Cancellare lo spyware SE.DLL e la sua Trusted Zone

[Dylan666]

Scusa ma non capisco: elimina il valore con HT in modalità provvisoria

Resetti e tenti di cancellare il file sempre in modalità provvisoria


Così la DLL risulta in uso?

[Kenny]

Si...allora apro il pc in modalità provvisori, faccio partire HT selezione le voci cje devo eliminare..se.sll clicco si fix...riavvio il pc in modalità provisoria, faccio ripartire Ht ed ecco nuovamente se.sll è amcora presente...se vado nei file tem dove c'è e cerco di eliminarla mi dice che è impossibile.

Ricordo che anche prima mi diceva che ra impossibile solo che dopo avere scritto "msconfig" in esegui ed essere andato in quel pannello e deselezionato la voce SP potevo eliminarla...almeno ieri ho fatto cosi.
Adesso in quel pannello che si apre da esegui c'è un altra voce SP, ce ne stanno due una selezionata l'altra deselezionata...anche se la deseleziono, quando riavvio è sempre selezionata e quindi se.sll mi rimane sempre utilizzata e quindi impossibile da eliminare. non so se è giusto ma credo ke sia questo il problema adesso.

[Dylan666]

A me pare veramente strano che la DLL risulti in uso e si ricrei dalla modalità provvisoria...

Comunque guarda questa pagina:
http://www.iamnotageek.com/a/395-p1.php

[Kenny]

A me pare veramente strano che la DLL risulti in uso e si ricrei dalla modalità provvisoria...

Comunque guarda questa pagina:
http://www.iamnotageek.com/a/395-p1.php

Si l'avevo letto ma non ho nulla di quelle cose che elnca...ma non ti sembra strano che si crea un altro SP? Che non so che sia tral'latro...e che non posso deselezionarlo? cioè lo deseleziono ma quando riavvio e selezionato...cè qualcosa che me lo riseleziona appena riavvio il pc...anke in modalità priovvisoria!!!

[Dylan666]

Mi posti il log di ora per favore?

[Dylan666]

Oppure fai una bella cosa e basta: scarica il Process Explorer, trova il processo che usa la DLL, uccidilo e elimina questo maledetto file. Poi togli le solite chiavi.

[Kenny]

non so se ho fatto giusto ma mi porta rundll32.exe...sarà usato da rundll?

[Dylan666]

Non ho capito molto cosa vuoi dire...
Il tuo log era:

O4 - HKLM\..\Run: [sp] rundll32 C:\WINDOWS\TEMP\SE.DLL,DllInstall

Allora rundll32 (processo normale e di sistema) avviava il file DLL. Per cancellare quest'ultimo abbiamo temporaneamente terminato il processo rundll32.
Tutto qui.

[Kenny]

Non ho capito molto cosa vuoi dire...
Il tuo log era:

O4 - HKLM\..\Run: [sp] rundll32 C:\WINDOWS\TEMP\SE.DLL,DllInstall

Allora rundll32 (processo normale e di sistema) avviava il file DLL. Per cancellare quest'ultimo abbiamo temporaneamente terminato il processo rundll32.
Tutto qui.

Ma il fatto è ke non si disabilita rundll32...non capisco piu nulla!

[Dylan666]

Non capisci perchè non leggi: ho mai scritto "disabilitare rundll32"?

No, io ho setto di terminare quel processo con il Process Explorer e di cancellare file e chiavi di SE.DLL

[Kenny]

Non capisci perchè non leggi: ho mai scritto "disabilitare rundll32"?

No, io ho setto di terminare quel processo con il Process Explorer e di cancellare file e chiavi di SE.DLL

ah scisa non avevo capito...
quindi apro questo nuovo programma termino rundll ed elimno le kiavi e tutto il resto....
ok...sempre in modaòlità provvisoria?

[Dylan666]

Dovrebbe essere lo stesso se in modalità provvisoria o no. Forse in provvisoria crei meno casini terminando quel processo.

[Bronzo]

Noto che siamo tutti nella stesa barca! se.dll ci sta facendo impazzire.
Il fatto è proprio questo, che dopo due o tre riavvii resuscita se.dll attivato sa un comando di rundll32, che prevede se.dll,DllInstall... quindi installa nuovamente se.dll. Subito dopo si attiva un'altra library con nome sempre diverso in System, e si attiva in msconfig il comando "sp". Eliminando tutto in modalità provvisoria e facendo scansioni torna tutto a posto, fino ai prossimi riavvii.

Si potrebbe provare con starup monitor?

---

[Kenny]

Eccomi qui...prima di inziare volevo ringraziarti..a quest'ora avrei dovuto formattare tutto e perdere quasi ogni cosa o mettermi a salvare tutto su cd...
Speriamo ke il problema si risolve...

allora sono riuscito ad eliminare se.dll e tutte le cose a lei allegate...
ho fatto uno scan con spybot e mi portava due cose un webdiale ke è quello ke mi crea problemi e un altra cosa che è stata eliminata con successo.

sto webdialer lo caccia faccio ripartire il programma in modalità provvisoris, anche prima era in provvisoria, e non esiste piu'.
Faccio ripartire il pc in modalità normale avvio spybort ed ecco il web dialer ancora presente. Si trova in

DSO Exploit: Data source object exploit (Modifica al registro, nothing done)
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3

che però non esiste in quella cartella...esiste 1004 ma 1004!=W=3 non cè...

posto il log di quando non mi dava questo file infetto e di quando poi me l'ha dato...


Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\HIJACKTHIS\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.it
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [NAV DefAlert] C:\PROGRA~1\NORTON~1\DEFALERT.EXE
O4 - HKLM\..\Run: [Norton Auto-Protect] C:\PROGRA~1\NORTON~1\NAVAPW32.EXE /LOADQUIET
O4 - HKLM\..\Run: [CnxTrApp] rundll32.exe C:\WINDOWS\Pirelli.USB\CnxTrApp.dll,AppEntryA -REG "Pirelli\Access Gateway USB"
O4 - HKLM\..\Run: [WinampAgent] "C:\PROGRAMMI\WINAMP\WINAMPa.exe"
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [CamMonitor] C:\Programmi\Hewlett-Packard\Digital Imaging\\Unload\hpqcmon.exe
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programmi\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime
O4 - HKLM\..\Run: [MSConfigReminder] C:\WINDOWS\SYSTEM\msconfig.exe /reminder
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKLM\..\RunServices: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\RunOnce: [SpybotSnD] "C:\PROGRAMMI\SPYBOT - SEARCH & DESTROY\SPYBOTSD.EXE" /autocheck
O4 - HKCU\..\Run: [msnmsgr] "C:\PROGRAMMI\MSN MESSENGER\MSNMSGR.EXE" /background
O4 - HKCU\..\RunServices: [msnmsgr] "C:\PROGRAMMI\MSN MESSENGER\MSNMSGR.EXE" /background
O4 - Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O15 - Trusted IP range: 67.19.185.246 (HKLM)
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnme ... loader.cab

Quella in nero mi sembra la causa...perchè se chiedo a HT cos'è mi dice che è un file di Trusted Zone e zone è la cartella in cui si trova quel file...
Posto il log dopo aver fatto il riavvio e quando mi aha rimesso quel file infetto...non so se sia diverso...

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMMI\NORTON ANTIVIRUS\NAVAPW32.EXE
C:\WINDOWS\RUNDLL32.EXE
C:\PROGRAMMI\WINAMP\WINAMPA.EXE
C:\WINDOWS\LOADQM.EXE
C:\PROGRAMMI\HEWLETT-PACKARD\DIGITAL IMAGING\UNLOAD\HPQCMON.EXE
C:\PROGRAMMI\HEWLETT-PACKARD\HP SHARE-TO-WEB\HPGS2WND.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMMI\HEWLETT-PACKARD\HP SHARE-TO-WEB\HPGS2WNF.EXE
C:\PROGRAMMI\MSN MESSENGER\MSNMSGR.EXE
C:\WINDOWS\NOTEPAD.EXE
C:\HIJACKTHIS\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.it
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [NAV DefAlert] C:\PROGRA~1\NORTON~1\DEFALERT.EXE
O4 - HKLM\..\Run: [Norton Auto-Protect] C:\PROGRA~1\NORTON~1\NAVAPW32.EXE /LOADQUIET
O4 - HKLM\..\Run: [CnxTrApp] rundll32.exe C:\WINDOWS\Pirelli.USB\CnxTrApp.dll,AppEntryA -REG "Pirelli\Access Gateway USB"
O4 - HKLM\..\Run: [WinampAgent] "C:\PROGRAMMI\WINAMP\WINAMPa.exe"
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [CamMonitor] C:\Programmi\Hewlett-Packard\Digital Imaging\\Unload\hpqcmon.exe
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programmi\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime
O4 - HKLM\..\Run: [MSConfigReminder] C:\WINDOWS\SYSTEM\msconfig.exe /reminder
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKLM\..\RunServices: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKCU\..\Run: [msnmsgr] "C:\PROGRAMMI\MSN MESSENGER\MSNMSGR.EXE" /background
O4 - Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O15 - Trusted IP range: 67.19.185.246 (HKLM)
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnme ... loader.cab

[Dylan666]

Il log di HT evidenzia (oltre al falso positivo) solo questo, che va sicuramente eliminato:

O15 - Trusted IP range: 67.19.185.246 (HKLM)

Mentre per il DSO Exploit leggi qui:
http://www.pc-facile.com/forum/viewtopi ... oit+spybot

[Dylan666]

Si potrebbe provare con starup monitor?

No, usa la soluzione del Process Explorer

[Bronzo]

Allego il mio logfile, così è possibile far una comparazione.
Devo essere sincero però, i programmi .exe che in hijackthis non vedevo (visulaizzando la sua finestra) non li ho controllati quindi non so se fra di essi vi sia il colpevole!
Mprexe.exe?

---

Logfile of HijackThis v1.99.0
Scan saved at 19.58.00, on 15/02/05
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\PROGRAMMI\FILE COMUNI\SYMANTEC SHARED\CCSETMGR.EXE
C:\PROGRAMMI\FILE COMUNI\SYMANTEC SHARED\CCEVTMGR.EXE
C:\PROGRAMMI\NORTON ANTIVIRUS\IWP\NPFMNTOR.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMMI\HEWLETT-PACKARD\HP SHARE-TO-WEB\HPGS2WND.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\PROGRAMMI\HEWLETT-PACKARD\HP SHARE-TO-WEB\HPGS2WNF.EXE
C:\LOGITECH\MOUSE\SYSTEM\EM_EXEC.EXE
C:\WINDOWS\SYSTEM32\DRIVERS\KODAKCCS.EXE
C:\PROGRAMMI\FILE COMUNI\SYMANTEC SHARED\CCPD-LC\SYMLCSVC.EXE
C:\PROGRAMMI\FILE COMUNI\SYMANTEC SHARED\CCAPP.EXE
C:\PROGRAMMI\KODAK\KODAK EASYSHARE SOFTWARE\BIN\EASYSHARE.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMMI\FILE COMUNI\SYMANTEC SHARED\SNDSRVC.EXE
C:\PROGRAMMI\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\PROGRAMMI\WINZIP\WINZIP32.EXE
C:\PROGRAMMI\ANTI SPY\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMMI\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programmi\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [EM_EXEC] c:\logitech\mouse\system\em_exec.exe
O4 - HKLM\..\Run: [KodakCCS] C:\WINDOWS\System32\Drivers\KodakCCS.exe
O4 - HKLM\..\Run: [Symantec Core LC] C:\Programmi\File comuni\Symantec Shared\CCPD-LC\symlcsvc.exe start
O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMON.EXE
O4 - HKLM\..\Run: [Run StartupMonitor] StartupMonitor.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [ccSetMgr] "C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe"
O4 - HKLM\..\RunServices: [ccEvtMgr] "C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe"
O4 - HKLM\..\RunServices: [NPFMonitor] C:\Programmi\Norton AntiVirus\IWP\NPFMntor.exe
O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Programmi\File comuni\Symantec Shared\Script Blocking\SBServ.exe" -reg
O4 - Startup: Collegamento a Microsoft Outlook.lnk = ?
O4 - Startup: Kodak EasyShare software.lnk = C:\WINDOWS\Application Data\Microsoft\Installer\{9D8FEE90-0377-49A9-AEFB-525BDE549BA4}\NewShortcut1.exe
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/1112ab12486 ... 601_it.cab
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = ...PRIVACY! (L'ho scritto io)

[Dylan666]

L'analisi sul sito (che avresti anche potuto fare da solo) non evidenzia voci sospette

[Bronzo]

Sai quante volte l'ho fatta?! Ti ho postato il logfile come è ora, dopo aver bonificato manualmente il tutto, ma non ho ancora riavviato il sistema, che come anticipavo prima, dopo due o tre volte, resuscita se.dll!
Con process monitor ho trovato una cosa strana:

C:\PROGRAMMI\HEWLETT-PACKARD\HP SHARE-TO-WEB\HPGS2WND.EXE

C:\PROGRAMMI\HEWLETT-PACKARD\HP SHARE-TO-WEB\HPGS2WNF.EXE

la prima voce mi dice essere effettivamente di HP, ma la seconda, al posto del nome di company name, indica "$"... in più nelle voci della finestra sottostante indica questo termine che mi suona "inquietante":

fileallocatorMutex .... dice niente?

[Dylan666]

Inquietante non direi, certe volte capita.
Per Mprexe(intendevi quello con Mutex?) il sito di analisi del LOG dice una cosa in tedesco, comunque fa il segno verde, se ti servono più info cerca su Google.

Per SE.DLL non ho capito se ti è sfuggito che abbiamo trovato come cancellare il file e la chiave...