Cancellare lo spyware SE.DLL e la sua Trusted Zone

[resko83]

io credo di aver risolto il problema,tutto quello che vi ho spiegato sopra l'ho pulito sotto modalità provvisoria e ho pulito tutto Cclenear,hijackthis, ad-aware Se. Poi ho fatto /regsvr32 /u c:\windows\system\hjan.dll e mi è apparso la finestra che dice "c:\windows\system\hjan.dll succeded" poi ho cancellato e ho tolto la chiave "SearchAssistant Uninstall" e tutto il resto.Al riavvio di windows è andato un pò in crisi quando cliccavo per aprire la connessione per connettermi non faceva nulla,poi ho riavviato il pc premendo F8 e ho fatto tutto "conferma passo per passo" come modalità e ho risolto il problema.
Vi consiglio usare regmon,guardate quando va a mettersi la pagina del "search for.." nello stesso tempo su regmon che cosa combina.

[Kenny]

Nessuno ha risposto a questo

occhio occhio sul sito della Symantec

http://securityresponse.symantec.com/avcenter/venc/data/adware.webbar.html

Le procedure descritte lì sono state provate?

Lç'ho fatto...ho trovato solo una cosa (tutti numerie lettere) che non era nemmeno dove diceva di cercarla ma in un altra cartella, lho eliminata comunque!

[Dylan666]

Magari era meglio se chidevi... comunque sarebbe utile sapere ESATTAMENTE nomi e percorsi di quello che cancelli...

[Kenny]

Magari era meglio se chidevi... comunque sarebbe utile sapere ESATTAMENTE nomi e percorsi di quello che cancelli...

Era questa
{00041A26-7033-432C-94C7-6371DE343822}

Ma non ricordo se era nel percorso dove diceva che l'avrei trovata!

Comunque ho fatto il backup...che tral'altro ne ho 5 salvati...

[Dylan666]

Allora perché non apri il backup, (cioè il file REG) col Blocco Note e trascrivi qui (magari tra i tag [code][/code]) quello che c'è scritto?

[Kenny]

Allora perché non apri il backup, (cioè il file REG) col Blocco Note e trascrivi qui (magari tra i tag [code][/code]) quello che c'è scritto?

Ma io ho file cab con il simbolo di winzip...dov'è sto file reg?

[Dylan666]

Ti ha esportato la chiave come CAB?
Il Windows ME non lo fa nemmeno volendo... almeno non dal REGEDIT, ma come hai fatto?

[Kenny]

Ti ha esportato la chiave come CAB?
Il Windows ME non lo fa nemmeno volendo... almeno non dal REGEDIT, ma come hai fatto?

Come spiegava quella pag di microsoft linkata dalla pag di norton...

[Dylan666]

Quindi hai eseguito scanregw e non capisco perché dato che dovevi seguire "How to back up (and restore) a single registry key" come spiegato nella stessa pagina...

Comunque la chiave che hai tolto dovrebbe essere giusta, ti sembrano esserci migiloramenti?

[bad76]

Beccato pure io... 2003 server... ok, lo so... non si dovrebbe navigare da un server...

Allora, ho preso al volo un suggerimento e ho cercato le dll più recenti in system32... Scappa fuori che l'ignobile è una dll che cambia nome...
I pochi contenuti leggibili per riconoscerlo sono...

[code]
S2_32.dll q InternetCrackUrlA WININET.dll Þ
MessageBoxA USER32.dll "InterlockedIncrement InterlockedDecrement Å FindClose É FindFirstFileA ™WritePrivateProfileStringA ­
GetShortPathNameA eMoveFileExA Þ
GetVersion Õ
GetTickCount dMoveFileA | DeleteFileA SetFileAttributesA = CopyFileA . CloseHandle cUnmapViewOfFile ^MapViewOfFile N CreateFileMappingA [
GetFileSize M CreateFileA ¹
GetSystemDirectoryA é
GetWindowsDirectoryA ² ExpandEnvironmentStringsA Ë
GetTempPathA u
GetModuleFileNameA „ DisableThreadLibraryCalls ‡WideCharToMultiByte  AreFileApisANSI HeapAlloc ›
GetProcessHeap HeapFree HeapReAlloc À
GetSystemTimeAsFileTime ©ReadFile ”WriteFile *IsBadStringPtrA )IsBadReadPtr GLeaveCriticalSection

[Kenny]

Quindi hai eseguito scanregw e non capisco perché dato che dovevi seguire "How to back up (and restore) a single registry key" come spiegato nella stessa pagina...

Comunque la chiave che hai tolto dovrebbe essere giusta, ti sembrano esserci migiloramenti?

E' tutto come prima, cioè non mi sta apperendo nulla da un bel po' ormai...solo che ho sempre il problema che il pc mi sembra lento...fa cose che prima non faceva, ma questo è da un bel po' non da quando ho eliminta quella stringa...ad esempio se ascolto un file audio mentre navigo, appena clicco su un qualcosa la canzone mi va a scatti cosa che non mi ha mai fatto...alcune volte lo fa anche quando non faccio nulla, per qualche secondo mi scatta....
alcune volte le cartelle ci impiegano un eternità ad aprirsi ancke se non sono collegato ad internet!

[Dylan666]

Se il problema è precedente allo spyware allora evitiamo di discuterlo in questo topic, ripeto, evitiamo di mettere troppa carne al fuoco (inutile) dato che già siamo arrivati a 6 pagine

[bad76]

scusate mi ha messo la faccina...

DIR *.DLL /O:D



ocappa...kosì va meglio...

[Dylan666]

scusate mi ha messo la faccina...

DIR *.DLL /O:D

Ma oltre al file che trovi con questo metodo, avevi anche tu SE.DLL?
Se ti ricordi il nome del file senza significato potresti cercare se ci sono riferimenti nel registro?

[Kenny]

il problema del rallenta,mento cè lho da quando ho questo problema della se.dll



comunque ho fatto ho ha scrtitto bed76 e ho trovato queste dll...le ultime due...una con data più o meno di quando mi è ritornata la se.dll...lo so perchè ho scritto qui il topic e confronto l'ora...
sono

jlhad.dll

fmolmfa.dll

ma ancora non ho eliminato nessuna! aspetto consigli1

[bad76]

Bingo!
Dunque, con spirito masochistico me la ero copiata da parte.
Ora ho lanciato di nuovo regsvr32 ed il nuovo nome e l'infame si è registrata sotto:

LOCAL_MACHINE/SYSTEM/CurrentControlSet/Session Manager/PendingFileRenameOperations

e non solo in currentcontrolset, ma anche negli altri!!!
Che bastardaaaaaaaaaaaaaaaaaaaaaaa!!! Se la cancelli rinomina un tmp in dll!!!! CREPAAAAAA
Cmq dimenticavo una cosa che vi aiuterà: la lunghezza è 41472!

Ah, potrei anche spedirvela, ma ho forti dubbi che venga usata per scopi poco piacevoli... :-P
se la volete....

[Dylan666]

nessuna documentazione su quei due file: in questi casi di dubbio li levi da li, te ne metti una copia in un file zip e se qualcosa va storto li rimetti dove stavano

[bad76]

wow...ho scoperto un'altra cosa da quelle chiavi del registro in cui mi ha fatto cercare dylan... per ogni dll, c'è un contemporaneo file .tmp con nome altrettanto improbabile e lokkato!!! Non si cancella! E al riavvio verranno rinominate in dll e ri-registrate!!! Che diavolo...

Forse ci si riesce in modalità provvisoria... poi ci provo.

[Kenny]

Bingo!
Dunque, con spirito masochistico me la ero copiata da parte.
Ora ho lanciato di nuovo regsvr32 ed il nuovo nome e l'infame si è registrata sotto:

LOCAL_MACHINE/SYSTEM/CurrentControlSet/Session Manager/PendingFileRenameOperations

e non solo in currentcontrolset, ma anche negli altri!!!
Che bastardaaaaaaaaaaaaaaaaaaaaaaa!!! Se la cancelli rinomina un tmp in dll!!!! CREPAAAAAA
Cmq dimenticavo una cosa che vi aiuterà: la lunghezza è 41472!

Ah, potrei anche spedirvela, ma ho forti dubbi che venga usata per scopi poco piacevoli... :-P
se la volete....

421472
Io ne ho cinque con quei numeri...comprese quelle due che ho scritto su...
potete spiegare come cancellarle per benino!? grazie!

[bad76]

No, niente di più facile... ho rimosso IL CONTENUTO della suddetta voce...CHE HO SCRITTO MALE MANNAGGIA A ME...ora la scrivo corretta!!!

LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/Session Manager/PendingFileRenameOperations

e poi ho riavviato il computer. dll non esiste, il lock nemmeno e a quel punto non mi viene nemmeno caricata la se.dll...


bye