Condividi:        

Cancellare lo spyware SE.DLL e la sua Trusted Zone

Come rimuovere virus e spyware? Le carte di credito sono davvero sicure in rete? È possibile navigare anonimi? Con quali programmi tutelare la propria privacy? Come proteggere i file importanti? Se volete una risposta a queste e altre domande questo è il luogo giusto!

Moderatori: m.paolo, kadosh, Luke57

Postdi Dylan666 » 15/02/05 15:00

Scusa ma non capisco: elimina il valore con HT in modalità provvisoria

Resetti e tenti di cancellare il file sempre in modalità provvisoria


Così la DLL risulta in uso?
Avatar utente
Dylan666
Moderatore
 
Post: 40118
Iscritto il: 18/11/03 16:46

Sponsor
 

Postdi Kenny » 15/02/05 15:17

Si...allora apro il pc in modalità provvisori, faccio partire HT selezione le voci cje devo eliminare..se.sll clicco si fix...riavvio il pc in modalità provisoria, faccio ripartire Ht ed ecco nuovamente se.sll è amcora presente...se vado nei file tem dove c'è e cerco di eliminarla mi dice che è impossibile.

Ricordo che anche prima mi diceva che ra impossibile solo che dopo avere scritto "msconfig" in esegui ed essere andato in quel pannello e deselezionato la voce SP potevo eliminarla...almeno ieri ho fatto cosi.
Adesso in quel pannello che si apre da esegui c'è un altra voce SP, ce ne stanno due una selezionata l'altra deselezionata...anche se la deseleziono, quando riavvio è sempre selezionata e quindi se.sll mi rimane sempre utilizzata e quindi impossibile da eliminare. non so se è giusto ma credo ke sia questo il problema adesso.
Kenny
Utente Senior
 
Post: 233
Iscritto il: 28/01/05 01:44

Postdi Dylan666 » 15/02/05 15:33

A me pare veramente strano che la DLL risulti in uso e si ricrei dalla modalità provvisoria...

Comunque guarda questa pagina:
http://www.iamnotageek.com/a/395-p1.php
Avatar utente
Dylan666
Moderatore
 
Post: 40118
Iscritto il: 18/11/03 16:46

Postdi Kenny » 15/02/05 15:56

Dylan666 ha scritto:A me pare veramente strano che la DLL risulti in uso e si ricrei dalla modalità provvisoria...

Comunque guarda questa pagina:
http://www.iamnotageek.com/a/395-p1.php


Si l'avevo letto ma non ho nulla di quelle cose che elnca...ma non ti sembra strano che si crea un altro SP? Che non so che sia tral'latro...e che non posso deselezionarlo? cioè lo deseleziono ma quando riavvio e selezionato...cè qualcosa che me lo riseleziona appena riavvio il pc...anke in modalità priovvisoria!!! :undecided:
Kenny
Utente Senior
 
Post: 233
Iscritto il: 28/01/05 01:44

Postdi Dylan666 » 15/02/05 16:02

Mi posti il log di ora per favore?
Avatar utente
Dylan666
Moderatore
 
Post: 40118
Iscritto il: 18/11/03 16:46

Postdi Dylan666 » 15/02/05 16:05

Oppure fai una bella cosa e basta: scarica il Process Explorer, trova il processo che usa la DLL, uccidilo e elimina questo maledetto file. Poi togli le solite chiavi.
Avatar utente
Dylan666
Moderatore
 
Post: 40118
Iscritto il: 18/11/03 16:46

Postdi Kenny » 15/02/05 16:35

non so se ho fatto giusto ma mi porta rundll32.exe...sarà usato da rundll?
Kenny
Utente Senior
 
Post: 233
Iscritto il: 28/01/05 01:44

Postdi Dylan666 » 15/02/05 16:43

Non ho capito molto cosa vuoi dire...
Il tuo log era:

O4 - HKLM\..\Run: [sp] rundll32 C:\WINDOWS\TEMP\SE.DLL,DllInstall

Allora rundll32 (processo normale e di sistema) avviava il file DLL. Per cancellare quest'ultimo abbiamo temporaneamente terminato il processo rundll32.
Tutto qui.
Avatar utente
Dylan666
Moderatore
 
Post: 40118
Iscritto il: 18/11/03 16:46

Postdi Kenny » 15/02/05 17:13

Dylan666 ha scritto:Non ho capito molto cosa vuoi dire...
Il tuo log era:

O4 - HKLM\..\Run: [sp] rundll32 C:\WINDOWS\TEMP\SE.DLL,DllInstall

Allora rundll32 (processo normale e di sistema) avviava il file DLL. Per cancellare quest'ultimo abbiamo temporaneamente terminato il processo rundll32.
Tutto qui.


Ma il fatto è ke non si disabilita rundll32...non capisco piu nulla!
Kenny
Utente Senior
 
Post: 233
Iscritto il: 28/01/05 01:44

Postdi Dylan666 » 15/02/05 17:25

Non capisci perchè non leggi: ho mai scritto "disabilitare rundll32"?

No, io ho setto di terminare quel processo con il Process Explorer e di cancellare file e chiavi di SE.DLL
Avatar utente
Dylan666
Moderatore
 
Post: 40118
Iscritto il: 18/11/03 16:46

Postdi Kenny » 15/02/05 17:28

Dylan666 ha scritto:Non capisci perchè non leggi: ho mai scritto "disabilitare rundll32"?

No, io ho setto di terminare quel processo con il Process Explorer e di cancellare file e chiavi di SE.DLL


ah scisa non avevo capito... :D
quindi apro questo nuovo programma termino rundll ed elimno le kiavi e tutto il resto....
ok...sempre in modaòlità provvisoria?
Kenny
Utente Senior
 
Post: 233
Iscritto il: 28/01/05 01:44

Postdi Dylan666 » 15/02/05 17:34

Dovrebbe essere lo stesso se in modalità provvisoria o no. Forse in provvisoria crei meno casini terminando quel processo.
Avatar utente
Dylan666
Moderatore
 
Post: 40118
Iscritto il: 18/11/03 16:46

Postdi Bronzo » 15/02/05 19:48

Noto che siamo tutti nella stesa barca! se.dll ci sta facendo impazzire.
Il fatto è proprio questo, che dopo due o tre riavvii resuscita se.dll attivato sa un comando di rundll32, che prevede se.dll,DllInstall... quindi installa nuovamente se.dll. Subito dopo si attiva un'altra library con nome sempre diverso in System, e si attiva in msconfig il comando "sp". Eliminando tutto in modalità provvisoria e facendo scansioni torna tutto a posto, fino ai prossimi riavvii.

Si potrebbe provare con starup monitor?

---
Bronzo
Utente Junior
 
Post: 36
Iscritto il: 15/02/05 12:21

Postdi Kenny » 15/02/05 19:50

Eccomi qui...prima di inziare volevo ringraziarti..a quest'ora avrei dovuto formattare tutto e perdere quasi ogni cosa o mettermi a salvare tutto su cd...
Speriamo ke il problema si risolve...

allora sono riuscito ad eliminare se.dll e tutte le cose a lei allegate...
ho fatto uno scan con spybot e mi portava due cose un webdiale ke è quello ke mi crea problemi e un altra cosa che è stata eliminata con successo.

sto webdialer lo caccia faccio ripartire il programma in modalità provvisoris, anche prima era in provvisoria, e non esiste piu'.
Faccio ripartire il pc in modalità normale avvio spybort ed ecco il web dialer ancora presente. Si trova in

DSO Exploit: Data source object exploit (Modifica al registro, nothing done)
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3


che però non esiste in quella cartella...esiste 1004 ma 1004!=W=3 non cè...

posto il log di quando non mi dava questo file infetto e di quando poi me l'ha dato...


Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\HIJACKTHIS\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.it
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [NAV DefAlert] C:\PROGRA~1\NORTON~1\DEFALERT.EXE
O4 - HKLM\..\Run: [Norton Auto-Protect] C:\PROGRA~1\NORTON~1\NAVAPW32.EXE /LOADQUIET
O4 - HKLM\..\Run: [CnxTrApp] rundll32.exe C:\WINDOWS\Pirelli.USB\CnxTrApp.dll,AppEntryA -REG "Pirelli\Access Gateway USB"
O4 - HKLM\..\Run: [WinampAgent] "C:\PROGRAMMI\WINAMP\WINAMPa.exe"
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [CamMonitor] C:\Programmi\Hewlett-Packard\Digital Imaging\\Unload\hpqcmon.exe
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programmi\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime
O4 - HKLM\..\Run: [MSConfigReminder] C:\WINDOWS\SYSTEM\msconfig.exe /reminder
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKLM\..\RunServices: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\RunOnce: [SpybotSnD] "C:\PROGRAMMI\SPYBOT - SEARCH & DESTROY\SPYBOTSD.EXE" /autocheck
O4 - HKCU\..\Run: [msnmsgr] "C:\PROGRAMMI\MSN MESSENGER\MSNMSGR.EXE" /background
O4 - HKCU\..\RunServices: [msnmsgr] "C:\PROGRAMMI\MSN MESSENGER\MSNMSGR.EXE" /background
O4 - Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O15 - Trusted IP range: 67.19.185.246 (HKLM)
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnme ... loader.cab

Quella in nero mi sembra la causa...perchè se chiedo a HT cos'è mi dice che è un file di Trusted Zone e zone è la cartella in cui si trova quel file...
Posto il log dopo aver fatto il riavvio e quando mi aha rimesso quel file infetto...non so se sia diverso...

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMMI\NORTON ANTIVIRUS\NAVAPW32.EXE
C:\WINDOWS\RUNDLL32.EXE
C:\PROGRAMMI\WINAMP\WINAMPA.EXE
C:\WINDOWS\LOADQM.EXE
C:\PROGRAMMI\HEWLETT-PACKARD\DIGITAL IMAGING\UNLOAD\HPQCMON.EXE
C:\PROGRAMMI\HEWLETT-PACKARD\HP SHARE-TO-WEB\HPGS2WND.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMMI\HEWLETT-PACKARD\HP SHARE-TO-WEB\HPGS2WNF.EXE
C:\PROGRAMMI\MSN MESSENGER\MSNMSGR.EXE
C:\WINDOWS\NOTEPAD.EXE
C:\HIJACKTHIS\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.it
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [NAV DefAlert] C:\PROGRA~1\NORTON~1\DEFALERT.EXE
O4 - HKLM\..\Run: [Norton Auto-Protect] C:\PROGRA~1\NORTON~1\NAVAPW32.EXE /LOADQUIET
O4 - HKLM\..\Run: [CnxTrApp] rundll32.exe C:\WINDOWS\Pirelli.USB\CnxTrApp.dll,AppEntryA -REG "Pirelli\Access Gateway USB"
O4 - HKLM\..\Run: [WinampAgent] "C:\PROGRAMMI\WINAMP\WINAMPa.exe"
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [CamMonitor] C:\Programmi\Hewlett-Packard\Digital Imaging\\Unload\hpqcmon.exe
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programmi\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime
O4 - HKLM\..\Run: [MSConfigReminder] C:\WINDOWS\SYSTEM\msconfig.exe /reminder
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKLM\..\RunServices: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKCU\..\Run: [msnmsgr] "C:\PROGRAMMI\MSN MESSENGER\MSNMSGR.EXE" /background
O4 - Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O15 - Trusted IP range: 67.19.185.246 (HKLM)
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnme ... loader.cab
Kenny
Utente Senior
 
Post: 233
Iscritto il: 28/01/05 01:44

Postdi Dylan666 » 15/02/05 20:01

Il log di HT evidenzia (oltre al falso positivo) solo questo, che va sicuramente eliminato:

O15 - Trusted IP range: 67.19.185.246 (HKLM)

Mentre per il DSO Exploit leggi qui:
http://www.pc-facile.com/forum/viewtopi ... oit+spybot
Avatar utente
Dylan666
Moderatore
 
Post: 40118
Iscritto il: 18/11/03 16:46

Postdi Dylan666 » 15/02/05 20:01

Bronzo ha scritto:Si potrebbe provare con starup monitor?


No, usa la soluzione del Process Explorer
Avatar utente
Dylan666
Moderatore
 
Post: 40118
Iscritto il: 18/11/03 16:46

Postdi Bronzo » 15/02/05 20:04

Allego il mio logfile, così è possibile far una comparazione.
Devo essere sincero però, i programmi .exe che in hijackthis non vedevo (visulaizzando la sua finestra) non li ho controllati quindi non so se fra di essi vi sia il colpevole!
Mprexe.exe?

---

Logfile of HijackThis v1.99.0
Scan saved at 19.58.00, on 15/02/05
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\PROGRAMMI\FILE COMUNI\SYMANTEC SHARED\CCSETMGR.EXE
C:\PROGRAMMI\FILE COMUNI\SYMANTEC SHARED\CCEVTMGR.EXE
C:\PROGRAMMI\NORTON ANTIVIRUS\IWP\NPFMNTOR.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMMI\HEWLETT-PACKARD\HP SHARE-TO-WEB\HPGS2WND.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\PROGRAMMI\HEWLETT-PACKARD\HP SHARE-TO-WEB\HPGS2WNF.EXE
C:\LOGITECH\MOUSE\SYSTEM\EM_EXEC.EXE
C:\WINDOWS\SYSTEM32\DRIVERS\KODAKCCS.EXE
C:\PROGRAMMI\FILE COMUNI\SYMANTEC SHARED\CCPD-LC\SYMLCSVC.EXE
C:\PROGRAMMI\FILE COMUNI\SYMANTEC SHARED\CCAPP.EXE
C:\PROGRAMMI\KODAK\KODAK EASYSHARE SOFTWARE\BIN\EASYSHARE.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMMI\FILE COMUNI\SYMANTEC SHARED\SNDSRVC.EXE
C:\PROGRAMMI\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\PROGRAMMI\WINZIP\WINZIP32.EXE
C:\PROGRAMMI\ANTI SPY\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMMI\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programmi\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [EM_EXEC] c:\logitech\mouse\system\em_exec.exe
O4 - HKLM\..\Run: [KodakCCS] C:\WINDOWS\System32\Drivers\KodakCCS.exe
O4 - HKLM\..\Run: [Symantec Core LC] C:\Programmi\File comuni\Symantec Shared\CCPD-LC\symlcsvc.exe start
O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMON.EXE
O4 - HKLM\..\Run: [Run StartupMonitor] StartupMonitor.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [ccSetMgr] "C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe"
O4 - HKLM\..\RunServices: [ccEvtMgr] "C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe"
O4 - HKLM\..\RunServices: [NPFMonitor] C:\Programmi\Norton AntiVirus\IWP\NPFMntor.exe
O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Programmi\File comuni\Symantec Shared\Script Blocking\SBServ.exe" -reg
O4 - Startup: Collegamento a Microsoft Outlook.lnk = ?
O4 - Startup: Kodak EasyShare software.lnk = C:\WINDOWS\Application Data\Microsoft\Installer\{9D8FEE90-0377-49A9-AEFB-525BDE549BA4}\NewShortcut1.exe
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/1112ab12486 ... 601_it.cab
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = ...PRIVACY! (L'ho scritto io)
Bronzo
Utente Junior
 
Post: 36
Iscritto il: 15/02/05 12:21

Postdi Dylan666 » 15/02/05 20:09

L'analisi sul sito (che avresti anche potuto fare da solo) non evidenzia voci sospette
Avatar utente
Dylan666
Moderatore
 
Post: 40118
Iscritto il: 18/11/03 16:46

Postdi Bronzo » 15/02/05 20:14

Sai quante volte l'ho fatta?! Ti ho postato il logfile come è ora, dopo aver bonificato manualmente il tutto, ma non ho ancora riavviato il sistema, che come anticipavo prima, dopo due o tre volte, resuscita se.dll!
Con process monitor ho trovato una cosa strana:

C:\PROGRAMMI\HEWLETT-PACKARD\HP SHARE-TO-WEB\HPGS2WND.EXE

C:\PROGRAMMI\HEWLETT-PACKARD\HP SHARE-TO-WEB\HPGS2WNF.EXE

la prima voce mi dice essere effettivamente di HP, ma la seconda, al posto del nome di company name, indica "$"... in più nelle voci della finestra sottostante indica questo termine che mi suona "inquietante":

fileallocatorMutex .... dice niente?
Bronzo
Utente Junior
 
Post: 36
Iscritto il: 15/02/05 12:21

Postdi Dylan666 » 15/02/05 20:30

Inquietante non direi, certe volte capita.
Per Mprexe(intendevi quello con Mutex?) il sito di analisi del LOG dice una cosa in tedesco, comunque fa il segno verde, se ti servono più info cerca su Google.

Per SE.DLL non ho capito se ti è sfuggito che abbiamo trovato come cancellare il file e la chiave...
Avatar utente
Dylan666
Moderatore
 
Post: 40118
Iscritto il: 18/11/03 16:46

PrecedenteProssimo

Torna a Sicurezza e Privacy


Topic correlati a "Cancellare lo spyware SE.DLL e la sua Trusted Zone":


Chi c’è in linea

Visitano il forum: Nessuno e 26 ospiti

cron