Condividi:        

Cancellare lo spyware SE.DLL e la sua Trusted Zone

Come rimuovere virus e spyware? Le carte di credito sono davvero sicure in rete? È possibile navigare anonimi? Con quali programmi tutelare la propria privacy? Come proteggere i file importanti? Se volete una risposta a queste e altre domande questo è il luogo giusto!

Moderatori: m.paolo, kadosh, Luke57

Postdi Kenny » 15/02/05 20:36

Dylan666 ha scritto:Il log di HT evidenzia (oltre al falso positivo) solo questo, che va sicuramente eliminato:

O15 - Trusted IP range: 67.19.185.246 (HKLM)

Mentre per il DSO Exploit leggi qui:
http://www.pc-facile.com/forum/viewtopi ... oit+spybot


Ho già provato ad eliminarlo pechè credevo fosse un file di DSO ma non riesco ad eliminarlo...se faccio fix con HT quando rifaccio la scanzione c'è sempre...dovrei eliminarlo in qualke altro modo o devo deselezionare qualke cosa vero? ora leggo per DSO grazie ancora!
Kenny
Utente Senior
 
Post: 233
Iscritto il: 28/01/05 01:44

Sponsor
 

Postdi Dylan666 » 15/02/05 21:05

Avatar utente
Dylan666
Moderatore
 
Post: 39988
Iscritto il: 18/11/03 16:46

Postdi Bronzo » 15/02/05 21:09

Dylan666 ha scritto:Inquietante non direi, certe volte capita.
Per Mprexe(intendevi quello con Mutex?) il sito di analisi del LOG dice una cosa in tedesco, comunque fa il segno verde, se ti servono più info cerca su Google.

Per SE.DLL non ho capito se ti è sfuggito che abbiamo trovato come cancellare il file e la chiave...


Al momento tutto va bene, non è ancora resuscitato. Se (come credo) si riattiva allora utilizzando process monitor dovrei riuscire a risalire a ciò che lo resuscita, e quindi "uccidere" il resposabile sempre tramite Process monitor. Poi cancello tutte le chiavi et similia rimaste.

E' questo il procedimento che tu intendevi?

P.S.: per mprexe è risolto, file ok.
Bronzo
Utente Junior
 
Post: 36
Iscritto il: 15/02/05 12:21

Postdi Dylan666 » 15/02/05 21:12

Porcess Explorer, e una vola eliminato il processo che chiama la DLL la cancelli: per il resto hai detto tutto correttamente
Avatar utente
Dylan666
Moderatore
 
Post: 39988
Iscritto il: 18/11/03 16:46

Postdi Bronzo » 15/02/05 21:13

Ok grazie, ti farò sapere.

Buna serata
Bronzo
Utente Junior
 
Post: 36
Iscritto il: 15/02/05 12:21

Postdi Kenny » 15/02/05 21:46



Be più o meno come ho già fatto ma mi ritorna sempre comunque rirpoverò a fare tutto di huovo anke se ancora non è apparsa...
Kenny
Utente Senior
 
Post: 233
Iscritto il: 28/01/05 01:44

Postdi Dylan666 » 15/02/05 21:48

Ci sono nominati programmi precisi con i quali agire...
Avatar utente
Dylan666
Moderatore
 
Post: 39988
Iscritto il: 18/11/03 16:46

Postdi Kenny » 15/02/05 23:17

E' rotornata se.dll...non ce la faccio più! :cry: :cry: :cry:
Kenny
Utente Senior
 
Post: 233
Iscritto il: 28/01/05 01:44

Postdi Dylan666 » 15/02/05 23:28

Mi rinfreschi la memoria su che sistema operativo hai?
Avatar utente
Dylan666
Moderatore
 
Post: 39988
Iscritto il: 18/11/03 16:46

Postdi Kenny » 15/02/05 23:30

Dylan666 ha scritto:Mi rinfreschi la memoria su che sistema operativo hai?


Windows ME

senti ho scaricato xsoftspy ma mi kiede un codice per eliminare quelle ke ha trovato lui...
Kenny
Utente Senior
 
Post: 233
Iscritto il: 28/01/05 01:44

A.A.A

Postdi Bronzo » 15/02/05 23:41

Attenzione attenzione: il mio pc era perfetto, stavo testando che non si attivasse ancora se.dll. Bene, ciò è successo di nuovo, come al nostro amico Ken.

Per fortuna avevo attivato "startup monitor" così ho compreso. Per quanto riguarda il mio pc, attivando MS word, automaticamente si attiva se.dll !!! Purtroppo startup non riusciva a escluderne l'apertura, così ho permesso che si attivasse se.dll.... il problema è TORNATO.

Ora però ho qualche cartuccia in più: Process Explorer.

Esso mi indica all'interno di rundll32 l'esecuzione di se.dll (riesco anche a leggere le sue stringhe, che purtroppo non vi riesco a postare).


Allego sotto quindi il nuovo logfile (infetto), dove potrete vedere le solite cose:

Logfile of HijackThis v1.99.0
Scan saved at 23.36.47, on 15/02/05
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\PROGRAMMI\FILE COMUNI\SYMANTEC SHARED\CCSETMGR.EXE
C:\PROGRAMMI\FILE COMUNI\SYMANTEC SHARED\CCEVTMGR.EXE
C:\PROGRAMMI\NORTON ANTIVIRUS\IWP\NPFMNTOR.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMMI\HEWLETT-PACKARD\HP SHARE-TO-WEB\HPGS2WND.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\LOGITECH\MOUSE\SYSTEM\EM_EXEC.EXE
C:\PROGRAMMI\HEWLETT-PACKARD\HP SHARE-TO-WEB\HPGS2WNF.EXE
C:\WINDOWS\SYSTEM32\DRIVERS\KODAKCCS.EXE
C:\PROGRAMMI\FILE COMUNI\SYMANTEC SHARED\CCPD-LC\SYMLCSVC.EXE
C:\PROGRAMMI\FILE COMUNI\SYMANTEC SHARED\CCAPP.EXE
C:\WINDOWS\STARTUPMONITOR.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMMI\FILE COMUNI\SYMANTEC SHARED\SNDSRVC.EXE
C:\PROGRAMMI\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\RUNDLL32.EXE
C:\PROGRAMMI\ANTI SPY\PROCEXP.EXE
C:\PROGRAMMI\INTERNET EXPLORER\IEXPLORE.EXE
C:\PROGRAMMI\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\PROGRAMMI\ANTI SPY\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\se.dll/sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\se.dll/sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMMI\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O2 - BHO: (no name) - {5872EBC5-7FA8-11D9-9084-00E074EE6611} - C:\WINDOWS\SYSTEM\BPLOGIA.DLL
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programmi\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [EM_EXEC] c:\logitech\mouse\system\em_exec.exe
O4 - HKLM\..\Run: [KodakCCS] C:\WINDOWS\System32\Drivers\KodakCCS.exe
O4 - HKLM\..\Run: [Symantec Core LC] C:\Programmi\File comuni\Symantec Shared\CCPD-LC\symlcsvc.exe start
O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMON.EXE
O4 - HKLM\..\Run: [Run StartupMonitor] StartupMonitor.exe
O4 - HKLM\..\Run: [sp] rundll32 C:\WINDOWS\TEMP\SE.DLL,DllInstall
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [ccSetMgr] "C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe"
O4 - HKLM\..\RunServices: [ccEvtMgr] "C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe"
O4 - HKLM\..\RunServices: [NPFMonitor] C:\Programmi\Norton AntiVirus\IWP\NPFMntor.exe
O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Programmi\File comuni\Symantec Shared\Script Blocking\SBServ.exe" -reg
O4 - Startup: Collegamento a Microsoft Outlook.lnk = ?
O4 - Startup: Kodak EasyShare software.lnk = C:\WINDOWS\Application Data\Microsoft\Installer\{9D8FEE90-0377-49A9-AEFB-525BDE549BA4}\NewShortcut1.exe
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/1112ab12486 ... 601_it.cab
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = PRIVACY

O18 - Filter: text/html - {5872EBC4-7FA8-11D9-9084-00E01BA2C38A} - C:\WINDOWS\SYSTEM\BPLOGIA.DLL
O18 - Filter: text/plain - {5872EBC4-7FA8-11D9-9084-00E01BA2C38A} - C:\WINDOWS\SYSTEM\BPLOGIA.DLL


COME potete notare combina parecchi casini stò dll (notate che ha ricreato anche un altro dll che tutte le volte cambia di nome).


P.S.: ora provo ad avviare il pc, forse così Process Explorer mi trova qualcosa di interessante da kill !!!
---
Bronzo
Utente Junior
 
Post: 36
Iscritto il: 15/02/05 12:21

Postdi Bronzo » 15/02/05 23:56

Allora... niente di che: se.dll è attivata da rundll32.exe ... ma non posso mica cancellarlo!
Bronzo
Utente Junior
 
Post: 36
Iscritto il: 15/02/05 12:21

Postdi Bronzo » 16/02/05 00:03

ora vado a nanna, ci si vede domani!

(però che fatica per debellare sti spyware o malware)
Bronzo
Utente Junior
 
Post: 36
Iscritto il: 15/02/05 12:21

Postdi resko83 » 16/02/05 00:12

ragà pure io sto con questo problema del Search For... e il se.dll incancellabili,ho provato anche a mettere il setup di internet explorer 6 nel c: poi riavviare in modaità provvisoria disinstallare Internet explorer 6 rimettendo quello originale 5.0 poi pulire tutto con Ccleaner,ad-aware,hijackthis e rimettere internet explorer 6 sotto modalità provvisoria e al riavvio del pc in modalità normale credevo che avessi risolto ma il giorno dopo si è ripresentato il signor Se.dll nella cartella temp.Oltre tutto c'è anche un file iereset.inf lo scoperto dal programma hijackthis.Se voi aprite internet explorer e hijackthis insieme,scanni con hijackthis appaiono nuove chiavi,poi chiudi Internet Explorer e riscanni con hijackthis,sempre così si è scoperto il file iereset.inf.Non ne posso più di questo problema,poi ti fa rallentare il pc e anche la navigazione è lenta.Io non so do sbattere la capoccia magari su un monitor ch'avrei da sbattere la testa oppure davanti al file se.dll.Comunque credo che è un problema nuovo ancora non hanno scoperto come risolvere questo problema,ma mi sembra strano che nessun programma riesce a risolvere questo maledettissimo problema???
Sapevate che il file se.dll carica la pagina del Search for..? aprite con blocconote il file se.dll e vedrete...
Non mi riesce nemmeno a navigare su certi siti e alcuni sezioni da cliccare che me riporta al sito di search For.. in più con dei popup che ti arriva mostrandoti il tuo IP poi a destra un bel cerchio blu con una piccola parte rossa dicendo che il tuo pc è infetto da spyware con un bel pulsantino gentile che ti riporta al sito per scaricarti il programma per risolvere il problema ma invece nulla,che poi quei popup non sono flash,l'ip che vedrete è proprio dal vostro computer l'indirizzo IP.Scusate se non mi presento che tipo di pc sto utilizzando... uso windows98II 30 gb con 64 di ram (non ridete che già so che lavora lento,uso meno applicazioni possibile per far un modo che le ram lavori in santapace senza caricare troppo,è fastidioso sentire il rumore dell'hardisk)
Beh insomma il problema ancora non si risolve,io non formatto il pc e ci voglio studiare in fondo di questo problema,io l'ho sempre vinti i problemi del pc e ora mi dò all'attacco per risolvere questo problema e studiarlo.
resko83
Newbie
 
Post: 7
Iscritto il: 15/02/05 23:40
Località: Italia

Postdi Dylan666 » 16/02/05 00:31

Che tutte le procedure di disinstallazione di Explorer fossero inutili era prevedibile ;)

Piuttosto mi piacerebbe avere la confema della cosa di MS Word da Bronzo, a me pare abbastanza improbabile! :eeh:
Avatar utente
Dylan666
Moderatore
 
Post: 39988
Iscritto il: 18/11/03 16:46

Postdi Kenny » 16/02/05 00:58

Resko82 è tutto come accade a me...
appena mi riaaopre la pag serch for scopro ke è ritornata l'se.dll...
Ho fatto tutto...ho scanzionato con xoftspy, con CWSearh e HT...
L'unica cosa che mi rimane sempre è O15 - Trusted IP range: 67.19.185.246 (HKLM) che è quella che forse potrebbe rigenerare se.dll vistoche è l'unica che non riesco a togliere...

A domani! :evil:
Kenny
Utente Senior
 
Post: 233
Iscritto il: 28/01/05 01:44

Postdi Kenny » 16/02/05 02:14

Sono riuscito a togliere e cancellare O15 - Trusted IP range: 67.19.185.246 ho trovato un tool per fare ciò,,,ho usato DelDomains.inf
Poi ho scansionato il pc con ashampoo winoprtimizer...mi ha levato un po' di robba...adesso vediamo se ritorna sta se.dll! :evil:
Kenny
Utente Senior
 
Post: 233
Iscritto il: 28/01/05 01:44

Postdi Bronzo » 16/02/05 10:43

Dylan666 ha scritto:Che tutte le procedure di disinstallazione di Explorer fossero inutili era prevedibile ;)

Piuttosto mi piacerebbe avere la confema della cosa di MS Word da Bronzo, a me pare abbastanza improbabile! :eeh:


Fidati! Avendo in esecuzione startup monitor, ho prima attivato IE6.0 diverse volte, ma non è successo niente. Non appena ho lanciato MS word ecco apparire l'alert da startup che mi avvisava che se.dll voleva attivarsi. La cosa mi è parsa collegata, perché è successo appena dopo l'esecuzione di msword. Dirò di più. Il giorno 11 febbraio, quando il pc è stato infettato, msword ha presentato vistosi problemi. Infatti cliccando sulle icone dei file creati non li apriva, e si rallentava tutto il pc. I files .doc potevano essere aperti solo aprendo prima msword e poi utilizzando il comando "Apri" di word.
La stessa cosa succedeva con files di Ms excel.
Bronzo
Utente Junior
 
Post: 36
Iscritto il: 15/02/05 12:21

Postdi Bronzo » 16/02/05 11:03

Legenda tratta da antispy.info, può essere utile come promemoria

Any malware can be named anything - so you should check where the files of the running processes are located on your disk. If a "non-Microsoft" .exe file is located in the C:\Windows or C:\Windows\System32 folder, then there is a high risk for a virus, spyware, trojan or worm infection!
Bronzo
Utente Junior
 
Post: 36
Iscritto il: 15/02/05 12:21

Postdi Bronzo » 16/02/05 11:14

Su internet non ho trovato nulla su questo file che si trova in System: mmtask.tsk ...cosa può essere?
Bronzo
Utente Junior
 
Post: 36
Iscritto il: 15/02/05 12:21

PrecedenteProssimo

Torna a Sicurezza e Privacy


Topic correlati a "Cancellare lo spyware SE.DLL e la sua Trusted Zone":


Chi c’è in linea

Visitano il forum: Nessuno e 56 ospiti