Je relance le défi car aucune solution n’a fonctionné malgré mon dernier forum sur le même sujet et la visite de sites en anglais : about:blank et se.dll reviennent régulièrement malgré : hijackthis, adaware, spybot, cwshredder, startdreck, norton AV, le tout en mode sans échec, en ayant supprimé les fichiers windows/temp, et même fait pandasoftware qui m’a tué des virus non détecté par norton AV.
J’ai trouvé des conseils (vains) sur cette page :
http://www.bleepingcomputer.com/forums/topict4222.html
et je viens de trouver ceci sur un autre site anglais mais que j’ai du mal à interpréter :
[i]I think I’ve found the solution to this nagging problem. This was after much study and realizing that this thing was embedding itself deeper than the registry… no Spy Checker, or Hijacker… can solve this, only brute force… similar to the brute way this thing inserted itself to begin with…
The “se.dll” problem is embbeded deeper in the startup of Windows. The culprit is a ‘window hook’ called “won.—” located in the Windows/ directory. Use Dr. Watson to verify this. This hook intercepts all window activity and periodically recreates the temp/se.dll pest that’s been bothering everone in the internet these days, if it is missing or has been deliberately corrupted, which in turn creates the random message generator located in the /system directory and loaded as a Browser Helper Object. This nasty hook also modifies the Registry with the home page and BHO overwrites.
Booting Windows to “Safe” mode does not work, because this ugly critter loads with the Basic load, before loading the registry.
To remove, you have to DOS boot (or create a “Startup Disk” from the “add/Remove Programs” utility). Re-Boot without starting windows, delete or rename “Windows/won.—”. Remove DOS boot diskette, Reboot to windows. You will receive a RunDLL error (saying it cannot find “won.—” on the first boot, but after it will go away after further reboots. Any further problems with SE.DLL should go away and your interaction with windows should be faster since your keystrokes are no longer intercepted by “won.—”. Hope that helps![/i]
Voilà… j’ai regardé : je n’ai pas de répertoire windows/won dans mon Explorateur, et je ne suis pas assez bon pour comprendre cette histoire de startup disk et de rebooter sans démarrer windows…
voici résultat de hijackthis et mon ordi semble propre, mais je sais que dans quelques surfs, se.dll reviendra…
Logfile of HijackThis v1.99.1
Scan saved at 00:17:44, on 14/03/04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE
C:\WINDOWS\EXPLORER.EXE
C:\PROGRAM FILES\NORTON ANTIVIRUS\NAVAPW32.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAM FILES\ZONE LABS\ZONEALARM\ZLCLIENT.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE
C:\PROGRAM FILES\MICROSOFT OFFICE\OFFICE\WINWORD.EXE
C:\PROGRAM FILES\HIJACKTHIS\HIJACKTHIS.EXE
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://actualite.free.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://home.free.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = www.free.fr
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://free.fr
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = ;
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Popup Manager - {08E74C67-99A6-45C7-94DA-A397A8FD8082} - C:\PROGRAM FILES\POPUP MANAGER\POPUPMGR_1.0.2.1P.DLL
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM…\Run: [NAV Agent] C:\PROGRA~1\NORTO~10\NAVAPW32.EXE
O4 - HKLM…\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMON.EXE
O4 - HKLM…\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM…\Run: [SystemTray] SysTray.Exe
O4 - HKLM…\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM…\Run: [Zone Labs Client] “C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe”
O4 - HKLM…\RunServices: [ScriptBlocking] “C:\Program Files\Fichiers communs\Symantec Shared\Script Blocking\SBServ.exe” -reg
O4 - HKLM…\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service
O14 - IERESET.INF: START_PAGE_URL=http://home.free.fr/
O15 - Trusted IP range: 206.161.125.149 (HKLM)
j’ai un doute sur C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE car quand se.dll revient, dans le gestionnaire de tache j’ai déja vu apparaitre plusieurs fois la ligne “Iexplore”, et aussi je n’arrive pas à virer O15 - Trusted IP range: 206.161.125.149 (HKLM), ce site n’apparait pas dans la liste des sites autorisés ou interdits (dans options internet/sécurité) et j’ignore ce que c’est.
Que dire de plus :
- j’ai W98 sur lequel on ne peut pas désactiver la Restauration Système je crois (je ne sais pas trop ce que ca veut dire)
- se.dll revient comme ça : l’ordi fonctionne normalement pendant 1 ou 2 jours, je surfe, tout va bien, puis soudain, quand je demande l’Explorateur, ça me sort une alerte de virus en disant que se.dll est infecté, je le mets alors en quarantaine via norton AV.
Merci à celui qui aura eu le courage de lire, de comprendre, et peut-être qui trouvera LA solution.