Condividi:        

Cancellare lo spyware SE.DLL e la sua Trusted Zone

Come rimuovere virus e spyware? Le carte di credito sono davvero sicure in rete? È possibile navigare anonimi? Con quali programmi tutelare la propria privacy? Come proteggere i file importanti? Se volete una risposta a queste e altre domande questo è il luogo giusto!

Moderatori: m.paolo, kadosh, Luke57

Cancellare lo spyware SE.DLL e la sua Trusted Zone

Postdi Kenny » 14/02/05 12:30

Faccio lo scan con spybot in MODALITA? PROVVISORIA mi trova tre cose "infette", faccio ripara e anche delete ma appena rifaccio lo scan me li ritrovo sempre allo stesso punto!
Non li caccia e adesso ogni volta che apri il browser mi si apre sempre una pagina di ricerca che non vuole andare via in nessun modo e mi si aprono pop up in continuazione. Fatto anche scan antivirus e non ne ho!
Aiuto cosa devo fare per eliminare sti fali schifosi maledetti!
Tral'altro il pc pare che si blikki a tratti, il mouse sembra che ogni tanto mi scatta, e non credo sia sporco perche mi succende anke se ascolto musica, ogni tanto s'inceppa e riparte, pio essere questo spy?
grazie mille!
Kenny
Utente Senior
 
Post: 233
Iscritto il: 28/01/05 01:44

Sponsor
 

Postdi Kenny » 14/02/05 12:32

Praticamente si mette sempre la pag aoutblank ma non è blank è search for... ma come indirizzo ha aboutblank...sta me**a :evil:
Kenny
Utente Senior
 
Post: 233
Iscritto il: 28/01/05 01:44

Postdi dado » 14/02/05 12:46


House: "Vede, tutti pensano che sia un paziente a causa del bastone"
Wilson: "Allora perchè non indossa un camice bianco come tutti noi?"
House: "Perchè altrimenti pensano che sia un medico".
Avatar utente
dado
Utente Senior
 
Post: 16208
Iscritto il: 21/08/01 01:00
Località: La Città dei Sette Assedi

Postdi Kenny » 14/02/05 13:26

dado ha scritto:Dai un'occhiata a questa guida:
http://www.pc-facile.com/combattere_spyware_t111274/


grazie ora leggo!

Praticamente questa stronza non mi fa nemmeno aprire la pagina delle email di hotmail...appena la apro si intromette lei.! :evil: :evil: :evil:
Kenny
Utente Senior
 
Post: 233
Iscritto il: 28/01/05 01:44

Postdi Kenny » 14/02/05 14:20

Allora: ho letto tutto. ho fatto una scansione con CWShredder e sembra che la pag non si intromette più ma appena mi connetto si aprono dei popup che mi dicono ke il mio pc ha degli spayware di cliccare su queste finestre per risolvere il problema! :evil:

Ho dinuovo fatto una scansione con spybot e sembra che siano ancora tutti lì impassibiuli!

Uno si trova anke nei file temporanei e non riesco proprio a cancellarlo, anke in modalità provvisoria, credo ke sia usato quindi da windows.

Vi posto qui quali sono questi file cosi almeno mi dite se posso cancellarli, io non ne capisco nulla!

DoubleClick:
Cookie tracciante (Internet Explorer: ) (Cookie, nothing done)


AllCyberSearch:
Impostazioni di avvio automatico (Valore di registro, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\sp

DSO Exploit:
Data source object exploit (Modifica al registro, nothing done)
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3

WebDialer:
Settings (Valore di registro, nothing done)
HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Main\HOMEOldSP



Ho letto nella guida che digitando msconfig in esegui si possono deselezionare alcuni file usati da windows. crdo ke sia l'unico modo per poterli cancellare giusto? quindi procederò così...se mi dite che posso cancellarli...
Vado su esegui digito quella parola, deseleziono tutti i file segnalatomi da spybot poi riavvio il sistema e vado acancellarli...ma da dove?
grazie mille ragazzi...sono disperato! :cry:
Kenny
Utente Senior
 
Post: 233
Iscritto il: 28/01/05 01:44

Postdi dado » 14/02/05 16:07

Usa il programma hijack this, di cui trovi il link nell guida che hai appena letto, e postaci l'intero log del programma in un messaggio... così ti diciamo che cosa puoi eliminare. Altrimenti puoi fare anche tutto da solo leggendo come si utilizza hijack this su quest'altra guida:
http://www.pc-facile.com/guida_hijackthis_t148946/

Hai già provato anche a fare una scansione con adaware aggiornato?

House: "Vede, tutti pensano che sia un paziente a causa del bastone"
Wilson: "Allora perchè non indossa un camice bianco come tutti noi?"
House: "Perchè altrimenti pensano che sia un medico".
Avatar utente
dado
Utente Senior
 
Post: 16208
Iscritto il: 21/08/01 01:00
Località: La Città dei Sette Assedi

Postdi Kenny » 14/02/05 18:01

dado ha scritto:Usa il programma hijack this, di cui trovi il link nell guida che hai appena letto, e postaci l'intero log del programma in un messaggio... così ti diciamo che cosa puoi eliminare. Altrimenti puoi fare anche tutto da solo leggendo come si utilizza hijack this su quest'altra guida:
http://www.pc-facile.com/guida_hijackthis_t148946/

Hai già provato anche a fare una scansione con adaware aggiornato?


Aveo gia provato con quel programma ma non ci ho capito nulla! Credo che sia meglio che mi dite voi cosa togliere e non... ora faccio il log!
grazie Dado...intanto quella pag è tornata alla ribalta! :evil:
Kenny
Utente Senior
 
Post: 233
Iscritto il: 28/01/05 01:44

Postdi Kenny » 14/02/05 18:05

ecco il file...se mi spieghi anche come caciarli visto che alcuni non si tolgono nemmeno in modalità provvisoria!


Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMMI\NORTON ANTIVIRUS\NAVAPW32.EXE
C:\WINDOWS\RUNDLL32.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMMI\WINAMP\WINAMPA.EXE
C:\WINDOWS\LOADQM.EXE
C:\PROGRAMMI\ARCHIVE\ARCHIVE.EXE
C:\PROGRAMMI\HEWLETT-PACKARD\DIGITAL IMAGING\UNLOAD\HPQCMON.EXE
C:\PROGRAMMI\HEWLETT-PACKARD\HP SHARE-TO-WEB\HPGS2WND.EXE
C:\WINDOWS\RUNDLL32.EXE
C:\PROGRAMMI\MSN MESSENGER\MSNMSGR.EXE
C:\PROGRAMMI\HEWLETT-PACKARD\HP SHARE-TO-WEB\HPGS2WNF.EXE
C:\PROGRAMMI\ALICE\ALICE ENTERNET\APP\ENTERNET.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAMMI\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\HIJACKTHIS\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.it
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [NAV DefAlert] C:\PROGRA~1\NORTON~1\DEFALERT.EXE
O4 - HKLM\..\Run: [Norton Auto-Protect] C:\PROGRA~1\NORTON~1\NAVAPW32.EXE /LOADQUIET
O4 - HKLM\..\Run: [CnxTrApp] rundll32.exe C:\WINDOWS\Pirelli.USB\CnxTrApp.dll,AppEntryA -REG "Pirelli\Access Gateway USB"
O4 - HKLM\..\Run: [WinampAgent] "C:\PROGRAMMI\WINAMP\WINAMPa.exe"
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [Archive] C:\Programmi\Archive\archive.exe
O4 - HKLM\..\Run: [CamMonitor] C:\Programmi\Hewlett-Packard\Digital Imaging\\Unload\hpqcmon.exe
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programmi\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime
O4 - HKLM\..\Run: [sp] rundll32 C:\WINDOWS\TEMP\SE.DLL,DllInstall
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKLM\..\RunServices: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKCU\..\Run: [msnmsgr] "C:\PROGRAMMI\MSN MESSENGER\MSNMSGR.EXE" /background
O4 - Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O15 - Trusted Zone: *.windupdates.com
O15 - Trusted Zone: *.searchmiracle.com
O15 - Trusted Zone: *.searchbarcash.com
O15 - Trusted Zone: *.skoobidoo.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.flingstone.com
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.clickspring.net
O15 - Trusted Zone: *.ysbweb.com
O15 - Trusted Zone: *.slotchbar.com
O15 - Trusted Zone: *.windupdates.com (HKLM)
O15 - Trusted Zone: *.searchbarcash.com (HKLM)
O15 - Trusted Zone: *.searchmiracle.com (HKLM)
O15 - Trusted Zone: *.skoobidoo.com (HKLM)
O15 - Trusted Zone: *.my-internet.info (HKLM)
O15 - Trusted Zone: *.flingstone.com (HKLM)
O15 - Trusted Zone: *.mt-download.com (HKLM)
O15 - Trusted Zone: *.clickspring.net (HKLM)
O15 - Trusted Zone: *.ysbweb.com (HKLM)
O15 - Trusted Zone: *.slotchbar.com (HKLM)
O15 - Trusted IP range: 67.19.185.246
O15 - Trusted IP range: 67.19.185.246 (HKLM)
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnme ... loader.cab
Kenny
Utente Senior
 
Post: 233
Iscritto il: 28/01/05 01:44

Postdi Dylan666 » 14/02/05 18:22

Kenny ha scritto:ecco il file...se mi spieghi anche come caciarli visto che alcuni non si tolgono nemmeno in modalità provvisoria!


Quali? Non è che piuttosto li levi ma si ricreano?

Comunque oltre alle varie trusted zone (non credo le abbia messe tu, e portano tutte a una stessa pagina) devi eliminare:

C:\WINDOWS\RUNDLL32.EXE

O4 - HKLM\..\Run: [sp] rundll32 C:\WINDOWS\TEMP\SE.DLL,DllInstall

Controlla le proprietà del primo e al 100% non troverai il Copyright della Microsoft e quindi è un virus (che sfrutta l'omonimia con un file che è nella cartella system32)
Avatar utente
Dylan666
Moderatore
 
Post: 40118
Iscritto il: 18/11/03 16:46

Postdi Kenny » 14/02/05 19:09

Dylan666 ha scritto:
Kenny ha scritto:ecco il file...se mi spieghi anche come caciarli visto che alcuni non si tolgono nemmeno in modalità provvisoria!


Quali? Non è che piuttosto li levi ma si ricreano?

Comunque oltre alle varie trusted zone (non credo le abbia messe tu, e portano tutte a una stessa pagina) devi eliminare:

C:\WINDOWS\RUNDLL32.EXE

O4 - HKLM\..\Run: [sp] rundll32 C:\WINDOWS\TEMP\SE.DLL,DllInstall

Controlla le proprietà del primo e al 100% non troverai il Copyright della Microsoft e quindi è un virus (che sfrutta l'omonimia con un file che è nella cartella system32)


No non riesco ad eliminarli...se vado nella cartella e faccio elimina mi dice ke il file è in uso anke quando sono in modalità provvisoria!
comunque ora elimino quelli ke mi hai detto. posso eliminare anke quelle ke mi da spybot? lui non li elimina credo perche appunto sono in uso...cmq è sicuro ke posso eliminare quelli credo!
Kenny
Utente Senior
 
Post: 233
Iscritto il: 28/01/05 01:44

Postdi Dylan666 » 14/02/05 19:34

Per quello che segnala spybot vai sul sicuro.
Ma se elimini la chiave in HT, poi in modalità provvisoria vedi che si è ricreata?
Avatar utente
Dylan666
Moderatore
 
Post: 40118
Iscritto il: 18/11/03 16:46

Postdi Kenny » 14/02/05 20:02

Dylan666 ha scritto:Per quello che segnala spybot vai sul sicuro.
Ma se elimini la chiave in HT, poi in modalità provvisoria vedi che si è ricreata?


Non ho capito cosa vuoi dire...HT, che è?

Comunque il primo file che mi ha segnalato ha il copyright microsoft e il secondo non riesdo ad eliminarlo dai file temporanei nemmeno in modalità provvisoria!

Devo andare su esegui digito msconfig deseleziono tutti i file segnalatomi da spybot poi riavvio il sistema e vado a cancellarli...ma da dove?
Sono tutti nel file registro come si va o da dove si va?
grazie...
Kenny
Utente Senior
 
Post: 233
Iscritto il: 28/01/05 01:44

Postdi Dylan666 » 14/02/05 20:08

HT = HijackThis

Mmmm il fatto del copyright non mi toglie tutti i dubbi... Nel mio XP è nella cartella system32 come dicevamo prima e in ME in quella WINDOWS.

La DLL almeno riesci a toglierla?
Hai provato a fare una scansione con antivirus aggiornato?
Avatar utente
Dylan666
Moderatore
 
Post: 40118
Iscritto il: 18/11/03 16:46

Postdi Dylan666 » 14/02/05 20:17

Dylan666 ha scritto:La DLL almeno riesci a toglierla?


Spra leggo che non ci sei riuscito, ma hai provato terminando il processo RUNDLL32.EXE ?

Mi fai un log mentre sei in modalità provvisoria? E mi specifichi il tuo tipo di Windows?
Avatar utente
Dylan666
Moderatore
 
Post: 40118
Iscritto il: 18/11/03 16:46

Postdi Dylan666 » 14/02/05 20:28

Aspettate, ho fatto un macello :P

C:\WINDOWS\RUNDLL32.EXE va benissimo (non so perché avevo letto system invece di WINDOWS)...

Invece per la DLL vedi qui:

http://www.iamnotageek.com/a/se.dll.php

Oppure fai una bella cosa:

1) elimina la chiave in modalità provvisoria

2) riavvia e rimetti la modalità provvisoria

3) cancella il file
Avatar utente
Dylan666
Moderatore
 
Post: 40118
Iscritto il: 18/11/03 16:46

Postdi Kenny » 14/02/05 20:28

Dylan666 ha scritto:
Dylan666 ha scritto:La DLL almeno riesci a toglierla?


Spra leggo che non ci sei riuscito, ma hai provato terminando il processo RUNDLL32.EXE ?

Mi fai un log mentre sei in modalità provvisoria? E mi specifichi il tuo tipo di Windows?


aspetta...io sono profano su ste cose e ora a quest'ora dopo avri tentativi devi capire pure come sono :mmmh: :aaah

Allora cosa vuoi dire con "hai provato terminando il processo RUNDLL32.EXE ?" io ho solamente visto se aveva il copyright.
ok faccio il log in modalità provissoria...il windows e ME.

un ultima cosa...ti spiego come ho cercato di eliminare se.dll magari sbaglio.
ho provato con spybot in modalità provisoria e niente, con quell altro non ricordo il nome SVC(booh) e con HT. e niente.
poi vado in modalità provvisoria in file temporanei e cerco di eliminarla manualmente ma niete da fare. non sono mai andato nel file registro almeno solo con i programmi tipo HT oppure scriovendo quella parola in esegui. Con HT ho provato ad eliminarla ma ritorna.
come dicevo prima...se la deseleziono dal comando di esegui e poi provo ad eliminarla?

Grazie di tutto!
Kenny
Utente Senior
 
Post: 233
Iscritto il: 28/01/05 01:44

Postdi Dylan666 » 14/02/05 20:30

Abbiamo postato insieme, leggi il mio messaggio precedente ;)
Avatar utente
Dylan666
Moderatore
 
Post: 40118
Iscritto il: 18/11/03 16:46

Postdi Kenny » 14/02/05 20:32

Dylan666 ha scritto:Aspettate, ho fatto un macello :P

C:\WINDOWS\RUNDLL32.EXE va benissimo (non so perché avevo letto system invece di WINDOWS)...

Invece per la DLL vedi qui:

http://www.iamnotageek.com/a/se.dll.php

Oppure fai una bella cosa:

1) elimina la chiave in modalità provvisoria

2) riavvia e rimetti la modalità provvisoria

3) cancella il file


ah ecco! tranquillo...ti capisco :D
quindi dovrei fare come ho spiegato all'ultimo nel mio penultimo messaggio? :roll:
Kenny
Utente Senior
 
Post: 233
Iscritto il: 28/01/05 01:44

Postdi ^TaRa^ » 14/02/05 20:37

Sì per RUNDLL32 immaginavo... se.dll sono sempre riuscita ad eliminarlo in modalità provvisoria...
In sostanza ho sempre fatto così:

-msconfig e toglievo sp dall'autorun
-regedit e dal run toglievo le voci sospette (sia in HKEY_LOCAL_MACHINE che in HKEY_CURRENT_USER)
-Riavviavo in modalità provvisoria
-Toglievo le voci sospette (sia in HKEY_LOCAL_MACHINE sia in HKEY_CURRENT_USER) da Software/microsoft/windows/internetexplorer/main
- con hijack this fixavo le voci sospette
- ripristinavo la mia home page
- Avviavo cwshredder, spybot adaware e tutti mi dicono che il sistema è pulito
- Riavviavo in modalità normale
- Scan con Norton e non mi rileva niente

e in effetti per tutto il giorno IE explorer non da problemi e Opera (che io uso come Browser predefinito) tantomeno
Tuttavia il giorno dopo, ad orari più o meno stabili, vengono puntualmente riinfettata
Ieri ho fatto fuori anche tutti i file temporanei con CCleaner... eppure oggi sono di nuovo punto e a capo
Il primo sito italiano sugli Evanescence!! http://amylee.altervista.org
^TaRa^
Utente Junior
 
Post: 42
Iscritto il: 04/07/03 21:30

Postdi ^TaRa^ » 14/02/05 20:40

Mi scuso per il doppio post ^^
Ma mi sono dimenticata di dire che in modalità provvisoria ho sempre manualmente eliminato se.dll e l'altra *.dll che si crea ogni volta
Il primo sito italiano sugli Evanescence!! http://amylee.altervista.org
^TaRa^
Utente Junior
 
Post: 42
Iscritto il: 04/07/03 21:30

Prossimo

Torna a Sicurezza e Privacy


Topic correlati a "Cancellare lo spyware SE.DLL e la sua Trusted Zone":


Chi c’è in linea

Visitano il forum: Nessuno e 38 ospiti