Cancellare lo spyware SE.DLL e la sua Trusted Zone

[Dylan666]

Scusa se ti rimpo le scatole bad76... Ma quando hai tempo sintetizzi tutti i tuoi passaggi in un unico post in modo da avere tutta la provìcedura messa insieme e in ordine anche per i meno esperti?

Te ne sarebbero tutti molto grati

[Kenny]

No, niente di più facile... ho rimosso IL CONTENUTO della suddetta voce...CHE HO SCRITTO MALE MANNAGGIA A ME...ora la scrivo corretta!!!

LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/Session Manager/PendingFileRenameOperations

e poi ho riavviato il computer. dll non esiste, il lock nemmeno e a quel punto non mi viene nemmeno caricata la se.dll...


bye

LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/Session Manager/

fin qui ci siamo...questo non lo trovo

PendingFileRenameOperations

[Kenny]

allora io ho cercato di eliminare queste .dll

ghhl.dll
idjpb.dll
hdog.dll
jljad.dll
fmolmfa.dll

tutte sono state create dal 14 feb in poi...giorno in cui avevo iniziato ad avere problemi.
tutte con il numero 41 472

con il comando da esegui non riuscivo ad eliminarle, allora l'ho fatto manualmente mandandole a sure delete, l'unica che non riuscivo ad eliminare era hdog.dll
apro task manager e scopro che era usata da internet provavo ad eliminrala e mi diceva che faceva parte del folder search assistent e mi chiedeva se volevo disinstallarlo, premevo si e appena premevo si si creava se.dll nei temporanei e mi diceva che non poteva essere disinstallata.
Ho aperto HT seleziono le solite cose ma questa volta anche hdog che mi li portava come filtri (che so) a questo punto faccio fix e HT mi dice che sta per eliminare un file HOB (o qualcosa di simile non ricordo cosa mi ha scritto ma erano tre lettere e c'era una B) di chiudere tutte le finestre di explorer se voglio che la cosa abbia buon fine. finito tutto riavvio il pc...cerco la hdog.dll ed era ancora lì in system ma questa volta l'ho potuta eliminare...stiamo a vedere...non ho piu dll strane comunque!

[Dylan666]

tutte con il numero 41 472

Ma che numero è? Dove si legge?

[Kenny]

tutte con il numero 41 472

Ma che numero è? Dove si legge?

Quando vado in esegui/command
cd c:\windows
cd system
dir *.dll/o:d

appaiono tutte le dll
prima il nome delle dll poi dei numeri (e sono quelli e per quelle dll sono sempre 41472)
poi la data e altre cose che non so cosa siano!

[Dylan666]

ah ok, è la dimensione

[Kenny]

E' tornata la se.dll proprio poco fa

Ma cosè che la fa tornareeeeeeeeeeeee
Adesso ho una nuova dll. su system ifljm.dll che non posso eliminare naturalmente. la se.dll me la blocca norton ma andando a guardare su system adesso c'è questa nuova dll che non so ki la usa e chi la genera.

[Kenny]

Ho guardato con HT e questa nuova dll come le altre è filter: txt/html e fa parte anche della stringa HOB (eè questa la sigla che mi dava HT prima di fixare i file che diceva di kiudere tutte le finestre di explorer)

[resko83]

ragà quando vi ho parlato sopra del regmon della chiave del registro del Search Assistant(vedete sopra) che ho tolto la chiave.... sembrava risolto il problema,quando ho riavviato il computer e ho aperto internet explorer è rivenuta la pagina del Search For.. e in più si è creata di nuovo la chiave del registro solo che al posto del file hjan.dll c'ho trovato un altro file.Cosi ho rifatto regsrv32 /u nome di quella dll e l'ho cancellato.Poi tutto il search assistant e tutto il resto.Ora che sto navigando non spunta il problema del se.dll.

[Dylan666]

Scusa se ti rimpo le scatole resko83... Ma quando hai tempo sintetizzi tutti i tuoi passaggi in un unico post in modo da avere tutta la provìcedura messa insieme e in ordine anche per i meno esperti?

Te ne sarebbero tutti molto grati

[bad76]

Ok, sintetizzo...è un piacere...

Allora:
Dal menu start - esegui

digitare
CMD o COMMAND
a seconda del sistema operativo.

quindi digitare
CD WINDOWS o CD WINNT
a seconda dell'installazione

quindi
CD SYSTEM32
o CD SYSTEM
SOLO se la SYSTEM32 non esiste

poi
DIR *.dll /o:d

Esce le'lenco di tutte le dll. Le ultime sono le più recenti. Quella da rimuovere è una con nome di 4 caratteri insensati e di lunghezza 41472

Per rimuoverla digitare:
regsvr32 -u <nomedelladll>

A questo punto (se ci andate prima non vedrete nulla!!!) scrivete REGEDIT e navigate il registro fino a
LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/Session Manager

Clikkate due volte su PendingFileRenameOperations e vi si aprirà una finestra con due nomi.
Uno è la dll che avete rimosso e uno è un file .tmp
Prendete nota del nome del file .tmp e cancellate tutto.

Riavviate il computer e cancellate pure la .tmp
E dovrebbe essere tutto a posto...

[Damia]

Anch'io ho lo stesso problema...e chiedo qui aiuto...
Ringrazio da subito tutti, anche per chi leggerà solo il post senza potermi aiutare.
Per ogni suggerimento...ci metto tutto l'impegno ma non sono granchè ferrata...per cui ditemi le cose come fossi una bambina di 5 anni

Programmi provati:
Norton Antivirus
Ad Aware
BHO Demon
CCleaner
CWshedder
Spybot

In realtà CWshedder neanche si avvia....
Vi incollo il logfile di Hijack, ho provato a leggerlo ma non c'ho capito nulla...

Logfile of HijackThis v1.99.1
Scan saved at 12.02.40, on 18/02/05
Platform: Windows NT 4 SP6 (WinNT 4.00.1381)
MSIE: Internet Explorer v5.00 (5.00.2919.6304)

Running processes:
C:\WINNT\System32\MsgSys.EXE
C:\WINNT\System32\nddeagnt.exe
C:\WINNT\Explorer.exe
C:\WINNT\loadqm.exe
C:\Programmi\Interactive Intelligence\clientA.exe
C:\PROGRA~1\INTERA~1\I3ACA.EXE
C:\PROGRA~1\INTERA~1\DDEHOSTA.EXE
C:\Programmi\Microsoft Office\Office\OUTLOOK.EXE
C:\WINNT\System32\MAPISP32.EXE
C:\PROGRA~1\Plus!\MICROS~1\iexplore.exe
D:\Programmi\Outlook Express\msimn.exe
C:\Programmi\MSN Messenger\msnmsgr.exe
C:\WINNT\System32\ddhelp.exe
C:\WINNT\SYSTEM32\MDM.EXE
D:\Attività Elisa\PrivatoElisa\mIRC\mirc.exe
C:\Programmi\Microsoft Office\Office\excel.exe
C:\WINNT\Desktop\Vari Pgr\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.zylomgames.com/servlet/JavaHelp?l=6
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
F2 - REG:system.ini: UserInit=userinit,nddeagnt.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - d:\programmi\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {09F871D1-8032-11D9-9730-00502A625909} - C:\WINNT\System32\jnbc.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - Startup: BHODemon 2.0.lnk = C:\Programmi\BHODemon 2\BHODemon.exe
O4 - Global Startup: Iomega Startup.lnk = C:\Iomg_NT\startnt.exe
O4 - Global Startup: Iomega Quick Tools NT.lnk = C:\Iomg_NT\Quick.exe
O4 - Global Startup: Interaction Client.lnk = C:\Programmi\Interactive Intelligence\clientA.exe
O9 - Extra button: (no name) - {10954C80-4F0F-11d3-B17C-00C0DFE39736} - http://ricercaperfetta.com/ (file missing)
O9 - Extra 'Tools' menuitem: Loghi e suonerie - {10954C80-4F0F-11d3-B17C-00C0DFE39736} - http://ricercaperfetta.com/ (file missing)
O12 - Plugin for .spop: C:\PROGRA~1\Plus!\MICROS~1\Plugins\NPDocBox.dll
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
O16 - DPF: Win32 Classes - file://C:\WINNT\Java\classes\win32ie4.cab
O16 - DPF: {0B105630-3B1F-11D1-B443-00A0244D2920} (WebTreeCtrl Class) - http://www.cesimultimedia.it/ISPESL/Web ... TreeFX.cab
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game17.zylomgames.com/activex/zy ... player.cab
O16 - DPF: {CE69F98F-2AF3-4306-BAC6-A79070EDA1B4} (Zylom Loader Object) - http://game17.zylomgames.com/activex/zylomloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = aminordest
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = aminordest
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 192.168.0.1
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = aminordest
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 192.168.0.1
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 192.168.0.1
O18 - Filter: text/html - {E2D5E120-80C5-11D9-9730-005000BB08F8} - C:\WINNT\System32\jnbc.dll
O18 - Filter: text/plain - {E2D5E120-80C5-11D9-9730-005000BB08F8} - C:\WINNT\System32\jnbc.dll
O20 - Winlogon Notify: NavLogon - C:\WINNT\System32\NavLogon.dll
O23 - Service: Compaq Local Alerter (CPQALERT) - Compaq Computer Corporation - C:\WINNT\SYSTEM32\CPQAlert.exe
O23 - Service: CPQDMI - Unknown owner - C:\WINNT\SYSTEM32\CPQDMI.exe
O23 - Service: DefWatch - Symantec Corporation - C:\Programmi\NavNT\defwatch.exe
O23 - Service: 3Com dRMON SmartAgent PC Software (dRMON SmartAgent) - 3Com Corp. - C:\WINNT\System32\drmon\smartagt\smartagt.exe
O23 - Service: MGACtrl - Martrox Graphics Inc. - C:\WINNT\System32\mgasc.exe
O23 - Service: Norton AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\Programmi\NavNT\rtvscan.exe
O23 - Service: WIN32SL - Intel - C:\DMINT40\WIN32\bin\Win32SL.exe

[bad76]

Ciao, nel tuo caso si legge che la libreria da rimuovere si chiama jnbc.dll

Avvia dal menu start - esegui una shell scrivendo 'cmd' e premi invio.
quindi appare una finestra nera.

scrivi
regsvr32 -u jnbc.dll e premi invio

e rispondi affermativamente alle seguenti domande.

Quindi sempre nella schermata nera scrivi REGEDIT e premi invio
appare una finestra tipo esplorer
cerca le seguenti parole e clikka sul + vicino al nome:

HK_LOCAL_MACHINE
SYSTEM
CurrentControlSet
Control
Session Manager

Quindi clikka sopra alla scritta "session manager" e a sinistra compaiono altre righe.

Nella parte di sinistra cerca la parola "PendingFileRenameOperations"
Clikka due volte su PendingFileRenameOperations e si aprirà una finestra con dei nomi. Segnati quelli che si chiamano <blablabla>.tmp

Poi cancella tutto il testo e dai ok.
Riavvia il computer.
Quindi fai di nuovo START, ESEGUI e 'cmd' ... invio.

Si apre la finestra nera. Scrivi:
CD C:\WINNT\System32

e quindi scrivi
DEL <blablabla>.tmp e premi invio

dove <blablabla> è il nome che hai trovato scritto prima.
Fatto ciò dovresti essere salva!

[bad76]

SCUSATEEEEEEEE ho sbagliato di nuovo a scrivere...

Il regedit a DESTRA presenta la chiavi e NON a SINISTRA come ho erroneamente scrittoooooo!!!

eccheccavolo...sgrunt!


Insomma Damia la parola "PendingFileRenameOperations" devi cercarla nella parte destra della finestra... ok? scusa ancora...

[Kenny]

Ciao, nel tuo caso si legge che la libreria da rimuovere si chiama jnbc.dll

Avvia dal menu start - esegui una shell scrivendo 'cmd' e premi invio.
quindi appare una finestra nera.

scrivi
regsvr32 -u jnbc.dll e premi invio

e rispondi affermativamente alle seguenti domande.

Finqui tutto ok...ma appena premo invio per cancellare la dll che da me si trova in system ecco che norton mi avvisa che è apparsa se.dll e tutto si blocca, quindi cancella la se.dll con norton e il comando regsvr32 non mi cancella un bel niente...che si fa?
quando si cerca di eliminare quella dll si crea la se.dll...e la cancellazione si blocca!
Poi in versione provvisoria se apro command non riesco a fare i due punti : e non posso andare in system quindi lho fatto in modalità normale...ma sempre disattivando la rundll32

[Dylan666]

Poi in versione provvisoria se apro command non riesco a fare i due punti :

Devi guardare sulle lettere accentate, perché entra in funzione la tastiera di tipo inglese. I due punti si dovrebbero fare con Shift+ò se non erro.

[^TaRa^]

PendingFileRenameOperations

Io non trovo questo

[Dylan666]

E si vede che non c'è!
Fai una ricerca nel registro, se non lo trovi datti pace.

[Damia]

SCUSATEEEEEEEE ho sbagliato di nuovo a scrivere...

Il regedit a DESTRA presenta la chiavi e NON a SINISTRA come ho erroneamente scrittoooooo!!!

eccheccavolo...sgrunt!


Insomma Damia la parola "PendingFileRenameOperations" devi cercarla nella parte destra della finestra... ok? scusa ancora...

Nella parte destra (manco nella sinistra cmq) non c'è PendingFileRenameOperations....
E anche cliccando sulle varie cose in nessuna mi esce un elenco di file .tmp

Grazie
Elisa

[bad76]

allora...
Che esca fuori la se.dll quando de-registri la dll è normale. Succede pure a me, ma dico semplicemente di andare avanti e mi va avanti.

Poi per quel che riguarda i .tmp ... provate con la solita sequenza di comandi, ma invece di fare dir *.dll fate

dir *.tmp /o:d

a questo punto dovreste avere la tmp incriminata. Provate a cancellarla.

Per il resto il mio è un windows 2003 server edition... forse la chiave del registro esiste solo per me. Ora "infetto" un windows 2000 e vi faccio sapere.

ciao ciao