Se.dll ( résolu )

Denturo · Mars 18, 2005, 12:43

Salut la gang…
J’ai un problème avec mon ie6…
Suite à une infection au virus Trojan Downloader mon ie ne fonctionne plus. Il y a un fichier infecté qui a été détruit je crois.
Je veux le désinstaller et le réinstaller mais je ne sais pas comment le désinstaller…
Est-ce que quelqu’un peut m’aider S.V.P.

westernunion · Mars 18, 2005, 9:44

c’est pas trop comme ça qu’IE va refonctionner, tu risques le crash

fait un scan online et copie/colle le rapport ici (si tu veux)/ et désactive ton antivirus le temps d’effectuer le scan
http://www.ravantivirus.com (RAV Anti-Virus)

ensuite fait un log Hijackthis
Hjck 1.99.1

Le mettre dans 1 dossier : C:\HijackThis
Le lancer -> Scan -> Save log
Récupérer ce log/texte avec le bloc-notes.
Le copier/coller (ici)

_Ric_1_1 · Mars 18, 2005, 11:58

Sinon pour réparer/réinstaller ton IE tu peux essayer avec la dernière version de powerIE6

Denturo · Mars 20, 2005, 5:10

Désolé ravantivirus est fermé depuis 2003, impossible de télécharger
Merci
Avec Hikackthis des lignes R1 qui sont pas bonnes dont HOMEOLDSP:about blank qui est la cause de tout mais même lorsque détruit revient toujours

Logfile of HijackThis v1.98.2
Scan saved at 23:11:42, on 03/19/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\DVDRAMSV.EXE
C:\Program Files\Fichiers communs\EPSON\EBAPI\eEBSVC.exe
C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
C:\WINDOWS\system32\gearsec.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Fichiers communs\Logitech\QCDriver\LVCOMS.EXE
C:\FlashEnc\FlashEnc.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\SIERRA\Planner\PLNRnote.exe
C:\WINDOWS\system32\RAMASST.exe
C:\Program Files\Microsoft AntiSpyware\gcasDtServ.exe
C:\Program Files\Microsoft AntiSpyware\gcasServ.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
D:\divers\ficiers exe\Anti Spyware\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\PROPRI~1\LOCALS~1\Temp\se.dll/sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\PROPRI~1\LOCALS~1\Temp\se.dll/sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = boisfrancs.qc.ca
R1 - HKLM\Software\Microsoft\Internet Explorer\SearchURL,(Default) = boisfrancs.qc.ca
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: (no name) - 3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
R3 - URLSearchHook: (no name) - 3 - URLSearchHook: (no name) - 3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
R3 - URLSearchHook: (no name) - {C12B4EC1-1F65-11D3-91CA-00104B9C4765} - C:\Program Files\Copernic 2000\CopernicFind.dll
O2 - BHO: DownloadRedirect Class - {00000000-6CB0-410C-8C3D-8FA8D2011D0A} - C:\Program Files\iMesh\iMesh5\iMeshBHO.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll (file missing)
O2 - BHO: (no name) - {7A64FE60-47C9-49BF-9682-804179159242} - C:\WINDOWS\system32\jopfac.dll
O2 - BHO: C:\WINDOWS\lbbho.dll - {93329204-434E-430F-8908-002E0B029DF1} - C:\WINDOWS\lbbho.dll
O4 - HKLM…\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM…\Run: [LVCOMS] C:\Program Files\Fichiers communs\Logitech\QCDriver\LVCOMS.EXE
O4 - HKLM…\Run: [FlashEnc] c:\FlashEnc\FlashEnc.exe
O4 - HKLM…\Run: [KAV50] “C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro 5\kav.exe” -run -n PersonalPro -v 5.0.0.0
O4 - HKLM…\Run: [websx] C:\Program Files\websx\int51828.exe -auto
O4 - HKLM…\Run: [gcasServ] “C:\Program Files\Microsoft AntiSpyware\gcasServ.exe”
O4 - HKLM…\Run: [QuickTime Task] “C:\Program Files\QuickTime\qttask.exe” -atboottime
O4 - HKLM…\Run: [sp] rundll32 C:\DOCUME~1\PROPRI~1\LOCALS~1\Temp\se.dll,DllInstall
O4 - HKCU…\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Event Planner Reminders Tray Icon.lnk = C:\SIERRA\Planner\PLNRnote.exe
O4 - Global Startup: RAMASST.lnk = C:\WINDOWS\system32\RAMASST.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Chercher avec Copernic - file://C:\Program Files\Copernic 2000\Search Extension.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra ‘Tools’ menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: (no name) - {2A465934-E5F0-11D2-91B5-00104B9C4765} - C:\Program Files\Copernic 2000\Copernic.exe
O9 - Extra ‘Tools’ menuitem: Lancer Copernic - {2A465934-E5F0-11D2-91B5-00104B9C4765} - C:\Program Files\Copernic 2000\Copernic.exe
O9 - Extra button: Copernic - {2A465936-E5F0-11D2-91B5-00104B9C4765} - C:\Program Files\Copernic 2000\Copernic.exe
O9 - Extra button: ATI TV - {44226DFF-747E-4edc-B30C-78752E50CD0C} - C:\Program Files\ATI Multimedia\tv\EXPLBAR.DLL (file missing)
O9 - Extra button: Traduire - {99EFB53C-C965-43CF-9F45-52242D134187} - file://C:\Program Files\Copernic 2000\Translate.htm
O9 - Extra ‘Tools’ menuitem: &Traduire avec Gist-In-Time - {99EFB53C-C965-43CF-9F45-52242D134187} - file://C:\Program Files\Copernic 2000\Translate.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra ‘Tools’ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: Ebates - {6685509E-B47B-4f47-8E16-9A5F3A62F683} - file://C:\Program Files\Ebates_MoeMoneyMaker\Sy350\Tp350\scri350a.htm (file missing) (HKCU)
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=34738&clcid=0x409
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab31267.cab
O16 - DPF: {E6187999-9FEC-46A1-A20F-F4CA977D5643} (ZoneChess Object) - http://messenger.zone.msn.com/binary/Chess.cab31267.cab
O17 - HKLM\System\CCS\Services\Tcpip…{326B957E-91A1-450B-91D9-BA56075D3FC2}: NameServer = 207.253.52.2 205.151.222.250
O18 - Filter: text/html - {81D6512E-7542-4BF7-AF5F-3181CD834BA1} - C:\WINDOWS\system32\jopfac.dll
O18 - Filter: text/plain - {81D6512E-7542-4BF7-AF5F-3181CD834BA1} - C:\WINDOWS\system32\jopfac.dll

Fabolous · Mars 20, 2005, 9:06

+1
pour 1 fois que tu sors pas 1 connerie… [:merlot]
[:superguipom]

westernunion · Mars 20, 2005, 11:23

se.dll a encore frappé, bienvenue au club :pt1cable:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\PROPRI~1\LOCALS~1\Temp\se.dll/sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\PROPRI~1\LOCALS~1\Temp\se.dll/sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

R3 - URLSearchHook: (no name) - 3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
R3 - URLSearchHook: (no name) - 3 - URLSearchHook: (no name) -3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
(à mon avis, tu as copié/collé 2 fois la même)

O2 - BHO: DownloadRedirect Class - {00000000-6CB0-410C-8C3D-8FA8D2011D0A} - C:\Program Files<–voir ici et supp le programme–>iMesh\iMesh5\iMeshBHO.dll <–spyware iMesh p2p
http://castlecops.com/clsid-1282.html
O2 - BHO: (no name) - {7A64FE60-47C9-49BF-9682-804179159242} - C:\WINDOWS\system32[b]jopfac.dll[/b]
O2 - BHO: C:\WINDOWS\lbbho.dll - {93329204-434E-430F-8908-002E0B029DF1} - C:\WINDOWS[b]lbbho.dll<–adware[/b]
http://castlecops.com/clsid-1269.html

les lignes 04
1) CTRL/ALT/SUPP : arrête ces programmes
2) tu repasses sur le log et tu fixes

O4 - HKLM…\Run: [websx] C:\Program Files(<–situé dans/fixer+supp)\websx\int51828.exe -auto <–Adult dialler
O4 - HKLM…\Run: [sp] rundll32 C:\DOCUME~1\PROPRI~1\LOCALS~1\Temp\se.dll,DllInstall

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http$://go.microsoft.com/fwlink/?linkid=34738&clcid=0x409

O18 - Filter: text/html - {81D6512E-7542-4BF7-AF5F-3181CD834BA1} - C:\WINDOWS\system32\jopfac.dll
O18 - Filter: text/plain - {81D6512E-7542-4BF7-AF5F-3181CD834BA1} - C:\WINDOWS\system32\jopfac.dll

il manque des lignes dans le log
O19/O20/022/023
et 1 Firewall

*ferme TOUS les programmes
*fixe les lignes trouvées dans l’hijack (coche chaque case & Fix Checked)
*ferme l’hijack
*reboot ton ordi
*nettoie le cache internet (options internet : supprimer cookies et fichiers temp) vide ta corbeille
*effectue un nettoyage de disque (démarrer/program./accessoires/outils système/répondre OK à TOUT)

avec la restau système désactivée (se.dll c’est une cata)

si les fix échouent, refaire en mode sans échec (restau système tjrs désactivée)

bon courage [:balon]

westernunion · Mars 20, 2005, 11:27

Désolé ravantivirus est fermé depuis 2003, impossible de télécharger <-- au fait, Denturo ??? [:merlot] 1ère nouvelle…

_Ric_1_1 · Mars 20, 2005, 11:51

[:yeoh] faut pas le télécharger, faut justefaire un scan en ligne et là ça marche !

Denturo · Mars 20, 2005, 5:03

Salut la gang
je récapitule…
En fait j’ai le même problème que jotave60 qui a mis un post sur problème avec se.dll sauf que moi c’est sur Windows XP familial.
J’ai fait hjt avec un log de plusieurs lignes pas bonnes…
Je fixe ce qui n’est pas bon…je ferme hjt et refait un nouveau scan avec hjt et les lignes reviennent sans cesse et cela même si je le fait en mode sans échec. Quand je fais cela mon antivirus Kaspersky pro 5.0 est désactivé et mon système restauration windows désactivé.

voici à nouveau mon log hjt.

Logfile of HijackThis v1.98.2
Scan saved at 10:16:35, on 03/20/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\DVDRAMSV.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Fichiers communs\Logitech\QCDriver\LVCOMS.EXE
C:\FlashEnc\FlashEnc.exe
C:\Program Files\Microsoft AntiSpyware\gcasServ.exe
C:\Program Files\Fichiers communs\EPSON\EBAPI\eEBSVC.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
C:\SIERRA\Planner\PLNRnote.exe
C:\WINDOWS\system32\RAMASST.exe
C:\Program Files\Microsoft AntiSpyware\gcasDtServ.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
D:\divers\ficiers exe\Anti Spyware\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\PROPRI~1\LOCALS~1\Temp\se.dll/sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\PROPRI~1\LOCALS~1\Temp\se.dll/sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = boisfrancs.qc.ca
R1 - HKLM\Software\Microsoft\Internet Explorer\SearchURL,(Default) = boisfrancs.qc.ca
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: (no name) - 3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
R3 - URLSearchHook: (no name) - 3 - URLSearchHook: (no name) - 3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: C:\WINDOWS\lbbho.dll - {93329204-434E-430F-8908-002E0B029DF1} - C:\WINDOWS\lbbho.dll
O2 - BHO: (no name) - {B09C9EE4-C517-4073-B5D7-982032948F58} - C:\WINDOWS\system32\jopfac.dll
O4 - HKLM…\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM…\Run: [LVCOMS] C:\Program Files\Fichiers communs\Logitech\QCDriver\LVCOMS.EXE
O4 - HKLM…\Run: [FlashEnc] c:\FlashEnc\FlashEnc.exe
O4 - HKLM…\Run: [KAV50] “C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro 5\kav.exe” -run -n PersonalPro -v 5.0.0.0
O4 - HKLM…\Run: [gcasServ] “C:\Program Files\Microsoft AntiSpyware\gcasServ.exe”
O4 - HKLM…\Run: [QuickTime Task] “C:\Program Files\QuickTime\qttask.exe” -atboottime
O4 - HKLM…\Run: [EbatesMoeMoneyMaker0] “C:\Program Files\Ebates_MoeMoneyMaker\EbatesMoeMoneyMaker0.exe”
O4 - HKLM…\Run: [sp] rundll32 C:\DOCUME~1\PROPRI~1\LOCALS~1\Temp\se.dll,DllInstall
O4 - HKCU…\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Event Planner Reminders Tray Icon.lnk = C:\SIERRA\Planner\PLNRnote.exe
O4 - Global Startup: RAMASST.lnk = C:\WINDOWS\system32\RAMASST.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Chercher avec Copernic - file://C:\Program Files\Copernic 2000\Search Extension.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra ‘Tools’ menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: (no name) - {2A465934-E5F0-11D2-91B5-00104B9C4765} - C:\Program Files\Copernic 2000\Copernic.exe
O9 - Extra ‘Tools’ menuitem: Lancer Copernic - {2A465934-E5F0-11D2-91B5-00104B9C4765} - C:\Program Files\Copernic 2000\Copernic.exe
O9 - Extra button: Copernic - {2A465936-E5F0-11D2-91B5-00104B9C4765} - C:\Program Files\Copernic 2000\Copernic.exe
O9 - Extra button: ATI TV - {44226DFF-747E-4edc-B30C-78752E50CD0C} - C:\Program Files\ATI Multimedia\tv\EXPLBAR.DLL (file missing)
O9 - Extra button: Traduire - {99EFB53C-C965-43CF-9F45-52242D134187} - file://C:\Program Files\Copernic 2000\Translate.htm
O9 - Extra ‘Tools’ menuitem: &Traduire avec Gist-In-Time - {99EFB53C-C965-43CF-9F45-52242D134187} - file://C:\Program Files\Copernic 2000\Translate.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra ‘Tools’ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: Ebates - {6685509E-B47B-4f47-8E16-9A5F3A62F683} - file://C:\Program Files\Ebates_MoeMoneyMaker\Sy350\Tp350\scri350a.htm (file missing) (HKCU)
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab31267.cab
O16 - DPF: {E6187999-9FEC-46A1-A20F-F4CA977D5643} (ZoneChess Object) - http://messenger.zone.msn.com/binary/Chess.cab31267.cab
O17 - HKLM\System\CCS\Services\Tcpip…{326B957E-91A1-450B-91D9-BA56075D3FC2}: NameServer = 207.253.52.2 205.151.222.250
O18 - Filter: text/html - {2C7C846B-FF8E-4BA4-BC66-EDFA23612BD4} - C:\WINDOWS\system32\jopfac.dll
O18 - Filter: text/plain - {2C7C846B-FF8E-4BA4-BC66-EDFA23612BD4} - C:\WINDOWS\system32\jopfac.dll

Ensuite je fais dllcompare
voici le log.

DLLCompare Log version(1.0.0.127)
Files Found that Windows does not See or cannot Access
*Not everything listed here means you are infected!

C:\WINDOWS\lbbho.dll Tue 2004-12-28 18:18:10 A.SH. 57 344 56,00 K
C:\WINDOWS\SYSTEM32\msckjk.dll Thu 2004-07-01 23:34:00 …R 57 344 56,00 K
C:\WINDOWS\SYSTEM32\rdocurs.dll Mon 2000-03-13 23:00:00 A.S… 151 552 148,00 K
C:\WINDOWS\SYSTEM32\msrdo20.dll Wed 2000-05-10 23:00:00 A.S… 397 312 388,00 K
C:\PROGRA~1\FICHIE~1\MICROS~1\DAO\dao350.dll Thu 1999-06-10 9:34:04 A.S… 570 128 556,77 K

8 917 items found: 8 917 files (4 H/S), 0 directories.
Total of file sizes: 2 147 183 278 bytes 1,99 G

Administrator Account = True

--------------------End log---------------------
et voici le log de silentrunners

“Silent Runners.vbs”, revision 32, http://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by “{++}”

Startup items buried in registry:

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
“@” = “D:\Recycler\WINLOGON.EXE 33173” [file not found]

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
“Default” = (no data)
“ATI Launchpad” = (no data)
“WebCamRT.exe” = (no data)
“ctfmon.exe” = “C:\WINDOWS\system32\ctfmon.exe” [MS]
“Steam” = (no data)

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
“ATIPTA” = “C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe” [“ATI Technologies, Inc.”]
“LVCOMS” = “C:\Program Files\Fichiers communs\Logitech\QCDriver\LVCOMS.EXE” [“Logitech Inc.”]
“FlashEnc” = “c:\FlashEnc\FlashEnc.exe” [empty string]
“KAV50” = ““C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro 5\kav.exe” -run -n PersonalPro -v 5.0.0.0” [“Kaspersky Lab”]
“gcasServ” = ““C:\Program Files\Microsoft AntiSpyware\gcasServ.exe”” [MS]
“QuickTime Task” = ““C:\Program Files\QuickTime\qttask.exe” -atboottime” [“Apple Computer, Inc.”]
“EbatesMoeMoneyMaker0” = ““C:\Program Files\Ebates_MoeMoneyMaker\EbatesMoeMoneyMaker0.exe”” [file not found]
“sp” = “rundll32 C:\DOCUME~1\PROPRI~1\LOCALS~1\Temp\se.dll,DllInstall” [MS]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\Setup\ {++}
EXECUTION UNLIKELY: “Aspi Update” = “C:\Temp\aspi32.exe” [file not found]

HKLM\Software\Microsoft\Active Setup\Installed Components\

{881dd1c5-3dcf-431b-b061-f3f88e8be88a}(Default) = “Outlook Express”
\StubPath = “C:\WINDOWS\system32\shmgrate.exe OCInstallUserConfigOE” [MS]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects
{93329204-434E-430F-8908-002E0B029DF1}(Default) = “C:\WINDOWS\lbbho.dll”
-> {CLSID}\InProcServer32(Default) = “C:\WINDOWS\lbbho.dll” [null data]
{B09C9EE4-C517-4073-B5D7-982032948F58}(Default) = (no title provided)
-> {CLSID}\InProcServer32(Default) = “C:\WINDOWS\system32\jopfac.dll” [null data]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved
“{42071714-76d4-11d1-8b24-00a0c9068ff3}” = “Extension Affichage Panorama du Panneau de configuration”
-> {CLSID}\InProcServer32(Default) = “deskpan.dll” [file not found]
“{88895560-9AA2-1069-930E-00AA0030EBC8}” = “Extension icône HyperTerminal”
-> {CLSID}\InProcServer32(Default) = “C:\WINDOWS\System32\hticons.dll” [file not found]
“{E0D79300-84BE-11CE-9641-444553540000}” = “WinZip”
-> {CLSID}\InProcServer32(Default) = “C:\PROGRA~1\WinZip\wzshlext.dll” [null data]
“{E0D79301-84BE-11CE-9641-444553540000}” = “WinZip”
-> {CLSID}\InProcServer32(Default) = “C:\PROGRA~1\WinZip\wzshlext.dll” [null data]
“{E0D79302-84BE-11CE-9641-444553540000}” = “WinZip”
-> {CLSID}\InProcServer32(Default) = “C:\PROGRA~1\WinZip\wzshlext.dll” [null data]
“{B41DB860-8EE4-11D2-9906-E49FADC173CA}” = “WinRAR shell extension”
-> {CLSID}\InProcServer32(Default) = “C:\Program Files\WinRAR\rarext.dll” [null data]
“{C56C4E21-706D-11d0-AFC5-444553540002}” = “Mon appareil photo numérique”
-> {CLSID}\InProcServer32(Default) = “C:\Program Files\Fichiers communs\FotoNation\camview.dll” [“FotoNation Inc.”]
“{42042206-2D85-11D3-8CFF-005004838597}” = “Microsoft Office HTML Icon Handler”
-> {CLSID}\InProcServer32(Default) = “C:\Program Files\Microsoft Office\Office10\msohev.dll” [MS]
“{0006F045-0000-0000-C000-000000000046}” = “Microsoft Outlook Custom Icon Handler”
-> {CLSID}\InProcServer32(Default) = “C:\Program Files\Microsoft Office\Office10\OLKFSTUB.DLL” [MS]
“{8FF88D21-7BD0-11D1-BFB7-00AA00262A11}” = “WinAce Archiver 2.11 Context Menu Shell Extension”
-> {CLSID}\InProcServer32(Default) = “C:\Program Files\WinAce\arcext.dll” [“e-merge GmbH”]
“{8FF88D25-7BD0-11D1-BFB7-00AA00262A11}” = “WinAce Archiver 2.11 DragDrop Shell Extension”
-> {CLSID}\InProcServer32(Default) = “C:\Program Files\WinAce\arcext.dll” [“e-merge GmbH”]
“{8FF88D27-7BD0-11D1-BFB7-00AA00262A11}” = “WinAce Archiver 2.11 Context Menu Shell Extension”
-> {CLSID}\InProcServer32(Default) = “C:\Program Files\WinAce\arcext.dll” [“e-merge GmbH”]
“{8FF88D23-7BD0-11D1-BFB7-00AA00262A11}” = “WinAce Archiver 2.11 Property Sheet Shell Extension”
-> {CLSID}\InProcServer32(Default) = “C:\Program Files\WinAce\arcext.dll” [“e-merge GmbH”]
“{0E6C58A9-F592-4862-B35F-CA45E24003B3}” = “CloneCD”
-> {CLSID}\InProcServer32(Default) = “C:\Program Files\Elaborate Bytes\CloneCD\ElbyVCDShell.dll” [“Elaborate Bytes”]
“{640167b4-59b0-47a6-b335-a6b3c0695aea}” = “Portable Media Devices”
-> {CLSID}\InProcServer32(Default) = “C:\WINDOWS\system32\Audiodev.dll” [MS]
“{cc86590a-b60a-48e6-996b-41d25ed39a1e}” = “Portable Media Devices Menu”
-> {CLSID}\InProcServer32(Default) = “C:\WINDOWS\system32\Audiodev.dll” [MS]

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
INFECTION WARNING! AtiExtEvent\DLLName = “Ati2evxx.dll” [“ATI Technologies Inc.”]

HKLM\Software\Classes\PROTOCOLS\Filter
INFECTION WARNING! text/html\CLSID = “{2C7C846B-FF8E-4BA4-BC66-EDFA23612BD4}”
-> {CLSID}\InProcServer32(Default) = “C:\WINDOWS\system32\jopfac.dll” [null data]
INFECTION WARNING! text/plain\CLSID = “{2C7C846B-FF8E-4BA4-BC66-EDFA23612BD4}”
-> {CLSID}\InProcServer32(Default) = “C:\WINDOWS\system32\jopfac.dll” [null data]

Startup items in “Propriétaire” & “All Users” startup folders:

C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage
“Event Planner Reminders Tray Icon” -> shortcut to: “C:\SIERRA\Planner\PLNRnote.exe” [“Sierra Online”]
“RAMASST” -> shortcut to: “C:\WINDOWS\system32\RAMASST.exe” [“Matsushita Electric Industrial Co., Ltd.”]

Enabled Scheduled Tasks:

“Symantec NetDetect” -> launches: “C:\Program Files\Symantec\LiveUpdate\NDETECT.EXE” [file not found]

Running Services (Display Name, Service Name, Path {Service DLL}):

Ati HotKey Poller, Ati HotKey Poller, “C:\WINDOWS\System32\Ati2evxx.exe” [“ATI Technologies Inc.”]
DVD-RAM_Service, DVD-RAM_Service, “C:\WINDOWS\system32\DVDRAMSV.EXE” [“Matsushita Electric Industrial Co., Ltd.”]
EPSON Printer Status Agent2, EPSONStatusAgent2, “C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe” [“SEIKO EPSON CORPORATION”]
EpsonBidirectionalService, EpsonBidirectionalService, “C:\Program Files\Fichiers communs\EPSON\EBAPI\eEBSVC.exe” [null data]
Machine Debug Manager, MDM, ““C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe”” [MS]
Windows User Mode Driver Framework, UMWdf, “C:\WINDOWS\system32\wdfmgr.exe” [MS]

Winsock2 Service Provider DLLs:

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = “%SystemRoot%\System32\mswsock.dll” [MS]
000000000002\LibraryPath = “%SystemRoot%\System32\winrnr.dll” [MS]
000000000003\LibraryPath = “%SystemRoot%\System32\mswsock.dll” [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 19
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05

This report excludes default entries except where indicated.
To see everywhere the script checks and everything it finds,
launch it from a command prompt or a shortcut with the -all parameter.

Bon, j’ai fait Killbox et tout est ok pour le host 127.0.0.1Maintenant voici le log de Aboutbuster

– Scan 1 ---------------------------
About:Buster Version 4.0
Reference List : 19

ADS not scanned System(FAT)
Attempted Clean Of Temp folder.
Pages Reset… Done!

– Scan 2 ---------------------------
About:Buster Version 4.0
Reference List : 19

ADS not scanned System(FAT)
Attempted Clean Of Temp folder.
Pages Reset… Done!

Je refait hjt je fixe les lignes pas bonnes et si je refais un autre scan avec hjt tout de suite après…rien n’a changé tout est revenu…

Je crois qu’il y a un prob. avec OLDSP dans les clés de registres…c’est peut-être lui qui fait toujours revenir about blank .
N.B. cwshredder n’a rien trouvé…

QUESTION:
Devrais-je arranger mes clés de registre avant de faire toutes ces manip?..Je sais que je peux corriger les lignes dans :
CURRENT USER et LOCAL MACHINE
sotware/microsoft/internet explorer/main.
Je l’ai déjà fait mais les lignes se replace toujours pareil même en mode sans échec…

PFFFFFFFFFFF…là je manque de ressource…
Merci à tous j’attends de vos nouvelles…
Comme je dis toujours…à la gang on sait tout…suffit de s’écrire…
[:denturo]

westernunion · Mars 20, 2005, 5:18

c’est la zute complète ce truc “se.dll”

tu as essayé d’éditer directement dans la BdR ?

R1 - HKCU\Software\Microsoft\Internet Explorer[b]Main,Search Bar[/b] = res://C:\DOCUME~1\PROPRI~1\LOCALS~1\Temp\se.dll/sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer[b]Main,Search Page [/b]= about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer[b]Main,Start Page[/b] = about:blank

ensuite hors connexion de relancer Hijack et de refixer les lignes?

revérifier le fichier Host et les sites interdit/de confiance/ etc… dans Int.Explorer (options internet/onglet sécurité et onglet confidentialité)

Denturo · Mars 20, 2005, 5:30

oui je l’ai fait et ca revient toujours…j’ai déjà eu le prob. avec trojan downloader et j’avais réglé le prob. en installant nouvelle version de ie. (c’était ie6 ) mais là je n’ai pas de nouvelle version.
De plus tu m’as que désinstaller et réinstaller ie6 c’était dangerous…
Dans int.Explorer/options il n’y a rien d’inscrit tout est par défaut.
Merci

westernunion · Mars 20, 2005, 5:47

sur un forum avec se.dll + Power IE6 ça a été la cata complète, IE a disparu… et impossible pour le gars de le réinstaller = format!

Tu as essayé de demander de l’aide chez Kaspersky? pour le moment dans les forums, je n’ai rien vu de nouveau, sauf des nouveaux posts pour “se.dll”

il parait qu’Antivir l’erradique, tu peux tjrs tenter c’est une version gratuite : hors connexion/faire un scan avec Antivir (désactiver Kasper le temps du scan)- relancer Hijack/refixer/vider le cache + la corbeille

Denturo · Mars 20, 2005, 5:50

ok je tente de nouveau et je donne des nouvelles…
Merci encore Westernunion…[:denturo]

Denturo · Mars 20, 2005, 6:14

Je vais sur le site de ravantivirus mais la je ne sais pas quoi faire. On me dit de faire un scan online et lorsque j’essai de downloader Gecad mo iexplore.exe plante à tout coup…
Que dois-je faire ???

westernunion · Mars 20, 2005, 6:21

mais où tu vas sur le site toi?

RAV Outbreak Security Service!
RAV AntiVirus is offering you a free subscription to RAV Outbreak Security Service. You will receive special reports for brand new wide spread viruses.
To start scanning your system at no cost, just enter your email address and -->click Continue.

westernunion · Mars 20, 2005, 6:28

Pour se.dll, si tu veux employer la TOTALE…ce qui a marché pour certains qui ont résistés au format :
Xoftspy+ Adware away+ CWShredder+ spybot 1.3+Ad-aware SE +SpywareBlaster + éditer la BdR selon l’indication d’Hijack

des infos :
http://www.pchell.com/support/aboutblank.shtml

Keeper · Mars 20, 2005, 6:32

western

Denturo , se.dll polue google :sarcastic:

dans votre cas Denturo votre version de HijackThis n’est plus à jour, vous touverez la nouvelle version ici : http://www.spywareinfo.com/~merijn/index.htm

c’est possible avoir des nouveaux .logs : HijackThis, Dllcompare puis ne rien faire :o

westernunion · Mars 20, 2005, 6:39

keeper se.dll est le fléau international depuis des mois! de la folie pure ce truc! http://www.touslessmileys.com/smiley-id-1491.gif

Keeper · Mars 20, 2005, 6:54

yep, me suis interesse au sujet mais rien de concret a vrais dire pourtemp les sujet entant resolus
quoiq’ilensoit l’histoire n’est pas facile http://www.touslessmileys.com/smiley-id-1491.gif < c lol [:fscalda]

Souralloy · Mars 20, 2005, 7:26

Salut Denturo,
Salut les petits soldats
Je me rejoins à vous pour être toujours à la mode

@Denturo :
A ton dernier log HJT, en plus de se.dll, tu avais aussi d’autres bestioles (EbatesMoeMoneyMaker0.exe par exemple). Peux-tu poster le dernier log (avec HJT à jour - 1.9.1) ?

Est-ce que tu peux faire ça ?

Ouvrir une invite de commande :
Démarrer -> Exécuter -> cmd -> OK
tapes ces lignes dans l’invite, valide après chacune :
C:
cd \DOCUME~1\PROPRI~1\LOCALS~1\Temp
regsvr32 /u se.dll
del se.dll
si tu as un message d’erreur, poste la capture d’écran

Si ça marche, en attendant LA solution, on pourrait tenter une suppression manuelle à chaque reboot.

Voilà pour l’instant.