Se.dll ( résolu )

Voici mon nouveau log hjt

Logfile of HijackThis v1.99.1
Scan saved at 19:34:07, on 03/20/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\DVDRAMSV.EXE
C:\Program Files\Fichiers communs\EPSON\EBAPI\eEBSVC.exe
C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro 5\kavmm.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Fichiers communs\Logitech\QCDriver\LVCOMS.EXE
C:\FlashEnc\FlashEnc.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro 5\kav.exe
C:\Program Files\Microsoft AntiSpyware\gcasServ.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\SIERRA\Planner\PLNRnote.exe
C:\WINDOWS\system32\RAMASST.exe
C:\Program Files\Microsoft AntiSpyware\gcasDtServ.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\cmd.exe
C:\Program Files\Microsoft Office\Office10\WINWORD.EXE
D:\divers\ficiers exe\Anti Spyware\Hijackthis\HijackThis2.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\PROPRI~1\LOCALS~1\Temp\se.dll/sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\PROPRI~1\LOCALS~1\Temp\se.dll/sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = boisfrancs.qc.ca
R1 - HKLM\Software\Microsoft\Internet Explorer\SearchURL,(Default) = boisfrancs.qc.ca
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: (no name) - 3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
R3 - URLSearchHook: (no name) - 3 - URLSearchHook: (no name) - 3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: C:\WINDOWS\lbbho.dll - {93329204-434E-430F-8908-002E0B029DF1} - C:\WINDOWS\lbbho.dll
O2 - BHO: (no name) - {B09C9EE4-C517-4073-B5D7-982032948F58} - C:\WINDOWS\system32\jopfac.dll
O4 - HKLM…\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM…\Run: [LVCOMS] C:\Program Files\Fichiers communs\Logitech\QCDriver\LVCOMS.EXE
O4 - HKLM…\Run: [FlashEnc] c:\FlashEnc\FlashEnc.exe
O4 - HKLM…\Run: [KAV50] “C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro 5\kav.exe” -run -n PersonalPro -v 5.0.0.0
O4 - HKLM…\Run: [gcasServ] “C:\Program Files\Microsoft AntiSpyware\gcasServ.exe”
O4 - HKLM…\Run: [QuickTime Task] “C:\Program Files\QuickTime\qttask.exe” -atboottime
O4 - HKLM…\Run: [sp] rundll32 C:\DOCUME~1\PROPRI~1\LOCALS~1\Temp\se.dll,DllInstall
O4 - HKCU…\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Event Planner Reminders Tray Icon.lnk = C:\SIERRA\Planner\PLNRnote.exe
O4 - Global Startup: RAMASST.lnk = C:\WINDOWS\system32\RAMASST.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Chercher avec Copernic - file://C:\Program Files\Copernic 2000\Search Extension.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra ‘Tools’ menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: (no name) - {2A465934-E5F0-11D2-91B5-00104B9C4765} - C:\Program Files\Copernic 2000\Copernic.exe
O9 - Extra ‘Tools’ menuitem: Lancer Copernic - {2A465934-E5F0-11D2-91B5-00104B9C4765} - C:\Program Files\Copernic 2000\Copernic.exe
O9 - Extra button: Copernic - {2A465936-E5F0-11D2-91B5-00104B9C4765} - C:\Program Files\Copernic 2000\Copernic.exe
O9 - Extra button: ATI TV - {44226DFF-747E-4edc-B30C-78752E50CD0C} - C:\Program Files\ATI Multimedia\tv\EXPLBAR.DLL (file missing)
O9 - Extra button: Traduire - {99EFB53C-C965-43CF-9F45-52242D134187} - file://C:\Program Files\Copernic 2000\Translate.htm
O9 - Extra ‘Tools’ menuitem: &Traduire avec Gist-In-Time - {99EFB53C-C965-43CF-9F45-52242D134187} - file://C:\Program Files\Copernic 2000\Translate.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra ‘Tools’ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: Ebates - {6685509E-B47B-4f47-8E16-9A5F3A62F683} - file://C:\Program Files\Ebates_MoeMoneyMaker\Sy350\Tp350\scri350a.htm (file missing) (HKCU)
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab31267.cab
O16 - DPF: {E6187999-9FEC-46A1-A20F-F4CA977D5643} (ZoneChess Object) - http://messenger.zone.msn.com/binary/Chess.cab31267.cab
O18 - Filter: text/html - {6F11C2FD-804C-42DA-9D5C-6EA874981010} - C:\WINDOWS\system32\jopfac.dll
O18 - Filter: text/plain - {6F11C2FD-804C-42DA-9D5C-6EA874981010} - C:\WINDOWS\system32\jopfac.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: DVD-RAM_Service - Matsushita Electric Industrial Co., Ltd. - C:\WINDOWS\system32\DVDRAMSV.EXE
O23 - Service: EpsonBidirectionalService - Unknown owner - C:\Program Files\Fichiers communs\EPSON\EBAPI\eEBSVC.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
O23 - Service: Kaspersky Anti-Virus Service (KLBLMain) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro 5\kavmm.exe" -run bl -n PersonalPro -v 5.0.0.0 -ttsr 10000000 (file missing)
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program Files\Fichiers communs\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: X10 Device Network Service (x10nets) - Unknown owner - C:\PROGRA~1\ATIMUL~1\RemCtrl\x10nets.exe (file missing)

J’ai fai cmd
le message d’erreur suivant apparait
Load Library (¨se,dll¨) a échoué - accès refusé
(excuse mais je sais pas faire la capture d’écran)

Je vais tenter la totale selon Westernunion
Merci

bonjour,

commencer par options des dossiers, affichage, cocher “Afficher les fichiers et dossiers cachés” et decocher “Masquer les fichiers protégés du système d’exploitation”
svp télécharger http://www.ccleaner.com/ , faites un nettoyage complet dans les trois onglets .
télécharger http://www.silentrunners.org/CWS%20Shield%20Dropper.vbs
http://www.silentrunners.org/CWS%20File%20Cleaner.vbs
télécharger http://www.f-secure.com/blacklight/try.shtml (I Accept)

je cru comprendre que la restauration système est desactivé, bien
*couper la connexion internet via le modem de préférence
*fermer tous les programmes en cours
*exécuter Killbox.exe et tuer le processus Rundll32 , cocher “EndExplorerShellWhilieKillingFile”
commencer par vider les fichiers temporaires (Delete Temp Files),
si les Hosts c’est bon, nous allons passer autre …
*cocher Delete on Reboot, ajouter C:\WINDOWS\SYSTEM32\msckjk.dll , valider sur la croix rouge.

*exécuter HijackThis pour fixer :

C:\FlashEnc\FlashEnc.exe < je n’arrive pas trouver de quoi il s’agis, tuer le processus ou bien supprimer l’apllication dans le dossier source
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\PROPRI~1\LOCALS~1\Temp\se.dll/sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\PROPRI~1\LOCALS~1\Temp\se.dll/sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R3 - URLSearchHook: (no name) - 3 - URLSearchHook: (no name) - 3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: C:\WINDOWS\lbbho.dll - {93329204-434E-430F-8908-002E0B029DF1} - C:\WINDOWS\lbbho.dll
O2 - BHO: (no name) - {B09C9EE4-C517-4073-B5D7-982032948F58} - C:\WINDOWS\system32\jopfac.dll
O4 - HKLM…\Run: [FlashEnc] c:\FlashEnc\FlashEnc.exe < si Flash vous est inconnu, vaut mieu supprimer l’entrée
O4 - HKLM…\Run: [sp] rundll32 C:\DOCUME~1\PROPRI~1\LOCALS~1\Temp\se.dll,DllInstall
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: Ebates - {6685509E-B47B-4f47-8E16-9A5F3A62F683} - file://C:\Program Files\Ebates_MoeMoneyMaker\Sy350\Tp350\scri350a.htm (file missing) (HKCU)
O18 - Filter: text/html - {6F11C2FD-804C-42DA-9D5C-6EA874981010} - C:\WINDOWS\system32\jopfac.dll
O18 - Filter: text/plain - {6F11C2FD-804C-42DA-9D5C-6EA874981010} - C:\WINDOWS\system32\jopfac.dll
O23 - Service: X10 Device Network Service (x10nets) - Unknown owner - C:\PROGRA~1\ATIMUL~1\RemCtrl\x10nets.exe (file missing)

*supprimer egalement le dossier backup générée par HijackThis.

*ouvrez regedit et trouver :

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\
“@” =“D:\Recycler\WINLOGON.EXE 33173” [file not found] < supprimer !

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
“Steam” = (no data) < entrée inutile

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
“FlashEnc” = “c:\FlashEnc\FlashEnc.exe” [empty string] < entrée à vérifier mais suspect
“QuickTime Task” = ““C:\Program Files\QuickTime\qttask.exe” -atboottime” [“Apple Computer, Inc.”] < entrée inutile
“EbatesMoeMoneyMaker0” = ““C:\Program Files\Ebates_MoeMoneyMaker\EbatesMoeMoneyMaker0.exe””[file not found] < supprimer !
“sp” = “rundll32 C:\DOCUME~1\PROPRI~1\LOCALS~1\Temp\se.dll,DllInstall” [MS] < supprimer !

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{93329204-434E-430F-8908-002E0B029DF1}(Default) = “C:\WINDOWS\lbbho.dll” < supprimer !
-> {CLSID}\InProcServer32(Default) = “C:\WINDOWS\lbbho.dll” [null data] < supprimer !
{B09C9EE4-C517-4073-B5D7-982032948F58}(Default) = (no title provided) < supprimer !
-> {CLSID}\InProcServer32(Default) = “C:\WINDOWS\system32\jopfac.dll” [null data] < supprimer !

HKLM\Software\Classes\PROTOCOLS\Filter\
INFECTION WARNING! text/html\CLSID = “{2C7C846B-FF8E-4BA4-BC66-EDFA23612BD4}”
-> {CLSID}\InProcServer32(Default) = “C:\WINDOWS\system32\jopfac.dll” [null data] < supprimer !
INFECTION WARNING! text/plain\CLSID = “{2C7C846B-FF8E-4BA4-BC66-EDFA23612BD4}”
-> {CLSID}\InProcServer32(Default) = “C:\WINDOWS\system32\jopfac.dll” [null data] < supprimer !

*exécuter les deux scripts : CWS Shield Dropper et CWS File Cleaner
*exécuter http://cwshredder.net/bin/CWShredder.exe
*exécuter BlackLight

*redémarrer la machine

poster un .log de HijackThis+DllCompare+SillentRunners

(nglechau [:djnike])

@Keeper : debout si tôt ?

Très bon boulot :super:

Juste une petite info de passage :

Source : http://www.windowsstartup.com/wso/browse.php?l=6&start=25&end=50

@Denturo :
La méthode que j’avais imaginée ne marcherai pas, vu l’erreur que tu as obtenue : cette dll s’est enregistrée auprès du système par rundll32.exe et non pas par regsvr32.exe.

Suis les conseils de Western et de Keeper.

oui le weekend a été calme faute > F1, puis bon ral’bol de faire le capitaine soirée :sarcastic:

HEY! HEY!
J’AI FINALEMENT TROUVÉ LA SOLUTION DÉFÉNITIVE AU VIRUS
SE.DLL
Après avoir essayé n’importe quoi afin d’éradiquer ce virus…tous les antispyware et compagnies…
Il suffit de télécharger l’antivirus AVAST et de faire un scan minutieux.
Il a tout nettoyé…ensuite je lance Hijack This 2 ou 3 fois et tout redeviens normal…pour l’instant.
Les clés de registre redeviennent ok automatiquement et la page de démarrage aussi…
Si il se passe autre choses je vous informe…

Un immense MERCI et encore Merci pour la grande patience de tous et chacun…
À la gang on sait tout…il suffit de s’écrire…

Hum!..Est-il possible de placer un post ou autre chose pour signaler la résolution de ce problème? [:denturo]

Edite ton premier message et ajoute [RESOLU] au titre de ton message