQKPICK.EXE
O16 - DPF: {11311111-1111-1111-1111-111111111157} - file://C:\Recycled\Q330995.exe
O18 - Filter: text/html - {725528C4-58F4-4F80-AE98-99CAF31C17D2} - C:\WINDOWS\System32\bcml.dll
O18 - Filter: text/plain - {725528C4-58F4-4F80-AE98-99CAF31C17D2} - C:\WINDOWS\System32\bcml.dll
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programmi\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programmi\AVPersonal\AVWUPSRV.EXE
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccPwdSvc.exe
O23 - Service: Servizio Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Programmi\Norton AntiVirus\navapsvc.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FILECO~1\SYMANT~1\SCRIPT~1\SBServ.exe

sapete aiutarmi? grazie (p.s io sono totalmente ignorante in materia)

di **bob20** » 02/04/05 19:16

oltre alle domande del precedente post, ve ne faccio delle altre.
è possibile sconfiggere il virus con Antivir?
attualmente navigando rischio di prendere altri virus più "pesanti"?
grazie

di **Dylan666** » 03/04/05 01:58

1) in modalità provvisoria ci si entra premendo F8 prima della prima schermata di Windows

2) non postate log, è inutile. La soluzione è già stata linkata poche pagine fa. Continuare a trascrivere decine di righe dei vostri registri non fa che dilungare un discorso ormai chiuso. Le operazioni per eliminare questo spyware sono state descritte ampiamente, basta seguirle.

di **bob20** » 03/04/05 12:18

Dylan666 ha scritto:1) in modalità provvisoria ci si entra premendo F8 prima della prima schermata di Windows

2) non postate log, è inutile. La soluzione è già stata linkata poche pagine fa. Continuare a trascrivere decine di righe dei vostri registri non fa che dilungare un discorso ormai chiuso. Le operazioni per eliminare questo spyware sono state descritte ampiamente, basta seguirle.

ok, però nelle varie soluzioni proposte ho notato che si parla di antivirus diversi dal mio. qualcuno mi sa dire se anche Antivir è attualmente in grado di debellare questo file?

di **Dylan666** » 03/04/05 13:04

Basta usare HijackThis per togliere questo spyware.

Se vuoi testare il tuo antivirus basta che lanci una scansione completa e vedi se lo trova e se lo elimina DEFINITIVAMENTE (non credo ma te lo auguro)

di **bob20** » 03/04/05 13:51

non vorrei abusare del vostro tempo e della vostra pazienza, però (come avrete capito) sono molto ignorante in materia, e, sebbene siano già state date spiegazioni valide nelle pagine precedenti, avrei ancora alcuni dubbi...

ho trovato quei vari file con HijackThis. devo cancellare quelli qui segnalati. come si fa? che tasti devo premere? la "modalità provvisoria" è simile a quella normale? da lì come si cancellano i file? come si torna poi a quella normale?
un altra cosa: qualcuno ha detto di aver trovato i seguenti file:
mb.exe
se.exe
se.dll
sp.exe
sp.html
la chiave HomeOldSp

di questi però a me alcuni non risultano dalla ricerca con HijackThis...

quando dite: ho usato il comando "trova" vi riferite a Start-->Cerca ?
io di queste cose ne so veramente 0, quindi se potete fate per favore una descrizione più semplice e "meccanica" possibile dei vari passaggi, grazie!

di **Dylan666** » 03/04/05 14:26

Con calma: all'avvio premi F8 e troverai varie scritte, una dice "modalità provvisoria". Ti sposti con le freccine della tastiera, la selezioni, premi Invio. La modalità è molto simile a quella "nomale" di windows. Solo qualche colore in meno, e qualche icona in meno vicino all'orologio. Per tornare a quella normale masta riavviare o spegne il computer dal tasto start, come faresti normalmente.

La voci da eliminare sono quelle già elencate. Se tu ne hai altre in più per ora lasciale stare. Per sapere come eliminarle con Hijack This leggi questo:

http://www.pc-facile.com/guide.php?t=148946

PS: non ho capito a quele messaggio ti riferisci, comunque se parlava di "Trova" al 90% è quello del tasto Start

di **bob20** » 03/04/05 16:07

allora:
sono entrato nella modalità provvisoria, ho usato Hijack This, ho cancellato le seguenti voci:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\Roberto\IMPOST~1\Temp\se.dll/spage.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\Roberto\IMPOST~1\Temp\se.dll/spage.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O16 - DPF: {11311111-1111-1111-1111-111111111157} - file://C:\Recycled\Q330995.exe

poi ho riavviato

il problema però si ripresenta dopo pochi istanti
ne devo cancellare altre? (la lista completa è qualche post sopra).
poi cosa devo fare? da quanto ho capito devo usare StartDrek ed entrare nel registro... :eeh:

in cosa consiste tutto ciò? dove trovo quel programma? è necessario?
ho letto poi che bisogna cancellare i files e le applicazioni legate ai files infetti: ma io se vado in Cerca-->Tutti i file e le cartelle non trovo file con riferimenti a quelli sospetti...dove sbaglio?

di **Dylan666** » 03/04/05 19:44

C'è gente che ha scritto per filo e per segno le procedure di eliminazione. Sei pregato di leggerti TUTTO il topic.

di **beatskaoi!** » 04/04/05 14:26

Prima di tutto grazie a tutti quelli che stanno partecipando a questo topic perchè altrimenti
non avrei saputo proprio come risolvere il problema.Ho risolto in questa maniera.Ho fatto partire
"SpSeHjfix111.exe" ed ho cliccato su "start disinfection".A quel punto dopo pochi secondi il pc si riavvia.Quindi ho lanciato "CWShredder" e ho cliccato su “fix”.Quindi ho svuotato il contenuto delle cartelle cookies, Temporary Internet files e TEMP ed ho riavviato.Tutte queste
operazioni le ho fatte in modalita' normale e senza disattivare il ripristino configurazione di
sistema (come si diceva in un link di qualche post fa).Infine ho fatto partire "HiJackThis" e ho tolto le chiavi di registro che avete indicato nei post precedenti.
Siccome a ogni avvio m'appariva una finestra d'errore che diceva di non trovare “se.dll”,
ho cercato nel registro di sistema tutte le chiavi che facevano riferimento a quel file (nel mio caso erano 3).Ora è tutto ok.
Grazie ancora e ciao.

di **Dylan666** » 04/04/05 14:30

Grazie per aver lasciato anche tu la tua soluzione;)

Il tool è scaricabile da qui: http://www.derbilk.de/SpSeHjfix111.zip

di **bob20** » 04/04/05 17:38

dovrei avercela fatta anch'io! voglio solo ringraziare tutti per l'indispensabile aiuto, in particolare Dylan666 e beatskaoi! (ho usato il suo metodo, solo con Ad-Aware al posto di CWShredder).

ora vorrei chiedervi una cosa: mentre ero "infettato", mi era impossibile accedere ad alcune pagine (di siti normalissimi): venivo automaticamente mandato in quella pagina iniziale "about:blank". ora che dovrei aver risolto il problema, posso tornare tranquillamente in quei siti, oppure è rischioso? specifico che gli unici programmi nuovi che (per ora) ho messo sono:
SpSeHjfix111
HiJackThis
Antivir
Ad-Aware

grazie.
p.s. nello sciagurato caso in cui il problema dovesse ripresentarsi, vi farò sapere

di **Dylan666** » 04/04/05 17:58

Non dovrebbe assolutamente essere rischio se sono sitit "tranquilli". Se invece pensi di essere stato "infettato" da uno di loro tramite qualche bug del browser o ActiveX, ormai la soluzione al problema ce l'hai, e se individui il sito malevolo ci aiuti pure a capire quale vulnerabilità sfrutta.

di **bob20** » 04/04/05 18:04

ok, grazie. a proposito, ora vorrei installare "google toolbar", serve anche per evitare problemi di questo tipo? grazie

di **Dylan666** » 04/04/05 18:08

No, serve solo a cercare su Google senza passare dal sito google.com e a faremre i pop-up

di **piercing** » 07/04/05 19:20

se continuate a voler risolvere il problema senza aggiornare il sistema operativo è e sarà sempre tutto inutile...

io ho risolto su diversi pc, con i metodi canonici... basta solo individuare i file incriminati...

l'unica procedura che mi ha creato qualche problema in più è stato lo sbloccaggio della trusted zone.

Tra l'altro come detto più e più volte, non utilizzate la java virtual machine di microsoft, bensì quella di sun che è aggiornata costantemente.

di **Dylan666** » 07/04/05 20:12

ah, hai avuto modo di accertarti che la falla sta lì? :undecided:

Interessante!

Cancellare lo spyware SE.DLL e la sua Trusted Zone

Topic correlati a "Cancellare lo spyware SE.DLL e la sua Trusted Zone":

Chi c’è in linea